RFID Fantasy

vmci error on VMware Tools install on Ubuntu 10.04 (Linux 2.6.32) / ESXi 4

2010-05-03T22:02:00.009+08:00

Reference: VMware Communities: Can't install latest VMware Server 2.0.2 on 2.6.32.8

Problem

升級 Ubuntu 10.04 LTS (內核 2.6.32) 後嘗試重新編譯 VMware Tools 卻發生如下的問題:
When OS kernel upgrade into Linux 2.6.32 (like Ubuntu 10.04 LTS), compiling VMware Tools will occur some problems like the below:

CC [M] /tmp/vmware-config1/vmci-only/vmciQueuePair.o
In file included from /tmp/vmware-config1/vmci-only/vmci_queue_pair.h:36,
from /tmp/vmware-config1/vmci-only/vmciQueuePair.c:36:
/tmp/vmware-config1/vmci-only/vm_atomic.h:996:7: warning: "_MSC_VER" is not defined
/tmp/vmware-config1/vmci-only/vm_atomic.h:1081:7: warning: "_MSC_VER" is not defined
In file included from /tmp/vmware-config1/vmci-only/vmci_queue_pair.h:36,
from /tmp/vmware-config1/vmci-only/vmciQueuePair.c:36:
/tmp/vmware-config1/vmci-only/vm_atomic.h:996:7: warning: "_MSC_VER" is not defined
/tmp/vmware-config1/vmci-only/vm_atomic.h:1081:7: warning: "_MSC_VER" is not defined
......

vmci 模組無法編譯成功，也無法載入至系統，更新失敗。
And vmci module will not be load into system.

Solution

1. cd /usr/lib/vmware-tools/modules/source
2. tar xvf vmci.tar (Extract it)
3. mv vmci.tar vmci.tar.bak (Backup)
4. cd vmci-only
5. vi pgtbl.h (Patch pgtbl.h)

--- vmci-only.old/include/pgtbl.h    2009-10-21 03:43:27.000000000 +0200
+++ vmci-only/include/pgtbl.h    2010-02-12 19:00:50.277528449 +0100
@@ -24,6 +24,7 @@
 #include "compat_pgtable.h"
 #include "compat_spinlock.h"
 #include "compat_page.h"
+#include "compat_sched.h"
 
 #if LINUX_VERSION_CODE < KERNEL_VERSION(2, 3, 11)
 # define compat_active_mm  mm

把 #include "compat_sched.h" 加在 #include "compat_page.h" 後面一行。存檔離開。
Add "#include "compat_sched.h"" after "#include "compat_page.h"" and save. Quit.

6. vi Makefile (Patch Makefile)

--- vmci-only.old/Makefile    2009-10-21 03:43:27.000000000 +0200
+++ vmci-only/Makefile    2010-02-12 17:59:21.470529639 +0100
@@ -113,7 +113,7 @@
 
 vm_check_build = $(shell if $(CC) $(KBUILD_CPPFLAGS) $(KBUILD_CFLAGS) \
     $(CPPFLAGS) $(CFLAGS) $(CFLAGS_KERNEL) \
-    $(EXTRA_CFLAGS) -Iinclude2/asm/mach-default \
+    $(EXTRA_CFLAGS) -I$(HEADER_DIR) -Iinclude2/asm/mach-default \
     -DKBUILD_BASENAME=\"$(DRIVER)\" \
     -Werror -S -o /dev/null -xc $(1) \
     > /dev/null 2>&1; then echo "$(2)"; else echo "$(3)"; fi)

找到這行
Replace this line:

$(EXTRA_CFLAGS) -Iinclude2/asm/mach-default \

取代成
With:

$(EXTRA_CFLAGS) -I$(HEADER_DIR) -Iinclude2/asm/mach-default \

一樣存檔退出。
Then save and quit.

7. cd .. (Quit this folder)
8. tar cvf vmci.tar vmci-only/ (Repack the source)
9. rm vmci-only -r (Delete the entire folder)
10. /usr/bin/vmware-config-tools.pl (Re-run config tool to recompile modules)

重新執行之後應該就可以順利編譯成功並載入至系統，檢查看看是否載入:
Alter all, check if these modules are loaded perfectly:

$ lsmod|grep "^v"
vsock                  38646  0
vmmemctl                8768  0
vmxnet                 15992  0
vga16fb                12757  1
vgastate                9857  1 vga16fb
vmci                   29828  1 vsock    <-- Here, good
vmw_pvscsi             15744  0
vmxnet3                30709  0

Sometimes can't access Guest OS from outside in ESXi

2010-03-26T23:01:00.001+08:00

很奇怪的問題，在專題期間如果發生了我們肯定氣死，不過現在換學弟妹痛苦了就是。

環境

描述情況，簡單說明一下 ESXi 伺服器的狀況:

ESXi Server [192.168.0.2]
├ Ubuntu Server [192.168.0.3]
└ Windows XP Pro [192.168.0.4]

ESXi 伺服器運作兩台虛擬機器，且兩台虛擬機器都直接設定靜態IP位置 (Static IP)，原本是 140 開頭的為了保護我就先以 192 代替。

原本在只有 ESXi 和 Ubuntu 的時候相安無事，一切都很順。最近新灌了一個 XP，要給學弟妹用，架設完成給定 MAC Address 和對應的 IP Address，從外面連接也能瀏覽架設的網頁伺服器。

問題

但運作幾天後，從外面分別連 Ubuntu Server 和 Windows XP Pro 都出現逾時錯誤 (Connection Timeout)，更扯的是 ESXi 甚至連不上管理了，感覺好像整個網路被鎖了一樣。但可能等個一段時間，又突然正常。正常的機器也不一定，可能是 Windows、Ubuntu、ESXi 其中一台，也可能一次多台。

後來有機會能夠透過同網域的電腦來連線 (即 192.168.0.1/24 網域) 發現這些伺服器都能正常連線！可是從外面連不進去，將 ESXi 更新到最新版本仍舊有此問題，因為以往都能正常連線排除網路線路問題，開始懷疑可能是網卡驅動的問題。

進一步發現，出問題的 Guest OS 一開始會無法對外瀏覽，查詢 DNS 階段就發生錯誤，但是只要進行網路操作 (Windows 是選修復網路；Ubuntu 是 ping 外面的機器)，奇妙的是連線又恢復正常了。

PING XXX.XXX.XXX.XXX (---------) 56(84) bytes of data.
64 bytes from XXX.XXX.XXX.XXX: icmp_seq=1, ttl=224, time=600.59ms
64 bytes from XXX.XXX.XXX.XXX: icmp_seq=2, ttl=224, time=5.59ms
64 bytes from XXX.XXX.XXX.XXX: icmp_seq=3, ttl=224, time=4.82ms
64 bytes from XXX.XXX.XXX.XXX: icmp_seq=4, ttl=224, time=5.35ms

會有這種第一次查詢爆慢，後面查詢開始正常的狀況。

類似案例

說真的不知道要用什麼關鍵字來找這種問題，但是還是被我搜到類似的東西：

- Minix 上的 AMD Lance 网卡驱动问题

使用静态 IP 地址以后，外部网络无法 ping 通 Minix，必须 Minix 先 ping 外面，然后外面才能 ping 通它

簡直是一模一樣的狀況！不同的是OS不一樣，所以解決方案就沒有效了。不過可推測問題可能就是OS載入的網路驅動出問題。

- [other] In ESXi can't access guest OS (Ubuntu 8.10) from outside
Ubuntu 官方論壇，描述跟我的情況是最相近的了。可惜沒多少人注意並回答這個問題，回應提到可能跟 ESXi 的 vSwitch 或 VLAN 設定有關？但我都沒有更動過，完全是預設值。至少虛擬機器只有一台的時候，非常順。

結論

總之，目前無解。茲紀錄如下希望能有其他有相同問題的人、或是有能力解決的人解惑了。

土砲解法

問題不能就這樣放著，所以我想出奇招。

既然機器ping外部的時候，網路會暫時回復一陣子，那我就定時ping外面的機器，讓線路保持動作。這樣就可以確保連線正常了。聽起來很蠢，但是實際使用確實有效。需要搭配 cron 作定期工作。

/etc/crontab 加一行

*/2 * * * * root python /usr/bin/randomping.py >> /var/log/ping.log

其中 >> 後面的意思是附加輸出 STDOUT 到檔案，觀察用，與ping無關。關鍵程式 randomping.py:

import random, os

pingHosts = ["168.95.1.1", "168.95.192.1", "139.175.150.20", "139.175.55.244", "8.8.8.8", "8.8.4.4"]

Host = random.sample(pingHosts, 1)[0]
os.system("date")
os.system("ping " + Host + " -c 2")

因為怕定期ping某單一機器會被鎖之類的，所以設定了多組名單來ping。而這些Server都是公開的DNS，應該沒有問題。

存到 /usr/bin/randomping.py 後，就讓它自動運作吧。真是爛方法，但是確實有效，唉。

Install/Upgrade VMware Tools on ESXi Guest OS

2010-03-14T19:40:00.002+08:00

這麼重要的流程竟然沒做紀錄，作一下免得日後忘記。

ESXi 裡的 Guest OS 最好裝一下 VMware Tools 以取得更佳的效能，和 VMware 自家其他虛擬機器程式一樣。安裝方式首先要從 ESXi 管理介面設定 Install/Upgrade VMware Tools。

按下選項後，Guest OS 的光碟機就好像放了一片驅動程式光碟一般，*nix 系的安裝方式比較麻煩，需要手動操作:

0. 首先先切換到 root 帳號取得必要權限

sudo -s

1. 安裝必要編譯套件及檔頭檔

apt-get update
apt-get install build-essential
apt-get install linux-headers-`uname -r`

第二行是安裝所需的編譯套件 (gcc, make 等)，第二行是安裝 VMware Tools 需要的 Linux 檔頭檔。

2. 建立暫存目錄，掛載 CD-ROM

cd /tmp

mkdir /tmp/vm
mount /dev/cdrom /tmp/vm

3. 取出 VMware Tools 並解壓編譯

cp /tmp/vm/VMwareTools* /tmp
umount /tmp/vm

tar xzf VMwareTools*
/tmp/vmware-tools-distrib/vmware-install.pl

過程中會看到許多訊息跑出來，大概就是要問你安裝的位置和是否手動編譯之類的，一路按下 Enter 採用預設值即可，到最後會編譯各個組件，然後設定完成。

出現如下的成功訊息就表示整個安裝/升級的程序完成了！

檢查一下 Guest OS 的面板顯示狀態。

記得只要更新了 Linux Kernel 版本 (uname -r 可得知版本)，就必須重作一次升級的動作，因為 VMware Tools 是針對 Kernel 作更動以達成最佳化，舊有的版本在新版的 Kernel 是沒有用的。另外升級的話 apt-get install build-essential 可以不必再作，因為要安裝時就已經有這個套件了吧。但是 linux-headers 記得要裝！上面的指令會自動抓取與 Kernel 相同版本的 Header 檔。

WPF Frame.NavigationFailed 正確捕捉方式

2009-12-31T14:22:00.001+08:00

我們的程式用到了 Frame 當作瀏覽器視窗，可以接受使用者輸入的 URL 顯示網頁。但如果使用者隨便輸入或鍵入一個不存在的網址要求 (使用 frame.Navigate(Uri))，Frame 會跳出 WebException。

因為這樣會強制結束程式，所以我加個 try ... catch 來攔截，這下總沒有問題了吧？

try{
    frame.Navigate(new Uri(url));
}catch{
    // show something ...
}

結果程式一跑，相同的 Exception 一樣憑空跳出，讓我丈二金剛摸不著頭腦，究竟是怎麼一回事呢？查了MSDN發現，原來 Frame 有專屬的 NavigationFailed 事件，要撰寫事件來抓這個錯誤才行，Navigate 方法本身不丟出錯誤的。

frmBrowser.NavigationFailed += new NavigationFailedEventHandler(this.NavigationFailedEventHandler);

private void NavigationFailedEventHandler(object sender, NavigationFailedEventArgs e) {
    // show something ...
}

好，我按照 MSDN 的說明，用了事件捕捉，這下總沒事了吧？事情通常沒我們想的簡單，Exception 還是偷偷的跑出來打斷了我們的程式，怎麼會這樣？

注意看 MSDN，尋找可能的問題，後來發現事件的其中一個參數 NavigationFailedEventArgs 非常可疑，一看才知道原來它隱藏著本篇的解藥！其實就是它的 Handled 屬性。說明是這樣寫的：

當處理 NavigationFailed 以處理因巡覽失敗所擲回的例外狀況，而您也不想 WPF 繼續處理例外狀況時，應該將 Handled 屬性設定為 true。

private void NavigationFailedEventHandler(object sender, NavigationFailedEventArgs e) {
    // show something ...
    e.Handled = true; // 已處理，不再擲出錯誤
}

結果加了一行，例外就乖乖的不出現了。如此重要的參數竟然在事件裡或範例中隻字未提，如果沒有發現 NavigationFailedEventArgs 參數的玄機，我想會卡非常久。特此將此經驗公諸於世，希望能救到後來人。

WPF ListView + GridView Items.Add

2009-12-31T13:57:00.002+08:00

我們的程式用到了 ListView，而且又用了 GridView 分欄，讓清單看起來比較美觀，結果就像是Windows檔案總管的詳細資料那樣。

<ListView x:Name="listView1" Margin="178,29,35,51" SelectionMode="Single">
    <ListView.View>
        <GridView>
            <GridViewColumn Header="FileName" Width="230" DisplayMemberBinding="{Binding Path=FileName}" />
            <GridViewColumn Header="Date" Width="140" DisplayMemberBinding="{Binding Path=Date}" />
        </GridView>
    </ListView.View>
</ListView>

但是加上了GridView的ListView，不再可以容易的以物件名.Items.Add("String") 直接新增一條資料，這樣許多欄位的資料都會一樣。網路上的做法是使用資料繫結的方式，維護一個物件然後 Bind 上去即可，但是我還是習慣以程式動態新增，可不可以達成呢？當然可以。

因為是 WPF，所以沒有 Windows Form 的 ListViewItem 物件和物件名.SubItem 等屬性可以用。查了一下網路說明，需要建立一個物件而不是文字傳入 Items.Add()。

因為我是多欄，所以物件也要有多個屬性值，我建立一個結構來儲存：

private struct FileStructure{
    public string FileName { get; set; }
    public String Date { get; set; }
}

值得一提的是 { get; set; } 要加上，如果沒有加上這個繫結將會失敗。

然後在 WPF 的 GridView 的 DisplayMemberBinding 屬性設定 Binding，讓程式知道物件的哪個值對應到哪個欄位。請參考一開始的 WPF 原始碼。雖然我的方法還是有用到 Bind，但那是告訴 ListView 我的東西要怎樣呈現。

最後，以程式新增：

listView1.Items.Add(new FileStructure{ FileName = "test.zip", Date = "2009/12/21" });
listView1.Items.Add(new FileStructure{ FileName = "test.rar", Date = "2009/12/22" });
...

這樣就可以動態新增ListView的資料，而且每一欄的資料都正確的填進去了。
---
參考文獻：
http://stackoverflow.com/questions/1305406/wpf-listview-how-to-bind-single-items

小論文格式

2009-11-26T09:57:00.003+08:00

一.摘要

二.Abstract

三.前言

1.研究動機

四.使用者需求分析

五.研究與方法(文獻探討)

1.RFID技術

2.PKI技術

六.系統架構

七.系統評估

八.結論

九.參考文獻

-------------------------

大概這樣吧！要改再討論吧

資通PKI應用競賽時程表

2009-10-11T13:29:00.002+08:00

活動網站：
http://csim.tca.org.tw/
http://www.ares.com.tw/pki_pk2009/a.php

1. 報名日期：98年10月1日(四)至11月19日(四) 下午六點截止
2. 初賽日期：98年11月23日(一)至11月27日(五)
3. 決賽日期：98年12月5日(六)
4. 競賽地點：台灣大學綜合體育館（台北市羅斯福路四段一號）

別忘了還有這個活動啊XD
---
報名還要錄製VCD，且邊操作邊說明，所以這系統一定要在期限內完成啊。

One-Time Password

2009-10-04T15:02:00.003+08:00

沒想像中的那麼容易，為了簡化文章，我直接將運作流程列出來：

先在「安全環境」(如你家電腦)設定產生OTP的各項參數: 密碼, Seed, 演算法, Count/Seq.，產生OTP密碼表格
到「非安全環境」(如網咖、學校)登入時，系統會要求你查找密碼表格的某一個密碼(例如第49個)
以查表法查出正確密碼，輸入後登入。如果不想查表，可以用 OTPGen/Mobile-OTP 等 Java程式，給予當初初始化的參數，算出表格再查表輸入

這是正統的 RFC2289 一次性密碼系統的流程，很明顯在我們的系統用這種東西根本不對。

因為教授說用預先定義好的內容作數位簽章，很容易被中間人攻擊，所以希望這個內容能夠隨機產生，最好是一次性的，這樣中間人攔截內容要重送時已經失效了。

不過正規的OTP系統，是寫死的流程，跟我們單純要求的隨機內容有點差距。所以又只能自己動手了。

因為我們要求的隨機密碼不會有讓使用者手動輸入的機會，得到後就立刻數位簽章送給伺服器認證，不必擔心太過複雜難以輸入的問題。我的想法是這樣的：

登入系統向伺服器要求(https)一次性隨機密碼
↓
伺服器回傳(https)，同時紀錄於 Session 內
↓
登入系統收到密碼，簽章傳送給伺服器(https)
↓
伺服器拿出使用者憑證跟 Session 紀錄的一次性隨機密碼，進行驗證。不論成功與否皆清除 Session 密碼

原先教授的疑慮是這樣的：當我用固定的內容(如: 「超爽的，撿到一百塊咧」或者是當天日期)，系統送出給伺服器的過程中假如被攔截(假設 https 還會被攔截解密的話啦...)，中間人可以進行重送攻擊 (因為簽章驗證會通過，驗證是驗證資料不是送的人)。如果是固定文字，那此攻擊可以不限時間成功；當天日期的話，當天重送攻擊都有效。所以教授才會說要將內容加到分鐘，甚至是秒，以避免這種攻擊。

改成隨機內容的話，由於使用者要登入都得先向伺服器要求產生一次性隨機密碼，這個密碼萬一真被中間人竊取成功，中間人並沒有私鑰可以進行簽章，所以攻擊失敗。要是在送出簽章的時候攔截實施重送攻擊，一來中間人並沒有要求伺服器發給一次性密碼，伺服器也就沒有用Session儲存，在進行檢查的時候就沒有東西可以用，而紀錄警告；二來這個一次性隨機密碼已經在剛才的正規使用者登入時，就已失效，所以還是沒有用。

如果中間人夠厲害，一次性隨機密碼、數位簽章都取得，再加上入侵伺服器將 Session 改成一次性隨機密碼，那就有機會。但是這需要攻擊 HTTPS, 伺服器，自有難度。Session 變造內容的攻擊法還沒有聽說過，因為 Session 存在伺服器除非入侵不然改不到。只有 Session ID 攻擊 (參見: Session Hijacking 攻擊與Cookie 欺騙(4/5) - 網路攻防戰)：利用 Session ID 綁 Cookie 的設計，竊取正規使用者 Cookie，把自己的 Cookie 改的跟正規者一樣，Session ID自然一樣，對應的 Session 正是合法使用者的。

解決方式是每次要求就改變 Session ID，PHP 有函式 session_regenerate_id() 可以避免這種問題。

結論：根基於 HTTPS、一次性隨機密碼、數位簽章、Session 跟每次改變 Session ID的方式，讓中間人的破解難度增加，我想可以達到安全。

09/29 開會結論

2009-09-29T20:40:00.005+08:00

- C# <-> MySQL 加密連線傳輸使用法

pMA 開啟 MySQL SSL 連線
http://wiki.phpmyadmin.net/pma/Config/Servers#ssl

MySQL SSL 支援
http://www.option-c.com/xwiki/MySQL_Replication_with_SSL

好吧，C#部分不明，很多人在問但沒有一個好回答
http://dev.mysql.com/doc/refman/5.1/en/connector-net-programming-connection-options.html
官方是說連線字串加上 useSSL=true 就成，實際上沒那麼容易，一試就error。

- 數位簽章本文使用 OTP 方式建立，避免數位簽章被中間人攔截登入
- 闡明技術部份 (CA如何建立，如何管憑證、安全傳輸使用 ,etc)

還有，三本文件的催生。

最後右邊有個增加緊張感的自製 Widget，希望可以給大家一點推力XD

設定 iptables - 防火牆規則設定

2009-09-12T23:00:00.005+08:00

Ubuntu 預設的 iptables 設定是全部通行，防火牆如果全部通行那就等於沒設定，所以我們要對它設些規則。

目標:

對內: 僅打開 SSH(22), HTTP(80), HTTPS(443), MYSQL(3306) PORT，其他全部封鎖
對外: 不設限

這樣就可以防止有心人入侵其他 Port。

本來是要下一大堆指令的，不過 iptables 可以用 iptables-save 來輸出規則，所以我直接貼出規則檔:

# Generated by iptables-save v1.4.1.1 on Tue Aug 25 12:57:50 2009
*filter
:INPUT DROP [2858:374901]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [186:47949]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Tue Aug 25 12:57:50 2009

將此檔存到 /etc/iptables.up.rule。

因為每次開機後 iptables 的規則就會重置，要修改開機時能夠讀取剛才建立的規則檔，這樣我們建立的防火牆規則才有效。

用 vi 打開 /etc/network/interfaces，應該可以看到網路卡設定，加一行指令即可:

pre-up iptables-restore < /etc/iptables.up.rule

並存檔。這樣可以確保開機後自動回覆規則。

但是沒重新開機前，現在的 iptables 狀態還是空的，所以我們要手動載入規則檔，執行：

# iptables-restore < /etc/iptables.up.rule

就可以了，要查看是否成功的話可以下指令:

# iptables -L

應該會出現很多規則，這樣就成功了。

resin-4.0 session的設定

2009-08-31T13:45:00.002+08:00

我們
這在做管理介面時遇到鬼打牆
看session是啟用的
存活時間是30分鐘
但只要一換頁面session就會變空的
翻來翻去翻resin的說明

有這玩意兒可以來調session的設定
請參考這裡
前面講了一大推沒在用的我還去試他orz
最後試一試是只要設這個

<!-- enable persistent sessions -->
−
<session-config>
<save-mode>after-request</save-mode>
<use-persistent-store/>
</session-config>
−
<!--

增加save-mode這個child
並設定其質為after-request
一有request就存進去
解決這問題

(題外　管理介面有做一些小變更　包含登入驗證等頁面改變　可以去看看？)

PKI Research #4.5 - Digital Signature 再臨

2009-08-30T17:40:00.005+08:00

最近要實作檔案傳輸的部分，由於一開始作使用者登入時，驗證的部分是在本機端 (Client) 作的，伺服器端 (Server) 根本無法得知真實性。所以當有人聲稱某甲要求檔案或傳輸檔案過來時，我們也不能肯定他就是本人。因此，有必要在伺服器端再作一遍。

數位簽章的實作，其實在研究 #4 中已經有了，但是主要是驗證簽章的部分，要在伺服器中執行。搭配接收 POST 上傳檔案的設計，我採用 PHP 來實作。查了一下 PHP 也有 OpenSSL 套件支援 (API)，所以我只要使用它提供的函式就可以驗證簽章，關鍵函式 openssl_verify。

openssl_verify 能接受一些參數 (原訊息、數位簽章、公鑰) 來驗證簽章正確性，其中簽章演算法只支援到 SHA1，沒有先前研究的 SHA256，只好把簽章的部分也改用 SHA1 以配合。公鑰的部分，得先從憑證裡抽出來，這有 openssl_get_publickey 可以使用。

大概像這樣:

<?php
$message = 'test'; // Original Message

try {
    $dbh = new PDO('mysql:dbname=FAST;host=127.0.0.1', 'user', 'pass');
} catch (PDOException $e) {
    echo 'Connection failed: ' . $e->getMessage();
}

$sth = $dbh->prepare('SELECT `Public_Key` FROM XXX WHERE ID = ?');
$sth->bindParam(1, $tagID, PDO::PARAM_STR, 8);
$sth->execute();

$row = $sth->fetch();
$pubkeyid = openssl_get_publickey($row['Public_Key']);

// state whether signature is okay or not
$ok = openssl_verify($message, base64_decode($_POST['sigData']), $pubkeyid);
if ($ok == 1) {
    echo "good";
} elseif ($ok == 0) {
    echo "bad";
} else {
    echo "ugly, error checking signature";
}

// free the key from memory
openssl_free_key($pubkeyid);
?>

sigData 是數位簽章內容，為了傳輸方便已先行以 BASE64 編碼，所以這邊再解碼還原。

實際測試時，發現結果一直回傳 bad 即簽章不符，因為 C# 實作驗證都一切正常，所以我懷疑是不是 PHP 的問題，改換使用 JSP 來實作簽章驗證的部分，結果一樣失敗，不同的是 Java 跳出簽章結構錯誤的訊息，我開始懷疑起實作簽章的部分了。在 PHP 上使用 key 私鑰檔實作簽名，跑出來的東西跟 C# 的完全不一樣。C# 簽章驗證的結果，兩種結果都能通過驗證，不過 C# 的結果丟給 PHP 是失敗的，百思不得其解。

回頭想想，會不是會當初實作簽章的時候，想法錯了呢？還記得 .NET Framework 不許我們使用公鑰解密，取而代之的提供 Verify 方法，找看看 Bouncy Castle 有沒有提供類似的 Sign 方法，結果真的有。

public static byte[] signature(byte[] data){
    try{
        AsymmetricCipherKeyPair keyPair;
        using(var reader = File.OpenText(@"D:\Programs\OpenSSL\user1.key")) { // Direct read pem format RSA private key file
            keyPair = (AsymmetricCipherKeyPair) new PemReader(reader).ReadObject();
        }

        RsaDigestSigner rds = new RsaDigestSigner(new Sha1Digest());
        rds.Init(true, keyPair.Private);
        rds.BlockUpdate(data, 0, data.Length);
        return rds.GenerateSignature();
    }catch(Exception e){
        throw new IOException("problem creating private key: " + e.ToString());
    }
}

public static bool verify(byte[] message, byte[] sig){
    var crt = new X509Certificate2(@"D:\Programs\OpenSSL\user1.crt"); // Read X509 Certificate file
    var rsa = (RSACryptoServiceProvider) crt.PublicKey.Key; // Get public key

    return rsa.VerifyData(message, "SHA1", sig);
}

Bouncy Castle 提供了 Org.BouncyCastle.Crypto.Signer 類別來處理數位簽章，RsaDigestSigner 就是給 RSA 公開金鑰演算法使用的數位簽章處理類別，由於 PHP 方的 Hash 演算法只支援到 SHA1，所以我簽章的部分也僅使用 SHA1。使用這個 Signer 類別不必自己手動 Hash 訊息，交給類別去作。

驗證簽章的部分跟上次基本上沒很大的差別，只是我也捨棄 VerifyHash 方法改使用 VerifyData 方法，直接把訊息 Hash 的動作交給了方法去處理，我完全不必實作相關 Hash 方法。

這次修改後，產生簽章的結果跟 PHP 的一模一樣，這樣就可以由 C#產生簽章，由 PHP 接收來驗證，進而確認使用者身份，伺服器端也可以利用 SESSION 暫時紀錄結果，就不必每次都要驗證。預設 30 分鐘 SESSION 會過期，到時候再驗證一次即可。

mod_jk (Apache + Tomcat) 在 Ubuntu 下的設定方式

2009-08-26T17:23:00.002+08:00

因為組員只會寫JSP，所以原本的Apache以外勢必還要再架設一個跑JSP的服務，我就想到了 Tomcat。因為 Ubuntu 的套件庫很多已經編譯好的玩意，連相依性都幫我考慮好了，很方便。所以我就打開 Synaptic 套件管理工具來找尋 Tomcat 安裝。

安裝的是 Tomcat6，連帶安裝了 OpenJDK 等 Java 函式庫。我突然看到還有 mod_jk 可以安裝，說明是說可以把 Tomcat 跟 Apache 連接起來，透過 Apache 就可以執行 JSP (說穿了就是扮演代理角色)。因為 Apache 的效能比 Tomcat 還要好，所以透過 mod_jk 不但可以除去網址老是有 8080 Port 的不便，也可以獲得 Apache 的代理效能。

全部利用 Synaptic 套件管理工具安裝完後，mod_jk還需要手動設定，而且還滿多地方需要手動設定不然按照預設值是跑不起來的地方，不知道是不是版本的關係。我使用 Ubuntu 9.04 Server 版。

首先，要先去修改 /etc/libapache2-mod-jk/workers.properties 這個檔案。這個檔案是 mod_jk 使用，作為 Apache 跟 Tomcat 溝通的工人 (Worker)。使用 vi 打開後主要修改幾處地方：

workers.tomcat_home=/usr/share/tomcat6
這個值預設是安裝 Tomcat 5 的位置，因為我是安裝新版的 6 版，不修改一定不能用。改成 /usr/share/tomcat6 就可以順利指定 Tomcat6 的目錄。

workers.java_home=/usr/lib/jvm/default-java
這個值預設是 JavaVM 沒錯，但是現在已經有開放原始碼的 OpenJRE/OpenJDK，如果你也是安裝了 OpenJRE，那記得改一下位置: /usr/lib/jvm/default-java，這個路徑是一個 Symbolic Link，不知道其他版本是不是也有這個 link。

接下來請到 /etc/apache2/mods-available，打 ls 查看一下可以發現有 jk.load，這是載入 mod_jk 模組的設定檔，但卻沒看到對應的 jk.conf (照理說是 mod_jk 的設定)，查了一下發現在 /usr/share/doc/libapache2-mod-jk 目錄下有 httpd_example_apache2.conf 範例設定檔，將這個檔案 cp 到 /etc/apache2/mods-available 並改名為 jk.conf 以方便作業。接著，打開檔案編輯。

這個檔案預設上是差不多可以用了，但是還是需要修改：

加上一行 JkMountCopy All
加這行的用意是因為預設 mod_jk 只會運作在 Apache 主網站，其他的虛擬網站 (VirtualHost) 設定不會套用。但是 Ubuntu 預設的結構是，主網站也是使用虛擬網站設定，並沒有主網站設定，所以按照預設值 mod_jk 會無法對應到正確的檔案 (這可以從 log 看的出來)。而這行就是將設定複製到全部的虛擬網站。

因為我的網站設定只有 80 port 跟 443 port，而且網站內容一模一樣，這樣的設定沒有什麼問題。但是如果你的虛擬網站很複雜，各自有不同內容，那就請只在想要連接到 Tomcat 的網站設定檔內修改加入一行 JkMountCopy On，讓你指定的虛擬網站能夠正常運作 mod_jk 設定。

結束編輯後，我們還要建立一個 Symbolic Link 讓 Apache 讀取。到 /etc/apache2/mods-enabled 執行以下指令：

ln -s ../mods-available/jk.conf jk.conf

最後重新啟動 Apache (執行 /etc/init.d/apache2 restart 指令)，就大功告成了。

結果就是 http://127.0.0.1/*.jsp 會自動對應到 http://127.0.0.1:8080/*.jsp，如果你想要更特別的設定，打開 /etc/apache2/mods-available/jk.conf 就可以自由新增。

JkMount /*.jsp ajp13_worker
JkMount /*/servlet/ ajp13_worker

這是預設的設定，用意就是將符合的條件送給 Tomcat 處理。所以我打 /test.jsp 就會送到 :8080/test.jsp

員工資料庫　介面　申請單　JSP上做MD5

2009-08-24T10:50:00.003+08:00

員工資料庫完成
增（給員工填的申請表單）
刪（與列表、查合一）
改
查
介面皆讓大家看過
就不截圖了...
外觀上或功能上有意見請在此篇回應

再來說到身份ID做hash部份
使用到java.security內的方法MessagerDigest
我們得先import java.security.*後
執行如此下的方法（參考資料）

MessageDigest mdAlgorithm = MessageDigest.getInstance("MD5");
mdAlgorithm.update(User_ID.getBytes());
 byte[] digest = mdAlgorithm.digest();
 StringBuffer hexString = new StringBuffer();
   for (int i = 0; i < digest.length; i++) {
   User_ID = Integer.toHexString(0xFF & digest[i]);
         if (User_ID.length() < 2) {
              User_ID = "0" + User_ID;
         }
         hexString.append(User_ID);
   }
 User_ID=hexString.toString();


就可以成功執行hash動作

PKI Research #5 - 使用 OpenCA 產生的憑證跟加密過的私鑰

2009-08-18T21:09:00.014+08:00

本篇是研究最卡的部分，足足卡了三天。欲知原因以下見曉。(關鍵字：PKCS#8, PKCS#5)

因為伊達說已經完成研究 OpenCA 發憑證的部分，因此我們使用 OpenCA 的最大目的「產生憑證、私鑰檔和 CRL 憑證廢止清冊」就已經達成，再來就是要研究如何拿來用。

OpenCA 主要使用 MySQL 來儲存相關資料，舉凡憑證申請、憑證存放、CA 憑證、CRL 憑證廢止清冊等全部都在資料庫內，而不是一般的檔案。以 phpMyAdmin 登入後可以看到。

最重要的就是 certificate 資料表了，data 欄位就是重點。裡面存放著憑證以及私鑰檔，我們只要取出來應該就可以利用了吧。我當初是這麼想，但是他的私鑰檔卻經過 DES 加密 (「私鑰經過 PKCS#5 密碼加密標準 "PBEwithMD5andDES-CBC" 加密過的」PKCS#8 私鑰格式標準)，檔案格式看起來像這樣：

-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIBgTAbBgkqhkiG9w0BBQMwDgQIjgXxhGkmgGcCAggABIIBYEXZfHjLUnXJ8h+F
...
mtuOc9U=
-----END ENCRYPTED PRIVATE KEY-----

看得出跟一般 OpenSSL 產生的未加密的私鑰檔不同吧，如下 (純粹私鑰，非 PKCS#8 格式)：

-----BEGIN RSA PRIVATE KEY-----
MIIBOQIBAAJBAOWeK9TSYVnPEkmK45TeI7NrC8MzvwabSVg1aEuTmcNkLRg/Qibv
...
Ft4zOc8TnbXnGxXRfGVG0RZfXmxcQNv2yX2G4Vc=
-----END RSA PRIVATE KEY-----

如果以為 PKCS#8 私鑰 key 檔能跟 OpenSSL 的私鑰 key 檔一樣讀取操作 (PKI Research #3 - RSA 加解密)，那你就錯了。你會發現 keyPair 永遠是 null，因為察看原始碼才發現，PemReader 沒有特別處理 BEGIN (ENCRYPTED) PRIVATE KEY 的加密私鑰檔 (90 行 switch 開始)，更簡單的說法就是 PemReader 不支援 PKCS#8 格式私鑰檔，所以只好自己找方法了。

由於中文極度缺乏相關資源，英文的資源雖然有找到類似的討論串，但也是跟我有著一樣的疑問，而沒有人回答。例如：

PKCS#8 Support (沒人鳥他)
How can I decode a PKCS#5 encrypted PKCS#8 Private Key in Java (不過這是 Java 解法)
Re: RSA Private Key BER decode error: msg#00016 (這篇點出手工實作法，是我首先嘗試的目標)
PKCS8 decrypt Privatekey: msg#00019 (跟我一樣的問題，PemReader always return null)

其實還有很多，但是我一時忘了。嘗試用 PBEwithMD5andDES-CBC 當關鍵字知道 Bouncy Castle 的 Org.BouncyCastle.Security.PbeUtilities 有支援，但是它的說明手冊不夠完整 (或者該說，沒這種玩意，只有 API)，到底是怎樣的使用法也沒人提到。於是我們就來看 PbeUtilities.cs 的原始碼吧：

如果你想知道為什麼是 PKCS#5 PBEwithMD5andDES-CBC 加密格式，用 OpenSSL asn1parse -in 檔案路徑就可以查看 ASN.1 結構，就會寫到。

原始碼果然定義一堆加密的方法，這下子有希望了。看了一下大概是像這樣子使用：

using System;
using System.IO;
using System.Text;
using Org.BouncyCastle.Asn1;
using Org.BouncyCastle.Crypto;
using Org.BouncyCastle.Pkcs;
using Org.BouncyCastle.Security;

const String pemp8header = "-----BEGIN ENCRYPTED PRIVATE KEY-----";
const String pemp8footer = "-----END ENCRYPTED PRIVATE KEY-----";
char[] password = "xxxxxx".ToCharArray(); // 解密密碼

// 取出檔案中 BASE64 編碼的部分，還原
StringBuilder sb = new StringBuilder(File.ReadAllText(@"B:\tmp.key"));
sb.Replace(pemp8header, "");
sb.Replace(pemp8footer, "");


String pubstr = sb.ToString().Trim();
byte[] binkey = Convert.FromBase64String(pubstr);
var info = EncryptedPrivateKeyInfo.GetInstance(Asn1Object.FromByteArray(binkey));

// 開始建立解密引擎，準備進行 DES-CBC 解密
var algId = info.EncryptionAlgorithm;
var cipher = (BufferedBlockCipher) PbeUtilities.CreateEngine(algId.ObjectID);
var param = PbeUtilities.GenerateCipherParameters(algId.ObjectID, password, algId.Parameters);
cipher.Init(false, param);

// 取出加密資料，進行解密
byte[] data = info.GetEncryptedData();
byte[] outBytes = new byte[cipher.GetOutputSize(data.Length)];
int len = cipher.ProcessBytes(data, 0, data.Length, outBytes, 0);

try {
    len += cipher.DoFinal(outBytes, len);
} catch(Exception e) {
    throw new Exception("failed DoFinal - exception " + e.ToString());
}

// outBytes 為解密完的 PrivateKeyInfo (PKCS#8)，接著取出 PrivateKey
var p = PrivateKeyInfo.GetInstance(Asn1Object.FromByteArray(outBytes));
var rsa = new RsaPrivateKeyStructure((Asn1Sequence) p.PrivateKey);
// privSpec 可用於解密
var privSpec = new RsaKeyParameters(true, rsa.Modulus, rsa.PrivateExponent);

手工實作法的步驟很繁雜，有沒有更好的方法呢？

想想可能還有其他已經包好的方法用了 PbeUtilities 來讀取加密私鑰了，就查查看。果不其然又讓我發現了 PrivateKeyInfoFactory.cs 原始碼，原來只要幾行：

using System;
using System.IO;
using System.Text;
using Org.BouncyCastle.Asn1;
using Org.BouncyCastle.Crypto;
using Org.BouncyCastle.Pkcs;
using Org.BouncyCastle.Security;

const String pemp8header = "-----BEGIN ENCRYPTED PRIVATE KEY-----";
const String pemp8footer = "-----END ENCRYPTED PRIVATE KEY-----";
char[] password = "xxxxxx".ToCharArray(); // 解密密碼

// 取出檔案中 BASE64 編碼的部分，還原
StringBuilder sb = new StringBuilder(File.ReadAllText(@"B:\tmp.key"));
sb.Replace(pemp8header, "");
sb.Replace(pemp8footer, "");

String pubstr = sb.ToString().Trim();
byte[] binkey = Convert.FromBase64String(pubstr);
var info = EncryptedPrivateKeyInfo.GetInstance(Asn1Object.FromByteArray(binkey));

// 重點方法: PrivateKeyInfoFactory.CreatePrivateKeyInfo() 一行抵十行
var p = PrivateKeyInfoFactory.CreatePrivateKeyInfo(password, info);
var rsa = new RsaPrivateKeyStructure((Asn1Sequence) p.PrivateKey);
// privSpec 可用於解密
var privSpec = new RsaKeyParameters(true, rsa.Modulus, rsa.PrivateExponent);

總結：開放原始碼是有必要的，畢竟最後還是得看原始碼找答案的嘛 (大誤)

OpenCA 新增憑證　& 匯出

2009-08-14T00:57:00.010+08:00

嗯
今天來說說那個OpenCA弄新憑證＆匯出我們要的資料的方法

~~到PKI Init & Config的Initialization>CA administrator~~
到Pub頁面，下方就有Request a Certificate

去request一個新的憑證
需要填入的資料表單如下

基本上,只有名稱跟email是一定必填的
若要做給使用者填寫的表格,要再思考
其他欄位是否有必要性

精過一番精密...喔不　是簡單的過程後
這個"Request"就成功發出了　接下來就到CA operation去做　憑‧證　承～～認！

來這　選NEW(即能看到新進的憑證伸請要求)
然後承認後
可以到Information > CA Certificates > valid (合法的Certificates）

看到列表入下

那麼點選就能進入該觀看Certificate資料
並選擇下載(格式可選)

選我們要的格式就OK了w
Got it! Go to next.

流程

2009-08-13T14:21:00.002+08:00

可能還是要先多想想需要甚麼功能吧!

各部分研究目標

2009-08-13T10:29:00.005+08:00

OpenCA
- 功能: 輸入使用者個人資訊以產生伺服器簽發憑證跟私鑰檔，並能產生廢止清冊 CRLs
- 目的: 產生憑證檔跟私鑰檔來驗證，還有 CRLs 讓程式判斷憑證是否可使用
- 研究: 如何申請使用者憑證，並能取得憑證檔

PKI
- 功能: 公開金鑰加解密、數位簽章及驗證
- 目的: 使用者身分鑑別
- 研究: 得出公鑰 crt 憑證、RSA 私鑰 key，讀取 CRL 檢查是否已撤銷

RFID
- 功能: 讀取/寫入私鑰檔跟個人設定之類的資訊
- 目的: 當作使用者身分鑑別的媒介
- 研究: RFID Tag Block 寫入資料區塊的利用分配

MySQL
- 功能: 儲存使用者相關資料
- 目的: 跟 RFID 連動取得進一步的使用者資料
- 研究: 資料表要放什麼

Apache
- 功能: 網頁伺服器
- 目的: 上傳/下載公文、個人檔案的傳輸媒介，利用 SSL 加密
- 研究: 如何讓使用者上下傳檔案

C#
- 功能: 撰寫程式
- 目的: 利用 RFID 讀取私鑰檔，連接 MySQL 取得資料進行驗證。前端 GUI 顯示公文、個人檔案等等
- 研究: 如何結合以上功能寫出程式

DB裡面

2009-08-13T10:15:00.018+08:00

Database裡面應該會這樣放
覺得可以再更改的地方再提出吧!

ID_Transformation

Tag_ID	Database_ID	Changed
1212343456567878	98000001	0
1212343456567899	98000002	1
1212343456567800	98000003	2
1212343456567812	98000004	3

//Tag_ID 代表 Tag的ID
//Database_ID 代表Database上的ID
//changed 代表 Tag_ID更改次數，也可以代表Tag遺失次數！XD

Key(Key的儲存)

Database_ID	Public_Key
98000001	qwerasdfzxcvtgbh
98000002	qasdfghjklmnbvcx
98000003	qasdfghjklmnbaaa
98000004	qasdfghjklmasdfg

// Public_Key 儲存 public key，認證用！

Paper(記錄公文的資訊)

Database_ID	Paper_Read
98000001	y
98000002	n
98000003	n
98000004	y

// Paper_Read 代表公文已讀與否!

Identity(user身分)

Database_ID	Name	Level	User_ID
98000001	Jimmy	Chairman	A123456789
98000002	RobertCamel	Manager	B123456789
98000003	Scribe	Manager	C123456789
98000004	Soultaker	Chairman	D123456789

// Level 代表職位
// User_ID 代表身分證字號

ENV_Set(用來儲存user的設定值)

Database_ID	Set_1	Set_2	Set_3
98000001	0	1	1
98000002	1	1	1
98000003	0	1	0
98000004	1	0	1

// set_1 代表 user環境的設定 0:off 1:on (例如button要不要透明化!?)

架設 OpenCA 1.0.2 on Ubuntu 9.04 Server

2009-08-12T10:33:00.002+08:00

終於完成啦！完全照著嚕嚕咪的教學(見此)照抄就完成了，沒啥好說的。

倒是順便安裝了 phpMyAdmin 套件 (apt-get phpmyadmin)，不是直接下載原始碼安裝，最後會裝到 /usr/share/phpmyadmin，但是網頁預設目錄是 /var/www，所以要建立一個 Symbolic link，在 /var/www 目錄下 ln -s /usr/share/phpmyadmin phpmyadmin 就可以建立一個連結，不必複製整個目錄就可以使用。

既然架好了，請其他人盡速開始研究 MySQL 跟 OpenCA 囉。

PKI Research #4 - Digital Signature

2009-08-02T23:51:00.006+08:00

這篇預定要來研究數位簽章。

數位簽章的方式跟加解密剛好是反過來的，加解密使用公鑰加密，使用私鑰解密；數位簽章卻是使用私鑰簽章，使用公鑰驗證。

加解密的對象是明文檔案內容，而數位簽章的對象則是明文檔案內容經過雜湊後的值。常用的有 MD5 跟 SHA-1，聽說這兩個都有被碰撞破解的個案，所以使用 SHA256 (SHA-2 家族)。

.NET Fraamework 的 System.Security.Cryptography 命名空間實作不少相關雜湊，我直接寫成以下方法：

public static byte[] useSHA256(byte[] data){
    SHA256 sha = new SHA256Managed();
    return sha.ComputeHash(data);
}

流程圖一張：
http://en.wikipedia.org/wiki/File:Digital_Signature_diagram.svg

先從簽章實作。第一件事就是將文章進行 Hash，我使用上面寫好的 SHA256 方法來製造。然後要將此 Hash 以私鑰加密，因為 X509Certificate2 不能直接支援 RSA Private Key PEM 檔 (範例中使用 DER 格式方便 RFID Tag 儲存)，所以我使用 Bouncy Castle C# 來進行私鑰的讀取，並用來加密 Hash 產生數位簽章 (稱為 Hash')。

另一邊進行驗證。驗證也需要將文章進行 Hash，以便跟數位簽章比對。一樣使用 SHA256 產生 Hash。然後將數位簽章使用 .crt 憑證內存的公鑰解密 (得到 Hash')，結果拿來跟 Hash 比對。如果完全正確 (Hash' = Hash) 表示文章沒有經過竄改，而且也能確定簽章者正是本人。但是 X509Certificate2 不能直接拿公鑰進行解密 (Decrypt)，而是提供另一個驗證 (VerifyHash) 方法供呼叫，我也搞不懂為什麼不行。

public static byte[] signature(byte[] data){
    byte[] hash = useSHA256(data);
    try{
        var seq = (Asn1Sequence) Asn1Object.FromStream(File.OpenRead(@"B:\OpenSSL\1-der.key"));
        var rsa = new RsaPrivateKeyStructure(seq);
        var privSpec = new RsaPrivateCrtKeyParameters(
            rsa.Modulus, rsa.PublicExponent, rsa.PrivateExponent,
            rsa.Prime1, rsa.Prime2, rsa.Exponent1, rsa.Exponent2,
            rsa.Coefficient
        );

        var encryptEngine = new Pkcs1Encoding(new RsaEngine());
        encryptEngine.Init(true, privSpec);
        return encryptEngine.ProcessBlock(hash, 0, hash.Length); // Digital Signature
    }catch(Exception e){
        throw new IOException("problem creating private key: " + e.ToString());
    }
}


public static bool verify(byte[] message, byte[] sig){
    byte[] hash = useSHA256(message);

    var crt = new X509Certificate2(@"B:\OpenSSL\1.crt"); // Read X509 Certificate file
    var rsa = (RSACryptoServiceProvider) crt.PublicKey.Key; // Get public key

    return rsa.VerifyHash(hash, "SHA256", sig);
}

PKI Research #3 - RSA 加解密

2009-08-02T01:10:00.012+08:00

CA 部分還沒搞定，但生成憑證簽署方面都可以利用 OpenSSL 來完成。OpenSSL 是開放原始碼專案，在 Unix-like 界非常廣泛，Windows 有別人 Port 好的版本：OpenSSL Binary Distributions，可以下載來玩看看。下指令的方式上一篇已經有許多篇參考資料，不再說明。

複習一下 .key 檔跟 .crt 檔的樣子：

user.key: (PEM-encoded)

-----BEGIN RSA PRIVATE KEY-----
MIIBOQIBAAJBAOWeK9TSYVnPEkmK45TeI7NrC8MzvwabSVg1aEuTmcNkLRg/Qibv
B6ST5F056HCk0xvzm5rfO5A+q+4ncBMGMhkCAwEAAQJABGaLoICHrRjy2MX4ppm7
RWz/xLXxK0c+mJotbYVepQf1KYB6kPc4df1t4KrFFgxMyXzdJ/eiegf4j3HFT4Hs
gQIhAPiVVZNSMqp1uUx7OXB3GGW+3uslvA3+NvuAKqVguIo9AiEA7Hf6ykGeuRBN
k2EN+J+Vof4ryzFOtJGH+eyycmKPsQ0CIFJYteZ9nkcVhHKvh1GYQj7CQfpHn8pK
4k/iHz51kexJAiBwKs1kiVHv+QLDSQNmjtRcngNKBB6QWoQEkjlnNsdwNQIgbJYa
Ft4zOc8TnbXnGxXRfGVG0RZfXmxcQNv2yX2G4Vc=
-----END RSA PRIVATE KEY-----

user.crt: (PEM-encoded)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

所以，當我有了 .key 檔 (RSA 私鑰) 跟 .crt 憑證 (含公鑰的憑證) 後，該怎麼使用？這是本篇要研究的目標。

C# 利用 X.509 憑證加密，網路上有很棒的教學：使用X.509数字证书加密解密实务（二）-- 使用RSA证书加密敏感数据，圖文並茂很容易了解。基本上 .NET Framework 的 X509Certificate2 類別非常好用，它屬於 System.Security.Cryptography.X509Certificates 命名空間。只要建構元放入 .crt 憑證檔路徑，就可以抽出公鑰，加密資料。

解密的話，X509Certificate2 支援公私鑰綁一起的 PKCS#12，但不支援 OpenSSL 直接匯出的私鑰格式 (稱為 PEM 格式)，當你直接指定 .key 檔位置會丟出例外，所以解密要找其他方案。

剛好無意間找到利用 Bouncy Castle for C# API 直接讀取 PEM 格式 RSA 私鑰進行解密的教學：用openSSL生成了一对RSA密钥,在C#里面怎么使用它啊？，回答的第二項就是我們要的。你可能覺得奇怪它說第三項也可以用啊，但實際上那是讀取 .pfx 或 .p12 的 PKCS#12 個人憑證，直接讀取 OpenSSL RSA 私鑰 PEM 格式檔是絕對不行的。

DER (Distinguished Encoding Rules)：
二進位內容，是屬於 ASN.1 制定的編碼之一。

PEM (Privacy-enhanced Electronic Mail)：
就是 DER 格式經過 BASE64 編碼後所能見到的內容，通常會有 ----- BEGIN XXX ----- / ----- END XXX ----- 之類的東西包夾起來。由於 PEM 格式採用了 BASE64 編碼，文字都被編成常用的英文數字符號，方便於網路上傳送及複製 (如即時通訊、電子郵件等)。OpenSSL 預設產生的檔案都是 PEM 格式。當然也可以透過 -inform / -outform 來指定 DER 等格式。

using System;
using System.IO;
using System.Security.Cryptography;
using System.Security.Cryptography.X509Certificates;
using System.Text;
using Org.BouncyCastle.Asn1;
using Org.BouncyCastle.Asn1.Pkcs;
using Org.BouncyCastle.Crypto;
using Org.BouncyCastle.Crypto.Encodings;
using Org.BouncyCastle.Crypto.Engines;
using Org.BouncyCastle.Crypto.Parameters;
using Org.BouncyCastle.OpenSsl;


namespace PKI_RSAEnDecryptDemo {
    class Program {
        static void Main(string[] args) {
            byte[] plainTextByte = Encoding.UTF8.GetBytes("超爽的，撿到100塊咧～咧？");

            byte[] encTextType = encrypt(plainTextByte);
            string base64 = Convert.ToBase64String(encTextType);
            Console.WriteLine(base64);

            byte[] oristr = decrypt_DER(encTextType);
            Console.WriteLine(Encoding.UTF8.GetString(oristr));

            Console.ReadKey();
        }

        public static byte[] encrypt(byte[] plainTextByte) {
            var crt = new X509Certificate2(@"B:\OpenSSL\1.crt"); // Read X509 Certificate file
            var rsa = (RSACryptoServiceProvider) crt.PublicKey.Key; // Get public key

            byte[] Cryptograph = rsa.Encrypt(plainTextByte, false); // Encrypt
            return Cryptograph;
        }

        public static byte[] decrypt(byte[] encTextType) {
            AsymmetricCipherKeyPair keyPair;
            using(var reader = File.OpenText(@"B:\OpenSSL\1.key")) { // Direct read pem format RSA private key file
                keyPair = (AsymmetricCipherKeyPair) new PemReader(reader).ReadObject();
            }
            var decryptEngine = new Pkcs1Encoding(new RsaEngine());
            decryptEngine.Init(false, keyPair.Private);

            return decryptEngine.ProcessBlock(encTextType, 0, encTextType.Length); // Decrypt
        }

        public static byte[] decrypt_DER(byte[] encText) {
            try{
                var seq = (Asn1Sequence) Asn1Object.FromStream(File.OpenRead(@"B:\OpenSSL\1-der.key"));
                var rsa = new RsaPrivateKeyStructure(seq);
                var privSpec = new RsaPrivateCrtKeyParameters(
                    rsa.Modulus, rsa.PublicExponent, rsa.PrivateExponent,
                    rsa.Prime1, rsa.Prime2, rsa.Exponent1, rsa.Exponent2,
                    rsa.Coefficient
                );

                var decryptEngine = new Pkcs1Encoding(new RsaEngine());
                decryptEngine.Init(false, privSpec);
                return decryptEngine.ProcessBlock(encText, 0, encText.Length); // Decrypt
            }catch(Exception e){
                throw new IOException("problem creating private key: " + e.ToString());
            }
        }
    }
}

---
參考資料：
OpenSSL 常用語法整理

PKI Research #2 - 憑證製作

2009-07-31T11:44:00.010+08:00

拿舊電腦安裝 OpenCA (on CentOS 5.3) 安裝失敗，無法啟動。看到 Fedora 有自己寫的 Dogtag 憑證系統，不知道有沒有用，這方面先交給別人實驗。

我們要 PKI 的目的是要使用產生的公私鑰對來驗證使用者身分，但是發憑證很簡單 (OpenSSL 就可以簽 X.509 了)，但要集中管理使用者金鑰卻很困難，不得不架設 CA 一類的東西，尤其是憑證廢止清冊，這一定要中央集權式管理才可以。OpenSSL 簽憑證並沒有辦法考慮到廢止的問題吧 (頂多自動過期，離職等無法強制廢止) 所以似乎還是要 CA 中央管理憑證。

我提過我已經可以自行簽發憑證了 (見此 OpenSSL 教學)，跟教授借來的那本也有提到 Bouncy Castle 這個 Java 函式庫可以簽發，但是重點的憑證管理卻隻字未提。還有簽完的 RSA Private Key 檔、憑證申請書和簽發憑證檔都是特定格式，要直接抽出公私鑰對存在 RFID Tag 太難了，我想許多程式設計都是直接將憑證檔案丟去處理的吧。

以下為絕對沒用過的 RSA Private Key 檔範例：

-----BEGIN RSA PRIVATE KEY-----
MIIBOQIBAAJBAOWeK9TSYVnPEkmK45TeI7NrC8MzvwabSVg1aEuTmcNkLRg/Qibv
B6ST5F056HCk0xvzm5rfO5A+q+4ncBMGMhkCAwEAAQJABGaLoICHrRjy2MX4ppm7
RWz/xLXxK0c+mJotbYVepQf1KYB6kPc4df1t4KrFFgxMyXzdJ/eiegf4j3HFT4Hs
gQIhAPiVVZNSMqp1uUx7OXB3GGW+3uslvA3+NvuAKqVguIo9AiEA7Hf6ykGeuRBN
k2EN+J+Vof4ryzFOtJGH+eyycmKPsQ0CIFJYteZ9nkcVhHKvh1GYQj7CQfpHn8pK
4k/iHz51kexJAiBwKs1kiVHv+QLDSQNmjtRcngNKBB6QWoQEkjlnNsdwNQIgbJYa
Ft4zOc8TnbXnGxXRfGVG0RZfXmxcQNv2yX2G4Vc=
-----END RSA PRIVATE KEY-----

你能看出這個檔案內的私鑰組成是什麼嗎？

openssl rsa -in 1.key -text
可看出私鑰的各組成資訊。

PEM 內文經過 BASE64 解碼後的 DER 編碼有 317 bytes，一個 Tag Block 有 16bytes，也要約 20 格。

-----BEGIN CERTIFICATE REQUEST-----
MIIBGzCBxgIBADBhMQswCQYDVQQGEwJUVzEPMA0GA1UECBMGVGFpd2FuMQ8wDQYD
VQQHEwZUYWl3YW4xHDAaBgNVBAoTE05DSFUgTUlTIERlcGFydG1lbnQxEjAQBgNV
BAMTCXNvdWx0YWtlcjBcMA0GCSqGSIb3DQEBAQUAA0sAMEgCQQDlnivU0mFZzxJJ
iuOU3iOzawvDM78Gm0lYNWhLk5nDZC0YP0Im7wekk+RdOehwpNMb85ua3zuQPqvu
J3ATBjIZAgMBAAGgADANBgkqhkiG9w0BAQUFAANBANOz3JapX/SSbdTCaQiriALm
ZlMeGW+L3XWnj4H7kXVljqsyYv6JJEAnQzdBcw1MiUZDYZqFOYJHxmx56eSIx8o=
-----END CERTIFICATE REQUEST-----

要求憑證簽發的申請檔，內含有國家、組織、姓名等個人資訊，你看得出來嗎？

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

crt 已簽署憑證內容。這張憑證是自我簽署的，沒什麼效用。

openssl x509 -in 1.crt -noout -modulus
輸出公鑰係數。

OpenSSL 參考資料：
http://www.ascc.sinica.edu.tw/nl/91/1819/02.txt
http://setnet.com.tw/ftp/%BA%FB%AD%D7%A7%DE%B3N%BB%A1%A9%FA/Linux/%C3%B1%B5o%BE%CC%B5%FD.txt
http://csc.ocean-pioneer.com/docum/ssl_basic.html

C# 編譯產生 Unable to find manifest signing certificate in the certificate store 錯誤

2009-07-30T13:52:00.006+08:00

當專案搬到另一台機器進行編譯後，可能會發生「Unable to find manifest signing certificate in the certificate store」，百思不得其解。查閱 Google 大神發現錯誤原因，由於 ClickOnce 的佈署需要經金鑰認證，換一台機器後編譯的金鑰就不同而會發生錯誤。可以手動開啟 *.csproj 檔案，搜尋：

<manifestcertificatethumbprint>XXX</manifestcertificatethumbprint>
<manifestkeyfile>XXX</manifestkeyfile>
<generatemanifests>true</generatemanifests>
<signmanifests>true</signmanifests>

將這幾行刪除後重新存檔，應該就能正常編譯。
--
參考資料：Unable to find manifest signing certificate in the certificate store

2009-07-30T12:01:00.002+08:00

話說, 有鑑於 icLin 的標準

大家就一起來想想看這系統中有啥功能 & PO 一下唄

現在既定的有...

A) 看公文

B) 上傳 [netDrive]

C) 圖示隨意拖拉放

想到啥就有閒沒閒回個應好過年唄.

開發週報7/27

2009-07-27T11:47:00.001+08:00

進度: iclin快把電腦給我生出來呀!!!!!

OpenCA 試架

預想認證方式

遺失補發
所有者持身份證件or 護照至管理部門進行與DB內的資料核對
若成功就予以補發錯誤就代表此人為不合法想要申請TAG補發的使用者

根據認證方法與補發辦法上
TAG與DB的儲存內容調整為以下

TAG 內存

使用者名稱個人介面選項公鑰私鑰

DB內存

使用者名稱職位等級(讀公文等級,思考中?) 身份證字號(或護照號碼)先做hash再存入公鑰

試問:
伺服器問題是否以解決

--------------------
PPT進度在回覆回報一下

下一步?

2009-07-22T15:00:00.006+08:00

RFID:
因為若真的要用SK & PK 來認證的話
那麼原本要存進TAG&DB的　我們所給的ID(自動編號的0001,0002)之類的　這項可以去掉
再來留　SK PK各8　blocks來存
改存

1.USER NAME
2.LEVEL
3.UserMod
5.SK
6.PK(從資料庫存取資料的index)

其中5,6為後來再來執行
------------------------------------------------
DB的話
驗證方面的似乎要分開？

現在要先做的應該是做主程式從SERVER端讀取公文檔案
傳到本地端電腦這一塊
我們要就是讓他傳檔案到本地端電腦還是？
基本上我們一開始的想法是公文
公文並不能修改
所以並不需要做修改後回存這一部份的動作跟程式
但聽IC說法好像想要讓我們做可以修改回存...(?)

麻煩大家說一下意見吧？

----------------------------------
7/23更新

DB增加身份證字號 or 護照號碼 HASH後的值
(Varchar32) 存入
拿來當萬一TAG 被使用者弄丟的話
使用者可憑證件向公司申請補發一張新的TAG
同時重新讓認證中心重新發佈SK & PK

OpenCA

2009-07-21T18:24:00.005+08:00

好，既然無論如何都要加 PKI，那就硬幹看看。OpenCA 我們已經知道可以用來建立 CA 了，至於要怎麼用還不清楚。這裡有份 Live CD 的說明文件，可以下載 Live CD 直接以光碟開機啟動。

我不知道 X.509 憑證裡面寫了啥，不過如果真的只需要公鑰跟私鑰，他創一個這麼大的檔案要幹嘛？如果真的有辦法只取出公私鑰塞入 Tag，這樣不就變成單純的 RSA 機制？那 CA 的驗證等等還有用嗎？但這個機制避掉了 Tag 空間不夠，只存必要資訊的方法。(話說也沒人這樣做過？我們算先驅？)

另一種方法則是將憑證檔案也存放到 Server，統一保管 (注意這有被駭的安全性問題)，Tag內只存放索引，必要時調出憑證來確認。這個方法似乎避免掉了憑證檔不能存在 Tag 的問題，卻又引發了另一個問題。

伺服器機架問題，還未能正式上線。我希望下週就能搞定，就可以架設 OpenCA (+ OpenSSL, Apache HTTP Server 等)，現在只能找 Live CD 套著玩。

PKI目前結論

2009-07-15T11:09:00.007+08:00

該比賽有教學
跟套件可索取
這玩意兒是給
"智慧卡"用的
並不是用RFID

結論:...擱置
---------------------------------
7/16更新
RFID與PKI結合應用研究 < CYY的技術報告準備要去神出來(大家上)

PKI直接架構無法使用在RFID TAG(太耗空間)
PKI要參加比賽要用已知的PKI技術(不知CYY他們的技術報告可不可行)

資通 PKI 競賽第一屆電子報
亞軍：朝陽科大資工-「應用PKI為安全基礎的共享汽車系統」
RFID 搭配自然人憑證 (先以自然人憑證認證，再將憑證卡號綁定 Tag 的方式)，並非 Tag 內儲存 PKI 資訊，自己建立憑證中心。

交大資工
一系列工研院的 RFID 安全研究，提到 OpenCA 架設憑證中心自行發行憑證的可能性。

PKI技术在RFID标签数据安全中的应用 / 杨金国 - 计算机工程与设计, 2007
一篇大陸論文，因為無法存取所以無法知道更詳細的資料，只知道至少有人在研究這個領域。

RFID在产品防伪应用中的关键技术研究
有圖有真相

保密承諾書
參加ARES uPKI比賽要簽的賣身契，基本上就是uPKI是他們的機密，比賽完後就不可使用及流出。

部署 VMware ESXi Server 4 on IBM System x3550

2009-07-13T21:04:00.008+08:00

最後我選了 ESXi 作為虛擬化的方案。

第一：OpenVZ 基於一個 Linux，這個 OS 必須去維護它，我維護其他 OS 都嫌麻煩了；ESXi 是特化的 Linux 核心，幾乎不需維護 (定期注意系統更新即可)。

第二：OpenVZ 只能支援 Linux OS，因為它是 OS-Based 虛擬化的緣故；ESXi 使用 VMware 長久以來全虛擬化的結晶實作了一個半虛擬化的 Hypervisor 平台，可以運作多樣的 OS，當然也包含 Windows。

第三：這有點偏見，ESXi 安裝很簡單，OpenVZ 卻還要慢慢設定。

說了這麼多，最後我終於啟動了 System x3550，有如渦輪引擎的六具 6000 轉抽風扇瞬間轉起，那吵度真不是蓋的。卻發現它沒有 PS/2 插孔而只有 USB，因為手中沒有 USB 鍵盤所以只好又跑一趟電子街買一個 KIMYO NT$195 的 USB 陽春鍵盤。插上去後仔細看螢幕說明，按下 F1 按鍵進入 BIOS 設定，可以看到裝著兩顆 Intel Xeon E5405 2.0GHz、2GB 的記憶體及兩顆 SAS 167GB 硬碟。接著依指示按下 Ctrl + A 進入 RAID 管理。

我想 RAID 0 應該沒有勇者要試吧，這是伺服器耶。於是就選了 RAID 1 鏡像備份模式。建立完之後跳出設定，放入預先燒好的 ESXi 安裝光碟，開始安裝。

安裝過程沒什麼好說的，就是看指示按下對應按鈕，可能是 F8、F11 或 Enter 一直變換，大概是不想讓你一路跳過去吧。安裝過程根本沒難度，只是 ESXi 4 的安裝條件相當嚴苛，通常不能安裝都是卡在 RAID 卡或是網路卡不支援，這台 IBM System x3550 算是通過考驗了。安裝完成重開機，就進入 ESXi 介面。

介面什麼都沒有。總之先按下 F2 設定 root 密碼跟伺服器 IP 吧，成功輸入 IP、Subnet mask、Gateway和 DNS 後，就完成了網路設定。最後打開被封印的 SSH 遠端管理功能，這是一定要的 (參考文章)。過程中比較難的大概是 vi 指令，因為許久未碰都忘光了XD 按 a 進編輯模式，刪除註解的 # 字元，按下 Esc 跳出編輯模式，輸入 :wq (冒號: Shift + ;) 寫入並離開就大功告成，最後重開一下。

要管理必須透過 vSphere Client 連線 (可以 HTTP 連到伺服器 IP 有下載連結)，而且只有 Windows 版，怪。安裝完成後發現 Windows 7 RC 版不能登入，顯示 clients.xml 錯誤啥的。官方也有網友回報討論串，官方解答竟然是叫你用 7 的 XP Mode 執行，這真是我聽過最棒的回答法了，去你的。還好下面有強者提出解套法：去其他安裝 .NET 3.5 SP 的電腦上找 System.dll 複製，修改 VpxClient.exe.config 文件，使用 BAT 下環境變數執行，真的成功，真是太棒了。

最後就利用 GUI 登入，上傳作業系統 ISO 檔供虛擬系統安裝時使用，設定虛擬系統跟 VMware 其他產品非常像，這是最易上手的地方。最後啟動虛擬系統，按照安裝 OS 的步驟來安裝 (放入光碟、更改 BIOS 開機順序)，就大功告成。記得最後裝個 VMware Tools 來使系統更快更穩。

灌了一個 CentOS 5.3 版，跑看看再說。在 CentOS 的 eth0 設定使用手動 IP 設定，也可以取得固定 IP，有如另一台伺服器在線運作一般，真好玩。也可以 SSH 連進去管理。

架設機架式伺服器

2009-07-10T19:49:00.017+08:00

目前位在我們研究室的那台伺服器，是IBM出品的 System x3550(Intel Xeon E5405 2.0GHz x 2, 2GB DDR2 RAM)，這一台東西被擱置已經有半年以上了(NT$八萬多耶)，現在即將在一週內被安裝到機房內，並建構好作業環境。

順利的話，這台機器可以放在新蓋的社管大樓5F機房，佔用1U機架的空間，有備援電源跟冷氣照顧，應該比放在研究室好上很多。這方面還要看到時候有沒有辦法，畢竟只是說說。然後這台新機器確定要由三組團隊共用，我不相信三組人馬能好好的共處在一個作業環境下，所以我想將這台機器建立在虛擬化的技術上，讓每一組自己搞自己的那一塊。

例如有 OpenVZ 這種 OS-Based 半虛擬化技術，它是直接在 Linux Kernel 上動手腳，讓其他環境直接在機器上同時運作，並幾乎以一般的速度運作，因此其他虛擬私人伺服器 (Virtual Private Server, VPS) 所運行的作業系統只能是 Linux 了。

OpenVZ 必須先安裝 CentOS 4/5 或是 Fedora 系 Linux，才能在其上安裝 OpenVZ，目前 Wiki 有介紹如何下載 yum 套件安裝。另外架設完成後，Host OS必須使用 OpenVZ 預先準備好的包裝來建置，不過有非常多的Distributuion 可選擇，Ubuntu 什麼的都可以用，放到/vz/template/cache即可。

OpenVZ 搭配 HyperVM 的網頁式管理介面應該是最好的了，安裝也很容易。

發現有包裝好的 OS + OpenVZ + Web管理包：Proxmox VE，它同時也包進了QEMU全虛擬化環境，可以運作 Windows (慢)，如果要選 OpenVZ 方案我會用這個整合包來安裝。

另一個方案是 VMware ESXi Server 半虛擬化技術，這套軟體是商業軟體免費化。相關文章。唯一的不同是這套可以支援許多 OS，連 Windows 都有，但整體效率應該比 OpenVZ 來的差一點吧。優點是他跟我們平常接觸的全虛擬化環境 (例如 Virtual PC, VMware, VirtualBox) 非常接近，但由於是建購在半虛擬化技術上，速度比較快。

VMware ESXi 需要搭配專用的連線程式連到主機去佈置 Host OS，不知道有沒有多帳號可以分開管理就是了。

07/13 編輯：有多帳號，但是似乎沒有辦法讓每個人自己只管自己的 VM，而是一次給予所有 VM 的修改權限？也就是我可以改你的，這太不好了，我再研究看看。
---
相關文獻

http://wiki.centos.org/HowTos/Virtualization/OpenVZ
http://www.linuxfly.org/post/307/
http://phorum.study-area.org/index.php/board,39.0.html
http://blog.s5x.tw/log/2009/04/enable-ssh-on-esxi.html

PKI

2009-07-10T14:34:00.005+08:00

PKI(Public Key Infrastructure;公開金鑰基礎建設)

何謂PKI?
提供在電腦網路運作的個人資料、商務與商業能夠如同信封簽章與封印般的技術。
密碼學上，藉著憑證管理中心（CA）將使用者的個人身分跟公開金鑰鏈結在一起。

PKI所能達到的目標?
機密性、真確性、驗證性、不可否認性

PKI概念介紹(PDF)

資通PKI應用競賽歡迎來PK!

ARES uPKI套件是免費提供的 (在這個比賽)，但是它好像是用在 SmartCard 上，RFID上不知可不可行。

職位等級該取得之資料分級方法

2009-07-09T11:21:00.004+08:00

今天討論後
由依等級不同分存在不同等級的資料夾
所以依不同等級建立不同資料夾來存

ex:


Level 1	Level 2	Level 3

如圖
各level資料夾更放著不等level的該取得的訊息等

C# 迴圈 vs 遞迴

2009-07-08T14:53:00.002+08:00

剛剛想要驗證書上說
遞迴比迴圈有效率(我覺得他在唬爛...)
於是用程式run看看
有鑑於電腦跑起來速度我感覺不出來...
依java經驗(?)來講
當然是迴圈快
只好拜咕大神
沒有看見遞迴比迴圈有效率的說法(除了特殊情況下)

雖然遞迴就結構上比較直覺

但對我來說就程式邏輯而言還是迴圈比較好想
而在效率上也是迴圈比較好
Visual C# 2005 精要剖析書上是錯的
不要相信它= =a

C# Delegate 委派使用方法

2009-07-08T11:37:00.009+08:00

之前講到委派 (Delegate)，當時不清楚做法。查了一些資料後，大概了解它是一個代理者的角色，代替你執行你要執行的方法。例如說你可以手動打開電視開關來收看電視，也可以利用電視遙控器 (代理者) 來幫你執行打開電視的工作。

C# 提供 delegate 修飾子來宣告一個委派方法：

public delegate String getNameDelegate(String n);

委派方法的參數個數、順序、型態乃至於回傳型態都必須跟要被委派的方法一樣 (但變數名稱可以不相同)。下面是我們要委派這個 getNameDelegate 方法呼叫的一個方法：

public static String getName(String name){
    return "g1: " + name;
}

所以我們把 getName 想成打開電視機，getNameDelegate 當作遙控器，這樣可以多少理解吧？

要呼叫委派方法，有許多方法，隨著 C# 版本的演進已經越來越方便，就從最複雜的開始說起吧。

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;

namespace ConsoleApplication1 {
    class Program {
        public delegate String getNameDelegate(String n);

        static void Main(string[] args) {
            getNameDelegate g0 = new getNameDelegate(getName);
            getNameDelegate g1 = getName;
            getNameDelegate g2 = delegate(String n) { return "g2: " + n; };
            getNameDelegate g3 = n => "g3: " + n;

            Console.WriteLine(g0("0"));
            Console.WriteLine(g1("1"));
            Console.WriteLine(g2("2"));
            Console.WriteLine(g3("3"));
            Console.ReadKey();
        }

        public static String getName(String name){
            return "g1: " + name;
        }
    }
}

首先是 getNameDelegate g0 = new getNameDelegate(getName); 這段，這是最早的方法。你就將 getNameDelegate 給實體化，並在其建構元上指定要代為執行的方法 (如 getName) 就可以了。

因為這樣太麻煩，所以後來的 C# 支援這種寫法：getNameDelegate g1 = getName; 是不是更直覺呢？

C# 2.0 中，增加了匿名方法的建立，像我們的 getName 這麼簡單的一行，可以簡化為
getNameDelegate g2 = delegate(String n) { return "g2: " + n; };
這樣，利用 delegate(){ } 來定義匿名方法。

C# 3.0 中，更以 Lambda 運算式取代匿名方法，一行 getNameDelegate g3 = n => "g3: " + n; 輕鬆打發。 n => "g3: " + n; 就是所謂的 Lambda 運算式。例如 x => x * x 就是「傳入 x，執行 x * x 並回傳」。

最後準備好 g1 等委派物件後，就可以開始執行了。執行的方式有兩種，一種是 g1.Invoke(); 來引發，另一種是更為直覺的 g1(); 直接執行。

這麼看起來委派只是代為執行，並沒有什麼好用的感覺啊。像上面的例子，我大可直接呼叫 getName() 就好，為什麼還要繞一圈以 getNameDelegate 包裝起來再呼叫呢？脫褲子放屁嗎？

getNameDelegate g1 = getName;
g1("Scribe");

getName("Scribe");

They're the same!

雖然我現在還搞不懂委派有什麼好的，不過我發現委派他可以一次呼叫代為多個方法，這樣就比較有用多了。例如我按下遙控器的開關，就可以幫我把電視、冷氣、電燈等開關一次打開，不是很方便嗎？所以下面要教你怎麼一次委派多個方法。

using System;

namespace ConsoleApplication1 {
    class Program {
        public delegate void consoleDelegate(String txt);
        public delegate void printNameDelegate(String n, consoleDelegate p);

        static void Main(string[] args) {
            var g0 = new printNameDelegate(printName);
            g0 += delegate(String n, consoleDelegate p) { p("Call from anonymous func: " + n); };
            g0 += (n, p) => p("Call from Lambda: " + n);

            g0("scribe", print2Console);
            Console.ReadKey();
        }

        public static void printName(String name, consoleDelegate p) {
            p(name);
        }

        public static void print2Console(String txt){
            Console.WriteLine(txt);
        }
    }
}

Result:

scribe
Call from anonymous func: scribe
Call from Lambda: scribe

var g0 = new printNameDelegate(printName);
g0 += delegate(String n, consoleDelegate p) { p("Call from anonymous func: " + n); };
g0 += (n, p) => p("Call from Lambda: " + n);

上面三行分別以不同的方式創造出委派物件，跟上面範例的不同點是以 += 串接，讓 g0 一次代理多個方法，最後再一次執行。所以 g0() 的結果有三行。這樣就可以呼叫一個委派物件，同時作數件事情了。

值得一提的是本範例用了兩個 delegate，其中一個用在 print2Console 上，讓其他方法能夠叫用。printName 第二個參數就是 delegate，其實很像是方法的指標之類的。(因為不可以直接指定第二個變數型別為 print2Console，所以使用委派方式)

我比較喜歡 delegate{} 建立匿名方法跟直接使用 () 來呼叫委派物件，你呢？

參考資料：C# 筆記：重訪委派－從 C# 1.0 到 2.0 到 3.0

在 WPF Application 中使用 Timer

2009-07-07T15:47:00.004+08:00

一般來說在 Windows Forms 程式可以使用工具箱的 Timer (System.Windows.Forms) 來進行，另外也有更為精確的 System.Timers.Timer 可以用。但是在 Windows Presentation Foundation 應用程式中，沒有辦法使用 System.Windows.Forms.Timer，而 System.Timers.Timer 雖然仍可以使用，但是在時間觸發的事件中如果你去修改 UI 控制項的文字等等，會警告你只有擁有 UI 控制項的執行緒可以修改屬性。要解決這個方法可以用 Delegate 委派方法，但是這是 C# 的新玩意，Java沒有這種東西，所以不太懂。另一個方法是設定 Timer 的 SynchronizingObject 屬性，讓這個獨立的執行緒跟 UI 執行緒屬於同一個，但是 WPF 程式的頂層 Window 沒有實作 ISynchronizeInvoke 介面的樣子，所以無法使用。

System.Windows.Forms.Timer:
Windows Forms 程式用
計時執行緒跟 UI 執行緒是同一個 (或者說根本只有一個執行緒)
可能造成主畫面沒有反應的狀況 (因為相同執行緒的關係)

System.Timers.Timer:
所有 .NET 程式皆可使用
計時執行緒跟 UI 執行緒是不同個 (因此有執行緒同步問題)
不會造成主畫面沒有反應的情況

於是拜 Google 大神，得到了 System.Windows.Threading.DispatcherTimer 這個物件，可以用在 WPF 程式上，而且它所產生的執行緒跟擁有 UI 的執行緒是同一個，就不必擔心無法修改的問題。

private void btnTimer_Click(object sender, RoutedEventArgs e) {
    // 設定 Timer 以自動讀取
    DispatcherTimer t = new DispatcherTimer();
    t.Tick += new EventHandler(t_Elapsed);
    t.Interval = new TimeSpan(1000000);
    t.Start();
}

private void t_Elapsed(object sender, EventArgs e) {
    // ... do something...
}

值得注意的是 TimeSpan 建構元接受的數字是 100 奈秒單位，上面的 1000000 為 100 毫秒的意思。

System.Windows.Threading.DispatcherTimer:
所有 .NET 程式皆可使用
計時執行緒位於 Dispatcher 佇列之中，可以存取 UI 控制項
不會造成主畫面沒有反應的情況 (未測試，可能是因為統一由 Dispatcher 管理)

DB&RFID所存資料

2009-07-07T11:03:00.003+08:00

目前想到的暫定版應該是這樣

大家有意見或有問題請講~~~~

關於在 VS 中為網頁嵌入式件處理程序的方~法

2009-07-06T14:20:00.004+08:00

在 VS 當中, 對於在專案理加入事件處理程序.

有幾種方式.

首先 A) 就是直接寫在其附屬的 C# 檔中;

如下例:

在右邊的這個欄位中選擇 *.cs 檔,

直接在其中加入 function.

整體跟 java 有一定程度的相似度.

不然的話,

可以用方法 B) , 另外新增一個 *.js 檔.

這樣的話就跟撰寫一般 javascript 檔的寫法就一模一樣了. 嘿嘿.

以上這兩個方法都可以使用.

程式存取部分簡圖

2009-07-06T14:12:00.002+08:00

嗯...如果沒理解錯誤的話

我們的基本運作方式(終端電腦省略掉了還是也要畫上去呢~?)

算第一張簡圖吧~比之前我們討論時的還簡略了不少

.NET 字串轉 Byte 、Byte 轉字串解法

2009-07-03T15:46:00.005+08:00

因為 RFID 的 Block 讀寫是採用低階的 byte，一般使用不太可能直接使用 byte 而會是 String 一類的東西，是故我們必須學會如何把字串轉成 byte，反過來 byte 轉成 String 的方法。

"張京介" → Write to Block Ｘ
"張京介" → Convert to byte[] → {177, 105, 168, 202, 164, 182} → Write to Block Ｏ

.NET Framework 的 System.Text.Encoding 類別庫提供一系列的字碼頁轉換方式，其中有 Default (環境預設編碼，例如正體中文便是 Big5)、UTF7、UTF8、Unicode (UTF-16)、UTF32、ASCII 等編碼。要把字串變成 byte，則可以使用 GetBytes() 方法，以下是例子：

using System.Text;

String name = "張京介";
Encoding.UTF8.GetBytes(name); // {229, 188, 181, 228, 186, 172, 228, 187, 139}
Encoding.Default.GetBytes(name); // {177, 105, 168, 202, 164, 182}
Encoding.Unicode.GetBytes(name); // {53, 95, 172, 78, 203, 78}

要從 byte 轉回來，也有 GetString() 方法可以用，細節就不再說明。

MySQL Prepare() 使用法 + UTF-8 亂碼解決

2009-07-02T14:35:00.004+08:00

MySqlCommand 提供的 Prepare() 可以讓你避免自行組合字串的不便性和 SQL Injection 的防止。前面提到過 21.2.4.6 節有範例可以參考。

MySqlConnection conn = new MySqlConnection("server=localhost;user=root;database=test;port=3306;charset=utf8;");
MySqlCommand cmd = new MySqlCommand("INSERT INTO test VALUES (@ID, @Name)", conn);
cmd.Prepare();
cmd.Parameters.Add("@ID", MySqlDbType.Int16);
cmd.Parameters.Add("@Name", MySqlDbType.String);

for(int i = 6; i < 10; i++){
    cmd.Parameters["@ID"].Value = i;
    cmd.Parameters["@Name"].Value = "修羅パンツ" + i.ToString();
    cmd.ExecuteNonQuery();
}

只要下好 SQL Command 後呼叫 Prepare()，再塞入 Parameters，最後 Execute 就可以完成了。這邊範例是先定義好 Parameters 的型態 (ID 是整數、Name 是字串)後，利用迴圈批次新增資料 (Parameters["@ID"].Value) 再呼叫 ExecuteNonQuery 新增，就可以達成重複使用。

另外，如果在 Connection String 時沒有設定 charset=utf8 (注意是 utf8 不是 utf-8！)，寫入時會預設使用 iso-8859-1 (Latin1) 來寫入，非英數字就會變成 ???。另外新增 MySQL 資料表時，Table 跟每個欄位也要設定使用 utf8 (utf8_general_ci) 這樣讀寫才會正常。

總結，要排除亂碼，在 MySQL 資料表要設定為 utf8 外，程式建立連線時也要明顯定義 charset=utf8 才可以。

silverlight 的安裝 & 開發環境. 啾咪

2009-07-02T11:26:00.005+08:00

首先哩,

silverlight 可以直接用 VS 2008 來編寫

她可以看做是 wpf 的子集合

基本程式撰寫方式也很像

所以只要熟一種, 另一種可以很快上手.

接下來,

就來簡單的說一下如何開始屬於你/妳的銀光之旅

================================

第一步是如何安裝.

說到要寫一個銀光程式,

現在一般業界有幾種來寫她的方法.

有人用 M$ 出的 expression Blend 來寫 ( 要$

也有人用記事本就幹出來. ( 不用$ 但是要你的肝 & 大量時間

當然,

個人最推薦的還是免費的 VS 2008 來玩.

要在 vs 2008 上來建立編譯環境的話,

你需要的是以下東西.

A) VS 2008. [include C#, web developer.]

B) 將 VS update 到 SP1.

C) 下載 M$ 的 silverlight tool.
這是一種插件, 安裝之後就可以在 VS 中開啟屬於你/妳的銀光專案.

* 這裡要注意的是, 如果你/妳 A)裝的中文版, C) 也要裝中文版喔.

裝完之後就可以在建立專案的時候看到這樣的圖:

這樣就可以來玩你/妳的銀光專案了.

先到這裡, 有新心得再 po . 啾咪.

這裡有個官方的教學 blog, 還不錯.

有興趣可以參考一下.

http://www.microsoft.com/taiwan/msdn/silverlightnet/GetStarted/default.aspx

MySQL Connector/Net 使用法

2009-07-02T11:21:00.008+08:00

1. 安裝 MySQL Connector/Net (參考文章)
2. 開啟 Visual C# 2008，將 MySql.Data 加入物件瀏覽器的自訂元件集(編輯自訂元件集)，在.NET分頁可以找到 MySql.Data。

3. 在專案要先「參考」MySql.Data才能在專案中使用，快速新增參考的方式很簡單，在 2. 項中我們已經新增了 MySql.Data，只要選取後按下圖中的按鈕就可以快速加入參考。

4. 以下是連接 MySQL 資料庫的範例程式碼：

using System;
using System.Windows.Forms;
using MySql.Data.MySqlClient;


namespace WindowsFormsApplication1 {
    public partial class Form1 : Form {
        public Form1() {
            InitializeComponent();
        }

        private void Form1_Load(object sender, EventArgs e) {
            MySqlConnection conn = new MySqlConnection("server=localhost;user=root;database=test;port=3306;charset=utf8;");
            try {
                conn.Open();
                MySqlCommand cmd = new MySqlCommand("SELECT * FROM test", conn);
                MySqlDataReader rdr = cmd.ExecuteReader();

                while(rdr.Read()) {
                    this.label1.Text += rdr[0] + " -- " + rdr[1] + "\n";
                }

                rdr.Close();
                conn.Close();
            } catch(Exception ex) {
                MessageBox.Show(ex.ToString());
            }
        }
    }
}

Form1 有個 Label 叫做 label1，作為顯示資料庫的項目用。

.NET Framework 類別庫

2009-07-01T22:18:00.001+08:00

雖然 Visual Studio 有內建整個文件了，但網路上的版本說不定比較新比較好。

這是 .NET Framework 3.5的文件：點此開啟。跟 Java API References 一樣，屬於必讀的內容。

C# 連接 MySQL 資料庫

2009-07-01T21:54:00.004+08:00

我們寫的系統預定會連接後端資料庫，是故一定要知道怎麼用程式連接。因為我們選的是 .NET 平台，又因為 .NET 特性，只要函式庫支援 .NET，所有 .NET 語言都可以使用它。所以說 RFID 廠商提供的 .NET 函式庫我們可以在 VB.NET, VC#, VC++ 等語言使用。同樣的，MySQL官方網站有給 .NET 平台的 Connector 可以用：下載網址。

沒解讀錯誤的話，這個套件使用 GPL 授權，這意味著使用的程式也要以 GPL 授權嗎？這值得玩味。

另外這個 Connector 有 Manual：點此開啟，連結的是 MySQL 5.1 版的文件，但應該相去不遠。

21.2.4 節才開始教你如何建立 MySQL 連線並取得資料，這是寫程式時會用到的部分。

為了防止自行組合 SQL 字串而給駭客有 SQL Injection 隱碼攻擊的機會，很多函式庫會提供 PreparedStatement 等類似的方式來幫助程式設計師來組合字串。MySQL Connector/Net 也不例外，21.2.4.6 節有提到使用 Prepare() 方法。

其他等遇到再說。

C# 連接 RFID 開發工具

2009-07-01T21:45:00.004+08:00

一般來說 RFID 開發工具會有讀卡機、幾張卡片 (Tag)，就沒了。好一點的廠商會附送沒啥用的 Manual 和 Demo，但真正重要的還是 SDK。如果沒有 SDK 你知道要怎麼要求讀卡機讀取嗎？

據我研究，讀卡機利用 COM Port 與電腦以序列埠 (Serial Port) 連結，你只要開啟連線，丟封包給讀卡機，再解讀讀卡機丟回來的封包，就能完成工作。但封包的詳細規格因讀卡機的實作而有不同，我們手上的是 MIFARE 卡，也有書提到如何寫封包。但有輪子的話，何必自己造呢？沒錯，就是 SDK。我們透過廠商拿到了給 .NET 平台的函式庫，只要呼叫預先寫好的方法，就能順利跟讀卡機對談，輕鬆又方便。

當然，你也可以不使用函式庫，直接生成指定格式的封包以 Serial Port 通訊與讀卡機連線，但既然有更方便的方案，為何不使用呢？

Microsoft Visual Studio.NET 2008 Express Edition

2009-07-01T21:31:00.003+08:00

我們的畢業專題將會採用 Microsoft 提供的免費開發工具 Visual Studio.NET 2008 Express Edition 來設計，其中 Visual C# 是我們選定的程式語言，因為它近似 Java，對於學過 Java 的我們來說，應該是最快上手的語言了。為什麼不選 VB.NET 的原因是本人認為 VB 的語言結構不夠物件導向，只是單純的硬塞的感覺，這只是本人自 VB6 所得來的印象。

因為要一次為每個成員都建置好環境，一般提供的線上安裝檔自然就不合用。還好有提供離線安裝 ISO 檔，可以下載後直接以虛擬光碟掛載安裝，十分省事。下載映像檔的地方在這裡，下方的 Offline Install 即可選擇語系並下載。

繁體中文版含 SP1 映像檔檔案大小：943MB。