7.2 機制5——四次傳遞鑒別

7.2 機制5——四次傳遞鑒別

本機制與ISO/IEC 11770-2:2008中的密鑰建立機制8等同。

鑒別機制如圖5所示。

由P發送給A的令牌（TokenPA）形式是：

由A發送給B的令牌（TokenAB）形式是：

由B發送給A的令牌（TokenBA）形式是：

在本機制中選擇時間戳還是序號取決于相關實體的技術能力和環境。
在圖5中步驟（1）到步驟（3）中的時變參數TVPA的使用方法與通常的有所不同，它允許A將響應消息（2）與請求消息（1）聯系起來。此處時變參數的重要特性是它的不可重復性，以限制先前用過的TokenPA被重用。
注：時變參數TVPA可以是一個隨機數。但是與本標準中某些機制所使用的隨機數不同的是，該隨機數對于第三方不必是不可預測的，不重復的計數器值同樣適用于產生該隨機數。
下面是對機制5——四次傳遞鑒別的描述：
a) A產生并向可信第三方P發送一個時變參數TVPA、可區分標識符IB以及可選地發送一個文本域Textl；
b) 可信第三方P產生并向A發送TokenPA；

并以此來構造TokenAB；
d) A產生并向B發送TokenAB；
e) 一旦收到包含TokenAB的消息，B便將加密部分解密（此時解密意味著滿足5.2　d)的要求）并檢驗可區分標識符IA和IB以及時間戳或序號的正確性，從而驗證TokenAB。此外，B提取出秘密鑒別密鑰KAB；
f) B產生并向A發送TokenBA；
g) 一旦收到包含TokenBA的消息，A便將加密部分解密（此時解密意味著滿足5.2　d)的要求）并檢驗可區分標識符IA以及時間戳或序號的正確性，從面驗證TokenBA。