xingyeping
xingyeping

IKEv1 MainMode Cert 代码流程梳理


初始的配置如下:
Initiator: 
     
     
     
     

      
      
      
      

       
       
       
       config setup
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
       conn %default
      
      
      
      

      
      
      
      

       
       
       
       	ikelifetime=60m
      
      
      
      

      
      
      
      

       
       
       
       	keylife=20m
      
      
      
      

      
      
      
      

       
       
       
       	rekeymargin=3m
      
      
      
      

      
      
      
      

       
       
       
       	keyingtries=1
      
      
      
      

      
      
      
      

       
       
       
       	keyexchange=ikev1
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
       conn rw
      
      
      
      

      
      
      
      

       
       
       
       	left=PH_IP_MOON
      
      
      
      

      
      
      
      

       
       
       
       	leftcert=moonCert.pem
      
      
      
      

      
      
      
      

       
       
       
       	leftid=@moon.strongswan.org
      
      
      
      

      
      
      
      

       
       
       
       	leftsubnet=10.1.0.0/16
      
      
      
      

      
      
      
      

       
       
       
       	leftfirewall=yes
      
      
      
      

      
      
      
      

       
       
       
       #	right=%any
      
      
      
      

      
      
      
      

       
       
       
       	right=PH_IP_SUN
      
      
      
      

      
      
      
      

       
       
       
       	rightid=@sun.strongswan.org
      
      
      
      

      
      
      
      

       
       
       
       	rightsubnet=10.1.0.0/16
      
      
      
      

      
      
      
      

       
       
       
       	auto=add
Responder: 
     
     
     
     

      
      
      
      

       
       
       
       config setup
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
       conn %default
      
      
      
      

      
      
      
      

       
       
       
       	ikelifetime=60m
      
      
      
      

      
      
      
      

       
       
       
       	keylife=20m
      
      
      
      

      
      
      
      

       
       
       
       	rekeymargin=3m
      
      
      
      

      
      
      
      

       
       
       
       	keyingtries=1
      
      
      
      

      
      
      
      

       
       
       
       	keyexchange=ikev1
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
       conn home
      
      
      
      

      
      
      
      

       
       
       
       	left=PH_IP_SUN
      
      
      
      

      
      
      
      

       
       
       
       	leftcert=sunCert.pem
      
      
      
      

      
      
      
      

       
       
       
       	leftid=@sun.strongswan.org
      
      
      
      

      
      
      
      

       
       
       
               leftsubnet=10.1.0.0/16
      
      
      
      

      
      
      
      

       
       
       
       	leftfirewall=yes
      
      
      
      

      
      
      
      

       
       
       
       	right=PH_IP_MOON
      
      
      
      

      
      
      
      

       
       
       
       	rightid=@moon.strongswan.org
      
      
      
      

      
      
      
      

       
       
       
       	rightsubnet=10.1.0.0/16
      
      
      
      

      
      
      
      

       
       
       
       	auto=add
与证书认证相关的报文开始于第一条报文,主动方需要获取认证类型,在main_mode.c的build_i中会get_auth_mode,
最终或调用到credential_manager.c里的get_private,在这里,将会确定一次信任链moon->strongswanCA,这个时候
会把moon->CA,CA->CA的关系存到cert_cache.c中。

后面跳到第四条报文,由接收起方发出如下载荷:
接收方  KE No   CERTREQ NAT-D NAT-D -----> 发起方
接收方在isakmp_cert_pre.c的build_certreqs里,其代码如下: 
     
     
     
     

      
      
      
      

       
       
       
       /**
      
      
      
      

      
      
      
      

       
       
       
        * Build certificate requests
      
      
      
      

      
      
      
      

       
       
       
        */
      
      
      
      

      
      
      
      

       
       
       
       static void build_certreqs(private_isakmp_cert_pre_t *this, message_t *message)
      
      
      
      

      
      
      
      

       
       
       
       {
      
      
      
      

      
      
      
      

       
       
       
           enumerator_t *enumerator;
      
      
      
      

      
      
      
      

       
       
       
           ike_cfg_t *ike_cfg;
      
      
      
      

      
      
      
      

       
       
       
           peer_cfg_t *peer_cfg;
      
      
      
      

      
      
      
      

       
       
       
           certificate_t *cert;
      
      
      
      

      
      
      
      

       
       
       
           auth_cfg_t *auth;
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
           ike_cfg = this->ike_sa->get_ike_cfg(this->ike_sa);
      
      
      
      

      
      
      
      

       
       
       
           if (!ike_cfg->send_certreq(ike_cfg))
      
      
      
      

      
      
      
      

       
       
       
           {
      
      
      
      

      
      
      
      

       
       
       
               return;
      
      
      
      

      
      
      
      

       
       
       
           }
      
      
      
      

      
      
      
      

       
       
       
           /* check if we require a specific CA for that peer */
      
      
      
      

      
      
      
      

       
       
       
           peer_cfg = this->ike_sa->get_peer_cfg(this->ike_sa);
      
      
      
      

      
      
      
      

       
       
       
           if (peer_cfg)
      
      
      
      

      
      
      
      

       
       
       
           {   /*默认的配置里,我们没有指定新的CA,因此不会走到add_certreqs的流程 */
      
      
      
      

      
      
      
      

       
       
       
               enumerator = peer_cfg->create_auth_cfg_enumerator(peer_cfg, FALSE);
      
      
      
      

      
      
      
      

       
       
       
               if (enumerator->enumerate(enumerator, &auth))
      
      
      
      

      
      
      
      

       
       
       
               {
      
      
      
      

      
      
      
      

       
       
       
                   add_certreqs(this, auth, message);
      
      
      
      

      
      
      
      

       
       
       
               }
      
      
      
      

      
      
      
      

       
       
       
               enumerator->destroy(enumerator);
      
      
      
      

      
      
      
      

       
       
       
           }
      
      
      
      

      
      
      
      

       
       
       
           if (!message->get_payload(message, PLV1_CERTREQ))
      
      
      
      

      
      
      
      

       
       
       
           {
      
      
      
      

      
      
      
      

       
       
       
               /* otherwise add all trusted CA certificates */
      
      
      
      

      
      
      
      

       
       
       
               enumerator = lib->credmgr->create_cert_enumerator(lib->credmgr,
      
      
      
      

      
      
      
      

       
       
       
                                                       CERT_ANY, KEY_ANY, NULL, TRUE);
      
      
      
      

      
      
      
      

       
       
       
               while (enumerator->enumerate(enumerator, &cert))
      
      
      
      

      
      
      
      

       
       
       
               {   /* 遍历了lib->credmgr的sets链表,去找所有证书,在add_certreq里会判断,只会添加CA证书,并且加入的是证书的subject */
      
      
      
      

      
      
      
      

       
       
       
                   add_certreq(this, message, cert);
      
      
      
      

      
      
      
      

       
       
       
               }
      
      
      
      

      
      
      
      

       
       
       
               enumerator->destroy(enumerator);
      
      
      
      

      
      
      
      

       
       
       
           }
      
      
      
      

      
      
      
      

       
       
       
       }
然后打包消息发送出去。
发起方在收到消息后,需要解析这个报文,在isakmp_cert_pre.c中,调用process_certreqs进行处理 
     
     
     
     

      
      
      
      

       
       
       
       static void process_certreqs(private_isakmp_cert_pre_t *this, message_t *message)
      
      
      
      

      
      
      
      

       
       
       
       {
      
      
      
      

      
      
      
      

       
       
       
           enumerator_t *enumerator;
      
      
      
      

      
      
      
      

       
       
       
           payload_t *payload;
      
      
      
      

      
      
      
      

       
       
       
           auth_cfg_t *auth;
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
           auth = this->ike_sa->get_auth_cfg(this->ike_sa, TRUE);/* 注意,这里找到ike_sa->my_auth,注意,此时auth->entries里面的元素是空的 */
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
           enumerator = message->create_payload_enumerator(message);
      
      
      
      

      
      
      
      

       
       
       
           while (enumerator->enumerate(enumerator, &payload))
      
      
      
      

      
      
      
      

       
       
       
           {
      
      
      
      

      
      
      
      

       
       
       
               switch (payload->get_type(payload))
      
      
      
      

      
      
      
      

       
       
       
               {
      
      
      
      

      
      
      
      

       
       
       
                   case PLV1_CERTREQ:
      
      
      
      

      
      
      
      

       
       
       
                   {
      
      
      
      

      
      
      
      

       
       
       
                       certificate_t *cert;
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
                       this->ike_sa->set_condition(this->ike_sa,
      
      
      
      

      
      
      
      

       
       
       
                                                   COND_CERTREQ_SEEN, TRUE);
      
      
      
      

      
      
      
      

       
       
       
                       cert = find_certificate(this, (certreq_payload_t*)payload); /* 根据证书载荷找到CA证书 */
      
      
      
      

      
      
      
      

       
       
       
                       if (cert)
      
      
      
      

      
      
      
      

       
       
       
                       {   /* 找到了,那么把CA证书保存到ike_sa->my_auth->entries中 */
      
      
      
      

      
      
      
      

       
       
       
                           auth->add(auth, AUTH_RULE_CA_CERT, cert);
      
      
      
      

      
      
      
      

       
       
       
                       }
      
      
      
      

      
      
      
      

       
       
       
                       break;
      
      
      
      

      
      
      
      

       
       
       
                   }
      
      
      
      

      
      
      
      

       
       
       
                   default:
      
      
      
      

      
      
      
      

       
       
       
                       break;
      
      
      
      

      
      
      
      

       
       
       
               }
      
      
      
      

      
      
      
      

       
       
       
           }
      
      
      
      

      
      
      
      

       
       
       
           enumerator->destroy(enumerator);
      
      
      
      

      
      
      
      

       
       
       
       }
后面进入到主动方打包第五条报文的阶段
第五条报文 ID CERT SIG CERTREQ N(INITIAL_CONTACT) -->
同样的,主动方需要先build_certreqs,这里和第四条报文一样。后面是先构造sig载荷,然后再构造cert载荷。
填充SIG载荷在main_mode.c的build_i的流程中 
     
     
     
     

      
      
      
      

       
       
       
               case MM_KE:
      
      
      
      

      
      
      
      

       
       
       
               {
      
      
      
      

      
      
      
      

       
       
       
                   id_payload_t *id_payload;
      
      
      
      

      
      
      
      

       
       
       
                   identification_t *id;
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
                   id = this->ph1->get_id(this->ph1, this->peer_cfg, TRUE);
      
      
      
      

      
      
      
      

       
       
       
                   if (!id)
      
      
      
      

      
      
      
      

       
       
       
                   {
      
      
      
      

      
      
      
      

       
       
       
                       DBG1(DBG_CFG, "own identity not known");
      
      
      
      

      
      
      
      

       
       
       
                       return send_notify(this, INVALID_ID_INFORMATION);
      
      
      
      

      
      
      
      

       
       
       
                   }
      
      
      
      

      
      
      
      

       
       
       
                   this->ike_sa->set_my_id(this->ike_sa, id->clone(id));/* 保存自己的ID moon.strongswan.cn 到ike_sa->my_id中,之前my_id为空 */
      
      
      
      

      
      
      
      

       
       
       
                   id_payload = id_payload_create_from_identification(PLV1_ID, id);
      
      
      
      

      
      
      
      

       
       
       
                   message->add_payload(message, &id_payload->payload_interface);
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
                   if (!this->ph1->build_auth(this->ph1, this->method, message,    /* 构造SIG载荷 */
      
      
      
      

      
      
      
      

       
       
       
                                              id_payload->get_encoded(id_payload)))
      
      
      
      

      
      
      
      

       
       
       
                   {
      
      
      
      

      
      
      
      

       
       
       
                       return send_notify(this, AUTHENTICATION_FAILED);
      
      
      
      

      
      
      
      

       
       
       
                   }
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
                   add_initial_contact(this, message, id);
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
                   this->state = MM_AUTH;
      
      
      
      

      
      
      
      

       
       
       
                   return NEED_MORE;
      
      
      
      

      
      
      
      

       
       
       
               }
如上代码所示,调用phase1.c的build_auth构造SIG,最终调用到pubkey_v1_authenticator.c的build构造。
逻辑上,这里需要找到本地证书的私钥,对hash数据进行签名。因此build时需要先找到私钥,通过如下查找
    private = lib->credmgr->get_private(lib->credmgr, this->type, id, auth);
这里查找比较绕,跟进去看一下,调用的是credential_manager.c的get_private去找。
这里的入参type=KEY_RSA,auth是ike_sa->my_auth,id是moon_strongswan.cn
在get_private函数里,auth为真,这一次在创建trust_chain的时候,在匹配issued_by时,会使用之前的cache。
注意,创建完trust_chain后,会把本地证书和CA证书加到ike_sa->my_auth中。 找到private之后就做签名的处理。
签名成功后,会保存auth_cfg,ike_sa->my_auth中会有3个条目,两个是本地CA(相同的条目),一个是本地证书。
然后ike_sa->my_auths里会再存一份ike_sa->my_auth相同的auth_cfg

此后构造cert报文。这里使用my_auth中的本地证书构造报文。 
     
     
     
     

      
      
      
      

       
       
       
       METHOD(credential_manager_t, get_private, private_key_t*,
      
      
      
      

      
      
      
      

       
       
       
           private_credential_manager_t *this, key_type_t type, identification_t *id,
      
      
      
      

      
      
      
      

       
       
       
           auth_cfg_t *auth)
      
      
      
      

      
      
      
      

       
       
       
       {
      
      
      
      

      
      
      
      

       
       
       
           enumerator_t *enumerator;
      
      
      
      

      
      
      
      

       
       
       
           certificate_t *cert;
      
      
      
      

      
      
      
      

       
       
       
           private_key_t *private = NULL;
      
      
      
      

      
      
      
      

       
       
       
           auth_cfg_t *trustchain;
      
      
      
      

      
      
      
      

       
       
       
           auth_rule_t rule;
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
           /* check if this is a lookup by key ID, and do it if so */
      
      
      
      

      
      
      
      

       
       
       
           if (id && id->get_type(id) == ID_KEY_ID)    /* M_I_5里type为KEY_RSA,因此不会走到这 */
      
      
      
      

      
      
      
      

       
       
       
           {
      
      
      
      

      
      
      
      

       
       
       
               private = get_private_by_keyid(this, type, id);
      
      
      
      

      
      
      
      

       
       
       
               if (private)
      
      
      
      

      
      
      
      

       
       
       
               {
      
      
      
      

      
      
      
      

       
       
       
                   return private;
      
      
      
      

      
      
      
      

       
       
       
               }
      
      
      
      

      
      
      
      

       
       
       
           }
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
           if (auth)
      
      
      
      

      
      
      
      

       
       
       
           {    /* M_I_5里auth虽然不为空,首次来的时候,里面只有CA的证书 *//* 在M_I_1中,get_auth_method会走到这里 */
      
      
      
      

      
      
      
      

       
       
       
               /* try to find a trustchain with one of the configured subject certs */
      
      
      
      

      
      
      
      

       
       
       
               enumerator = auth->create_enumerator(auth);
      
      
      
      

      
      
      
      

       
       
       
               while (enumerator->enumerate(enumerator, &rule, &cert))
      
      
      
      

      
      
      
      

       
       
       
               {
      
      
      
      

      
      
      
      

       
       
       
                   if (rule == AUTH_RULE_SUBJECT_CERT)
      
      
      
      

      
      
      
      

       
       
       
                   {   /* get_auth_method里传下来的auth是配置里的auth,是有本地证书的,*/
      
      
      
      

      
      
      
      

       
       
       
                       private = get_private_by_cert(this, cert, type);
      
      
      
      

      
      
      
      

       
       
       
                       if (private)
      
      
      
      

      
      
      
      

       
       
       
                       {
      
      
      
      

      
      
      
      

       
       
       
                           trustchain = build_trustchain(this, cert, auth);
      
      
      
      

      
      
      
      

       
       
       
                           if (trustchain)
      
      
      
      

      
      
      
      

       
       
       
                           {
      
      
      
      

      
      
      
      

       
       
       
                               auth->merge(auth, trustchain, FALSE);
      
      
      
      

      
      
      
      

       
       
       
                               prefer_cert(auth, cert->get_ref(cert));
      
      
      
      

      
      
      
      

       
       
       
                               trustchain->destroy(trustchain);
      
      
      
      

      
      
      
      

       
       
       
                               break;
      
      
      
      

      
      
      
      

       
       
       
                           }
      
      
      
      

      
      
      
      

       
       
       
                           private->destroy(private);
      
      
      
      

      
      
      
      

       
       
       
                           private = NULL;
      
      
      
      

      
      
      
      

       
       
       
                       }
      
      
      
      

      
      
      
      

       
       
       
                   }
      
      
      
      

      
      
      
      

       
       
       
               }
      
      
      
      

      
      
      
      

       
       
       
               enumerator->destroy(enumerator);
      
      
      
      

      
      
      
      

       
       
       
               if (private)
      
      
      
      

      
      
      
      

       
       
       
               {
      
      
      
      

      
      
      
      

       
       
       
                   return private;
      
      
      
      

      
      
      
      

       
       
       
               }
      
      
      
      

      
      
      
      

       
       
       
               /* M_I_5里,首次找也是没有的 */
      
      
      
      

      
      
      
      

       
       
       
               /* if none yielded a trustchain, enforce the first configured cert */
      
      
      
      

      
      
      
      

       
       
       
               cert = auth->get(auth, AUTH_RULE_SUBJECT_CERT);
      
      
      
      

      
      
      
      

       
       
       
               if (cert)
      
      
      
      

      
      
      
      

       
       
       
               {
      
      
      
      

      
      
      
      

       
       
       
                   private = get_private_by_cert(this, cert, type);
      
      
      
      

      
      
      
      

       
       
       
                   if (private)
      
      
      
      

      
      
      
      

       
       
       
                   {
      
      
      
      

      
      
      
      

       
       
       
                       trustchain = build_trustchain(this, cert, auth);
      
      
      
      

      
      
      
      

       
       
       
                       if (trustchain)
      
      
      
      

      
      
      
      

       
       
       
                       {
      
      
      
      

      
      
      
      

       
       
       
                           auth->merge(auth, trustchain, FALSE);
      
      
      
      

      
      
      
      

       
       
       
                           trustchain->destroy(trustchain);
      
      
      
      

      
      
      
      

       
       
       
                       }
      
      
      
      

      
      
      
      

       
       
       
                       return private;
      
      
      
      

      
      
      
      

       
       
       
                   }
      
      
      
      

      
      
      
      

       
       
       
               }
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
               /* try to build a trust chain for each certificate found */
      
      
      
      

      
      
      
      

       
       
       
               enumerator = create_cert_enumerator(this, CERT_ANY, type, id, FALSE);
      
      
      
      

      
      
      
      

       
       
       
               while (enumerator->enumerate(enumerator, &cert))
      
      
      
      

      
      
      
      

       
       
       
               {   /* 通过ID找到本地证书 */
      
      
      
      

      
      
      
      

       
       
       
                   private = get_private_by_cert(this, cert, type);/* 找私钥 */
      
      
      
      

      
      
      
      

       
       
       
                   if (private)
      
      
      
      

      
      
      
      

       
       
       
                   {   /* 构造证书信任链 */
      
      
      
      

      
      
      
      

       
       
       
                       trustchain = build_trustchain(this, cert, auth);
      
      
      
      

      
      
      
      

       
       
       
                       if (trustchain)
      
      
      
      

      
      
      
      

       
       
       
                       {
      
      
      
      

      
      
      
      

       
       
       
                           auth->merge(auth, trustchain, FALSE);
      
      
      
      

      
      
      
      

       
       
       
                           trustchain->destroy(trustchain);
      
      
      
      

      
      
      
      

       
       
       
                           break;
      
      
      
      

      
      
      
      

       
       
       
                       }
      
      
      
      

      
      
      
      

       
       
       
                       private->destroy(private);
      
      
      
      

      
      
      
      

       
       
       
                       private = NULL;
      
      
      
      

      
      
      
      

       
       
       
                   }
      
      
      
      

      
      
      
      

       
       
       
               }
      
      
      
      

      
      
      
      

       
       
       
               enumerator->destroy(enumerator);
      
      
      
      

      
      
      
      

       
       
       
           }
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
           /* if no valid trustchain was found, fall back to the first usable cert */
      
      
      
      

      
      
      
      

       
       
       
           if (!private)
      
      
      
      

      
      
      
      

       
       
       
           {
      
      
      
      

      
      
      
      

       
       
       
               enumerator = create_cert_enumerator(this, CERT_ANY, type, id, FALSE);
      
      
      
      

      
      
      
      

       
       
       
               while (enumerator->enumerate(enumerator, &cert))
      
      
      
      

      
      
      
      

       
       
       
               {
      
      
      
      

      
      
      
      

       
       
       
                   private = get_private_by_cert(this, cert, type);
      
      
      
      

      
      
      
      

       
       
       
                   if (private)
      
      
      
      

      
      
      
      

       
       
       
                   {
      
      
      
      

      
      
      
      

       
       
       
                       if (auth)
      
      
      
      

      
      
      
      

       
       
       
                       {
      
      
      
      

      
      
      
      

       
       
       
                           auth->add(auth, AUTH_RULE_SUBJECT_CERT, cert->get_ref(cert));
      
      
      
      

      
      
      
      

       
       
       
                       }
      
      
      
      

      
      
      
      

       
       
       
                       break;
      
      
      
      

      
      
      
      

       
       
       
                   }
      
      
      
      

      
      
      
      

       
       
       
               }
      
      
      
      

      
      
      
      

       
       
       
               enumerator->destroy(enumerator);
      
      
      
      

      
      
      
      

       
       
       
           }
      
      
      
      

      
      
      
      

       
       
       
           return private;
      
      
      
      

      
      
      
      

       
       
       
       }
      
      
      
      

     
     
     
     
      
      
      
      

       
       
       
       

        
        
        
        /**
       
       
       
       

       
       
       
       

        
        
        
         * find a private key of a given certificate
       
       
       
       

       
       
       
       

        
        
        
         */
       
       
       
       

       
       
       
       

        
        
        
        static private_key_t *get_private_by_cert(private_credential_manager_t *this,
       
       
       
       

       
       
       
       

        
        
        
                                                  certificate_t *cert, key_type_t type)
       
       
       
       

       
       
       
       

        
        
        
        {
       
       
       
       

       
       
       
       

        
        
        
            private_key_t *private = NULL;
       
       
       
       

       
       
       
       

        
        
        
            identification_t *keyid;
       
       
       
       

       
       
       
       

        
        
        
            chunk_t chunk;
       
       
       
       

       
       
       
       

        
        
        
            public_key_t *public;
       
       
       
       

       
       
       
       

        
        
        
         
       
       
       
       

       
       
       
       

        
        
        
            public = cert->get_public_key(cert);
       
       
       
       

       
       
       
       

        
        
        
            if (public)
       
       
       
       

       
       
       
       

        
        
        
            {   /* 这里的私钥,是通过指纹匹配的,指纹之前配置时就生成好的 */
       
       
       
       

       
       
       
       

        
        
        
                if (public->get_fingerprint(public, KEYID_PUBKEY_SHA1, &chunk))
       
       
       
       

       
       
       
       

        
        
        
                {
       
       
       
       

       
       
       
       

        
        
        
                    keyid = identification_create_from_encoding(ID_KEY_ID, chunk);
       
       
       
       

       
       
       
       

        
        
        
                    private = get_private_by_keyid(this, type, keyid);
       
       
       
       

       
       
       
       

        
        
        
                    keyid->destroy(keyid);
       
       
       
       

       
       
       
       

        
        
        
                }
       
       
       
       

       
       
       
       

        
        
        
                public->destroy(public);
       
       
       
       

       
       
       
       

        
        
        
            }
       
       
       
       

       
       
       
       

        
        
        
            return private;
       
       
       
       

       
       
       
       

        
        
        
        }
       
       
       
       

      
      
      
      
       
       
       
       

        
        
        
        

         
         
         
         /**
        
        
        
        

        
        
        
        

         
         
         
          * build a trustchain from subject up to a trust anchor in trusted
        
        
        
        

        
        
        
        

         
         
         
          */
        
        
        
        

        
        
        
        

         
         
         
         static auth_cfg_t *build_trustchain(private_credential_manager_t *this,
        
        
        
        

        
        
        
        

         
         
         
                                              certificate_t *subject, auth_cfg_t *auth)
        
        
        
        

        
        
        
        

         
         
         
         {
        
        
        
        

        
        
        
        

         
         
         
             certificate_t *issuer, *current;
        
        
        
        

        
        
        
        

         
         
         
             auth_cfg_t *trustchain;
        
        
        
        

        
        
        
        

         
         
         
             int pathlen = 0;
        
        
        
        

        
        
        
        

         
         
         
             bool has_anchor;
        
        
        
        

        
        
        
        

         
         
         
          
        
        
        
        

        
        
        
        

         
         
         
             trustchain = auth_cfg_create();
        
        
        
        

        
        
        
        

         
         
         
             has_anchor = auth->get(auth, AUTH_RULE_CA_CERT) != NULL; /* ike_sa的auth传进来的时候已经有本地CA了,配置auth传下来没有 */
        
        
        
        

        
        
        
        

         
         
         
             current = subject->get_ref(subject);
        
        
        
        

        
        
        
        

         
         
         
             while (TRUE)
        
        
        
        

        
        
        
        

         
         
         
             {   /* auth_contans_cacert是要判断auth里是否有CA证书,且CA证书和currrent是同一个证书 */
        
        
        
        

        
        
        
        

         
         
         
                 if (auth_contains_cacert(auth, current))    /* 第一次current为要认证的证书,这里为假,第二次为第一次的签发者,以此类推 */
        
        
        
        

        
        
        
        

         
         
         
                 {
        
        
        
        

        
        
        
        

         
         
         
                     trustchain->add(trustchain, AUTH_RULE_CA_CERT, current);
        
        
        
        

        
        
        
        

         
         
         
                     return trustchain;
        
        
        
        

        
        
        
        

         
         
         
                 }
        
        
        
        

        
        
        
        

         
         
         
                 if (subject == current)
        
        
        
        

        
        
        
        

         
         
         
                 {   /* 第一次是相等的 ,因此会把本地证书加到信任链中 */
        
        
        
        

        
        
        
        

         
         
         
                     trustchain->add(trustchain, AUTH_RULE_SUBJECT_CERT, current);
        
        
        
        

        
        
        
        

         
         
         
                 }
        
        
        
        

        
        
        
        

         
         
         
                 else
        
        
        
        

        
        
        
        

         
         
         
                 {
        
        
        
        

        
        
        
        

         
         
         
                     if (!has_anchor && issued_by(this, current, current, NULL))/* 如果没有指定根CA,那么此时又自认证成功,那么认为成功 */
        
        
        
        

        
        
        
        

         
         
         
                     {    /* If no trust anchor specified, accept any CA */
        
        
        
        

        
        
        
        

         
         
         
                         trustchain->add(trustchain, AUTH_RULE_CA_CERT, current);
        
        
        
        

        
        
        
        

         
         
         
                         return trustchain;
        
        
        
        

        
        
        
        

         
         
         
                     }
        
        
        
        

        
        
        
        

         
         
         
                     trustchain->add(trustchain, AUTH_RULE_IM_CERT, current);
        
        
        
        

        
        
        
        

         
         
         
                 }
        
        
        
        

        
        
        
        

         
         
         
                 if (pathlen++ > MAX_TRUST_PATH_LEN) /* 证书链的层次 */
        
        
        
        

        
        
        
        

         
         
         
                 {
        
        
        
        

        
        
        
        

         
         
         
                     break;
        
        
        
        

        
        
        
        

         
         
         
                 }
        
        
        
        

        
        
        
        

         
         
         
                 issuer = get_issuer_cert(this, current, FALSE, NULL);/* 找本证书的签发者 */
        
        
        
        

        
        
        
        

         
         
         
                 if (!issuer)
        
        
        
        

        
        
        
        

         
         
         
                 {
        
        
        
        

        
        
        
        

         
         
         
                     if (!has_anchor)
        
        
        
        

        
        
        
        

         
         
         
                     {    /* If no trust anchor specified, accept incomplete chains */
        
        
        
        

        
        
        
        

         
         
         
                         return trustchain;
        
        
        
        

        
        
        
        

         
         
         
                     }
        
        
        
        

        
        
        
        

         
         
         
                     break;
        
        
        
        

        
        
        
        

         
         
         
                 }
        
        
        
        

        
        
        
        

         
         
         
                 if (has_anchor && issuer->equals(issuer, current))/* 如果指定了根CA,去比较最终的签发者 */
        
        
        
        

        
        
        
        

         
         
         
                 {
        
        
        
        

        
        
        
        

         
         
         
                     issuer->destroy(issuer);
        
        
        
        

        
        
        
        

         
         
         
                     break;
        
        
        
        

        
        
        
        

         
         
         
                 }
        
        
        
        

        
        
        
        

         
         
         
                 current = issuer;
        
        
        
        

        
        
        
        

         
         
         
             }
        
        
        
        

        
        
        
        

         
         
         
             trustchain->destroy(trustchain);
        
        
        
        

        
        
        
        

         
         
         
             return NULL;
        
        
        
        

        
        
        
        

         
         
         
         }

接收方收到第五条报文后,先process_certreqs,把找到的本地CA存放到ike_sa->my_auth中。
然后process_certs, 从载荷中取出证书,注意,这时候我们只有一个证书,没有测试过证书链的情况。把证书取出来后,
放到了ike_sa->other_auth中。

其后在main_mode.c的process_r里去验证SIG载荷。 
     
     
     
     

      
      
      
      

       
       
       
               case MM_KE:
      
      
      
      

      
      
      
      

       
       
       
               {
      
      
      
      

      
      
      
      

       
       
       
                   id_payload_t *id_payload;
      
      
      
      

      
      
      
      

       
       
       
                   identification_t *id;
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
                   id_payload = (id_payload_t*)message->get_payload(message, PLV1_ID);
      
      
      
      

      
      
      
      

       
       
       
                   if (!id_payload)
      
      
      
      

      
      
      
      

       
       
       
                   {
      
      
      
      

      
      
      
      

       
       
       
                       DBG1(DBG_IKE, "IDii payload missing");
      
      
      
      

      
      
      
      

       
       
       
                       return send_notify(this, INVALID_PAYLOAD_TYPE);
      
      
      
      

      
      
      
      

       
       
       
                   }
      
      
      
      

      
      
      
      

       
       
       
                   id = id_payload->get_identification(id_payload);
      
      
      
      

      
      
      
      

       
       
       
                   this->ike_sa->set_other_id(this->ike_sa, id);
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
                   while (TRUE)
      
      
      
      

      
      
      
      

       
       
       
                   {
      
      
      
      

      
      
      
      

       
       
       
                       DESTROY_IF(this->peer_cfg);
      
      
      
      

      
      
      
      

       
       
       
                       this->peer_cfg = this->ph1->select_config(this->ph1,
      
      
      
      

      
      
      
      

       
       
       
                                                           this->method, FALSE, id);
      
      
      
      

      
      
      
      

       
       
       
                       if (!this->peer_cfg)
      
      
      
      

      
      
      
      

       
       
       
                       {
      
      
      
      

      
      
      
      

       
       
       
                           return send_notify(this, AUTHENTICATION_FAILED);
      
      
      
      

      
      
      
      

       
       
       
                       }
      
      
      
      

      
      
      
      

       
       
       
                       this->ike_sa->set_peer_cfg(this->ike_sa, this->peer_cfg);
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
                       if (this->ph1->verify_auth(this->ph1, this->method, message,
      
      
      
      

      
      
      
      

       
       
       
                                                  id_payload->get_encoded(id_payload)))
      
      
      
      

      
      
      
      

       
       
       
                       {
      
      
      
      

      
      
      
      

       
       
       
                           break;
      
      
      
      

      
      
      
      

       
       
       
                       }
      
      
      
      

      
      
      
      

       
       
       
                   }
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
                   if (!charon->bus->authorize(charon->bus, FALSE))
      
      
      
      

      
      
      
      

       
       
       
                   {
      
      
      
      

      
      
      
      

       
       
       
                       DBG1(DBG_IKE, "Main Mode authorization hook forbids IKE_SA, "
      
      
      
      

      
      
      
      

       
       
       
                            "cancelling");
      
      
      
      

      
      
      
      

       
       
       
                       return send_notify(this, AUTHENTICATION_FAILED);
      
      
      
      

      
      
      
      

       
       
       
                   }
      
      
      
      

      
      
      
      

       
       
       
        
      
      
      
      

      
      
      
      

       
       
       
                   this->state = MM_AUTH;
      
      
      
      

      
      
      
      

       
       
       
                   if (has_notify_errors(this, message))
      
      
      
      

      
      
      
      

       
       
       
                   {
      
      
      
      

      
      
      
      

       
       
       
                       return FAILED;
      
      
      
      

      
      
      
      

       
       
       
                   }
      
      
      
      

      
      
      
      

       
       
       
                   return NEED_MORE;
      
      
      
      

      
      
      
      

       
       
       
               }
下面的逻辑就是要认证对方发送的SIG载荷。在pubkey_v1_authenticator.c:process中,
需要先获取证书的pubkey,注意,调用如下: 
     
     
     
     

      
      
      
      

       
       
       
           sig = sig_payload->get_hash(sig_payload);
      
      
      
      

      
      
      
      

       
       
       
           auth = this->ike_sa->get_auth_cfg(this->ike_sa, FALSE);
      
      
      
      

      
      
      
      

       
       
       
           enumerator = lib->credmgr->create_public_enumerator(lib->credmgr, this->type,
      
      
      
      

      
      
      
      

       
       
       
                                                               id, auth);
      
      
      
      

      
      
      
      

       
       
       
           while (enumerator->enumerate(enumerator, &public, &current_auth))
      
      
      
      

      
      
      
      

       
       
       
           {
      
      
      
      

      
      
      
      

       
       
       
               if (public->verify(public, scheme, hash, sig))
      
      
      
      

      
      
      
      

       
       
       
               {
      
      
      
      

      
      
      
      

       
       
       
                   DBG1(DBG_IKE, "authentication of '%Y' with %N successful",
      
      
      
      

      
      
      
      

       
       
       
                        id, key_type_names, this->type);
      
      
      
      

      
      
      
      

       
       
       
                   status = SUCCESS;
      
      
      
      

      
      
      
      

       
       
       
                   auth->merge(auth, current_auth, FALSE);
      
      
      
      

      
      
      
      

       
       
       
                   auth->add(auth, AUTH_RULE_AUTH_CLASS, AUTH_CLASS_PUBKEY);
      
      
      
      

      
      
      
      

       
       
       
                   break;
      
      
      
      

      
      
      
      

       
       
       
               }
      
      
      
      

      
      
      
      

       
       
       
               else
      
      
      
      

      
      
      
      

       
       
       
               {
      
      
      
      

      
      
      
      

       
       
       
                   DBG1(DBG_IKE, "signature validation failed, looking for another key");
      
      
      
      

      
      
      
      

       
       
       
                   status = FAILED;
      
      
      
      

      
      
      
      

       
       
       
               }
      
      
      
      

      
      
      
      

       
       
       
           }
      
      
      
      

      
      
      
      

       
       
       
           enumerator->destroy(enumerator);
这里需要注意的是credential_manager.c的create_public_enumerator函数,这里创建的enumerator是比较怪的。
说一下逻辑:
先调用public_enumerate 
                ---> trusted_enumerate 
                        第一次,this->candidates为空,创建一个candidates,这个实际是一个enumerator,遍历当前
credential_manager里的sets里的cert。然后找已经信任的证书中是否有这个证书,第一次,自然没有。
this->pretrusted为空。然后遍历candidates。下面分析一下这个candidates的enumerator
从最外层看,candidates是一个nested的enumerator,即它有两层遍历,先遍历外层,再遍历内层。
那么他的外层是什么呢?外层通过create_sets_enumerator来创建。是一个sets的遍历器,看他的遍历函数为
sets_enumerate,这里面又遍历,先遍历exclusive,然后遍历global,再遍历local。在当前的调用中,他的
实际工作就是,先遍历credential_manager下的sets,取出每一个set。
内层的遍历器是通过create_cert构造的,它调用的set的构造器创建,这个enumerator实际最终调用了各个set的
构造器,比如credential_manager.c的sets各自的构造器,又或者auth_wrapper的构造器
如果内部遍历成功了,那么取出对应的数据
给上层调用者,如果不成功,再遍历之前的auth_wrapper构造的local_set,再进行遍历。实际遍历过程中,真正
匹配到的数据在local_set中。
在这个时候,最终从auth_cfg(即ike_sa->other_auth)中获取到了对方的证书。然后开始调用verify_trust_chain
去验证一下这个证书是否可信。
先找到证书的颁发者,由于我们的不是证书链,因此直接找到上级CA,注意,这里在找颁发者时,会保存对应关系到
cert_cach中。然后调用check_certificate来检查证书 是否是有效的,先检查证书和签发者两者的签发日期。
这里调用了validators,此时只有两个,一个是 constraints_validator_t,另一个是 revocation_validator_t,
两个都没有check_lifetime的回调,因此继续往下。 然后又继续使用validator验证,使用的先是revocation_validator,
validate:先oscp又crl,都无法验证,返回true。
然后constraint,这个不太懂,需要再找一下,似乎是证书的一些限制。后面就是用pubkey去verify SIG。
然后在ike_sa->other_auth里填了一堆东西:
$63 = {type = AUTH_RULE_AUTH_CLASS, value = 0x1}
$52 = {type = AUTH_HELPER_SUBJECT_CERT, value = 0x7f2d40016f10}
$53 = {type = AUTH_RULE_RSA_STRENGTH, value = 0x800}
$54 = {type = AUTH_RULE_RSA_STRENGTH, value = 0x800}
$55 = {type = AUTH_RULE_SUBJECT_CERT, value = 0x7f2d40016f10}
$56 = {type = AUTH_RULE_CA_CERT, value = 0x19d5340}
$57 = {type = AUTH_RULE_SIGNATURE_SCHEME, value = 0x5}
$58 = {type = AUTH_RULE_OCSP_VALIDATION, value = 0x1}
$59 = {type = AUTH_RULE_CRL_VALIDATION, value = 0x3}
出去check_constraints,这里又向other_auth里插入了一个, type = AUTH_RULE_IDENTITY, value = 0x7f2d4000bae0
后面拿配置的对方的auth和生成的ike_sa->other_auth进行比较。配置的里面两个条目AUTH_RULE_AUTH_CLASS 0x1,
AUTH_RULE_AUTH_IDENTITY,value是对方的id,两个匹配都是一样的,认为通过,然后save_auth_cfg。
然后把ike_sa->other_auth里的所有东西merge到一个新的auth里,放在了ike_sa->other_auths里。

后面开始构造第六条报文,需要创建SIG和CERT载荷
和发送方一样,不再描述。
发起方收到第六条报文后,验证SIG,也是类似。

















你可能感兴趣的:(strongswan)

  • Python搭建自己的VPN 用数据说话用数据决策 pythonphp网络
    在这个信息爆炸的数字化时代,我们的网络隐私和安全正面临着前所未有的挑战。虚拟专用网络(VPN)作为一种有效的解决方案,通过加密通信和隧道技术,为用户在公共网络上提供安全的连接。本文将带您深入了解VPN的工作机制,并展示如何使用Python和strongSwan库构建一个高级VPN连接,以实现更高级别的安全性和灵活性。VPN工作机制深度解析加密通信协议:数据的保护神VPN的首要任务是确保数据的机密性
  • 手把手教你用Python部署自己的VPN_python strongswan 2401_84970250 程序员pythonjava网络
    }#构建VPN连接命令_command=["sudo","strongswan","up",_config["username"],"--server",_config["server_ip"],"--username",_config["username"],"--password",_config["password"]]#启动VPN连接subprocess.run(_command)defs
  • Python搭建自己的VPN stormsha Python基础python网络php
    在这个信息爆炸的数字化时代,我们的网络隐私和安全正面临着前所未有的挑战。虚拟专用网络(VPN)作为一种有效的解决方案,通过加密通信和隧道技术,为用户在公共网络上提供安全的连接。本文将带您深入了解VPN的工作机制,并展示如何使用Python和strongSwan库构建一个高级VPN连接,以实现更高级别的安全性和灵活性。VPN工作机制深度解析加密通信协议:数据的保护神VPN的首要任务是确保数据的机密性
  • strongswan开源客户端项目排错运行 ?。。! 开源java网络android
    1、引言开源项目不少人都听说过,并且对于许多人来说开源项目似乎代表着某种高大上的深奥东西,但其实开源项目没有想象中这么难,只要仔细琢磨,理清楚逻辑,那么开源项目其实也和你平常写的项目差不多,无非就是耦合度更高一些罢了。在开源项目中其实改写不是最难的一块,如何让项目正确运行起来才是关键,这里就以strongswan开源客户端为例,带大家一起把这个项目运行起来。2、项目简单介绍strongswan是基
  • Debian11下搭建strongswan和frps Tumi_Wang
    背景使用vultr.com提供的vps(收费)创建debian11,并搭建strongswan和frps。strongswan搭建ikev2,需要证书。证书使用letsencrypt和nginx。我是顺便使用ngix。frp为网络穿透软件。分客户端frpc和服务端frps。下面假如一些资源:email:[email protected]域名:vpn.test.site本地网卡设备:enp1s0vpn网络
  • strongswan相关命令 pocher 服务器linux网络
    重启命令:[root@WWWstrongswan]#strongswanrestartStoppingstrongSwanIPsec...StartingweakSwan5.7.2IPsec[starter]...查看状态命令[root@WWWstrongswan]#systemctlstatusstrongswan●strongswan.service-strongSwanIPsecIKEv1/
  • strongswan的ipsec.conf 配置解析 pocher ipsec.confstrongswan
    configsetupuniqueids=noconn%defaultkeyexchange=ikev1ike=aes256-sha1-modp1024!esp=aes256-sha1!auto=addcloseaction=cleardpddelay=60sdpdtimeout=120sinactivity=30mikelifetime=28800skeyingtries=3lifetime=1
  • IPsec:strongswan与vpp实现ipsec 技术探索者 网络安全系列ipsecstrongswanvpp
    1、strongswan+vpp简介strongswan与vpp如何结合本次实验使用的是VPP20.01版本+strongswan5.9.6版本。目前strongSwan+vpp的方案主要是使用strongswan的插件机制,替换strongswan的两个默认插件1、socket-default该插件是IKE报文的socketbackend。2、kernel-netlink该插件是IPSEC数通b
  • openwrt strongswan IPSec IKEV2 _阿疯_ ipsecikeopenwrtlinux经验分享
    目录前言一、理论知识储备1.什么是VPN(VirtualPrivateNetwork)?2.什么是IPsec3.ike是什么ikev2是什么?4.什么是strongswan?二、前期准备及证书生成1.前期准备(不同项目环境略有出入)2.安装strongswan5.6.3、openssl(生成证书)2.1生成一个私钥2.2基于私钥签名一个CA证书2.3生成服务器私钥2.4从服务器私钥中提取公钥2.5
  • strongswan:configure: error: OpenSSL Crypto library not found 技术探索者 网络安全系列linuxstrongswanipsec
    引子在配置strongswan时,有时会遇到以下错误(其实所有需要openssl的软件configure时都有可能遇到该问题):configure:error:OpenSSLCryptolibrarynotfound解决方法crypto是什么呢?是OpenSSL加密库(lib),这个库需要openssl-devel包,在ubuntu中就是libssl-dev。Centos平台yum-yinstal
  • Strongswan IPSec work on Fedora 37 mounter625 excel
    1>PublicIP:1.1.1.82PrivateIP:10.10.1.1/24PrivateSubnet:10.10.1.0/242>vim/etc/sysctl.conf"net.ipv4.ip_forward=1net.ipv6.conf.all.forwarding=1net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.all.send_r
  • strongswan与vpp实现ipsec 冰封飞飞
    [TOC]1、strongswan+vpp简介strongswan与vpp如何结合我们使用的是VPP20.01版本+strongswan5.8.3版本编译。目前strongSwan+vpp的方案主要是使用strongswan的插件机制,替换strongswan的两个默认插件1、socket-default该插件是IKE报文的socketbackend。2、kernel-netlink该插件是IPS
  • Ubuntu20.04 搭建L2TP+IPsec客户端 永不复还 VPN网络vpn
    1安装安装和strongswan。sudoaptinstallxdsudoaptinstallstrongswan2ipsec配置1)编辑**/etc/ipsec.conf**connmyauto=addauthby=secrettype=transportleft=%defaultrouteleftprotoport=17/1701rightprotoport=17/1701#服务器公网地址ri
  • Ubuntu20.04 搭建L2TP+IPsec环境 永不复还 VPN网络vpn
    1安装安装和strongswan。sudoaptinstallxdsudoaptinstallstrongswan2ipsec配置1)编辑**/etc/ipsec.conf**connL2TP-IPSECauthby=secretauto=addkeyingtries=3ikelifetime=8hkeylife=1hkeyexchange=ikev2ike=chacha20poly1305-sh
  • 使用wireshark解密ipsec ISAKMP包 shaohui973 wireshark测试工具网络
    Ipsec首先要通过ikev2协议来协商自己后续协商所用的加解密key以及用户数据的esp包用的加解密包。ISAKMP就是加密过的ike-v2的加密包,有时候我们需要解密这个包来查看协商数据。如何来解密这样的包?首先导出strongswan协商生成的各种key.要能导出这些key,需要配置下strongswan:导出ISAKMP的key#cat/var/tmp/ikev2_decryption_t
  • Centos 7.6 Strongswan的搭建及使用 柏拉图的梦 linuxlinux运维服务器centos
    一、服务器准备这个不用我说了吧,我在阿里云购买的香港的服务器。二、软件安装以及证书生成1、安装必要的软件(如果你也是在阿里购买的yum源不用配置)yum-yinstallgpm-develpam-developenssl-develmakegccepel-releasestrongswan设置别名aliasipsec='strongswan'进入软件目录cd/etc/strongswan2、生成证
  • 看了一次strongswan ipsec的设置. 塞子 linux_ipsec迷糊地linux
    看了一次strongswanipsec的设置.这次的设置要求是:Linux中strongwans与hillstone防火墙stoneOS建立ipsec连接.network-network进行通信.要求Linux可以同时与多台防火墙进行通信.一网络结构如下:linux地址192.168.100.252内网段为10.0.1.0/24防火墙1地址192.168.100.253网网段为10.0.2.0/2
  • Linux网络协议栈9--ipsec收发包流程 bigsheng2 linux网络协议网络
    IPSec协议帮助IP层建立安全可信的数据包传输通道。当前已经如strongswan、openswan等比较成熟稳定的开源项目做协议层的控制。但他们最终都是使用的内核的XFRM框架做报文的封装发送和接收解封,只不过内核的转发表项数据是由他们生成的。XFRM,是transfrom的简写。######IPSec收包解封流程流程路径:ip_rcv()-->ip_rcv_finish()-->ip_loc
  • strongswan介绍 wq897387 IPsec网络安全网络协议
    文章目录保障网络安全IKE和IPsec基础认证基础知识配置文件基础使用和维护日志和监测PKI路由strongswan介绍文档翻译,原文链接保障网络安全strongswan是一套完整的IPsec实现方案来提供服务端和客户端之间的加密和认证。它能用来保证远端网络通信之间的安全,这样远端连接就跟本地连接一样。图中名词解释网关:网关通常是你的防火墙,但它也可能是你网络中的主机。网关通常用来为一个小型网络提
  • strongswan交叉编译 网创学长 strongswan
    强力安全网关(StrongSwan)是一个开源的IPsecVPN解决方案,用于建立和管理虚拟专用网络(VPN)连接。在一些嵌入式设备或特定平台上,可能需要对StrongSwan进行交叉编译以适配目标系统的架构和环境。本文将介绍StrongSwan的交叉编译过程,并提供一些实用的技巧。交叉编译StrongSwan对于在特定环境中部署VPN解决方案非常有用。通过上述步骤,您可以轻松地将StrongSw
  • IPSec:received netlink error: Operation not supported (95) 技术探索者 网络安全系列ipsecnetlinkerror
    背景OS:ubuntu21.04在strongswan5.9.6服务启动的时候,遇到如下问题在strongswan5.9.6服务停止的时候,遇到同样问题分析google查阅了广大网友的解决方法以及strongswan官网,得知原因是内核需要使能支持IPSec的一些功能strongswan官网解决方法重新配置内核,使能内核以下功能:问题得以完美解决。
  • IPSec:unable to add SAD entry with SPI c27dfe6f: Function not implemented (38) 技术探索者 网络安全系列strongswanipseclinux
    背景在使用strongswan5.9.6配置ipsec时,在发起端有时会看到以下错误提示,导致无法建立通道“unabletoaddSADentrywithSPIc27dfe6f:Functionnotimplemented(38)”分析原因google了很多网友遇到同样的问题,大家给出的比较统一的结论是:内核缺少相关module导致。网友一:网友二:然后对照我自己的报错,仔细查看服务器上加载的mo
  • ipsec,如何使strongswan支持net namespace 苏苏林
    strongswan进程启动后只运行在一个namespace(网路ns)中,后面ike协商出来的所有sa都只存在于一个namespace,对于一个多用户的系统,不同用户的网络可能有重叠,使用namespace做用户隔离是常用手段,对于ipsec,如果使用strongswan做ike协商就有如果使其支持namespace的问题。开始通过修改strongswan的源码使其支持namespace,原理也
  • 基于亚马逊Ubuntu服务器搭建IPSec/IKEV2协议VPN 马甲鸡
    服务端篇(一)、安装以及编译StrongSwan1、sudowgethttps://download.strongswan.org/strongswan-5.8.4.tar.gz2、sudoyuminstall-ygmp-develxl2tpdmodule-init-toolsgccopenssl-devel3、sudotar-zxvfstrongswan-5.8.4.tar.gz4、cdstro
  • 为2个linux 的通过IKE 协议连接(strongswan) 运维centos
    本文仅用于学习网络使用,科学上网,爱国爱党。环境centos7strognswan5.7证书id假设1.2.3.4,可另外自定义。与文中的设置有关,务必注意服务端安装配置安装strongswan方便起见,yum安装即可。yuminstallepel-releaseyuminstallopenssl-develyuminstallstrongswan//注意:服务器端不能安装strongswan-l
  • strongswan 搭建 IPSec 实验环境 YuBooy IPSec协议簇学习笔记ipsec
    使用两个CentOS7虚拟机,基于strongswan搭建IPSecVPN实验环境,通过是否配置加密算法,达到产生正常和非正常ESP数据包的目的。本篇为自己填坑记录。目录1、准备两个CentOS7虚拟机2、安装strongswan3、修改配置文件4、配置NAT5、scp模拟大流量场景6、修改配置文件去掉加密算法1、准备两个CentOS7虚拟机使其能相互ping通(192.168.220.139pi
  • Linux配置strongSwan Danileaf_Guo 网络技术云计算linux服务器网络
    strongSwan是一个开源的基于IPsec的VPN解决方案,最近要用到strongSwan来对接其他系统的IPsec,不能贸然行动,先在Linux环境下测试一下相同环境下如何配置。通过上次的配置,我们现在已经有配置strongSwan的环境了,就是两台开启了IP转发功能的Linux主机。安装strongSwanstrongSwan的安装还是很简单的,可以直接从yum仓库安装。yuminstal
  • strongswan之ipsec.conf配置手册 Danileaf_Guo 网络技术大数据
    ipsec.conf是strongSwan的关键配置,文件指定了strongSwanIPsec子系统的大部分配置和控制信息。主要的例外是身份验证的密钥,配置保存在ipsec.secrets文件中。该文件是一个文本文件,由一个或多个部分组成。#后面跟空格,再后面任何到行尾的任何内容都是注释并被忽略,不在一个部分内的空行也是如此。包含include和文件名的行,以空格分隔,将替换为该文件的内容。如果文
  • strongSwan之ipsec.secrets配置手册 Danileaf_Guo 网络技术大数据网络
    strongSwan是一个开源的基于IPsec的VPN解决方案,ipsec.secrets是strongSwan的关键配置,文件保存了strongSwanIPsec子系统用于IKE身份验证的密钥表信息。这些密钥被strongSwan互联网密钥交换(InternetKeyExchange,IKE)守护程序pluto(IKEv1)和charon(IKEv2)用于验证其他主机。这些密钥必须被妥善保管,该
  • 我实践:wireguard多场景安装配置指导.md zhf_sy
    [toc]介绍wireguard与openVPN、strongswanVPN、ipsecVPN的优劣请自行百度,总的一句wireguard很好用,配置简单,短小精悍,Linus很喜欢,多平台支持,你值得拥有。唯一不好的是可能容易被墙。本文主要介绍在几种场景下的配置方法。安装参考:https://www.wireguard.com/install/https://www.wireguard.com/
  • 如何用ruby来写hadoop的mapreduce并生成jar包 wudixiaotie mapreduce
    ruby来写hadoop的mapreduce,我用的方法是rubydoop。怎么配置环境呢: 1.安装rvm:     不说了 网上有 2.安装ruby:     由于我以前是做ruby的,所以习惯性的先安装了ruby,起码调试起来比jruby快多了。 3.安装jruby:     rvm install jruby然后等待安
  • java编程思想 -- 访问控制权限 百合不是茶 java访问控制权限单例模式
    访问权限是java中一个比较中要的知识点,它规定者什么方法可以访问,什么不可以访问   一:包访问权限;   自定义包: package com.wj.control; //包 public class Demo { //定义一个无参的方法 public void DemoPackage(){ System.out.println("调用
  • [生物与医学]请审慎食用小龙虾 comsci 生物
         现在的餐馆里面出售的小龙虾,有一些是在野外捕捉的,这些小龙虾身体里面可能带有某些病毒和细菌,人食用以后可能会导致一些疾病,严重的甚至会死亡.....      所以,参加聚餐的时候,最好不要点小龙虾...就吃养殖的猪肉,牛肉,羊肉和鱼,等动物蛋白质     
  • org.apache.jasper.JasperException: Unable to compile class for JSP: 商人shang maven2.2jdk1.8
    环境: jdk1.8    maven  tomcat7-maven-plugin  2.0 原因: tomcat7-maven-plugin  2.0 不知吃 jdk 1.8,换成 tomcat7-maven-plugin  2.2就行,即     <plugin>
  • 你的垃圾你处理掉了吗?GC oloz GC
    前序:本人菜鸟,此文研究学习来自网络,各位牛牛多指教  1.垃圾收集算法的核心思想   Java语言建立了垃圾收集机制,用以跟踪正在使用的对象和发现并回收不再使用(引用)的对象。该机制可以有效防范动态内存分配中可能发生的两个危险:因内存垃圾过多而引发的内存耗尽,以及不恰当的内存释放所造成的内存非法引用。   垃圾收集算法的核心思想是:对虚拟机可用内存空间,即堆空间中的对象进行识别
  • shiro 和 SESSSION 杨白白 shiro
    shiro 在web项目里默认使用的是web容器提供的session,也就是说shiro使用的session是web容器产生的,并不是自己产生的,在用于非web环境时可用其他来源代替。在web工程启动的时候它就和容器绑定在了一起,这是通过web.xml里面的shiroFilter实现的。通过session.getSession()方法会在浏览器cokkice产生JESSIONID,当关闭浏览器,此
  • 移动互联网终端 淘宝客如何实现盈利 小桔子 移動客戶端淘客淘寶App
           2012年淘宝联盟平台为站长和淘宝客带来的分成收入突破30亿元,同比增长100%。而来自移动端的分成达1亿元,其中美丽说、蘑菇街、果库、口袋购物等App运营商分成近5000万元。 可以看出,虽然目前阶段PC端对于淘客而言仍旧是盈利的大头,但移动端已经呈现出爆发之势。而且这个势头将随着智能终端(手机,平板)的加速普及而更加迅猛
  • wordpress小工具制作 aichenglong wordpress小工具
    wordpress 使用侧边栏的小工具,很方便调整页面结构 小工具的制作过程 1 在自己的主题文件中新建一个文件夹(如widget),在文件夹中创建一个php(AWP_posts-category.php) 小工具是一个类,想侧边栏一样,还得使用代码注册,他才可以再后台使用,基本的代码一层不变 <?php class AWP_Post_Category extends WP_Wi
  • JS微信分享 AILIKES js
    // 所有功能必须包含在 WeixinApi.ready 中进行    WeixinApi.ready(function(Api) {        // 微信分享的数据            var wxData = {       &nb
  • 封装探讨 百合不是茶 JAVA面向对象 封装
    //封装   属性 方法 将某些东西包装在一起,通过创建对象或使用静态的方法来调用,称为封装;封装其实就是有选择性地公开或隐藏某些信息,它解决了数据的安全性问题,增加代码的可读性和可维护性   在 Aname类中申明三个属性,将其封装在一个类中:通过对象来调用   例如   1: //属性 将其设为私有 姓名 name 可以公开
  • jquery radio/checkbox change事件不能触发的问题 bijian1013 JavaScriptjquery
    我想让radio来控制当前我选择的是机动车还是特种车,如下所示:  <html> <head> <script src="http://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js" type="text/javascript"><
  • AngularJS中安全性措施 bijian1013 JavaScriptAngularJS安全性XSRFJSON漏洞
            在使用web应用中,安全性是应该首要考虑的一个问题。AngularJS提供了一些辅助机制,用来防护来自两个常见攻击方向的网络攻击。 一.JSON漏洞         当使用一个GET请求获取JSON数组信息的时候(尤其是当这一信息非常敏感,
  • [Maven学习笔记九]Maven发布web项目 bit1129 maven
    基于Maven的web项目的标准项目结构 user-project     user-core     user-service     user-web        src      
  • 【Hive七】Hive用户自定义聚合函数(UDAF) bit1129 hive
    用户自定义聚合函数,用户提供的多个入参通过聚合计算(求和、求最大值、求最小值)得到一个聚合计算结果的函数。 问题:UDF也可以提供输入多个参数然后输出一个结果的运算,比如加法运算add(3,5),add这个UDF需要实现UDF的evaluate方法,那么UDF和UDAF的实质分别究竟是什么?   Double evaluate(Double a, Double b)  
  • 通过 nginx-lua 给 Nginx 增加 OAuth 支持 ronin47
    前言:我们使用Nginx的Lua中间件建立了OAuth2认证和授权层。如果你也有此打算,阅读下面的文档,实现自动化并获得收益。SeatGeek 在过去几年中取得了发展,我们已经积累了不少针对各种任务的不同管理接口。我们通常为新的展示需求创建新模块,比如我们自己的博客、图表等。我们还定期开发内部工具来处理诸如部署、可视化操作及事件处理等事务。在处理这些事务中,我们使用了几个不同的接口来认证: &n
  • 利用tomcat-redis-session-manager做session同步时自定义类对象属性保存不上的解决方法 bsr1983 session
    在利用tomcat-redis-session-manager做session同步时,遇到了在session保存一个自定义对象时,修改该对象中的某个属性,session未进行序列化,属性没有被存储到redis中。 在 tomcat-redis-session-manager的github上有如下说明: Session Change Tracking As noted in the &qu
  • 《代码大全》表驱动法-Table Driven Approach-1 bylijinnan java算法
    关于Table Driven Approach的一篇非常好的文章: http://www.codeproject.com/Articles/42732/Table-driven-Approach package com.ljn.base; import java.util.Random; public class TableDriven { public
  • Sybase封锁原理 chicony Sybase
           昨天在操作Sybase IQ12.7时意外操作造成了数据库表锁定,不能删除被锁定表数据也不能往其中写入数据。由于着急往该表抽入数据,因此立马着手解决该表的解锁问题。     无奈此前没有接触过Sybase IQ12.7这套数据库产品,加之当时已属于下班时间无法求助于支持人员支持,因此只有借助搜索引擎强大的
  • java异常处理机制 CrazyMizzz java
    java异常关键字有以下几个,分别为 try catch final throw throws 他们的定义分别为 try:    Opening exception-handling statement. catch:  Captures the exception. finally: Runs its code before terminating
  • hive 数据插入DML语法汇总 daizj hiveDML数据插入
    Hive的数据插入DML语法汇总1、Loading files into tables语法:1) LOAD DATA [LOCAL] INPATH 'filepath' [OVERWRITE] INTO TABLE tablename [PARTITION (partcol1=val1, partcol2=val2 ...)]解释:1)、上面命令执行环境为hive客户端环境下: hive>l
  • 工厂设计模式 dcj3sjt126com 设计模式
      使用设计模式是促进最佳实践和良好设计的好办法。设计模式可以提供针对常见的编程问题的灵活的解决方案。 工厂模式 工厂模式(Factory)允许你在代码执行时实例化对象。它之所以被称为工厂模式是因为它负责“生产”对象。工厂方法的参数是你要生成的对象对应的类名称。 Example #1 调用工厂方法(带参数) <?phpclass Example{ 
  • mysql字符串查找函数 dcj3sjt126com mysql
      FIND_IN_SET(str,strlist) 假如字符串str 在由N 子链组成的字符串列表strlist 中,则返回值的范围在1到 N 之间。一个字符串列表就是一个由一些被‘,’符号分开的自链组成的字符串。如果第一个参数是一个常数字符串,而第二个是type SET列,则   FIND_IN_SET() 函数被优化,使用比特计算。如果str不在strlist 或st
  • jvm内存管理 easterfly jvm
    一、JVM堆内存的划分 分为年轻代和年老代。年轻代又分为三部分:一个eden,两个survivor。 工作过程是这样的:e区空间满了后,执行minor gc,存活下来的对象放入s0, 对s0仍会进行minor gc,存活下来的的对象放入s1中,对s1同样执行minor gc,依旧存活的对象就放入年老代中; 年老代满了之后会执行major gc,这个是stop the word模式,执行
  • CentOS-6.3安装配置JDK-8 gengzg centos
    JAVA_HOME=/usr/java/jdk1.8.0_45 JRE_HOME=/usr/java/jdk1.8.0_45/jre PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib export JAVA_HOME
  • 【转】关于web路径的获取方法 huangyc1210 Web路径
    假定你的web application 名称为news,你在浏览器中输入请求路径:  http://localhost:8080/news/main/list.jsp  则执行下面向行代码后打印出如下结果:  1、 System.out.println(request.getContextPath()); //可返回站点的根路径。也就是项
  • php里获取第一个中文首字母并排序 远去的渡口 数据结构PHP
    很久没来更新博客了,还是觉得工作需要多总结的好。今天来更新一个自己认为比较有成就的问题吧。 最近在做储值结算,需求里结算首页需要按门店的首字母A-Z排序。我的数据结构原本是这样的: Array ( [0] => Array ( [sid] => 2885842 [recetcstoredpay] =&g
  • java内部类 hm4123660 java内部类匿名内部类成员内部类方法内部类
          在Java中,可以将一个类定义在另一个类里面或者一个方法里面,这样的类称为内部类。内部类仍然是一个独立的类,在编译之后内部类会被编译成独立的.class文件,但是前面冠以外部类的类名和$符号。内部类可以间接解决多继承问题,可以使用内部类继承一个类,外部类继承一个类,实现多继承。      &nb
  • Caused by: java.lang.IncompatibleClassChangeError: class org.hibernate.cfg.Exten zhb8015
    maven pom.xml关于hibernate的配置和异常信息如下,查了好多资料,问题还是没有解决。只知道是包冲突,就是不知道是哪个包....遇到这个问题的分享下是怎么解决的。。   maven pom:   <dependency> <groupId>org.hibernate</groupId> <ar
  • Spark 性能相关参数配置详解-任务调度篇 Stark_Summer sparkcachecpu任务调度yarn
    随着Spark的逐渐成熟完善, 越来越多的可配置参数被添加到Spark中来, 本文试图通过阐述这其中部分参数的工作原理和配置思路, 和大家一起探讨一下如何根据实际场合对Spark进行配置优化。   由于篇幅较长,所以在这里分篇组织,如果要看最新完整的网页版内容,可以戳这里:http://spark-config.readthedocs.org/,主要是便
  • css3滤镜 wangkeheng htmlcss
    经常看到一些网站的底部有一些灰色的图标,鼠标移入的时候会变亮,开始以为是js操作src或者bg呢,搜索了一下,发现了一个更好的方法:通过css3的滤镜方法。 html代码: <a href='' class='icon'><img src='utv.jpg' /></a> css代码: .icon{-webkit-filter: graysc
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他