SPI、版本號以及各種類型的標(biāo)志

　在線輔導(dǎo)　面授招生　考試大綱　指定教材　報名時間

HDR是每個1KE-H交換消息的頭部，包括SPI、版本號以及各種類型的標(biāo)志。SAil載荷規(guī)定了發(fā)起方為建立IKE_SA所支持的加密算法，響應(yīng)方從發(fā)起方提供的選項中選擇一套加密算法并且在SArl載荷中表示出來。KEi載荷傳送發(fā)起方的Diffie-Hellman值，通過響應(yīng)方KEr載荷完成Diffie-Hellman交換Ni和Nr載荷分別表示發(fā)起方和響應(yīng)方的Noncc(一般填寫當(dāng)前時間）。
此外在初始交換的協(xié)商中每一端都會生成密鑰種子（SKEYSEED),并從中生成IKE安全聯(lián)盟的所有密鑰。接下來的所有報文（除了頭部）都會被加密并受到完整性保護。用來加密和進行完整性保護的所有密鑰都來自于密鑰種子，它們被稱為SK_e(完成加密）和SK_a(完成認證，又名完整性保護）。8尺_6和8尺_3是單向計算的。使用DH值除了生成保護IKE安全聯(lián)盟的密鑰SK_e和SK_a之外，還生成了其他密鑰SK_d(用來產(chǎn)生后面IPSec安全聯(lián)盟階段需要的加密材料）。SK表明括號中的這些栽荷是使用本方向的81_6和SK_a進行加密和完整性保護的。
SKEYEED及其派生值由以下方式計算：

prf+用來產(chǎn)生偽隨機數(shù)，prf+O的結(jié)果構(gòu)成SK_d，SK_ai,SK_ar,SK_ei，SK_cr,SK_pi和SK_pi?值的串聯(lián)。gAir是來自D-H交換的共享密鑰材料。gAir如果需要將其長度與模一致，可用0填充。如果協(xié)商過的prf霈要固定長度的密鑰并且Ni和Nr與這個長度都不相等，則需要取它們最初的比特（一半來自Ni，另一半來自NrX發(fā)起方在IDi載荷中聲明自己的身份，使用AUTH載荷證明對IDi相關(guān)秘密信息的認識并保護第一個報文內(nèi)容的完整性?？蛇x的IDr載荷使發(fā)起方能夠指定其想與之通信的響應(yīng)方眾多身份中的一個，這對響應(yīng)方在同一個IP地址上具有多個主機身份的情況下很有用*響應(yīng)方使用SAi2載銜開始協(xié)商IPSec安全聯(lián)盟。
響應(yīng)方在IDr載荷中聲明自己的身份，用AUTH載荷認證其身份并保護第二個報文的完整性，并完成IPSec安全聯(lián)盟的協(xié)商。
第3、4條報文的接收者必須驗證所有簽名和MAC的計算是否正確，以及1D載荷中的名稱與產(chǎn)生AUTH載荷的密鑰是否相符合。
此時，已經(jīng)完成了初始交換并建立了IKE安全聯(lián)盟和第一個IPSec安全聯(lián)盟。接下來的交
換是CREATE_IPSEC_SA交換，用來建立以后的IPSec安全聯(lián)盟；或者INFORMATIONAL交換，用來刪除SA報告錯誤條件并可以做其他管理，如圖5-8所示。

返回目錄： 通信工程師考試移動互聯(lián)網(wǎng)安全技術(shù)匯總

編輯特別推薦：

中級通信專業(yè)實務(wù) 互聯(lián)網(wǎng)技術(shù)教程匯總

中級通信專業(yè)實務(wù)傳輸與接入教程匯總

通信專業(yè)實務(wù)考試設(shè)備與環(huán)境教程匯總

通信專業(yè)實務(wù)考試交換技術(shù)教程匯總