SPI、版本号以及各种类型的标志

　在线辅导　面授招生　考试大纲　指定教材　报名时间

HDR是每个1KE-H交换消息的头部，包括SPI、版本号以及各种类型的标志。SAil载荷规定了发起方为建立IKE_SA所支持的加密算法，响应方从发起方提供的选项中选择一套加密算法并且在SArl载荷中表示出来。KEi载荷传送发起方的Diffie-Hellman值，通过响应方KEr载荷完成Diffie-Hellman交换Ni和Nr载荷分别表示发起方和响应方的Noncc(一般填写当前时间）。
此外在初始交换的协商中每一端都会生成密钥种子（SKEYSEED),并从中生成IKE安全联盟的所有密钥。接下来的所有报文（除了头部）都会被加密并受到完整性保护。用来加密和进行完整性保护的所有密钥都来自于密钥种子，它们被称为SK_e(完成加密）和SK_a(完成认证，又名完整性保护）。8尺_6和8尺_3是单向计算的。使用DH值除了生成保护IKE安全联盟的密钥SK_e和SK_a之外，还生成了其他密钥SK_d(用来产生后面IPSec安全联盟阶段需要的加密材料）。SK表明括号中的这些栽荷是使用本方向的81_6和SK_a进行加密和完整性保护的。
SKEYEED及其派生值由以下方式计算：

prf+用来产生伪随机数，prf+O的结果构成SK_d，SK_ai,SK_ar,SK_ei，SK_cr,SK_pi和SK_pi?值的串联。gAir是来自D-H交换的共享密钥材料。gAir如果需要将其长度与模一致，可用0填充。如果协商过的prf霈要固定长度的密钥并且Ni和Nr与这个长度都不相等，则需要取它们最初的比特（一半来自Ni，另一半来自NrX发起方在IDi载荷中声明自己的身份，使用AUTH载荷证明对IDi相关秘密信息的认识并保护第一个报文内容的完整性。可选的IDr载荷使发起方能够指定其想与之通信的响应方众多身份中的一个，这对响应方在同一个IP地址上具有多个主机身份的情况下很有用*响应方使用SAi2载衔开始协商IPSec安全联盟。
响应方在IDr载荷中声明自己的身份，用AUTH载荷认证其身份并保护第二个报文的完整性，并完成IPSec安全联盟的协商。
第3、4条报文的接收者必须验证所有签名和MAC的计算是否正确，以及1D载荷中的名称与产生AUTH载荷的密钥是否相符合。
此时，已经完成了初始交换并建立了IKE安全联盟和第一个IPSec安全联盟。接下来的交
换是CREATE_IPSEC_SA交换，用来建立以后的IPSec安全联盟；或者INFORMATIONAL交换，用来删除SA报告错误条件并可以做其他管理，如图5-8所示。

返回目录： 通信工程师考试移动互联网安全技术汇总

编辑特别推荐：

中级通信专业实务 互联网技术教程汇总

中级通信专业实务传输与接入教程汇总

通信专业实务考试设备与环境教程汇总

通信专业实务考试交换技术教程汇总