UNPv1_r3学习日记: PF_KEY

最新推荐文章于 2024-04-26 17:29:19 发布
最新推荐文章于 2024-04-26 17:29:19 发布
阅读量272 收藏
点赞数
分类专栏: linux转载 文章标签: 数据结构 EXT 算法 编程 Socket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxw06023273/article/details/83809537
版权
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严
禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn 

UNP第一卷的第3版是著名的RWS先生魂归上帝后由后人添加新的一些新的东西后发布的,增加的部分包括
PF_KEY和SCTP等的相关编程。今天重读UNP,看看PF_KEY一章。

PF_KEY协议族主要用来处理安全联盟SA的,对SADB(SA数据库)进行管理,主要用在IPSEC协议中,其他
协议如OSPF等用到密钥的协议中也可以用。
PF_KEY_v2的编程API在RFC2367中定义,其实在freeswan的pluto中有完整的PF_KEY运用实例。在UNP这
本书中只是很简单的介绍了一下,属于入门级,详细说明要看RFC,程序实例看pluto。

PF_KEY协议族只支持RAW模式,只能由ROOT权限的用户打开PF_KEY类型的套接口,这和netlink类型套接
口是类似的,而且数据格式也是以消息方式传输。

进程PF_KEY类型的套接口和netlink套接口一样,可以双向和内核进行通信。可以向内核和其他打开了
PF_KEY套接口发送消息,可进行SADB中的SA项的增加和删除;也可以从内核中接收消息。

PF_KEY的消息的数据格式都是有一个格式相同的数据头(12字节长), 说明数据类型等信息, 然后后面可
以跟0到多个扩展的结构用来描述不同类型的具体数据内容:
消息头:
struct sadb_msg {
  u_int8_t sadb_msg_version;     /* PF_KEY_V2 */
  u_int8_t sadb_msg_type;        /* see Figure 19.2 */
  u_int8_t sadb_msg_errno;       /* error indication */
  u_int8_t sadb_msg_satype;      /* see Figure 19.3 */
  u_int16_t sadb_msg_len;        /* length of header + extensions / 8 */
  u_int16_t sadb_msg_reserved;   /* zero on transmit, ignored on receive */
  u_int32_t sadb_msg_seq;        /* sequence number */
  u_int32_t sadb_msg_pid;        /* process ID of source or dest */
};
结构中的元素含义都比较直观, sadb_msg_type是消息的类型, 基本反映命令动作, 如读当前SADB, 增
加删除SA等, sadb_msg_satype表示的是要操作的SA的类型,表示要对哪些SA进行命令动作.

基本通信过程:
先打开PF_KEY的套接口, 填消息头信息, 必要时再填后续数据信息, 可以用write()函数将数据写到套
接口, 用read()函数从套接口读回应数据:
dump_sadb:
1 void
 2 sadb_dump(int type)
 3 {
 4     int     s;
 5     char    buf[4096];
 6     struct sadb_msg msg;
 7     int     goteof;
 8     s = Socket(PF_KEY, SOCK_RAW, PF_KEY_V2);
 9     /* Build and write SADB_DUMP request */
10     bzero(&msg, sizeof (msg));
11     msg.sadb_msg_version = PF_KEY_V2;
12     msg.sadb_msg_type = SADB_DUMP;
13     msg.sadb_msg_satype = type;
14     msg.sadb_msg_len = sizeof (msg) / 8;
15     msg.sadb_msg_pid = getpid();
16     printf("Sending dump message:\n");
17     print_sadb_msg (&msg, sizeof (msg));
// write发送
18     Write(s, &msg, sizeof (msg));
19     printf("\nMessages returned:\n");
20     /* Read and print SADB_DUMP replies until done */
21     goteof = 0;
22     while (goteof == 0) {
23         int     msglen;
24         struct sadb_msg *msgp;
// read读
25         msglen = Read(s, &buf, sizeof (buf));
26         msgp = (struct sadb_msg *) &buf;
27         print_sadb_msg(msgp, msglen);
// 注意判断消息结束的方法
28         if (msgp->sadb_msg_seq == 0)
29             goteof = 1;
30     }
31     close(s);
32 }

建立SA:
建立SA分两类, 一种是静态SA, 一般建立后就不变了; 一种是动态SA, SA有一定寿命, 需要周期性的更
新密钥。前者一般用在手工建立的IPSEC连接,一般只是调试时使用,后者用于自动密钥协商,是常用
的情况。
为建立一个静态SA,需要发送的消息除了消息头外,还必须要有三个扩展数据部分:SA、地址和密钥;
可选的还可有生命期(lifetime)、身份(identity)和敏感性(sensitivity)。
SA结构:
struct sadb_sa {
  u_int16_t sadb_sa_len;      /* length of extension / 8 */
  u_int16_t sadb_sa_exttype;  /* SADB_EXT_SA */
  u_int32_t sadb_sa_spi;      /* Security Parameters Index (SPI) */
  u_int8_t  sadb_sa_replay;   /* replay window size, or zero */
  u_int8_t  sadb_sa_state;    /* SA state, see Figure 19.7 */
  u_int8_t  sadb_sa_auth;     /* authentication algorithm, see Figure 19.8 */
  u_int8_t  sadb_sa_encrypt;  /* encryption algorithm, see Figure 19.8 */
  u_int32_t sadb_sa_flags;    /* bitmask of flags */
};

地址结构,该结构后面跟相关地址族的sockaddr结构(sockaddr_in, sockaddr_in6等):
struct sadb_address {
  u_int16_t sadb_address_len;        /* length of extension + address / 8 */
  u_int16_t sadb_address_exttype;    /* SADB_EXT_ADDRESS_{SRC,DST,PROXY} */
  u_int8_t  sadb_address_proto;      /* IP protocol, or 0 for all */
  u_int8_t  sadb_address_prefixlen;  /* # significant bits in address */
  u_int16_t sadb_address_reserved;   /* reserved for extension */
};

密钥结构, 密钥跟在该结构后面:
struct sadb_key {
  u_int16_t sadb_key_len;       /* length of extension + key / 8 */
  u_int16_t sadb_key_exttype;   /* SADB_EXT_KEY_{AUTH, ENCRYPT} */
  u_int16_t sadb_key_bits;      /* # bits in key */
  u_int16_t sadb_key_reserved;  /* reserved for extension */
};

要写程序实现建立SA过程,就是在一大块缓冲区中依次填入消息头结构、SA结构、相关地址信息、密钥
结构、密钥,然后发到套接口,然后接收数据,接收时要注意判断消息的进程号和类型是否和自己的相
符,相符了才是发给自己的,因为内核会向所有打开了PF_KEY套接口的进程发送消息。

对于动态SA,一般用户空间都是一个daemon来定时维护,一开始并没有设置算法密钥,需要协商决定,这
时daemon需要知道内核中支持了哪些算法, 因此这个daemon需要向内核登记注册自身,指出能处理的SA
类型,然后内核回应所支持的加密和认证算法的类型,daemon通过IKE协商出SA后将SA信息发送到内核,此
时一般会带生命期, SA到期后会从SADB中删除, 需要重新协商新的SA.

支持结构:
struct sadb_supported {
  u_int16_t sadb_supported_len;      /* length of extension + algorithms / 8 */
  u_int16_t sadb_supported_exttype;  /* SADB_EXT_SUPPORTED_{AUTH, ENCRYPT} */
  u_int32_t sadb_supported_reserved; /* reserved for future expansion */
};
                                     /* followed by algorithm list */
算法结构:
struct sadb_alg {
  u_int8_t sadb_alg_id;              /* algorithm ID from Figure 19.8 */
  u_int8_t sadb_alg_ivlen;           /* IV length, or zero */
  u_int16_t sadb_alg_minbits;        /* minimum key length */
  u_int16_t sadb_alg_maxbits;        /* maximum key length */
  u_int16_t sadb_alg_reserved;       /* reserved for future expansion */
};

后记: UNP中对PF_KEY的介绍太简单了, 以后将分析pluto从中再学习了.
cxw06023273
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
unpv12e_dev:UNIX 网络编程,第 1 卷 2e 源
06-16
unpv12e_dev UNIX 网络编程,第 1 卷 2e 源
Linux内核中PF_KEY协议族的实现(1)
dxphjt的专栏
05-13 339
Linux内核中PF_KEY协议族的实现(1) 本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: [email protected] 来源:http://yfydz.cublog.cn 1. 前言 在Linux2.6内核中自带了PF_KEY协议族的实现,这样就不用象2.4那样打补丁...
C++网络编程中协议族和地址族
实践求真知
04-14 3257
一协议族 协议族就是不同协议的集合,在Linux中,用宏来表示不同的协议族,这个宏的形式是PF开头,比如IPv4协议族为PF_INET,PF的意思是PROTOCOL FAMILY,这些宏定义在/usr/include/bits/socket.h中。 /* Protocol families. */ #define PF_UNSPEC 0 /* Unspecified....
pluto实现分析(6)
weixin_34365635的博客
05-14 275
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: [email protected]来源:http://yfydz.cublog.cn 7.3 linux内核操作结构 该操作结构是针对linux内核的IPSEC实现是NETKEY(XFRM)而不是KLIPS的, 因为XFRM支持使...
linux netlink机制详解
oqqYuJi12345678的博客
05-10 1332
netlink是一种基于网络的机制,允许在内核内部以及内核与用户层之间进行通信。最早在内核2.2引入,旨在替代笨拙的IOCTL,IOCTL不能从内核向用户空间发送异步消息,而且必须定义IOCTL号。 Netlink协议定义在RFC3549中。以前是可以编译成模块,现在直接集成到内核了。与profs和sysfs相比,有一些优势如下: 不需要轮询;系统调用和ioctl也能从用户层想内核传递信息,但是难以实现,另外netlink不会和模块冲突;内核可以直接向用户层发送信息;使用标准的套接字即可。 /proc
基于openswan klips的IPsec实现分析(五)应用层和内核通信(2)
终身学习的程序猿
06-18 2900
基于openswan klips的IPsec VPN实现分析(五)应用层和内核通信——内核操作 转载请注明出处:http://blog.csdn.net/rosetta 在数据发送一节讲过,加载模块时会执行pfkey_init()初始化与用户层通信的PF_KEY套接字,在这个函数里会把支持的协议和算法加到pfkey_supported_list[]全局数组中,并在soc
linux支持哪些因特网协议,Linux下因特网密钥交换协议设计与实现.doc
weixin_42640271的博客
05-15 87
Linux下因特网密钥交换协议设计与实现Linux下因特网密钥交换协议设计与实现[摘要]介绍IPSec协议和因特网密钥交换协议(IKE),然后结合具体的科研工作,详细阐述在Linux操作系统上实现IKE协议的一种具体实现方案,解决如何在Internet中进行密钥自动协商的问题。[关键词]IPSec协议 IKE协议 安全关联(SA)中图分类号:TP3文献标识码:A 文章编号:1671-7597(20...
PF_KEYv2接口
redwingz的博客
05-20 1681
内核的PF_KEY类型套接口,提供了IPSec的应用层管理程序与内核的交互接口。 套接口初始化 sock_register函数注册PF_KEY套接口pfkey_family_ops,另外函数pfkeyv2_mgr注册一个KM(key manager)秘钥管理器pfkeyv2_mgr。 static int __init ipsec_pfkey_init(void) { err = ...
密钥套接字
weixin_50866517的博客
09-11 575
IP安全体系结构(IPsec)的引入,私钥体系加密和认证秘钥的管理需要一套标准机制。秘钥管理API,可用于安全体系结构和其他网络安全服务。API创建新的协议族PF_KEY`域。支持原始套接字。秘钥管理套接字需要特权。SA(安全关联)为分组提供安全服务,描述了源地址和目的地址、机制以及秘钥素材的组合。存放在一个系统中所有SA构成安全关联数据库(SADB)。SPDB(安全策略数据库)描述分组流通的需求,如何执行所需的安全步骤,含有所用的算法和秘钥。PF_KEY可以维护SADB,对SPDB无能为力。
unpv13e:UNIX网络编程卷1:通用联网API(第3版)源代码
03-22
unpv13e UNIX网络编程卷1:通用联网API(第3版)源代码
UNPv2:Unix网络编程卷2
04-29
Unix Network Programming Volume 2 目的: IPC Thinking! 14. System V共享内存 X. Hash table in multi process
unpv13e.tar.gz
01-10
unpv12e make错误时可以试试此unpv13e! unpv12e make错误时可以试试此unpv13e!
unpv22e-代码-unpv22e
07-21
unpv22e-代码
数据结构——二叉树练习(深搜广搜)
最新发布
qq_67693066的博客
04-26 823
数据结构——二叉树练习
408数据结构专项2011
m0_60441630的博客
04-22 306
个人觉得这种思路在考场上思考起来比较慢,没有接触过类似的思想并不会很快想出来。并且最优解与该题暴力解难度与分值性价比的原因,并没有深入学习。思考:将两条序列整合为一条序列,然后对整合后的序列判断中位数。
408专项数据结构2013
m0_60441630的博客
04-23 170
思考:对序列进行排序后,判断一段连续序列的长度是否超过n/2;用快排注意平均时间复杂度是O(nlogn),归并才是真正的最坏O(nlogn)。但我不确定实际书写的时候能否用sort函数代替加快速率,如果不能,我大概率不会选择去手写一个快排。思考:个人理解就是军团打架,一v一剩下来的肯定是最多军团的人。正式一点说应该是摩尔投票法。没必要纠结名字,思想很简单。思考:暴力双循环,但时间复杂度有点低,拿分可以拿9分。
TreeSet 和 TreeMap 和 HashSet 和 HashMap
m0_61731585的博客
04-26 534
TreeMap,TreeSet,HashMap,HashSet 的区别和联系,底层是什么;哈希表,哈希碰撞的出现和解决,一些题目
数据结构——二叉树的操作 (层序遍历)(C++实现)
qq_67693066的博客
04-26 434
数据结构——二叉树的操作(层序遍历)(C++实现)
Ubuntu下载unpv13e
02-18
您可以通过以下步骤下载unpv13e: 1. 打开终端(Terminal)。 2. 使用以下命令克隆unpv13e的GitHub仓库: ``` git clone https://github.com/unpbook/unpv13e.git ``` 3. 进入克隆的目录: ``` cd unpv13e ``...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值