国密双证构建IPSec隧道,ISAKEP的签名载荷总验证失败？

关于GM/T-0022《IPSec VPN技术规范》秘钥交换签名载荷验证失败的疑问？

GM/T-0022秘钥交换流程

疑问点

1. 报文3和报文4中签名载荷的是对哪些数据进行签名？

   根据规范：SIG_b=Asymmetric_Sign(Ski_b | Ni_b | IDi_b | CERT_enc_i_b,priv_i)个人理解：

   • Ski_b: 16字节临时秘钥
   • Ni_b: 16字节NONCE值原文 + padding
   • IDi_b: 4字节ID载荷的头 + ASN1编码的ID值原文 + padding
   • CERT_enc_i_b: 1字节证书类型 + ASN1的证书编码

   对以上数据使用 本端的私钥进行签名 得到签名载荷

2. 使用sm2进行签名时使用的 ID 是什么？

   不知道ID是什么，目前和第三方设备对接时，签名载荷总验证失败

不知道有没有哪位有这方面的经验，对上面两个疑问进行指正，感谢，感谢 !!

调试日志

1. 随机生成临时秘钥，并用公钥加密
2. 生成NONCE和获取ID，各自对数据填充后，连接起来并使用 临时秘钥加密（对称加密）
3. 要签名的数据Ski_b + Ni_b + IDi_b + CERT_enc_i_b
4. 签名使用的 ID和签名结果