【文章內(nèi)容簡(jiǎn)介】 —— 加密比特：這是標(biāo)志字段中的最低有效比特。當(dāng)這個(gè)比特被置為1時(shí)，該消息頭后面所有的載荷都采用ISAKMP SA中指定的密碼算法加密。當(dāng)這個(gè)比特被置為0時(shí)，載荷不加密。—— 提交比特：這是標(biāo)志字段的第2個(gè)比特，本規(guī)范中其值為0。—— 僅認(rèn)證比特：這是標(biāo)志字段的第3個(gè)比特，本規(guī)范中其值為0。 消息ID：這個(gè)字段的長(zhǎng)度為4字節(jié)，第一階段中該字段為0，在第二階段為發(fā)起方生成的隨機(jī)數(shù)。它作為惟一的消息標(biāo)志，用于在第二階段的協(xié)商中標(biāo)識(shí)協(xié)議狀態(tài)。長(zhǎng)度：這個(gè)字段的長(zhǎng)度為4字節(jié)，以字節(jié)為單位標(biāo)明包含消息頭和載荷在內(nèi)的整個(gè)消息長(zhǎng)度?！?通用載荷頭每個(gè)載荷由通用載荷頭開(kāi)始。通用載荷頭定義了載荷的邊界，所以就可以聯(lián)接不同的載荷。通用載荷頭的定義如圖512所示：下一個(gè)載荷保留載荷長(zhǎng)度圖512 通用載荷頭格式下一個(gè)載荷：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，標(biāo)識(shí)了本載荷后下一個(gè)載荷的類型。如果當(dāng)前載荷是最后一個(gè)，則該字段將被置為0。載荷類型由表511定義。保留：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，其值為0。載荷長(zhǎng)度：這個(gè)字段的長(zhǎng)度為2個(gè)字節(jié)，以字節(jié)為單位標(biāo)明包含通用載荷頭在內(nèi)的整個(gè)載荷長(zhǎng)度。　 安全聯(lián)盟載荷安全聯(lián)盟載荷用于協(xié)商SA，并且指定協(xié)商所基于的解釋域DOI。安全聯(lián)盟的格式依賴于他使用的DOI，本載荷的類型值為1。安全聯(lián)盟載荷的格式如圖513所示：下一個(gè)載荷保留載荷長(zhǎng)度解釋域（DOI）情形圖513 安全聯(lián)盟載荷格式下一個(gè)載荷：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，標(biāo)識(shí)了本載荷后下一個(gè)載荷的類型。如果當(dāng)前載荷是最后一個(gè)，則該字段將被置為0。載荷類型由表511定義。保留：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，其值為0。載荷長(zhǎng)度：這個(gè)字段的長(zhǎng)度為2個(gè)字節(jié)，以字節(jié)為單位標(biāo)明整個(gè)安全聯(lián)盟載荷的長(zhǎng)度，計(jì)算范圍包括SA載荷、所有建議載荷、和所有與被提議的安全聯(lián)盟有關(guān)的變換載荷。解釋域DOI：這個(gè)字段長(zhǎng)度為4個(gè)字節(jié)，其值為無(wú)符號(hào)整數(shù)，它指定協(xié)商所基于的DOI，這個(gè)字段的值為1。情形：這個(gè)字段長(zhǎng)度為4個(gè)字節(jié)，表明協(xié)商發(fā)生時(shí)的情形，用來(lái)決定需要的安全服務(wù)的信息。定義如下：—— SIT_IDENTITY_ONLY：其值為1。表明SA將由一個(gè)相關(guān)的標(biāo)識(shí)載荷中的源標(biāo)識(shí)信息來(lái)標(biāo)識(shí)。—— SIT_SECRECY：其值為2。表明SA正在一個(gè)需經(jīng)標(biāo)記的秘密的環(huán)境中協(xié)商?！?SIT_INTEGRITY：其值是4。表明SA正在一個(gè)須經(jīng)標(biāo)記的完整性環(huán)境中協(xié)商。本規(guī)范默認(rèn)采用SIT_IDENTITY_ONLY情形?！?建議載荷建議載荷用于密鑰交換的發(fā)起方告知響應(yīng)方它優(yōu)先選擇的安全協(xié)議以及希望協(xié)商中的SA采用的相關(guān)安全機(jī)制，本載荷的類型值為2。建議載荷的格式如圖514所示：下一個(gè)載荷保留載荷長(zhǎng)度建議號(hào)協(xié)議IDSPI長(zhǎng)度變換數(shù)變長(zhǎng)的SPI圖514 建議載荷格式下一個(gè)載荷：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，如果后面還有建議載荷，其值為2，否則應(yīng)為0。保留：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，其值為0。載荷長(zhǎng)度：這個(gè)字段的長(zhǎng)度為2個(gè)字節(jié)，以字節(jié)為單位標(biāo)明整個(gè)建議載荷的長(zhǎng)度。計(jì)算范圍包括包括通用載荷頭、建議載荷、和所有與該建議有關(guān)的變換載荷，該長(zhǎng)度僅用于標(biāo)明本建議載荷的長(zhǎng)度。建議號(hào)：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，標(biāo)明本建議載荷的建議編號(hào)。多個(gè)建議的建議號(hào)相同標(biāo)明這些建議是“邏輯與”的關(guān)系，不同標(biāo)明這些建議是“邏輯或”的關(guān)系。單調(diào)遞增的建議號(hào)表示對(duì)建議的優(yōu)先選擇順序，建議號(hào)越小優(yōu)先權(quán)越高。協(xié)議ID：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，標(biāo)明協(xié)議標(biāo)識(shí)符。協(xié)議標(biāo)識(shí)符的定義如表513所示：表513 協(xié)議標(biāo)識(shí)符的定義協(xié)議標(biāo)識(shí)符描述值RESERVED未分配0PROTO_ISAKMPISAKMP的協(xié)議標(biāo)識(shí)符1PROTO_IPSec_AHAH的協(xié)議標(biāo)識(shí)符2PROTO_IPSec_ESPESP的協(xié)議標(biāo)識(shí)符3PROTO_IPCOMPIP壓縮的協(xié)議標(biāo)識(shí)符4SPI長(zhǎng)度：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，以字節(jié)為單位標(biāo)明SPI的長(zhǎng)度。在第一階段該長(zhǎng)度為0，在第二階段該長(zhǎng)度為4。變換數(shù)：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，標(biāo)明建議的變換載荷個(gè)數(shù)。變長(zhǎng)的SPI：在第一階段沒(méi)有這個(gè)字段，在第二階段這個(gè)字段的長(zhǎng)度為4個(gè)字節(jié)，其內(nèi)容是該建議的提出者產(chǎn)生的隨機(jī)數(shù)?！?變換載荷變換載荷用于密鑰交換的發(fā)起方告知響應(yīng)方為一個(gè)指定的協(xié)議提供不同的安全機(jī)制，本載荷的類型值為3。變換載荷的格式如圖515所示：下一個(gè)載荷保留載荷長(zhǎng)度變換號(hào)變換ID保留2SA屬性圖515 變換載荷格式下一個(gè)載荷：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，如果后面還有變換載荷，其值為3，否則應(yīng)為0。保留：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，其值為0。載荷長(zhǎng)度：這個(gè)字段的長(zhǎng)度為2個(gè)字節(jié)，以字節(jié)為單位標(biāo)明本變換載荷的長(zhǎng)度。計(jì)算范圍包括通用載荷頭、變換載荷和所有的SA屬性載荷。變換號(hào)：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，標(biāo)明本變換載荷的變換編號(hào)。單調(diào)遞增的變換號(hào)表示對(duì)變換的優(yōu)先選擇順序，變換號(hào)越小優(yōu)先權(quán)越高。變換ID：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，標(biāo)明建議協(xié)議的變換標(biāo)識(shí)符。在第一階段該字段的值為1，在第二階段根據(jù)不同的協(xié)議選用不同的變換ID。AH協(xié)議的變換ID的定義如表514所示，ESP協(xié)議的變換ID的定義如表515所示：表514 AH協(xié)議的變換ID的定義變換ID描述值RESERVED未使用01AH_SHA使用SHA1雜湊算法的HMAC3AH_SM3使用帶256比特SM3密碼雜湊算法的HMAC20表515 ESP協(xié)議的變換ID的定義變換ID描述值RESERVED未使用0ESP_SM1SM1分組密碼算法128保留2：這個(gè)字段的長(zhǎng)度為2個(gè)字節(jié)，其值為0。SA屬性：該字段的長(zhǎng)度是可變的，標(biāo)明本變換的SA屬性。　 SA屬性載荷SA屬性載荷只能用于變換載荷之后，并且沒(méi)有通用載荷頭，用于表示SA屬性的數(shù)據(jù)結(jié)構(gòu)，本載荷的類型值為14。SA屬性載荷的格式如圖516所示：1屬性類型屬性值0屬性類型屬性長(zhǎng)度屬性值圖516 SA屬性載荷格式屬性類型：這個(gè)字段的長(zhǎng)度為2個(gè)字節(jié)，標(biāo)明屬性類型。該字段的最高有效比特（比特0）如果為0，屬性值是變長(zhǎng)的，并且本載荷有3個(gè)字段，分別是屬性類型、屬性長(zhǎng)度和屬性值。如果屬性類型最高有效比特為1，屬性值是定長(zhǎng)的并且本載荷僅有2個(gè)字段，分別是屬性類型和屬性值。第一階段密鑰協(xié)商屬性類型的定義如表516所示：表516 第一階段密鑰協(xié)商屬性類型的定義分類值長(zhǎng)度加密算法1定長(zhǎng)HASH算法2定長(zhǎng)認(rèn)證方式3定長(zhǎng)交換組4定長(zhǎng)交換群類型5定長(zhǎng)群素?cái)?shù)/不可約多項(xiàng)式6變長(zhǎng)群產(chǎn)生器17變長(zhǎng)群產(chǎn)生器28變長(zhǎng)群曲線A9變長(zhǎng)群曲線B10變長(zhǎng)SA生存期類型11定長(zhǎng)SA生存期 (SA Life Duration)12變長(zhǎng)偽隨機(jī)函數(shù)（PRF）13定長(zhǎng)密鑰長(zhǎng)度14定長(zhǎng)字段大小15定長(zhǎng)群順序16變長(zhǎng)塊大小17定長(zhǎng)非對(duì)稱算法類型20定長(zhǎng)第二階段密鑰協(xié)商屬性類型的定義如表517所示：表517 第二階段密鑰協(xié)商屬性類型的定義分類值長(zhǎng)度SA生存類型 (SA Life Type)1定長(zhǎng)SA生存期 (SA Life Duration)2變長(zhǎng)組描述 (Group Description)3定長(zhǎng)封裝模式 (Encapsulation Mode)4定長(zhǎng)認(rèn)證算法 (Authentication Algorithm)5定長(zhǎng)密鑰長(zhǎng)度 (Key Length)6定長(zhǎng)密鑰輪數(shù) (Key Rounds)7定長(zhǎng)壓縮字典長(zhǎng)度 (Compress Dictionary Size)8定長(zhǎng)私有壓縮算法 (Compress Private Algorithm)9變長(zhǎng)屬性值：這個(gè)字段如果是定長(zhǎng)的，其長(zhǎng)度為2個(gè)字節(jié)。如果是變長(zhǎng)的，其長(zhǎng)度由屬性長(zhǎng)度字段指定。屬性長(zhǎng)度：當(dāng)屬性值是變長(zhǎng)時(shí)，該字段標(biāo)明屬性值的長(zhǎng)度。第一階段加密算法屬性值的定義如表518所示：表518 第一階段加密算法屬性值的定義名稱描述值ENC_ALG_SM1SM1分組密碼算法128第一階段密碼雜湊算法屬性值的定義如表519所示：表519 第一階段密碼雜湊算法屬性值的定義名稱描述值HASH_ALG_SHASHA1密碼雜湊算法2HASH_ALG_SM3SM3密碼雜湊算法20第一階段認(rèn)證方式屬性值的定義如表5110所示：表5110 第一階段認(rèn)證方式屬性值的定義名稱描述值A(chǔ)UTH_METHOD_DE公鑰數(shù)字信封認(rèn)證方式10SA生存期類型屬性值的定義適用于第一階段和第二階段，如表5111所示：表5111 SA生存期類型屬性值的定義名稱描述值SA_LD_TYPE_SEC秒1SA_LD_TYPE_KB千字節(jié)2第一階段公鑰算法類型屬性值的定義如表5112所示：表5112 第一階段公鑰算法類型屬性值的定義名稱描述值A(chǔ)SYMMETRIC_RSARSA 公鑰密碼算法1ASYMMETRIC_SM2SM2橢圓曲線密碼算法2第二階段封裝模式屬性值的定義如表5113所示：表5113 第二階段封裝模式屬性值的定義名稱描述值RESERVED使用0ENC_MODE_TUNNEL隧道模式1ENC_MODE_TRNS傳輸模式2ENC_MODE_UDPTUNNEL_RFCNAT穿越隧道模式3ENC_MODE_UDPTRNS_RFCNAT穿越傳輸模式4第二階段認(rèn)證算法屬性值的定義如表5114所示：表5114 第二階段認(rèn)證算法屬性值的定義名稱描述值RESERVED使用0HMAC_SHASHA1密碼雜湊算法的HMAC2HMAC_SM3SM3密碼雜湊算法的HMAC20　 標(biāo)識(shí)載荷標(biāo)識(shí)載荷用于通信雙方交換身份信息，該信息用于確認(rèn)通信雙方的身份，本載荷的類型值為5。標(biāo)識(shí)載荷的格式如圖517所示：下一個(gè)載荷保留載荷長(zhǎng)度標(biāo)識(shí)類型協(xié)議ID端口標(biāo)識(shí)數(shù)據(jù)圖517 標(biāo)識(shí)載荷格式下一個(gè)載荷：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，標(biāo)識(shí)了本載荷后下一個(gè)載荷的類型。如果當(dāng)前載荷是最后一個(gè)，則該字段將被置為0。載荷類型由表511定義。保留：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，其值為0。載荷長(zhǎng)度：這個(gè)字段的長(zhǎng)度為2個(gè)字節(jié)，以字節(jié)為單位標(biāo)明包含通用載荷頭在內(nèi)的整個(gè)載荷長(zhǎng)度。標(biāo)識(shí)類型：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，標(biāo)明標(biāo)識(shí)數(shù)據(jù)字段中的身份信息類型。標(biāo)識(shí)類型的定義如表5115所示：表5115 標(biāo)識(shí)類型的定義ID類型描　述值RESERVED未使用0ID_IPv4_ADDR一個(gè)單獨(dú)的4字節(jié)IPv4地址1ID_FQDN完全合格的域名字符串2ID_USER_FQDN完全合格的用戶名字符串3ID_IPv4_ADDR_SUBNET帶有4字節(jié)子網(wǎng)掩碼的IPv4地址4ID_IPv6_ADDR一個(gè)單獨(dú)的16字節(jié)IPv6地址5ID_IPv6_ADDR_SUBNET一個(gè)帶有16字節(jié)子網(wǎng)掩碼的IPv6地址6ID_IPv4_ADDR_RANGE一個(gè)IPv4的地址范圍7ID_IPV6_ADDR_RANGE一個(gè)IPv6的地址范圍8ID_DER_ASN1_DN9ID_DER_ASN1_GN10ID_KEY_ID用于傳遞特定廠商信息的字節(jié)流11在第一階段可以使用的標(biāo)識(shí)類型為：ID_IPv4_ADDRID_IPv6_ADDRID_DER_ASN1_DNID_DER_ASN1_GNID_FQDNID_USER_FQDNID_KEY_ID在第二階段可以使用的標(biāo)識(shí)類型為：ID_IPv4_ADDRID_IPv6_ADDRID_IPv4_ADDR_SUBNETID_IPv6_ADDR_SUBNETID_IPv4_ADDR_RANGEID_IPV6_ADDR_RANGE協(xié)議ID：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，標(biāo)明一個(gè)IP協(xié)議的上層協(xié)議號(hào)。值為0表明忽略這個(gè)字段，在第一階段這個(gè)值應(yīng)為0。在第二階段是用戶配置的安全策略五元組的協(xié)議，值為0表明忽略這個(gè)字段。端口：這個(gè)字段的長(zhǎng)度為2個(gè)字節(jié)，標(biāo)明一個(gè)上層協(xié)議的端口。值為0表明忽略這個(gè)字段，在第一階段這個(gè)值應(yīng)為0。在第二階段是用戶配置的安全策略五元組的端口，值為0表明忽略這個(gè)字段。標(biāo)識(shí)數(shù)據(jù)：這個(gè)字段是變長(zhǎng)的，標(biāo)明與ID類型字段相對(duì)應(yīng)的標(biāo)識(shí)信息?！?證書(shū)載荷證書(shū)載荷用于通信雙方交換證書(shū)以及證書(shū)相關(guān)信息，本載荷的類型值為6。證書(shū)載荷的格式如圖518所示：下一個(gè)載荷保留載荷長(zhǎng)度證書(shū)編碼證書(shū)數(shù)據(jù)證書(shū)數(shù)據(jù)圖518 證書(shū)載荷格式下一個(gè)載荷：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，標(biāo)識(shí)了本載荷后下一個(gè)載荷的類型。如果當(dāng)前載荷是最后一個(gè)，則該字段將被置為0。載荷類型由表511定義。保留：這個(gè)字段的長(zhǎng)度為1個(gè)字節(jié)，其值為0。載荷長(zhǎng)度：這個(gè)字段的長(zhǎng)度