Pomoću ovog protkola korisnik A, koji želi započeti komunikaciju s korisnikom B, predstaviti će se korisniku B te dokazati svoj identitet. Potreba za autentifikacijom ne može se izbjeći, jer bez autentifikacije protokoli za uspostavljanje sigurnog kanala ne mogu se uspješno izvršiti.
Baza protkola
je autentifikacijsko središte (AS) u koje se prijavljuju svi korisnici,
te prijavom dobivaju svoju identifikacijsku oznaku (IDI) i
tajni ključ (KI). Protokol započinje tako što korisnik A
pošalje poruku korisniku B: .
Time se korisnik A predstavio korisniku B, još mora samo dokazati svoj
identitet. Da bi to postigli korisnik B mora odgovoriti korisniku A:
.
R je neki generirani broj. Ova poruka se ne kriptira zato jer korisnik B
ne zna tajni ključ korisnika A (niti ima potrebu da to sazna). Korisnik A kada
primi slučanjno generirani broj R, kriptira ga svojim tajnim ključem KA.
Tu novu poruku šalje korisniku B:
.
Korisnik B ovo ne može dekriptirati, pa zato generira novu poruku koju će
poslati autentifikacijskom središtu (jedino autentifikacijsko središte može
dekriptirati poruku M3). Korisnik B šalje slijedeću poruku u
autentifikacijsko središte:
.
U ovoj poruci su navedeni svi potrebni podaci da bi autentifikacijsko središte
moglo dekriptirati poruku i poslati dekriptirani sadržaj (R) korisniku
koji je to zatražio. Pomoću IDB autentifikacijsko središte zna
kome poslati poruku, te zna koji ključ treba upotrijebiti za dekriptiranje
poruke (KB). Nakon dekriptiranja pomoću ključa (KB),
središte ima slijedeću poruku za dekriptirati:
.
Pomoću identifikatora IDA, središte zna da treba koristiti
ključ KA, te dekriptira poruku da dođe do broja R.
Središte imajući broj R, generira novu poruku:
te
ju šalje korisniku B. Poruka je kriptirana ključem KB zato da
ju može pročitati samo korisnik B. Kada korisnik dekriptira poruku i pročita je,
uspoređuje pročitanu vrijednost broja R, s onom vrijednošću koju je
poslao u poruci M2. Ako su brojevi identični korisnik B
prihvaća korisnika A i time je postupak autorizacije završen.
Ovaj postupak ima nedostatak što koristi samo jedno autentifikacijsko središte, te u slučaju kvara središta neće se moći izvršiti postupak autentifikacije. Zato se često koristi sustav u kojem se nalazi više autentifikacijskih središta. Korisnici komuniciraju samo sa svojim autentifikacijskim središtem a za ostalu komunikaciju, središta komuniciraju međusobno.
Slika: Jednostrana autentifikacija u zatvorenom simetričnom kriptosustavu