Linux内核之XFRM框架

最新推荐文章于 2024-04-15 09:08:48 发布
最新推荐文章于 2024-04-15 09:08:48 发布
阅读量447 收藏 1
点赞数
文章标签: linux 网络协议 Linux内核 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74282605/article/details/129335622
版权
XFRM框架是Linux内核实现IPsec安全协议的基础,它支持IPv4和IPv6。框架包含了XFRM策略和状态,分别用于定义处理流量的规则和维护安全关联信息。XFRM通过netlink套接字与用户空间通信,管理策略和状态的创建与删除。XFRM选择器用于匹配流量,而xfrm_state结构则存储加密密钥、统计信息等关键数据。
摘要由CSDN通过智能技术生成

概述:什么是XFRM框架

XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;

同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。

IPsec(Internet协议安全)应该很多人都听过,IPsec是一组协议,他们通过对通信会话中的每个数据包进行身份验证和加密,以确保IP流量的安全。

XFRM框架是IPsec的“基础设施”,IPsec通过XFRM框架实现的。XFRM源自USAGI项目,该项目旨在提供适用于生产环境的IPv6和IPsec协议栈。自内核2.5之后引入了XFRM框架,这个“基础设施”独立于协议簇,包含可同时应用于IPv4和IPv6的通用部分,位于源代码的net/xfrm/目录下。

XFRM框架支持网络命名空间。这是一种轻型的进程虚拟化,它可以使得一个或者一组进程有属于自己的网络栈。每个网络命名空间都含有一个名为xfrm的成员——一个netns_xfrm结构实例。这个对象包含着许多的数据结构和变量,例如:XFRM策略散列表、XFRM状态散列表、sysctl参数、XFRM状态垃圾收集器、计数器等。

netns_xfrm结构体定义,文件路径include/net/netns/xfrm.h

struct netns_xfrm {
        struct hlist_head       *state_bydst;
        struct hlist_head       *state_bysrc;
        struct hlist_head       *state_byspi;
        . . .
        unsigned int            state_num;
        . . .
 
        struct work_struct      state_gc_work;
 
        . . .
 
        u32                     sysctl_aevent_etime;
        u32                     sysctl_aevent_rseqth;
        int                     sysctl_larval_drop;
        u32                     sysctl_acq_expires;
};

XFRM初始:XFRM Init

在IPv4中,XFRM初始化是通过在ip_rt_init()函数(位于net/ipv4/route.c文件)调用相关函数完成,函数调用结构为:ip_rt_init()->xfrm4_init()->xfrm_init()。

而在IPv6中,在ipv6_route_init()函数中调用xfrm6_init()方法实现了XFRM的初始化。

用户空间和内核之间的通信创建NETLINK_XFRM类型netlink套接字(socket)以及发送和接收netlink消息来完成。内核NE

最低0.47元/天 解锁文章
Linux加油站
关注
Linux 内核IPSec(xfrm)协议栈源码分析
06-21
该文档从源码分析上入手分析了linux 内核收发数据包流程,内核路由查询流程。很清楚的分析了一个数据包如何通过查询路由进入内核ipsec协议栈的处理、Linux 内核ipsec协议栈详细的加解密流程以及加解密完后如何将数据包发送出去。 文档中前半部分主要介绍一些关键的数据结构,及其相互之间的关系。后半部分介绍了各个函数的调用层级关系。文档主要以ipsec 隧道模式下的ESP协议为例来分析。文档中关键部分的源码都标有中文注释。
linux XFRM整体框架简单分析
weixin_34026276的博客
10-12 716
author: jonathan本文档的CopyRight归jonathan所有,可自由转载,转载时请保持文档的完整性。/*----------------------------------------------------------------------------------------------------------------------------*/L...
走进Linux内核XFRM框架
北观止的博客
09-21 3220
笔者此前对Linux内核相关模块稍有研究,实现内核级通信加密、视频流加密等。下面开始上才艺,带你走进Linux内核XFRM框架
XFRM--IPsec协议的内核实现框架
maimang1001的专栏
12-20 589
IPsec有两个重要的概念:安全关联(Security Association)和安全策略(Security Policy)。这两种类型的信息都需要储存在内核XFRM(Transform)中。核心XFRM使用netns_xfrm结构来组织这些信息,也被称为xfrm实例( instance)(例子)。从名称可以看出,该实例与网络命名空间(network namespace)相关,每个命名空间都有一个彼此独立的实例。所以同一主机上的不同容器可以在没有干扰的情况下使用XFRM。struct net。
一文带你走进Linux内核XFRM框架
m0_73494896的博客
09-02 1530
XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。Psec(Internet协议安全)应该很多人都听过,IPsec是一组协议,他们通过对通信会话中的每个数据包进行身份验证和加密,以确保IP流量的安全。XFRM框架是IPsec的“基础设施”,IPsec通过XFRM框架实现的。XFRM源自USAGI项目,该项目旨在提供适用于生产环境的IPv6和IPsec协议栈。
linux ipsec内核,XFRM -- IPsec协议的内核实现框架
weixin_39688019的博客
04-29 991
IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。OverviewXFRM 实...
linux的NETKEY和linux内核xfrm有什么关系
06-19
NETKEY可以通过IPsec等协议实现VPN等功能,而xfrmLinux内核中用于实现IPsec协议的一个框架xfrm提供了一套API,可以让用户空间应用程序通过NETKEY接口调用内核实现IPsec协议的相关功能,包括加密、解密、身份验证...
Linux内核加密框架设计与实现-书签版
10-24
Linux内核加密框架设计与实现知识点: 1. Linux加密框架的重要性与地位:Linux加密框架内核安全子系统的核心组成部分,它以独立子系统的形式存在。从内核根目录下的crypto/目录就可以看出该框架的重要性。 2. ...
XFRM -- IPsec协议的内核实现框架
fnhc462354756的专栏
05-25 447
从整体上看,IPsec报文的接收是一个迂回的过程,IP层接收时,根据报文的protocol字段,如果它是IPsec类型(AH、ESP),则会进入XFRM框架进行接收,在此过程里,比较重要的过程是xfrm_state_lookup(), 该函数查找SA,如果找到之后,再根据不同的协议和模式进入不同的处理过程,最终,将原始报文的信息获取出来,重入ip_local_deliver().然后,还需经历XFRM Policy的过滤,最后再上送到应用层。同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。
linux xfrm框架详细介绍
最新发布
funtasty的专栏
04-15 544
此外,也可以使用其他工具,如 StrongSwan、Libreswan 等 IPsec 实现,它们提供了更高级的 IPsec 配置和管理功能,同时基于 XFRM 框架实现了 IPsec 功能。XFRM Policy:XFRM Policy 是 IPsec 通信的规则集合,用于确定哪些流量应该受到 IPsec 保护,并指定要使用的加密算法、认证算法和密钥等参数。XFRM State:XFRM State 是与特定流量相关联的实时状态,它包含了与流量处理相关的信息,如加密和认证的密钥、安全参数等。
xframefree3.31 虚拟串口软件
11-04
xframefree软件为功能强大的虚拟串口软件,支持本机建立虚拟串口并双向转发数据至以太网,支持本机虚拟串口互联,支持电脑硬件串口转以太网。支持Client、Server、UDP模式混合运行。支持从WinXP至Win10所有系统,包括32/64位系统。此版本为免费版,最多支持建立6个虚拟串口。
基于内核4.19版本的XFRM框架
日积月累
01-29 1033
XFRM框架
linux xfrm网络框架,Linux网络子系统安全性模块详细分析之文件xfrm_state.c
weixin_31032799的博客
05-12 415
原标题:Linux网络子系统安全性模块详细分析之文件xfrm_state.c2.4.4.6 核心代码注释该文件中xfrm_state_find( )函数涉及的原理较多,此处对其进行简要的注释。struct xfrm_state * xfrm_state_find(const xfrm_address_t *daddr, const xfrm_address_t *saddr, const stru...
Linux内核XFRM -- IPsec协议的实现框架问题研究
mingpeng520的博客
11-02 773
XFRM – IPsec协议的内核实现框架 首先网上的两篇文章很好 1.https://blog.csdn.net/chenmo187J3X1/article/details/101794624?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param&depth_1-utm_source=distribute.pc_relevant.none-task-blog-
XFRM-IPsec内核实现框架
wq897387的专栏
03-20 5098
XFRM是个传输数据包(比如加密载荷payloads)的IP层框架。这个框架被用来实现IPsec协议套件(Security Association Database 和 Security Policy Database)。也可以被用来压缩IP层载荷payload。 IPsec is implemented by the XFRM (pronounced “transform”) framework, originated in the USAGI project, which aimed at pro
Linux xfrm 框架详解
l00102795的博客
01-08 1054
Linux引入XFRM是在不打乱原有的网络协议结构和HOOK点安全架构设计前提下,成功引入了一种基于策略的高扩展性的网络安全架构。有人会说在HOOK点也能实现IPSEC的问题,为何还要XFRM?!!好问题,但是不是一两句话能把你说明白,只有去设计一安全网络系统才能深深体会到好处。这里就不过多描述。 XFRM 框架数据接收协议(如AH/ESP,与TCP/UDP并列属于4层网络协议) XFRM 框架数据发送协议(相当于虚拟网卡驱动)XFRM 框架策略引擎(与策略路由整合再一起)XFRM的正确读音是t
linux2.6中xfrm框架的dst_output的处理过程
gujing001的专栏
08-05 1620
Linux内核中ipsec的dst_output处理过程,当执行第一个dst_output时,这时会进入 xfrm4_outpot,下面是这个函数的代码: int xfrm4_output(struct sk_buff *skb) {         return NF
XFRM -- ipsec协议的内核实现框架
01-24 3692
目录 1 Overview 1.1 XFRM 实例 1.2 Netlink 通道 1.3 XFRM State 1.3 XFRM Policy 2 接收发送IPsec报文 2.1 接收 2.2 发送 IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。 XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值