IPsec中IKE与ISAKMP过程分析(主模式-消息1)_搞搞搞高傲的博客-CSDN博客
IPsec中IKE与ISAKMP过程分析(主模式-消息2)_搞搞搞高傲的博客-CSDN博客
IPsec中IKE与ISAKMP过程分析(主模式-消息3)_搞搞搞高傲的博客-CSDN博客
IPsec中IKE与ISAKMP过程分析(主模式-消息4)_搞搞搞高傲的博客-CSDN博客
IPsec中IKE与ISAKMP过程分析(主模式-消息5和消息6)_搞搞搞高傲的博客-CSDN博客
阶段 | 目标 | 过程 | 消息 |
IKE第一阶段 | 建立一个ISAKMP SA | 实现通信双发的身份鉴别和密钥交换,得到工作密钥 | (1)HDR,SA (2)HDR,SA,Cert_sig_r,Cert_enc_r (3)HDR,XCHi,SIGi (4)HDR,XCHr.SIGr (5)HDR*,HASHi (6)HDR*,HASHr |
IKE第二阶段 | 协商IPsec SA | 实现通信双方IPsec SA,得到ipsec安全策略和会话密钥 | (1)HDR*,HASH(1),SA,Ni (2)HDR*,HASH(2),SA,Nr (3)HDR*,HASH(3) |
IKE在第一阶段(主模式)完成ISAKMP SA协商并通过密钥交换的到工作密钥。在IKE第二阶段(快速模式)的信息将由ISAKMP SA来保护,所以除ISAKMP头外的所有载荷都要加密。
在HDR之后,是Hash结构(HMAC)用来保证本消息的完整性和数据源身份鉴别。
HAHS = PRF(SKEYID_a, Msg_id | Ni_b | SA [| IDi | IDr]),HMAC密钥为SKEYID_a,IDi和IDr为可选字段。
在第二阶段变换载荷的变换ID定义如下,AH和ESP分开标识。
变换载荷中各属性值的定义,密钥交换属性、封装模式属性和鉴别算法属性如下。
快速模式消息1抓包数据如下,HDR是明文传输,之后从HASH结构开始均使用SM4-CBC加密(分组长度为16字节,密钥16字节),这里密文长度为144字节,即包含9个分组。