3.8 Authentication Payload (认证载荷)
3.8 Authentication Payload (认证载荷)
Authentication 载荷在本文档中记为 AUTH, 包含用于认证目的的数据. Authentication Data 的语法随下文规定的 Auth Method 而变化.
Authentication 载荷定义如下:
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Next Payload |C| RESERVED | Payload Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Auth Method | RESERVED |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
~ Authentication Data ~
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 14: Authentication Payload Format
- Auth Method (1 字节) - 指明所用认证方法. 签名类型见下表. 取值仅截至 RFC 4306 发布时有效, 此后可能已有新增. 读者应查阅 [IKEV2IANA] 获取最新取值.
| Mechanism | Value |
|---|---|
| RSA Digital Signature | 1 |
| Shared Key Message Integrity Code | 2 |
| DSS Digital Signature | 3 |
-
RSA Digital Signature - 按第 2.15 节规定, 使用 RSA 私钥与 [PKCS1] 规定的 RSASSA-PKCS1-v1_5 签名方案计算 (实现应注意 IKEv1 对 RSA 签名使用了不同方法). 为促进互操作性, 支持本类型的实现应该支持使用 SHA-1 作为散列函数的签名, 且在生成签名时应该默认使用 SHA-1. 实现可将自给定对等方收到的证书作为提示, 以选择双方理解的 AUTH 载荷签名散列函数. 但注意 AUTH 载荷签名所用散列算法不必与证书中所用散列算法相同.
-
Shared Key Message Integrity Code - 按第 2.15 节规定, 使用与 ID 载荷中身份关联的共享密钥及协商得到的 PRF 计算.
-
DSS Digital Signature - 按第 2.15 节规定, 使用 DSS 私钥 (见 [DSS]) 对 SHA-1 散列签名.
-
RESERVED - 发送时必须为 0; 接收时必须忽略.
-
Authentication Data (变长) - 见第 2.15 节.
Authentication 载荷的载荷类型编号为三十九 (39).