IPSec 主模式、快速模式、预共享密钥(2)

CISCO文档

行认证时，认证算法所用的认证密钥。由SKEYID 、SKEYID_d、K经H算出。

SKEYID_e：用于在IKE第二阶段协商中，为信道中传输的数据进行加密是，加密算法所用的

加密密钥。由SKEYID_D 、SKEYID_a、K经H算出。

·<实际数据加密密钥>

在快速模式中，最后一条消息发送前，连接的两端必须用和DH 相关的信息生成一个新的DH密钥并用该密钥同SKEYID_d 以及其他一些参数连接生

成IPSec加解密密钥。下面是步骤：

发起者生成的密钥资源:

1， 生成新的DH共享密钥=(Xb') mod p

2， 用于入口的IPSec SA 的IPSec会话密钥=PRF(SKEYID_d,portocol(ISAKMP),新的共享密钥,SPIr,Ni',Nr')

3， 用于出口的IPSec SA 的IPSec会话密钥=PRF(SKEYID_d,portocol(ISAKMP),新的共享密钥,SPIi,Ni',Nr')

响应者生成的密钥资源:

1， 生成新的DH共享密钥=(Xa') mod p

2， 用于入口的IPSec SA 的IPSec会话密钥=PRF(SKEYID_d,portocol(ISAKMP),新的共享密钥,SPIi,Ni',Nr’)

3， 用于出口的IPSec SA 的IPSec会话密钥=PRF(SKEYID_d,portocol(ISAKMP),新的共享密钥,SPIr,Ni',Nr’)

简单介绍1-9个消息的负载

·主模式

主模式共有6条消息，交换3次。

第一个消息

是发起者发送、有5个负载：

1个SA负载:

一个解释域-因为ISAKMP是个一般协议，所以要说明此消息用于IPSec 。

位置-位置定义了一个32位的掩码来表示IPSec 建议与协商是在何种情况下被传送的。