12.2. 概念消息保护

任何在概念消息（参见第 8 节）中传递信息的解决方案都必须支持端到端完整性保护和重放攻击防护。它通常还需要支持额外的安全属性，包括：

• 端到端加密
• 拒绝服务保护
• 身份验证
• 审计
• 细粒度访问控制
• 日志记录

第 10 节讨论了在此架构中使用新鲜性来防止重放攻击的方法。

要评估特定评估策略提供的安全性，重要的是要了解信任根的强度，例如，它是可变软件还是启动后只读的固件，还是不可变的硬件/ROM。

评估策略本身是否安全获取也很重要。如果攻击者可以为依赖方或验证者配置或修改评估策略和背书或参考值，则过程的完整性会受到损害。

RATS 架构中的安全保护可以应用于不同的层，无论是通过传输协议还是信息编码格式。此架构期望根据角色交互上下文对概念消息进行端到端保护。例如，如果认证者产生的证据通过某个未实现认证者或预期验证者角色的其他实体中继，则中继实体不应期望能够访问该证据。

RATS 架构允许实体发挥多个角色（第 6 节）并支持复合设备（第 3.3 节）。实现者需要评估其设计，以确保各个组件和角色假定的安全属性在缺乏分离的情况下仍然成立，并且不会引入新出现的风险。此评估的具体内容将取决于实现和用例；因此，它们超出了本文档的范围。软件或硬件中分离认证环境和目标环境（第 3.1 节）的隔离机制可以支持实现者的评估和由此产生的设计决策。