IPsec中IKE与ISAKMP过程分析（主模式-消息1）_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析（主模式-消息2）_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析（主模式-消息3）_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析（主模式-消息4）_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析（主模式-消息5和消息6）_搞搞搞高傲的博客-CSDN博客

阶段	目标	过程	消息
IKE第一阶段	建立一个ISAKMP SA	实现通信双发的身份鉴别和密钥交换，得到工作密钥	(1)HDR,SA (2)HDR,SA,Cert_sig_r,Cert_enc_r (3)HDR,XCHi,SIGi (4)HDR,XCHr.SIGr (5)HDR*,HASHi (6)HDR*,HASHr
IKE第二阶段	协商IPsec SA	实现通信双方IPsec SA，得到ipsec安全策略和会话密钥	(1)HDR*,HASH(1),SA,Ni (2)HDR*,HASH(2),SA,Nr (3)HDR*,HASH(3)

         IKE在第一阶段（主模式）完成ISAKMP SA协商并通过密钥交换的到工作密钥。在IKE第二阶段（快速模式）的信息将由ISAKMP SA来保护，所以除ISAKMP头外的所有载荷都要加密。

        在HDR之后，是Hash结构（HMAC）用来保证本消息的完整性和数据源身份鉴别。

        HAHS = PRF（SKEYID_a, Msg_id | Ni_b | SA [| IDi | IDr]），HMAC密钥为SKEYID_a，IDi和IDr为可选字段。

​

       在第二阶段变换载荷的变换ID定义如下，AH和ESP分开标识。

         变换载荷中各属性值的定义，密钥交换属性、封装模式属性和鉴别算法属性如下。

        快速模式消息1抓包数据如下，HDR是明文传输，之后从HASH结构开始均使用SM4-CBC加密（分组长度为16字节，密钥16字节），这里密文长度为144字节，即包含9个分组。

​