IPsec初始化

最新推荐文章于 2023-12-23 16:48:50 发布
最新推荐文章于 2023-12-23 16:48:50 发布
阅读量590 收藏
点赞数 1
分类专栏: 网络 安全 IPsec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/city_of_skey/article/details/86586382
版权
网络 同时被 3 个专栏收录
57 篇文章 11 订阅
订阅专栏
安全
6 篇文章 1 订阅
订阅专栏
IPsec
4 篇文章 1 订阅
订阅专栏

版权声明:如有需要,可供转载,但请注明出处:https://blog.csdn.net/City_of_skey/article/details/86586382

目录

1、简介

2、状态初始化

3、策略初始化

4、输入初始化

1、简介

IPsec的初始化主要包括三部分:状态初始化、策略初始化、输入初始化。初始化函数是xfrm_init

void __init xfrm_init(void)
{
	register_pernet_subsys(&xfrm_net_ops);
	/*输入初始化*/
	xfrm_input_init();
}

xfrm_net_ops结构体:

static struct pernet_operations __net_initdata xfrm_net_ops = {
	.init = xfrm_net_init,
	.exit = xfrm_net_exit,
};

xfrm_net_init函数:

static int __net_init xfrm_net_init(struct net *net)
{
	int rv;

	rv = xfrm_statistics_init(net);
	if (rv < 0)
		goto out_statistics;
	/*状态初始化*/
	rv = xfrm_state_init(net);
	if (rv < 0)
		goto out_state;
	/*策略初始化*/
	rv = xfrm_policy_init(net);
	if (rv < 0)
		goto out_policy;
	xfrm_dst_ops_init(net);
	rv = xfrm_sysctl_init(net);
	if (rv < 0)
		goto out_sysctl;
	return 0;

out_sysctl:
	xfrm_policy_fini(net);
out_policy:
	xfrm_state_fini(net);
out_state:
	xfrm_statistics_fini(net);
out_statistics:
	return rv;
}

 

2、状态初始化

状态初始化函数是xfrm_state_init,主要的工作是初始化源ip、目的ip、spi三个哈希表,初始化工作队列

int __net_init xfrm_state_init(struct net *net)
{
	unsigned int sz;

	INIT_LIST_HEAD(&net->xfrm.state_all);

	/*哈希表初始默认长度是8*/
	sz = sizeof(struct hlist_head) * 8;

	/*初始化目的ip、源ip、spi三个哈希表*/
	net->xfrm.state_bydst = xfrm_hash_alloc(sz);
	if (!net->xfrm.state_bydst)
		goto out_bydst;
	net->xfrm.state_bysrc = xfrm_hash_alloc(sz);
	if (!net->xfrm.state_bysrc)
		goto out_bysrc;
	net->xfrm.state_byspi = xfrm_hash_alloc(sz);
	if (!net->xfrm.state_byspi)
		goto out_byspi;
	net->xfrm.state_hmask = ((sz / sizeof(struct hlist_head)) - 1);

	net->xfrm.state_num = 0;
	INIT_WORK(&net->xfrm.state_hash_work, xfrm_hash_resize);
	INIT_HLIST_HEAD(&net->xfrm.state_gc_list);
	/*初始化工作队列*/
	INIT_WORK(&net->xfrm.state_gc_work, xfrm_state_gc_task);
	init_waitqueue_head(&net->xfrm.km_waitq);
	return 0;

out_byspi:
	xfrm_hash_free(net->xfrm.state_bysrc, sz);
out_bysrc:
	xfrm_hash_free(net->xfrm.state_bydst, sz);
out_bydst:
	return -ENOMEM;
}

3、策略初始化

策略初始化主要做了三件事情

1、给xfrm_dst分配内核cache

2、给输入、输出、转发三个节点,两个方向初始化

3、注册网卡改变通知事件

static int __net_init xfrm_policy_init(struct net *net)
{
	unsigned int hmask, sz;
	int dir;

	if (net_eq(net, &init_net))
		/*给xfrm_dst分配一个内核cache*/
		xfrm_dst_cache = kmem_cache_create("xfrm_dst_cache",
					   sizeof(struct xfrm_dst),
					   0, SLAB_HWCACHE_ALIGN|SLAB_PANIC,
					   NULL);

	hmask = 8 - 1;
	sz = (hmask+1) * sizeof(struct hlist_head);

	/*给index分配哈希表,初始长度是8*/
	net->xfrm.policy_byidx = xfrm_hash_alloc(sz);
	if (!net->xfrm.policy_byidx)
		goto out_byidx;
	net->xfrm.policy_idx_hmask = hmask;

	/*输入、输出、转发三个节点初始,两个方向*/
	for (dir = 0; dir < XFRM_POLICY_MAX * 2; dir++) {
		struct xfrm_policy_hash *htab;

		net->xfrm.policy_count[dir] = 0;
		INIT_HLIST_HEAD(&net->xfrm.policy_inexact[dir]);

		htab = &net->xfrm.policy_bydst[dir];
		htab->table = xfrm_hash_alloc(sz);
		if (!htab->table)
			goto out_bydst;
		htab->hmask = hmask;
	}

	INIT_LIST_HEAD(&net->xfrm.policy_all);
	/*初始化策略队列*/
	INIT_WORK(&net->xfrm.policy_hash_work, xfrm_hash_resize);
	if (net_eq(net, &init_net))
		/*注册网卡通知处理事件*/
		register_netdevice_notifier(&xfrm_dev_notifier);
	return 0;

out_bydst:
	for (dir--; dir >= 0; dir--) {
		struct xfrm_policy_hash *htab;

		htab = &net->xfrm.policy_bydst[dir];
		xfrm_hash_free(htab->table, sz);
	}
	xfrm_hash_free(net->xfrm.policy_byidx, sz);
out_byidx:
	return -ENOMEM;
}

xfrm_dev_notifier结构体:

static struct notifier_block xfrm_dev_notifier = {
	.notifier_call	= xfrm_dev_event,
};

xfrm_dev_event:

static int xfrm_dev_event(struct notifier_block *this, unsigned long event, void *ptr)
{
	struct net_device *dev = ptr;

	switch (event) {
	case NETDEV_DOWN:
		/*网卡down删除工作*/
		__xfrm_garbage_collect(dev_net(dev));
	}
	return NOTIFY_DONE;
}

4、输入初始化

xfrm_input_init是输入初始化,主要是分配struct sec_patch内核cache,对输入的数据包做层层解密,sk_buff结构体中的sp指针如果是非空表示解密后的数据包。

void __init xfrm_input_init(void)
{
	/*分配sec_path内核cache*/
	secpath_cachep = kmem_cache_create("secpath_cache",
					   sizeof(struct sec_path),
					   0, SLAB_HWCACHE_ALIGN|SLAB_PANIC,
					   NULL);
}

 

TCH_world
关注
专栏目录
华为防火墙初始化配置与高级配置
悦分享
07-18 1463
防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙。...
IPSec介绍
热门推荐
NEUChords的博客
06-20 24万+
IPSec VPN介绍(上)1.IPSEC协议簇安全框架a.IPSec VPN简介b.IPSec协议族2.IPSEC工作模式a.传输模式(Transport mode)b.隧道模式(Tunnel mode)3.IPSEC通信协议a.AH协议b.ESP协议c.AH和ESP对比4.IPSEC建立阶段a.IKE协商阶段 1.IPSEC协议簇安全框架 a.IPSec VPN简介 IPSec(Interne...
ipsec 加密流程(二):ipsec初始化操作
遇见你是我最美丽的意外
11-22 5899
《openswan》专栏系列文章主要是记录openswan源码学习过程中的笔记。 Author : Toney Email : vip_13031075266@163.com Date : 2020.11.22 Copyright:未经同意不得转载!!! Version : openswan-2.6.51.5 Reference:https://download.openswan.org/openswan/ 1. 加...
TCP/IP协议及IPSEC初始化流程
sordyz的专栏
01-05 990
首先来个整体的Big picture ipsec的内核部分实现涉及到下面的若干文件 net/ipv4目录下的ah4.c esp4.c 以及xfrm4_XX.c net/xfrm 目录下的文件 未完待续
在本地计算机无法启动ipsec services 服务,IPSec服务无法启动的解决方法
weixin_36362920的博客
07-04 2511
该楼层疑似违规已被系统折叠隐藏此楼查看此楼ipsec services服务无法启动的问题解决方法:1、打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Fips. .确认"Start"的值为1,如果不是的话将其改为1重启!2、ipsec加密安全驱动导致无法启动服务的,用下面reg导入后重启!Windows Registry Ed...
基于内核4.19版本的XFRM框架
日积月累
01-29 1051
XFRM框架
linux xfrm网络框架,Linux网络子系统安全性模块详细分析之文件xfrm_state.c
weixin_36015177的博客
05-12 376
原标题:Linux网络子系统安全性模块详细分析之文件xfrm_state.c2.4.4.6 核心代码注释该文件中xfrm_state_find( )函数涉及的原理较多,此处对其进行简要的注释。struct xfrm_state * xfrm_state_find(const xfrm_address_t *daddr, const xfrm_address_t *saddr, const stru...
一个IPSec在Linux平台上的实现框架.pdf
09-07
IPSec 的原型包括 IPSec 初始化IPSec 连接建立、IPSec 数据传输和 IPSec 连接关闭等过程。在核心的嵌入点包括 IPSec 模块的加载、IPSec 策略的配置、IPSec 关联的建立和 IPSec 数据的传输等过程。 本文提出了一种...
ipsec内核实现分析
07-04
在内核协议栈初始化过程中,会调用xfrm的初始化函数,如xfrm_init()和xfrm4_init()等。内核中的SPD/SAD(安全策略数据库/安全联盟数据库)用于维护策略和状态的链表集合,是策略检查和匹配以及SA获取的重要基础。 ...
DPDK:ipsec-secgw(安全网关)
hhd1988的专栏
04-25 2082
安全策略(SP)用ACL规则实现,安全关联(SA)存储在一个表,路由是通过LPM实现。
DPDK峰会:Accelerate VPP Workload with DPDK Cryptodev Framework.pdf
12-04
DDPDK技术峰会PPT讲稿分享,DPDK开发者大会讲稿分享,演讲者英特尔资深工程师,该文档讨论了DPDK框架中的Cryptodev,如何在VPP/IPSec方案中使用Cryptodev,以及使用Intel QAT时的性能测量:Accelerate VPP Workload with DPDK Cryptodev Framework – Fan Zhang @ Intel
dpdk-ipsec-secgw 【dpdk20.11】
最新发布
zhangyikuaile的博客
12-23 579
【代码】dpdk-ipsec-secgw 【dpdk20.11】
网络命令空间inet_net
zhangwenxinzck的博客
07-17 833
在__register_pernet_operations中把注册的ops挂载到全局链表,并遍历系统中现有的网络命名空间进行子系统初始化操作,之所有要遍历所有的子系统,是因为操作系统中很多都是模块化的,在系统运行一段时候后才加载,这样有些命名空间在子系统加载前就创建好了,因此要对现存的所有网络命名空间进行初始化操作(init_net的子系统的初始化也在这进行)。1)创建网络命名空间的内存池(以后创建新的网络命名空间时,申请新的structnet结构的内存就是用这个内存池中的内存)...
ipsec ip替换_使用脚本添加IP安全策略 ipsec
weixin_39782709的博客
12-20 236
1使用脚本添加IP安全策略ipsec用windows的IP安全策略可以为我们机器起一个功能弱但是够用的防火墙,特别是在装机过程中,不需借助其他软件就很好地保护了系统。我的装机过程一般是先拔网线,安装系统,然后起IP安全策略或者iptables,接着开始打补丁。一般能用脚本的我都推荐使用脚本,脚本是可重用的,而且编辑脚本比用gui方便。本文将给出在win2k和win2k3下的2个IP安全策略脚本模版...
修复IPSEC Services服务无法启动的问题
他的专栏
02-13 9835
采用修复Winsock方法将IPSEC Services服务修复后,系统正常. 开始>运行 输入:CMD 在窗口中输入:netsh winsock reset
IPSEC建立过程
时九博客
10-27 8365
IPSEC建立过程如下: 详细参考3GPP     33.402        IKEv2 协议由两个阶段的交互过程组成。第一阶段称为 IKE_SA_INIT 交换,第二阶段称为 IKE_AUTH 交换  IKE_SA_INIT:确认对方使用的算法、产生密钥   ---交换SA(加密、完保算法、伪随机数生成函数)、KE(DH算法)----鉴权四元组   IKE_AUTH:身份验证、分配IP、
内核IPSec代码中xfrm_input.c中关于kmem_cache_alloc的使用分析
Macross的专栏
03-07 1606
基本知识:在内核编程中,可能经常会有一些数据结构需要反复使用和释放,按照通常的思路,可能是使用kmalloc和kfree来实现。但是这种方式效率不高,Linux为我们提供了更加高效的方法——Slab高速缓存管理器。动态创建固定大小的内存对象,虽然kmalloc的时间复杂度并不大,但是联系到空间复杂度,还是采用kmem_cache_alloc的好;而非固定大小的内存申请,只能经由km
linux xfrm网络框架,Linux2.6中xfrm框架的dst_output的处理过程
weixin_39994461的博客
05-12 328
Linux内核中ipsec的dst_output处理过程,当执行第一个dst_output时,这时会进入 xfrm4_outpot,下面是这个函数的代码:int xfrm4_output(struct sk_buff *skb){return NF_HOOK_COND(PF_INET, NF_IP_POST_ROUTING, skb, NULL, skb->dst->dev,xfrm4...
Linux内核xfrm:初始化状态与ESP封装详解
初始化状态在Linux的IPSec框架XFRM中起着至关重要的作用,尤其是在隧道模式的封装过程中。xfrm_init_state()函数负责在xfrm_state结构被xfrm_state_alloc()分配后,对其中的参数进行详细初始化。这个过程涉及到了几...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值