IKEv2的认证数据生成过程

在IKEv2的第三个消息和第四个消息中，双方都会向对方发送一个AUTH Payload来证明自己的身份。这个过程是通过对各自发送的第一个消息进行签名来实现的。比如，如果一个Responder想证明自己的身份，那么，当它发送IKE_SA_INIT消息时，需要把这个消息完整的缓存下来。然后在发送IKE_SA_AUTH之前，将缓存的IKE_SA_INIT消息和Nonce_I，以及它自身的ID的MAC值连接到一起，再用PRF算法算出一个结果，便是AUTH值。

如下：

1. 计算自己的ID MAC

MACedIDForR =prf( SK_pr, IDType | RESERVED | RespIDData )

2. 计算AUTH值

AUTH_DATA = prf( SK_pr, RealMessage2 | NonceIData |MACedIDForR )

这里RealMessage2代表Responder发送的IKE_SA_INIT消息，因为它在所有的消息序列中是第二个消息，所以叫RealMessage2。NonceIData是Initiator发过来的Nonce值。

类似的，Initiator计算AUTH DATA过程如下：

3. 计算自己的ID MAC

MACedIDForI =prf( SK_pi, IDType | RESERVED | InitIDData )

4. 计算AUTH值

AUTH_DATA = prf( SK_pi, RealMessage1 | NonceRData |MACedIDForI )

这里RealMessage1代表Initiator发送的IKE_SA_INIT消息，NonceRData是Responder发过来的Nonce值。

但是如果双方选择的认证方式是共享密钥，那么计算AUTH DATA时会有一点区别：

For the initiator:

AUTH = prf( prf(Shared Secret, "Key Pad forIKEv2"),

<InitiatorSignedOctets>)

For the responder:

AUTH = prf( prf(Shared Secret, "Key Pad forIKEv2"),

<ResponderSignedOctets>)

在计算最终的AUTH DATA时，如果认证方式是Pre-shared key，那么prf算法的第一个参数将不再使用SK_pi/SK_pr，而是用prf( Shared Secret, “Key Pad for IKEv2” )作为prf的密钥。

最后一点是关于EAP的，如果双方协商使用EAP认证，那么EAP过程结束后，双方还会发送AUTH消息。如果使用的EAP方法是key-generation的，那么在计算AUTH DATA时必须用MSK (Master Shared Key) 来替换共享密钥。如果是non-key-generating方法，那么用SK_pi和SK_pr来替换共享密钥。