Linux内核中PF_KEY协议族的实现(4)

最新推荐文章于 2021-05-14 02:55:57 发布
最新推荐文章于 2021-05-14 02:55:57 发布
阅读量613 收藏 1
点赞数
分类专栏: linux转载 文章标签: Linux 网络协议 XP EXT C#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxw06023273/article/details/83809491
版权
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn 

6. 通知回调处理

6.1 初始化
在pf_key的初始化函数中定义了通知回调结构pfkeyv2_mgr:
 err = xfrm_register_km(&pfkeyv2_mgr);
该结构定义如下:
static struct xfrm_mgr pfkeyv2_mgr =
{
 .id  = "pfkeyv2",
 .notify  = pfkey_send_notify,
 .acquire = pfkey_send_acquire,
 .compile_policy = pfkey_compile_policy,
 .new_mapping = pfkey_send_new_mapping,
 .notify_policy = pfkey_send_policy_notify,
};

6.2 登记
/*  net/xfrm/xfrm_state.c */
// 就是把xfrm_mgr结构挂接到xfrm_km_list链表
int xfrm_register_km(struct xfrm_mgr *km)
{
 write_lock_bh(&xfrm_km_lock);
// 将结构挂接到xfrm_km_list链表
 list_add_tail(&km->list, &xfrm_km_list);
 write_unlock_bh(&xfrm_km_lock);
 return 0;
}
EXPORT_SYMBOL(xfrm_register_km);

6.3 发送通知
在pf_key中调用以下两个函数来调用通知回调函数, 分别针对安全策略操作和SA操作:
// 安全策略通知回调
void km_policy_notify(struct xfrm_policy *xp, int dir, struct km_event *c)
{
 struct xfrm_mgr *km;
 read_lock(&xfrm_km_lock);
// 状态的通知回调函数为notify_policy
 list_for_each_entry(km, &xfrm_km_list, list)
  if (km->notify_policy)
   km->notify_policy(xp, dir, c);
 read_unlock(&xfrm_km_lock);
}
// SA状态通知回调
void km_state_notify(struct xfrm_state *x, struct km_event *c)
{
 struct xfrm_mgr *km;
 read_lock(&xfrm_km_lock);
// 状态的通知回调函数为notify
 list_for_each_entry(km, &xfrm_km_list, list)
  if (km->notify)
   km->notify(x, c);
 read_unlock(&xfrm_km_lock);
}

调用这些通知函数前要填写事件的相关参数, 如:
static int pfkey_flush(struct sock *sk, struct sk_buff *skb, struct sadb_msg *hdr, void **ext_hdrs)
{
 unsigned proto;
 struct km_event c;
 proto = pfkey_satype2proto(hdr->sadb_msg_satype);
 if (proto == 0)
  return -EINVAL;
 xfrm_state_flush(proto);
// 填写事件参数
// 协议
 c.data.proto = proto;
// 序列号
 c.seq = hdr->sadb_msg_seq;
// sock对方(用户空间进程)的pid
 c.pid = hdr->sadb_msg_pid;
// 事件
 c.event = XFRM_MSG_FLUSHSA;
 km_state_notify(NULL, &c);
 return 0;
}

6.4 pf_key通知回调函数
6.4.1  发送SA消息时的通知回调
// 状态通知回调, 在SA操作后调用
static int pfkey_send_notify(struct xfrm_state *x, struct km_event *c)
{
// 根据事件类型来发送相关通知
 switch (c->event) {
 case XFRM_MSG_EXPIRE:
// SA到期的通知, SA消息类型为SADB_EXPIRE,只是进行了登记的PF_KEY socket可以收到
  return key_notify_sa_expire(x, c);
 case XFRM_MSG_DELSA:
 case XFRM_MSG_NEWSA:
 case XFRM_MSG_UPDSA:
// SA的通知, SA消息类型为分别为SADB_DELETE, SADB_ADD和SADB_UPDATE,
// 所有PF_KEY socket都可以收到
  return key_notify_sa(x, c);
 case XFRM_MSG_FLUSHSA:
// 删除全部SA的通知, SA消息类型为分别为SADB_FLUSH, 所有PF_KEY socket都可以收到
  return key_notify_sa_flush(c);
 case XFRM_MSG_NEWAE: /* not yet supported */
  break;
 default:
  printk("pfkey: Unknown SA event %d\n", c->event);
  break;
 }
 return 0;
}

6.4.2 发送ACQUIRE

关于ACQUIRE的作用, 摘一段UNP vol.1, r3中的话:
chapter19.5:
"When the kernel needs to communicate with a peer and policy says that an SA is required but one is not available, the kernel sends an SADB_ACQUIRE message to key management sockets that have registered the SA type required, containing a proposal extension describing the kernel's proposed algorithms and key lengths. The proposal may be a combination of what is supported by the system and preconfigured policy that limits what is permitted for this communication. The proposal is a list of algorithms, key lengths, and lifetimes, in order of preference. When a key management daemon receives an SADB_ACQUIRE message, it performs the acts required to choose a key that fits one of the kernel's proposed combinations, and installs this key in the kernel. "

static int pfkey_send_acquire(struct xfrm_state *x, struct xfrm_tmpl *t, struct xfrm_policy *xp, int dir)
{
 struct sk_buff *skb;
 struct sadb_msg *hdr;
 struct sadb_address *addr;
 struct sadb_x_policy *pol;
 struct sockaddr_in *sin;
#if defined(CONFIG_IPV6) || defined(CONFIG_IPV6_MODULE)
 struct sockaddr_in6 *sin6;
#endif
 int sockaddr_size;
 int size;
 struct sadb_x_sec_ctx *sec_ctx;
 struct xfrm_sec_ctx *xfrm_ctx;
 int ctx_size = 0;

 sockaddr_size = pfkey_sockaddr_size(x->props.family);
 if (!sockaddr_size)
  return -EINVAL;
// 消息长度包括SA基本头, 两个SA地址, 两个网络地址和策略
 size = sizeof(struct sadb_msg) +
  (sizeof(struct sadb_address) * 2) +
  (sockaddr_size * 2) +
  sizeof(struct sadb_x_policy);
// 还添加AH或ESP中所有算法描述的长度
 if (x->id.proto == IPPROTO_AH)
  size += count_ah_combs(t);
 else if (x->id.proto == IPPROTO_ESP)
  size += count_esp_combs(t);
 if ((xfrm_ctx = x->security)) {
  ctx_size = PFKEY_ALIGN8(xfrm_ctx->ctx_len);
  size +=  sizeof(struct sadb_x_sec_ctx) + ctx_size;
 }
// 分配skb
 skb =  alloc_skb(size + 16, GFP_ATOMIC);
 if (skb == NULL)
  return -ENOMEM;
// 先填基本SA消息头信息 
 hdr = (struct sadb_msg *) skb_put(skb, sizeof(struct sadb_msg));
 hdr->sadb_msg_version = PF_KEY_V2;
 hdr->sadb_msg_type = SADB_ACQUIRE;
 hdr->sadb_msg_satype = pfkey_proto2satype(x->id.proto);
 hdr->sadb_msg_len = size / sizeof(uint64_t);
 hdr->sadb_msg_errno = 0;
 hdr->sadb_msg_reserved = 0;
 hdr->sadb_msg_seq = x->km.seq = get_acqseq();
 hdr->sadb_msg_pid = 0;
 /* src address */
// 填充SA源地址信息
 addr = (struct sadb_address*) skb_put(skb,
           sizeof(struct sadb_address)+sockaddr_size);
 addr->sadb_address_len =
  (sizeof(struct sadb_address)+sockaddr_size)/
   sizeof(uint64_t);
 addr->sadb_address_exttype = SADB_EXT_ADDRESS_SRC;
 addr->sadb_address_proto = 0;
 addr->sadb_address_reserved = 0;
 if (x->props.family == AF_INET) {
// IPV4地址
  addr->sadb_address_prefixlen = 32;
  sin = (struct sockaddr_in *) (addr + 1);
  sin->sin_family = AF_INET;
  sin->sin_addr.s_addr = x->props.saddr.a4;
  sin->sin_port = 0;
  memset(sin->sin_zero, 0, sizeof(sin->sin_zero));
 }
#if defined(CONFIG_IPV6) || defined(CONFIG_IPV6_MODULE)
 else if (x->props.family == AF_INET6) {
// IPV6地址
  addr->sadb_address_prefixlen = 128;
  sin6 = (struct sockaddr_in6 *) (addr + 1);
  sin6->sin6_family = AF_INET6;
  sin6->sin6_port = 0;
  sin6->sin6_flowinfo = 0;
  memcpy(&sin6->sin6_addr,
         x->props.saddr.a6, sizeof(struct in6_addr));
  sin6->sin6_scope_id = 0;
 }
#endif
 else
  BUG();

 /* dst address */
// 填充SA目的地址信息
 addr = (struct sadb_address*) skb_put(skb,
           sizeof(struct sadb_address)+sockaddr_size);
 addr->sadb_address_len =
  (sizeof(struct sadb_address)+sockaddr_size)/
   sizeof(uint64_t);
 addr->sadb_address_exttype = SADB_EXT_ADDRESS_DST;
 addr->sadb_address_proto = 0;
 addr->sadb_address_reserved = 0;
 if (x->props.family == AF_INET) {
  addr->sadb_address_prefixlen = 32;
  sin = (struct sockaddr_in *) (addr + 1);
  sin->sin_family = AF_INET;
  sin->sin_addr.s_addr = x->id.daddr.a4;
  sin->sin_port = 0;
  memset(sin->sin_zero, 0, sizeof(sin->sin_zero));
 }
#if defined(CONFIG_IPV6) || defined(CONFIG_IPV6_MODULE)
 else if (x->props.family == AF_INET6) {
  addr->sadb_address_prefixlen = 128;
  sin6 = (struct sockaddr_in6 *) (addr + 1);
  sin6->sin6_family = AF_INET6;
  sin6->sin6_port = 0;
  sin6->sin6_flowinfo = 0;
  memcpy(&sin6->sin6_addr,
         x->id.daddr.a6, sizeof(struct in6_addr));
  sin6->sin6_scope_id = 0;
 }
#endif
 else
  BUG();
// 填充策略信息
 pol = (struct sadb_x_policy *)  skb_put(skb, sizeof(struct sadb_x_policy));
 pol->sadb_x_policy_len = sizeof(struct sadb_x_policy)/sizeof(uint64_t);
 pol->sadb_x_policy_exttype = SADB_X_EXT_POLICY;
 pol->sadb_x_policy_type = IPSEC_POLICY_IPSEC;
 pol->sadb_x_policy_dir = dir+1;
 pol->sadb_x_policy_id = xp->index;
 /* Set sadb_comb's. */
// 填充AH或ESP的可用算法信息
 if (x->id.proto == IPPROTO_AH)
  dump_ah_combs(skb, t);
 else if (x->id.proto == IPPROTO_ESP)
  dump_esp_combs(skb, t);
 /* security context */
 if (xfrm_ctx) {
// 填充安全上下文信息
  sec_ctx = (struct sadb_x_sec_ctx *) skb_put(skb,
    sizeof(struct sadb_x_sec_ctx) + ctx_size);
  sec_ctx->sadb_x_sec_len =
    (sizeof(struct sadb_x_sec_ctx) + ctx_size) / sizeof(uint64_t);
  sec_ctx->sadb_x_sec_exttype = SADB_X_EXT_SEC_CTX;
  sec_ctx->sadb_x_ctx_doi = xfrm_ctx->ctx_doi;
  sec_ctx->sadb_x_ctx_alg = xfrm_ctx->ctx_alg;
  sec_ctx->sadb_x_ctx_len = xfrm_ctx->ctx_len;
  memcpy(sec_ctx + 1, xfrm_ctx->ctx_str,
         xfrm_ctx->ctx_len);
 }
// 广播到进行了登记的PF_KEY套接口
 return pfkey_broadcast(skb, GFP_ATOMIC, BROADCAST_REGISTERED, NULL);
}

6.4.3 编译策略
// 将sadb_x_policy(标准接口格式)编译为xfrm_policy(内核具体实现格式)
static struct xfrm_policy *pfkey_compile_policy(struct sock *sk, int opt,
                                                u8 *data, int len, int *dir)
{
 struct xfrm_policy *xp;
 struct sadb_x_policy *pol = (struct sadb_x_policy*)data;
 struct sadb_x_sec_ctx *sec_ctx;
// 选项opt必须是IP_IPSEC_POLICY, 否则出错
 switch (sk->sk_family) {
 case AF_INET:
  if (opt != IP_IPSEC_POLICY) {
   *dir = -EOPNOTSUPP;
   return NULL;
  }
  break;
#if defined(CONFIG_IPV6) || defined(CONFIG_IPV6_MODULE)
 case AF_INET6:
  if (opt != IPV6_IPSEC_POLICY) {
   *dir = -EOPNOTSUPP;
   return NULL;
  }
  break;
#endif
 default:
  *dir = -EINVAL;
  return NULL;
 }
 *dir = -EINVAL;
 if (len < sizeof(struct sadb_x_policy) ||
     pol->sadb_x_policy_len*8 > len ||
     pol->sadb_x_policy_type > IPSEC_POLICY_BYPASS ||
     (!pol->sadb_x_policy_dir || pol->sadb_x_policy_dir > IPSEC_DIR_OUTBOUND))
  return NULL;
// 分配策略空间
 xp = xfrm_policy_alloc(GFP_ATOMIC);
 if (xp == NULL) {
  *dir = -ENOBUFS;
  return NULL;
 }
// 填写策略动作
 xp->action = (pol->sadb_x_policy_type == IPSEC_POLICY_DISCARD ?
        XFRM_POLICY_BLOCK : XFRM_POLICY_ALLOW);
// 填写策略有效期参数
 xp->lft.soft_byte_limit = XFRM_INF;
 xp->lft.hard_byte_limit = XFRM_INF;
 xp->lft.soft_packet_limit = XFRM_INF;
 xp->lft.hard_packet_limit = XFRM_INF;
 xp->family = sk->sk_family;
 xp->xfrm_nr = 0;
// 解析ipsec请求
 if (pol->sadb_x_policy_type == IPSEC_POLICY_IPSEC &&
     (*dir = parse_ipsecrequests(xp, pol)) < 0)
  goto out;
 /* security context too */
 if (len >= (pol->sadb_x_policy_len*8 +
     sizeof(struct sadb_x_sec_ctx))) {
// 转换安全上下文
  char *p = (char *)pol;
  struct xfrm_user_sec_ctx *uctx;
  p += pol->sadb_x_policy_len*8;
  sec_ctx = (struct sadb_x_sec_ctx *)p;
  if (len < pol->sadb_x_policy_len*8 +
      sec_ctx->sadb_x_sec_len) {
   *dir = -EINVAL;
   goto out;
  }
  if ((*dir = verify_sec_ctx_len(p)))
   goto out;
  uctx = pfkey_sadb2xfrm_user_sec_ctx(sec_ctx);
  *dir = security_xfrm_policy_alloc(xp, uctx);
  kfree(uctx);
  if (*dir)
   goto out;
 }
 *dir = pol->sadb_x_policy_dir-1;
 return xp;
out:
 security_xfrm_policy_free(xp);
 kfree(xp);
 return NULL;
}
6.4.4 NAT穿越映射
// 发送新映射(NAT穿越)SA消息, 包含SA头, SA, 转换前地址,端口, 转换后的地址端口
static int pfkey_send_new_mapping(struct xfrm_state *x, xfrm_address_t *ipaddr, u16 sport)
{
 struct sk_buff *skb;
 struct sadb_msg *hdr;
 struct sadb_sa *sa;
 struct sadb_address *addr;
 struct sadb_x_nat_t_port *n_port;
 struct sockaddr_in *sin;
#if defined(CONFIG_IPV6) || defined(CONFIG_IPV6_MODULE)
 struct sockaddr_in6 *sin6;
#endif
 int sockaddr_size;
 int size;
 __u8 satype = (x->id.proto == IPPROTO_ESP ? SADB_SATYPE_ESP : 0);
 struct xfrm_encap_tmpl *natt = NULL;
// 协议的地址长度
 sockaddr_size = pfkey_sockaddr_size(x->props.family);
 if (!sockaddr_size)
  return -EINVAL;
 if (!satype)
  return -EINVAL;
 if (!x->encap)
  return -EINVAL;
// NAT转换结构
 natt = x->encap;
 /* Build an SADB_X_NAT_T_NEW_MAPPING message:
  *
  * HDR | SA | ADDRESS_SRC (old addr) | NAT_T_SPORT (old port) |
  * ADDRESS_DST (new addr) | NAT_T_DPORT (new port)
  */
// 消息总长: SA消息头+SA+两个SA地址+两个协议地址+2个NAT端口 
 size = sizeof(struct sadb_msg) +
  sizeof(struct sadb_sa) +
  (sizeof(struct sadb_address) * 2) +
  (sockaddr_size * 2) +
  (sizeof(struct sadb_x_nat_t_port) * 2);
// 分配skb 
 skb =  alloc_skb(size + 16, GFP_ATOMIC);
 if (skb == NULL)
  return -ENOMEM;
// 填写SA头 
 hdr = (struct sadb_msg *) skb_put(skb, sizeof(struct sadb_msg));
 hdr->sadb_msg_version = PF_KEY_V2;
 hdr->sadb_msg_type = SADB_X_NAT_T_NEW_MAPPING;
 hdr->sadb_msg_satype = satype;
 hdr->sadb_msg_len = size / sizeof(uint64_t);
 hdr->sadb_msg_errno = 0;
 hdr->sadb_msg_reserved = 0;
 hdr->sadb_msg_seq = x->km.seq = get_acqseq();
 hdr->sadb_msg_pid = 0;
 /* SA */
// 填写SA结构
 sa = (struct sadb_sa *) skb_put(skb, sizeof(struct sadb_sa));
 sa->sadb_sa_len = sizeof(struct sadb_sa)/sizeof(uint64_t);
 sa->sadb_sa_exttype = SADB_EXT_SA;
 sa->sadb_sa_spi = x->id.spi;
 sa->sadb_sa_replay = 0;
 sa->sadb_sa_state = 0;
 sa->sadb_sa_auth = 0;
 sa->sadb_sa_encrypt = 0;
 sa->sadb_sa_flags = 0;
 /* ADDRESS_SRC (old addr) */
// 转换前SA地址参数
 addr = (struct sadb_address*)
  skb_put(skb, sizeof(struct sadb_address)+sockaddr_size);
 addr->sadb_address_len =
  (sizeof(struct sadb_address)+sockaddr_size)/
   sizeof(uint64_t);
 addr->sadb_address_exttype = SADB_EXT_ADDRESS_SRC;
 addr->sadb_address_proto = 0;
 addr->sadb_address_reserved = 0;
 if (x->props.family == AF_INET) {
// 填写转换前IPV4协议地址具体参数
  addr->sadb_address_prefixlen = 32;
  sin = (struct sockaddr_in *) (addr + 1);
  sin->sin_family = AF_INET;
  sin->sin_addr.s_addr = x->props.saddr.a4;
  sin->sin_port = 0;
  memset(sin->sin_zero, 0, sizeof(sin->sin_zero));
 }
#if defined(CONFIG_IPV6) || defined(CONFIG_IPV6_MODULE)
 else if (x->props.family == AF_INET6) {
// 填写转换前IPV6协议地址具体参数
  addr->sadb_address_prefixlen = 128;
  sin6 = (struct sockaddr_in6 *) (addr + 1);
  sin6->sin6_family = AF_INET6;
  sin6->sin6_port = 0;
  sin6->sin6_flowinfo = 0;
  memcpy(&sin6->sin6_addr,
         x->props.saddr.a6, sizeof(struct in6_addr));
  sin6->sin6_scope_id = 0;
 }
#endif
 else
  BUG();
 /* NAT_T_SPORT (old port) */
// 填写转换前端口参数
 n_port = (struct sadb_x_nat_t_port*) skb_put(skb, sizeof (*n_port));
 n_port->sadb_x_nat_t_port_len = sizeof(*n_port)/sizeof(uint64_t);
 n_port->sadb_x_nat_t_port_exttype = SADB_X_EXT_NAT_T_SPORT;
 n_port->sadb_x_nat_t_port_port = natt->encap_sport;
 n_port->sadb_x_nat_t_port_reserved = 0;
 /* ADDRESS_DST (new addr) */
// 填写转换后地址属性参数
 addr = (struct sadb_address*)
  skb_put(skb, sizeof(struct sadb_address)+sockaddr_size);
 addr->sadb_address_len =
  (sizeof(struct sadb_address)+sockaddr_size)/
   sizeof(uint64_t);
 addr->sadb_address_exttype = SADB_EXT_ADDRESS_DST;
 addr->sadb_address_proto = 0;
 addr->sadb_address_reserved = 0;
 if (x->props.family == AF_INET) {
// 填写转换后IPV4协议地址具体参数
  addr->sadb_address_prefixlen = 32;
  sin = (struct sockaddr_in *) (addr + 1);
  sin->sin_family = AF_INET;
  sin->sin_addr.s_addr = ipaddr->a4;
  sin->sin_port = 0;
  memset(sin->sin_zero, 0, sizeof(sin->sin_zero));
 }
#if defined(CONFIG_IPV6) || defined(CONFIG_IPV6_MODULE)
 else if (x->props.family == AF_INET6) {
// 填写转换后IPV6协议地址具体参数
  addr->sadb_address_prefixlen = 128;
  sin6 = (struct sockaddr_in6 *) (addr + 1);
  sin6->sin6_family = AF_INET6;
  sin6->sin6_port = 0;
  sin6->sin6_flowinfo = 0;
  memcpy(&sin6->sin6_addr, &ipaddr->a6, sizeof(struct in6_addr));
  sin6->sin6_scope_id = 0;
 }
#endif
 else
  BUG();
 /* NAT_T_DPORT (new port) */
// 填写转换前端口参数
 n_port = (struct sadb_x_nat_t_port*) skb_put(skb, sizeof (*n_port));
 n_port->sadb_x_nat_t_port_len = sizeof(*n_port)/sizeof(uint64_t);
 n_port->sadb_x_nat_t_port_exttype = SADB_X_EXT_NAT_T_DPORT;
 n_port->sadb_x_nat_t_port_port = sport;
 n_port->sadb_x_nat_t_port_reserved = 0;
// 发送给进行登记了的PF_KEY套接口
 return pfkey_broadcast(skb, GFP_ATOMIC, BROADCAST_REGISTERED, NULL);
}

6.4.5 发送策略的通知

// 策略通知回调, 在安全策略操作后调用
static int pfkey_send_policy_notify(struct xfrm_policy *xp, int dir, struct km_event *c)
{
 if (xp && xp->type != XFRM_POLICY_TYPE_MAIN)
  return 0;
 switch (c->event) {
 case XFRM_MSG_POLEXPIRE:
// 策略到期通知, 空函数
  return key_notify_policy_expire(xp, c);
 case XFRM_MSG_DELPOLICY:
 case XFRM_MSG_NEWPOLICY:
 case XFRM_MSG_UPDPOLICY:
// 策略的通知, SA消息类型为分别为SADB_X_SPDDELETE, SADB_X_SPDADD, SADB_X_SPDUPDATE等,
// 所有PF_KEY socket都可以收到
  return key_notify_policy(xp, dir, c);
 case XFRM_MSG_FLUSHPOLICY:
  if (c->data.type != XFRM_POLICY_TYPE_MAIN)
   break;
// 策略的通知, SA消息类型为分别为SADB_X_FLUSH, 所有PF_KEY socket都可以收到
  return key_notify_policy_flush(c);
 default:
  printk("pfkey: Unknown policy event %d\n", c->event);
  break;
 }
 return 0;
}

在pf_key.c中只用到了6.4.1和6.4.5的这两个函数.

...... 待续 ......
cxw06023273
关注
专栏目录
Linux 内核参数:min_free_kbytes
私房菜
08-31 1019
通过描述,该属性用以强制Linux VM 保留最小的free KB数,VM 通过该属性计算系统每一个zone 的水位watermark[WMARK_MIN] 的值。 一些小内存需要满足PF_MEMALLOC 分配,如果设置该属性低于1024KB,系统可能会出现敏感地崩溃,在高负载下容易死锁。.........
Linux内核的IPSEC实现(2)
weixin_34077371的博客
05-14 173
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 转载于:https://blog.51cto.com/enchen/157977...
Linux内核PF_KEY协议实现(3)
cxw06023273的博客
01-10 570
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: yfydz_no1@hotmail.com 来源:http://yfydz.cublog.cn [code="java"]5.10 添加/更新SPD(安全策略) // 添加安全策略到安全策略数据库SPDB static int pfkey_spd...
linux内核有哪些协议,Linux内核PF_KEY协议实现.doc
weixin_27024175的博客
05-09 176
Linux内核PF_KEY协议实现Linux内核PF_KEY协议实现(1)本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@来源:1. 前言在Linux2.6内核自带了PF_KEY协议实现,这样就不用象2.4那样打补丁来实现了。内核PF_KEY实现要完成的功能是实现维护内核...
PF_KEYv2接口
redwingz的博客
05-20 1769
内核PF_KEY类型套接口,提供了IPSec的应用层管理程序与内核的交互接口。 套接口初始化 sock_register函数注册PF_KEY套接口pfkey_family_ops,另外函数pfkeyv2_mgr注册一个KM(key manager)秘钥管理器pfkeyv2_mgr。 static int __init ipsec_pfkey_init(void) { err = ...
IPsec&PF_KEY
wu1373369的专栏
09-10 1114
来源:http://zh.wikipedia.org/wiki/IPsec IPsec(缩写Internet Protocol Security ),以IP Packet(小包)为单位对信息进行暗号化的方式,来对传输途的信息包进行加密或者防止遭到篡改的一种协议(Protocol)。是保护IP协议安全通信的标准,它主要对IP协议分组进行加密和认证。IPsec作为一个
Linux内核PF-KEY协议实现(1).docx
最新发布
11-01
Linux内核PF_KEY协议是用于处理IPsec(Internet Protocol Security)的一种机制,它主要负责维护内核的安全联盟(SA)和安全策略(SP)数据库,并提供与用户空间的接口。在Linux 2.6内核版本PF_KEY实现...
af_key.rar_af_key_pf_key
09-19
PF_KEY(Protocol Family Security)是Linux内核安全子系统的一部分,用于处理安全相关的数据包,如IPsec(Internet Protocol Security)。这个驱动程序是实现该接口的关键部分,允许用户空间程序与内核进行通信,以...
IPsec在Linux内核2.4和2.6实现之分析和比较.pdf
09-07
《IPsec在Linux内核2.4和2.6实现之分析和比较》这篇文章主要探讨了IPsec协议Linux内核2.4和2.6版本实现方式及其差异。IPsec(Internet Protocol Security)是一组网络安全协议,旨在提供IP层的安全服务,...
ipsec(linux内核实现)
09-13
Linux 内核 IPsec 的 PF_KEY 实现过程 ...本文详细介绍了 Linux 内核 IPsec 的 PF_KEY 实现过程,包括 PF_KEY 协议实现、数据结构和接口。这些知识点对于理解 Linux 内核 IPsec 的实现过程非常重要。
Linux内核PF_KEY协议实现(1)
dxphjt的专栏
05-13 390
Linux内核PF_KEY协议实现(1) 本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: yfydz_no1@hotmail.com 来源:http://yfydz.cublog.cn 1. 前言 在Linux2.6内核自带了PF_KEY协议实现,这样就不用象2.4那样打补丁...
linux xfrm网络框架,Linux网络子系统安全性模块详细分析之文件xfrm_state.c
weixin_31032799的博客
05-12 405
原标题:Linux网络子系统安全性模块详细分析之文件xfrm_state.c2.4.4.6 核心代码注释该文件xfrm_state_find( )函数涉及的原理较多,此处对其进行简要的注释。struct xfrm_state * xfrm_state_find(const xfrm_address_t *daddr, const xfrm_address_t *saddr, const stru...
基于openswan klips的IPsec实现分析(四)应用层和内核通信(1)
终身学习的程序猿
06-18 4123
基于openswan klips的IPsec VPN实现分析(四)应用层和内核通信——应用层操作 转载请注明出处:http://blog.csdn.net/rosetta   klips和NETKEY内核运行,主要负责控制管理SA及密钥,负责注册和初始化模块,数据加密解密,SHA1、MD5算法实现等。两者与用户层通信都使用套接字socket PF_KEY。现讲解用户层pluto和kli
linux notify函数,Linux Kernel 'key_notify_policy_flush()'函数本地信息泄露漏洞
weixin_36473056的博客
05-08 135
发布日期:2013-07-03更新日期:2013-07-06受影响系统:Linux kernel <= 3.9描述:--------------------------------------------------------------------------------BUGTRAQ ID: 60953CVE(CAN) ID: CVE-2013-2237Linux Kernel是Li...
Ipsec Openswan 26sec等基础知识扫盲
bytxl的专栏
09-09 2910
http://blog.csdn.net/rosetta/article/details/7547308 最近在整理openswan clips,linux netkey等 方面的东西. 理清openswan什么版本支持ipv6,pluto和racoon作用等等知识 . 希望对研究ipsec,vpn方面的朋友有帮助.整理不足之处还请指正. 问题提出:什么是xfrm,racoon
Linux不同服务器的协议栈描述,Linux协议pf_packet相关分析
weixin_36186183的博客
05-14 167
一:名词解释:1,BSD socket层:bsd socket是Berkeley套接字应用程序接口(API)包括了一个用C语言写成的应用程序开发库,主要用于实现进程间通讯,在计算机网络通讯方面被广泛使用。Berkeley套接字接口的定义在几个头文件。这些文件的名字和内容与具体的实现之间有些许的不同。 大体上包括:这个列表是一个Berkeley套接字API库提供的函数或者方法的概要:socket(...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值