Đây là mức độ an toàn rất cao trong trao đổi khóa. Khóa của các bên luôn luôn được chứng thực bởi trung tâm xác thực trước khi thực hiện giao dịch dữ liệu. Chi tiết được mô tả trong Hình 2.3 và các bước tiến hành như sau:
Hình 2.3 Giao thức trao đổi khóa được xác thực bởi TAut
- Bắt đầu phiên giao dịch, SysInt tạo ra số chỉ sử dụng một lần NSuM, và gửi NSuM, SID,
VID và "ReqIP" đến IPVend.
- IPVend nhận và xác minh các tham số. Nếu các tham số là phù hợp, IPVend sẽ gửi khóa công khai PKV đến SysInt.
- SysInt nhận và gửi PKV cùng với số định danh của IPVend VID đến TAut để xác minh. TAut sẽ kiểm tra, xác minh rồi gửi bản tin thông báo "ConfirmPKV" đến cho SysInt. Nếu bản tin thông báo "ConfirmPKV" cho kết quả đúng thì SysInt sẽ sử dụng khóa này để mã hóa SKS, và gửi cho IPVend.
- IPVend nhận và gửi SKS mã hóa cùng với số định danh của SysInt SID đến TAut để xác minh.
- TAut xác minh khóa SKS của SysInt và gửi một bản tin thông báo "ConfirmSKS" đến IPVend.
- Nếu bản tin thông báo "ConfirmSKS" cho kết quả đúng. Có nghĩa là SKS là chính xác của SysInt. IPVend sử dụng khóa riêng SKV để giải mã SKS đã được mã hóa, và sau đó sử dụng khóa SKS này để mã hóa lõi IP rồi gửi cho SysInt.
Tại mỗi phiên giao dịch, cả hai khóa PKV và SKS luôn được trao đổi và xác thực qua TAut. Riêng khóa riêng SKV là không trao đổi. Khóa công khai PKV không cần phải giữ bí mật nên khi trao đổi qua mạng không cần thiết phải được mã hóa. Chỉ khóa bí mật SKS cần phải được bảo mật và nó đã được mã hóa bởi khóa PKV trước khi gửi qua Internet. Giao thức trao đổi khóa an toàn được mô tả chi tiết hơn trong các thuật toán sau.