IPsec中IKE与ISAKMP过程分析(主模式-消息1)_搞搞搞高傲的博客-CSDN博客
IPsec中IKE与ISAKMP过程分析(主模式-消息2)_搞搞搞高傲的博客-CSDN博客
IPsec中IKE与ISAKMP过程分析(主模式-消息3)_搞搞搞高傲的博客-CSDN博客
IPsec中IKE与ISAKMP过程分析(主模式-消息4)_搞搞搞高傲的博客-CSDN博客
| 阶段 | 目标 | 过程 | 消息 |
| IKE第一阶段 | 建立一个ISAKMP SA | 实现通信双发的身份鉴别和密钥交换,得到工作密钥 | (1)HDR,SA (2)HDR,SA,Cert_sig_r,Cert_enc_r (3)HDR,XCHi,SIGi (4)HDR,XCHr.SIGr (5)HDR*,HASHi (6)HDR*,HASHr |
| IKE第二阶段 | 协商IPsec SA | 实现通信双方IPsec SA,得到ipsec安全策略和会话密钥 | (1)HDR*,HASH(1),SA,Ni
扫描二维码关注公众号,回复:
15209837 查看本文章
(2)HDR*,HASH(2),SA,Nr (3)HDR*,HASH(3) |
消息5和消息6结构基本相同,都是经过IPsec通信双方实体相互鉴别和参数交换后各自生成共享密钥后,发送Hash数据结构鉴别前面的交换过程是否正确。
HASHi = PRF(SKEYID, CKY-I|CKY-R|SAi_b|IDi_b)
HASHr = PRF(SKEYID,CKY-R|CKY-I|SAr_b|IDr_b)
PRF是HMAC运算过程,这里按照之前的算法协议使用SM3-HMAC算法,密钥为SKEYID。
消息5和消息6,分别由发起发和响应方各自发送,没有信息交换和交互,各自鉴别即可。数据报文结构如下。
抓包数据格式如下。载荷类型为Hash(8)。从消息5和6开始,IPsec报文将被加密保护,可以看到标志字段已经被设置为加密保护。整个消息的长度是76字节,密文48字节(采用SM4-CBC加密,分组16字节,密钥16字节)。
