宝安区网站建设培训,徐州专业做网站的,网页小游戏开发,wordpress海外建站IPsec中IKE与ISAKMP过程分析#xff08;主模式-消息1#xff09;_搞搞搞高傲的博客-CSDN博客 IPsec中IKE与ISAKMP过程分析#xff08;主模式-消息2#xff09;_搞搞搞高傲的博客-CSDN博客
阶段目标过程消息IKE第一阶段建立一个ISAKMP SA实现通信双发的身份鉴别和密钥交换主模式-消息1_搞搞搞高傲的博客-CSDN博客 IPsec中IKE与ISAKMP过程分析主模式-消息2_搞搞搞高傲的博客-CSDN博客
阶段目标过程消息IKE第一阶段建立一个ISAKMP SA实现通信双发的身份鉴别和密钥交换得到工作密钥 (1)HDR,SA (2)HDR,SA,Cert_sig_r,Cert_enc_r (3)HDR,XCHi,SIGi (4)HDR,XCHr.SIGr (5)HDR*,HASHi (6)HDR*,HASHr IKE第二阶段协商IPsec SA实现通信双方IPsec SA得到ipsec安全策略和会话密钥 (1)HDR*,HASH(1),SA,Ni (2)HDR*,HASH(2),SA,Nr (3)HDR*,HASH(3) IKE第一阶段消息3由发起方发出此时发起方具备对方公钥证书就可以使用数字信封加密传递密钥交换参数了同时发送本方公钥证书并附上签名以供身份鉴别使用。XCHi具体包括Cert_enc_r加密的SKi(生产的临时密钥)SKi加密的参数NiSKi加密的IDiCert_sig_i和Cert_enc_i发起方签名证书和加密证书明文就可以了。SIGi是发起方使用本方签名私钥对SKi、Ni、IDi、Cert_enc_i的签名进行完整性和真实性保护。目前发起方具备对方公钥证书和本方生成的随机临时对称密钥所以可以加密运算了。但还没有任何协商得到工作密钥所以消息3还是明文传输的只是部分内容加密。 消息3报文结构如下HDR头后面紧跟DE结构的XCHi并包含发起方的签名证书和加密证书X.509证书结构最后是SIGi签名。 消息3的抓包数据HDR不再赘述。Payload-Private use(128)是使用对方公钥加密的Ski。消息1和消息2之前协商对称加密算法为SM4所以这里SKi应该是16字节。经过SM2公钥加密后长度应1696112字节这里是117-4113字节相差一个字节问题出在哪里 Payload-Nonce(10)是使用Ski对Ni对称加密使用SM4算法分组长度16字节密钥16字节Ni经过SM4算法加密后长度为32字节是16字节的整数倍。Nonce随机数的长度一般为8-256字节之间。 Payload-Identification(5)是使用SKi对IDi对称加密使用SM4算法IDi用户确认通信双方的身份。IDi加密后长度为44字节长度不是16的倍数问题出在哪里ID type和Protocol ID取值都不符合GMT0022标准看来这里的ipsec的国密标准实现的确有些问题。 Payload-Ceitificate(6)是具体的数字证书证书编码按标准应为4签名证书或者5加密证书。 Payload-Signature(9)是对之前信息的签名采用SM2算法使用本方签名私钥签名长度应为64字节但抓包显示长度为71字节为什么呢
