国际标准ISO/IEC 9798-2详述了6个使用对称密码算法的协议。其中有4个仅用来提供实体认证，另外两个提供密钥建立和实体认证。后面的两个协议基本类似于ISO/IEC 11770-2标准。这4个认证协议中有两个是单向认证协议，另外两个是双向认证协议。

第一个协议如图4.3所示，它仅包含一条从发起者A到验证者B的消息。它提供A到B的单向认证。B由时间戳TA推断A是否有效，包含身份标识B能保证A知道B是她的对等实体。

图4.3　ISO/IEC 9798-2一次传输单向认证协议

第二个协议如图4.4所示，它与第一个协议类似，只是用随机数替代时间戳。

图4.4　ISO/IEC 9798-2两次传输单向认证协议

第三个协议如图4.5所示，它由第一个协议的两个实例组成。它提供A和B间的相互认证。

图4.5　ISO/IEC 9798-2两次传输双向认证协议(www.daowen.com)

第四个协议如图4.6所示，它与第三个协议类似，都提供双向认证，只是用随机数代替时间戳。

图4.6　ISO/IEC 9798-2三次传输双向认证协议

注意图4.6中的协议并不是两个基于随机数的单向认证协议（图4.4）的组合，消息数由4减少到3。

在以上的4个协议中，从A发出的加密消息中是否包含B的标识是可选的。另外，在图4.5中，是否在从B发出的加密消息中包含A的标志也是可选的。标准建议包含这些域以防反射攻击。

如果图4.6中消息2中的标识B被省略了，它将会遭受如图4.7所示的反射攻击。这时，攻击者C参与了与B之间的两个并行协议会话，B是会话1的发起者，C是会话2的发起者。首先，C可以利用B发起会话1的消息1来发起会话2；接着C可以把会话2的消息2′转发给B作为会话1的消息2；最后，当会话1成功完成后，C又可以把会话1中的消息3转发给B，从而完成会话2。结果是C和B成功地完成了两次协议运行，而B却误认为他是和A成功地完成了两次协议运行。

图4.7　对省略标识B的ISO/IEC 9798-2三次传输双向认证协议的反射攻击