快速模式第三包:quick_inR1_outI2()

最新推荐文章于 2022-08-14 12:15:19 发布
最新推荐文章于 2022-08-14 12:15:19 发布
阅读量4.6k 收藏 2
点赞数 2
分类专栏: openswan源码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s2603898260/article/details/108560293
版权

快速模式第三包:quick_inR1_outI2()

在这里插入图片描述

文章目录

1. 序言

在上一篇中博客中长话短说了第二包的处理流程,前两个报文的交互是快速模式的关键交互,用来协商会话参数(加解密算法、会话秘钥等),而第三包则是对前两个报文的认证,流程上简单了很多 。quick_inR1_outI2()处理流程实现的功能如下:

  • 解析SA载荷(对端选择的加解密算法信息)、KE载荷(pfs)、Nonce载荷
  • 构造第三个报文
  • 生成密钥生成材料keymats
  • 建立完整的IPsec SA
    • 发起端建立的为完整IPSec SA,包括入SA和出SA,响应端有所不同。
  • 启动DPD检测

2. quick_inR1_outI2()的处理流程

第三个报文的完整处理流程如下:
在这里插入图片描述

3. 快速模式第③包报文格式

该报文中的杂凑载荷是对前面交换的认证。第③包仅有ISAKMP头部和杂凑载荷构成,杂凑载荷的消息摘要是以一个0字节的MsgID、去掉载荷头的发起者Nonce以及去掉了载荷头的响应者Nonce为输入参数生成的,计算公式如下:
H A S H ( 3 ) = P R F ( S K E Y − a , 0 ∣ M s g I D ∣ N i b ∣ N r b ) HASH(3) = PRF(SKEY-a, 0|MsgID|Ni_b|Nr_b) HASH(3)=PRF(SKEYa,0MsgIDNibNrb)

在这里插入图片描述

4. quick_inR1_outI2()源码分析

接口quick_inR1_outI2()的主要功能如下:

  • 验证报文的完整性
  • 解析响应端选择的SA载荷
    • 加解密算法(ESP协议、AH协议,…)
    • 认证算法
    • 封装模式(隧道模式 ?传输模式)
  • 解析Nonce载荷
  • 如果启用PFS
    • 解析KE载荷
    • 再次计算DH交换值
stf_status
quick_inR1_outI2(struct msg_digest *md)
{
   
    struct state *const st = md->st;

    /* HASH(2) in *//*验证报文的哈希载荷*/
    CHECK_QUICK_HASH(md
	, quick_mode_hash12(hash_val, hash_pbs->roof, md->message_pbs.roof
	    , st, &st->st_msgid, TRUE)
	, "HASH(2)", "Quick R1");

    /* SA in */
    {
   
	struct payload_digest *const sa_pd = md->chain[ISAKMP_NEXT_SA];

	/*解析对端选择的SA载荷*/
	RETURN_STF_FAILURE(parse_ipsec_sa_body(&sa_pd->pbs
	    , &sa_pd->payload.sa, NULL, TRUE, st));
    }

    /* Nr in *//*解析对端Nonce载荷*/
    RETURN_STF_FAILURE(accept_v1_nonce(md, &st->st_nr, "Nr"));

    /* [ KE ] in (for PFS) *//*根据配置策略解析对端KE载荷*/
    RETURN_STF_FAILURE(accept_PFS_KE(md, &st->st_gr, "Gr", "Quick Mode R1"));

    if(st->st_pfs_group) {
   /*如果支持PFS功能,则需要进行DH算法计算*/
		struct dh_continuation *dh = alloc_thing(struct dh_continuation
							 , "quick outI2 DH");

		/* set up DH calculation */
		dh->md = md;
		passert(st != NULL);
		set_suspended(st, md);
		pcrc_init(&dh->dh_pcrc);
		dh->dh_pcrc.pcrc_func = quick_inR1_outI2_continue;
		return start_dh_secret(&dh->dh_pcrc, st
				       , st->st_import
				       , INITIATOR
				       , st->st_pfs_group->group);
    } else {
   
		/* just call the tail function */
		struct dh_continuation dh;

		dh.md=md;
		return quick_inR1_outI2_cryptotail(&dh, NULL);
    }
}

4. quick_inR1_outI2_cryptotail()源码分析

接口quick_inR1_outI2_cryptotail()的主要功能如下:

  • 检验ID载荷收发是否一致

    这里是通过ID载荷来协商IPSec隧道的保护子网信息

  • NAT-T相关处理

  • 构造应答报文

  • 计算keymats值

  • 建立IPSecSA

  • 初始化本隧道的DPD定时器

stf_status
quick_inR1_outI2_cryptotail(struct dh_continuation *dh
			    , struct pluto_crypto_req *r)
最低0.47元/天 解锁文章
openswan协商流程之(三):main_inR1_outI2
遇见你是我最美丽的意外
05-21 5063
模式三包:main_inR1_outI2 1. 序言 main_inR1_outI2()函数是ISAKMP协商过程中第三包的核心处理函数的入口。这里我们主要说明main_inR1_outI2的函数调用关系、处理流程以及对源码的注释分析,关于main_inR1_outI2的上下文环境暂不叙述,留给后面的文章进行更新。 ISAKMP协商报文的处理流程都比较复杂,一个函数有几百行都是很常见的,因此个人学习期间难免有遗漏和理解错误的地方,请大家多多批评指正。 对于源码的学习,我并没有把每一行进行备注,而是将自己
快速模式第二包: quick_inI1_ouR1()
遇见你是我最美丽的意外
09-08 4833
快速模式第二包: quick_inR1_outI2() 文章目录快速模式第二包: quick_inR1_outI2()1. 序言2. quick_inR1_outI2()流程图3. 快速模式消息②数据包格式4. 源码分析4.1 quick_inI1_outR1()4.2 quick_inI1_outR1_authtail()4.3 quick_inI1_outR1_cryptocontinue1()4.4 quick_inI1_outR1_cryptotail()5. 小结 1. 序言 在介绍第②
快速模式第一包: quick_outI1()
遇见你是我最美丽的意外
08-27 5294
文章目录1. 序言2. quick_outI1()流程图3. quick_outI1()源码分析4. quick_outI1_continue()源码分析5. quick_outI1_tail()源码分析5.1 out_sa()5.2 emit_subnet_id()5.3 encrypt_message()5.4 out_modify_previous_np()6. 小结 1. 序言 openswan源码中有关隧道协商的文章已经比较久没有更新了,那么从这篇开始再重新回到更新流程上。这中间停了将近2个月,.
QUIC协议原理详解
Lce的专栏
08-14 1万+
QUIC(Quick UDP Internet Connection)是谷歌推出的一套基于UDP的传输协议,它实现了TCP + HTTPS + HTTP/2的功能,目的是保证可靠性的同时降低网络延迟。众所周知UDP比TCP传输速度快,TCP是可靠协议,但是代价是双方确认数据而衍生的一系列消耗。其次TCP是系统内核实现的,如果升级TCP协议,就得让用户升级系统,这个的门槛比较高,而QUIC在UDP基础上由客户端自由发挥,只要有服务器能对接就可以。1.1 什么是QUIC。.........
openswan中ISAKMP交互过程关键函数接口
遇见你是我最美丽的意外
05-18 5138
1. ISAKMP交互过程中关键函数接口 下面分别说明不同的阶段和模式下的函数接口以及对应的报文。 2. 第一阶段(Phase I)模式函数接口 发送端响应端main_outI1模式第一包main_inI1_outR1模式第二包main_inR1_outI2模式三包main_inI2_outR2模式第四包main_inR2_outI3主模式第五包main_inI3_outR3主模式第六包main_inR3发送端响应端 3. 第一阶段(Phase I)野蛮模式函数接口 发送端响应端aggr_ou
IPSec IKE一阶段协商失败,报文提示INVALID-ID-INFORMATION(18)
沉默的鹏先生
05-26 7220
环境拓扑: FW1 --- internet --- FW2 环境配置: 双方野蛮模式协商,配置对等体ID。 问题: FW1收到FW2发送的请求后,返回的响应报文是Informational 报文: 原因: INVALID-ID-INFORMATION(18)指对端发送的加密算法或者认证算法或者对等体ID和本端的配置不一致。 ...
Libreswan软件的密钥协商协议IKEv1模式实现分析
weixin_30414245的博客
03-15 781
Libreswan软件的密钥协商协议IKEv1模式实现分析 1 协商过程 IKEv1(互联网密钥交换协议第一版)IPsec VPN隧道协商使用的标准密钥协商协议,其协商过程如下图所示。 总共来回交互6次消息。第一、第二消息用来双方协商在本次密钥交换过程中使用的保护策略,由发起方提供议案(Proposal),响应方从众多议案中选择其中一条作为本次协商使用;第三、第四条消息交换DH...
错误解决——关于License information is invalid的问题
xubuhui的博客
05-05 8004
https://blog.csdn.net/Struugle_Guy/article/details/82183134
Ipsec Nat-Traversal
bytxl的专栏
06-26 5460
http://blog.csdn.net/jianchaolv/article/details/7903882 http://blog.csdn.net/jianchaolv/article/details/8454991
山石网科-Hillstone-IPsec V_P_N常见故障debug排错心得终结版
weixin_34410662的博客
06-04 2920
嗨,各位好。相信各位过来点开的时候会鄙视一句“这厮,又来搞山石了”,哈哈没错,这次确实又来了,不过这次带了点排错的心得过来,希望给未来在常见的配置过程当中,不知道怎么排错时候有些帮助。说句真心话,山石(hillstone)确实挺好用的,不行你可以试试!!好了,废话少说。直接上菜ipsec的拓扑图,我临时画了一个,目的希望各位能有图看到,不然各位心里冒出千万个草泥马“NO pi...
ipsec.conf(5) - Linux man page
bytxl的专栏
06-30 2185
http://linux.die.net/man/5/ipsec.conf
windows远程连接报错。
Ms.Fox的专栏
04-26 1155
远程连接报错 1、解决方案是如下,但是我在系统中找不到gpedit.msc Win10家庭版找不到组策略gpedit.msc 新建一个gpedit.bat文件,里面放入如下内容: @echo off pushd "%~dp0" dir /b %systemroot%\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-...
IKEv1报文交互简析
redwingz的博客
07-18 4752
IKEv1协议分为两个阶段。阶段1(Phase 1)用来建立IKE SA安全关联;阶段2(Phase 2)用来建立IPSec SA安全关联,前者有两种模式:主模式与野蛮模式。后者有快速模式Quick mode)完成。 阶段1(Phase 1)其中主模式下共由3组报文组成,Phase1建立的IKE SA主要用来保护阶段2的协商过程,以及保护状态信息等的报文传输。主模式(Main Mode)的第一...
pluto实现分析(19)
weixin_33768481的博客
05-14 575
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 15. 快速模式协商 IKE野蛮协商处理函数基本都在programs/pluto/ikev1_quick.c中定义, 属于IKEv1协商的第2阶...
IPSec的高可用性技术
weixin_30266885的博客
12-14 607
IPSec VPN的高可用性技术:①、DPD(Dead Peer Detection)对等体检测 ——旨在检查有问题的IPSec VPN网络,并快速的切换到备用网关②、RRI(Reverse Route Injection)反向路由注入 ——解决高可用性的路由问题 ****************DPD*****...
pluto实现分析(2)-1
weixin_34082789的博客
05-14 243
-> aggr_inI2 -> aggr_inI2_tail -> nat_traversal_natd_lookup -> nat_traversal_show_result -> nat_traversal_new_ka_event...
IPSec 专栏目录锦集(openswan)
热门推荐
遇见你是我最美丽的意外
12-23 4万+
为了方便查阅现有的文章,特准备一个目录页供后续查询使用 1. openswan任务调度基础知识之信号
将以下代码改的容易理解一些:outi proc mov ax,count ;待输出的数先存在bx里面,在给ax mov bx,10000 ;初始数位权值为10000 mov ff,0 ;每次都赋初值0 cov1: xor dx,dx ;将dx:ax中的数值除以权值 div bx mov cx,dx ;余数备份到CX寄存器中 cmp ff,0 ;检测是否曾遇到非0商值 jne nor1 ;如遇到过,则不管商是否为0都输出显示 cmp ax,0 ;如未遇到过,则检测商是否为0 je cont ;为0则不输出显示 nor1: mov dl,al ;将商转换为ascii码输出显示 add dl,30h mov ah,2 int 21h mov ff,1 ;曾遇到非0商,则将标志置1 cont: cmp bx,10 ;检测权值是否已经修改到十位了 je outer ;如果相等,则完成最后的个位数输出显示 xor dx,dx ;将数位权值除以10 mov ax,bx mov bx,10 div bx mov bx,ax mov ax,cx ;将备份的余数送入AX jmp cov1 ;继续循环 outer: mov dl,cl ;最后的个位数变为ascii码输出显示 add dl,30h mov ah,2 int 21h mov ah,2 mov dl,10 int 21h ret outi endp
最新发布
05-30
下面是修改后的代码,通过添加注释和重新命名变量来使其更易于理解: ``` outi proc mov bx, count ; 将待输出的数存储到 BX 中 mov ax, bx ; 将数值复制到 AX 中 mov cx, 10000 ; 初始数位权值为 10000 mov ff, 0 ; 每次都赋初值 0 loop1: xor dx, dx ; 将 DX:AX 中的值除以权值 div cx mov si, dx ; 将余数备份到 SI 中 cmp ff, 0 ; 检测是否曾遇到非 0 商值 jne output ; 如遇到过,则不管商是否为 0 都输出显示 cmp ax, 0 ; 如未遇到过,则检测商是否为 0 je skip_output ; 为 0 则不输出显示 output: mov dl, al ; 将商转换为 ASCII 码输出显示 add dl, 30h mov ah, 2 int 21h mov ff, 1 ; 曾遇到非 0 商,则将标志置 1 skip_output: cmp cx, 10 ; 检测权值是否已经修改到十位了 je done ; 如果相等,则完成最后的个位数输出显示 xor dx, dx ; 将数位权值除以 10 mov bx, 10 div bx mov cx, ax mov ax, si ; 将备份的余数送入 AX jmp loop1 done: mov dl, cl ; 最后的个位数变为 ASCII 码输出显示 add dl, 30h mov ah, 2 int 21h mov ah, 2 mov dl, 10 int 21h ret outi endp ``` 这个修改后的代码使用了更明确的变量名,添加了注释来解释每一行代码的作用。同时,将一些操作分解成了更小的步骤,使代码更加易于理解。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叨陪鲤

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值