IKEv2的认证数据生成过程
在IKEv2的第三个消息和第四个消息中,双方都会向对方发送一个AUTH Payload来证明自己的身份。这个过程是通过对各自发送的第一个消息进行签名来实现的。比如,如果一个Responder想证明自己的身份,那么,当它发送IKE_SA_INIT消息时,需要把这个消息完整的缓存下来。然后在发送IKE_SA_AUTH之前,将缓存的IKE_SA_INIT消息和Nonce_I,以及它自身的ID的MAC值连接到一起,再用PRF算法算出一个结果,便是AUTH值。
如下:
1. 计算自己的ID MAC
MACedIDForR =prf( SK_pr, IDType | RESERVED | RespIDData )
2. 计算AUTH值
AUTH_DATA = prf( SK_pr, RealMessage2 | NonceIData |MACedIDForR )
这里RealMessage2代表Responder发送的IKE_SA_INIT消息,因为它在所有的消息序列中是第二个消息,所以叫RealMessage2。NonceIData是Initiator发过来的Nonce值。
类似的,Initiator计算AUTH DATA过程如下:
3. 计算自己的ID MAC
MACedIDForI =prf( SK_pi, IDType | RESERVED | InitIDData )
4. 计算AUTH值
AUTH_DATA = prf( SK_pi, RealMessage1 | NonceRData |MACedIDForI )
这里RealMessage1代表Initiator发送的IKE_SA_INIT消息,NonceRData是Responder发过来的Nonce值。
但是如果双方选择的认证方式是共享密钥,那么计算AUTH DATA时会有一点区别:
For the initiator:
AUTH = prf( prf(Shared Secret, "Key Pad forIKEv2"),
<InitiatorSignedOctets>)
For the responder:
AUTH = prf( prf(Shared Secret, "Key Pad forIKEv2"),
<ResponderSignedOctets>)
在计算最终的AUTH DATA时,如果认证方式是Pre-shared key,那么prf算法的第一个参数将不再使用SK_pi/SK_pr,而是用prf( Shared Secret, “Key Pad for IKEv2” )作为prf的密钥。
最后一点是关于EAP的,如果双方协商使用EAP认证,那么EAP过程结束后,双方还会发送AUTH消息。如果使用的EAP方法是key-generation的,那么在计算AUTH DATA时必须用MSK (Master Shared Key) 来替换共享密钥。如果是non-key-generating方法,那么用SK_pi和SK_pr来替换共享密钥。
IKEv2的认证数据生成过程相关推荐
- Cloudra公司CCP:DS——认证数据专家
原文:http://vision.cloudera.com/24195/. 译文: 每天我都能看到大数据怎样改变我们生活的文章.数据科学家们正在生物医药领域找寻新的方法治愈癌症.帮助银行与欺诈做斗争, ...
- oracle 与赛门铁克,Oracle与赛门铁克共同认证数据中心解决方案
日前,为响应客户对 Oracle®坚不可摧Linux计划(Oracle Unbreakable Linux) 支持程序不断增长的需求,Oracle 与赛门铁克共同宣布对使用 Oracle Enterp ...
- cesium 3dtiles 加载本地数据_记一次Cesium地形数据生成过程
问题描述 有一小块带高程值的点状数据,需要根据该数据生成Cesium支持的3dtiles数据,在Cesium中显示.经过一周多时间的摸索,终于能够在Cesium中加载成功.现将数据处理流程做个记录,以 ...
- DAMA认证|数据治理和数字化的12项原则
数字化转型是个长期而艰巨的过程,许多单位仍然还不是很清楚到底如何来开展这个工作.DAMA关于数据管理和数字化转型,提出了12项原则. 数据治理和数字化的12项原则有哪些? 数据治理和数字化的12项原则 ...
- Cesium之3D拉伸显示行政区含GeoJSON数据生成过程GDAL的ogr2ogr
简介: Cesiumjs 是一套javascript库,用来渲染3D地球,2D区域地图,和多种GIS要素.不需要安装任何插件就能在支持最新HTML5标准的浏览器上运行.支持WebGL硬件加速,非常适合 ...
- 查询当天数据_【财会人职场必备】发票勾选、查询、认证等25问!简直太全了!都收藏了!...
收藏:新系统专票勾选/查询/认证时间等25个问题 问题1-10 增值税发票综合服务平台对哪些企业开放? 答:增值税发票综合服务平台将取消增值税发票认证扩大到所有增值税一般纳税人,增值税一般纳税人取得增 ...
- IT人员需要获得的6个顶级的数据中心教育和认证
如今,很多IT人士致力于在数据中心方面提高技术水平,并增加知识经验.随着数据中心在现代商业和生活中的作用越来越重要,获得数据中心专业知识的教育和培训已经变得有利可图,甚至一些人忽视了他们的大学教育,更 ...
- 有孚网络北京云数据中心荣获绿色建筑国际LEED金牌认证和国家CQC A级机房认证...
中国IDC圈报道,2018年1月16日,上海有孚网络股份有限公司(以下简称有孚网络)北京永丰E-Data云计算数据中心荣获国家CQC A级机房认证和国内首个国际LEED绿建金牌认证,CQC中国质量认证 ...
- EMV技术学习和研究(五)脱机数据认证之DDA
转载请注明出处 作者:小旭 有了前面对SDA的熟悉,接下来再研究DDA就会感觉比较轻松一点了. 用于动态数据认证的数据和SDA部分所描述的一样,也是基于SFI的来组织的. 特别说明一下:之前有一个地方 ...
最新文章
- Java 8中Stream API的这些奇技淫巧!你都Get到了吗?
- ZBrush关于遮罩的一些操作
- Oracle 10g R2 数据库的克隆---物理拷贝克隆
- ASP.NET Core 中文文档 第四章 MVC(4.2)控制器操作的路由
- [置顶] Mybatis技术(二) MyBatis-Spring
- MCMC笔记:蒙特卡罗方法
- CentOS 7 firewall防火墙命令
- Mysql导出表结构及表数据 mysqldump用法
- (JAVA)基本数据类型 对象包装类
- 三只松鼠7月12日登陆创业板 募资60亿元
- vue使用element-ui的el-input监听不了回车事件解决
- 0.42-0.5+0.08与0.08-0.5+0.42是不完全相等,Why is 0.3 - 0.2 - 0.1 (or similar) not equal to zero?
- vue弹出alert_vue.extend实现alert模态框弹窗步骤详解
- misc学习笔记2-图形密码
- 抢走Salesforce大客户,国产CRM靠的不是运气
- python复杂网络分析库networkx
- unity 如何开发手机App
- 运营商精准大数据——主动出击 精准获客_客户_实时数据
- python批量处理图片颜色反转_Python批量处理图片
- 淘宝taobao.com步3721后尘晋升新网骚