09 2018 档案
摘要:2.8 密钥更新(rekeying) IKE、ESP和AH安全联盟(SA)使用的共享密钥应该只在有限的时间里保护优先的数据。这限制了整个SA的生存周期。生存周期超时的SA决不能再使用。如果有需要,可以建立新的SA。重建SA以取代过期的SA被称为密钥更新(rekeying)。 可以在不重新生成IKE
阅读全文
摘要:此文的目的是汇集学习IPSec的过程中遇到的问题,会持续不断的更新。100问是虚指,随着时间的推移,问题肯定不只100个。 1. IPsec SA的硬生存周期和软生成周期 IPSec SA的生存周期分为软生存周期和硬生存周期。 硬生存周期:是IPSec SA的生命周期截止时间。 两端设备协商时,实际
阅读全文
摘要:strongswan中函数的定义使用了一个叫METHOD的宏,此宏的定义在object.h头文件中给出。 此宏包括3部分。 第一部分是对名为name的函数进行声明。即: static ret name(union {iface *_public; this;} \ __attribute__((tr
阅读全文
摘要:摘要 本文档定义了IKEv2协议的扩展,解决了部署高可用集群时“IPsec集群问题陈述”中常见的主要问题 。解决的主要问题是同步IKEv2消息ID计数器和IPsec重放计数器。 2. 术语 本文通篇使用通用术语IKEv2/IPsec SA Counters。该术语指IKEv2消息ID计数器和IPse
阅读全文
摘要:IPSec可以通过高级Acl定义需要保护的数据流,称为感兴趣流。 Acl的规则有permit和deny之分。对于IPsec的security acl而言,若匹配到permit的规则,则进行Ipsec处理,outbound对数据进行IPsec封装,inbound对IPSec加密数据进行姐封装;若不匹配
阅读全文
摘要:高可用性 从4.4.0版本开始,IKEv2守护程序使用[最初]两个节点的集群实验性地支持伪主动/主动高可用性和负载共享功能。 问题陈述 IKEv2 / IPsec协议不适合在主动/主动群集中运行。虽然可以通过群集中的高速链路共享IKE_SAs的状态,但共享内核维护的IPsec ESP SA非常困难。
阅读全文
摘要:RFC 8221废掉了RFC 7321(RFC 7321废掉了RFC 4835)。 4. 加密必须经过身份验证 没有身份验证的加密是无效的,MUST NOT使用。IPsec提供三种方式来提供加密和认证: ESP采用AEAD密码 ESP采用非AEAD密码+身份验证 ESP使用非AEAD密码+ AH进行
阅读全文
摘要:strongswan IKEv2后台进程的软件架构图 processor是任务管理器,负责对线程(threads)和作业(jobs)进行管理,其结构为private_processor_t。 worker_thread_t为工作线程的结构,包括实际的线程(thread)、当前正在执行的作业(job)
阅读全文