在二和三次安全报文交换协议中,协议的一方用户担负着“起动”的角色,另一方用户起着“响应”的角色。代表起动用户操作的“安全代理”就认为是“起动者”,代表响应用户操作的就认为是“响应者”。
在安全报文交换协议中,当采用非对称性(公开)密钥算法时,可假定每个鉴别实体(即A、B)拥有一个公开密钥/私密密钥对。当用于加密时,Ka表示A的非对称密钥的公共部分。当于数字签名时,Ka就表示A的非对称密钥的专用部分。对B实体情况类似。当采用对称(秘密的)密钥算法时,则要假定鉴别的实体A和B共用两个单向秘密密钥Ka和Kb或单一的秘密密钥Ka=Kb。
安全协商是通过使用参数在三次交换协议中完成的。为了支持体系结构中的灵活性则需要进行协商。这种灵活性要答应执行者和用户可选择密码算法和他们所喜欢用的协议。在第一个流程中,起动者提供一个安全服务目录和连接使用的参数(如:算法类型、密钥长度、公开密钥的具体算法参数)。在第二个流程中,响应者要根据服务目录和连接参数予以回答。假如起动者与响应者相一致,那就是执行了协议,而且双方都采用了服务和响应者回答所包含的参数,否则,此协议和连接请求就出故障了。
