IPsec中IKE与ISAKMP过程分析（主模式-消息1）_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析（主模式-消息2）_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析（主模式-消息3）_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析（主模式-消息4）_搞搞搞高傲的博客-CSDN博客

阶段	目标	过程	消息
IKE第一阶段	建立一个ISAKMP SA	实现通信双发的身份鉴别和密钥交换，得到工作密钥	(1)HDR,SA (2)HDR,SA,Cert_sig_r,Cert_enc_r (3)HDR,XCHi,SIGi (4)HDR,XCHr.SIGr (5)HDR*,HASHi (6)HDR*,HASHr
IKE第二阶段	协商IPsec SA	实现通信双方IPsec SA，得到ipsec安全策略和会话密钥	(1)HDR*,HASH(1),SA,Ni (2)HDR*,HASH(2),SA,Nr (3)HDR*,HASH(3)

        消息5和消息6结构基本相同，都是经过IPsec通信双方实体相互鉴别和参数交换后各自生成共享密钥后，发送Hash数据结构鉴别前面的交换过程是否正确。

        HASHi = PRF（SKEYID， CKY-I|CKY-R|SAi_b|IDi_b）

        HASHr = PRF（SKEYID，CKY-R|CKY-I|SAr_b|IDr_b)

        PRF是HMAC运算过程，这里按照之前的算法协议使用SM3-HMAC算法，密钥为SKEYID。

        消息5和消息6，分别由发起发和响应方各自发送，没有信息交换和交互，各自鉴别即可。数据报文结构如下。

        

        抓包数据格式如下。载荷类型为Hash(8)。从消息5和6开始，IPsec报文将被加密保护，可以看到标志字段已经被设置为加密保护。整个消息的长度是76字节，密文48字节（采用SM4-CBC加密，分组16字节，密钥16字节）。