Linux内核XFRM -- IPsec协议的实现框架问题研究

最新推荐文章于 2024-04-15 09:08:48 发布
最新推荐文章于 2024-04-15 09:08:48 发布
阅读量758 收藏 5
点赞数 1
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mingpeng520/article/details/109448711
版权

XFRM – IPsec协议的内核实现框架
首先网上的两篇文章很好
1.https://blog.csdn.net/chenmo187J3X1/article/details/101794624?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param
2.https://blog.csdn.net/wind_rabbit/article/details/8181830?utm_source=blogxgwz2
看了这两篇文章,基本上会对XFRM或IPSEC有了很好的理解。
但是这两篇文章里面有个问题,我觉得需要在这里澄清下,不然老百姓会一头雾水。
接收数据时,如果是TCP UDP,那么要先查询路由,然后看是发往本地还是转发。
如果是ESP隧道模式数据呢,是先查路由再解密 还是先解密再查路由呢?
这两篇文章都没说清楚。
今天我们就来研究下此问题。(结论是先查路由再解密)(查路由之前 协议解析肯定都是没做的)
首先一个概念:
隧道模式中,“内部”IP头装载最终的源和目的地址,而“外部”IP头可
能包含不同的IP地址,例如安全网关地址。
所以网关收到的ESP ,如果按照外层IP解析,都是发往本地的。

接收数据

skb_buff PRE点(skb_buff加密)->路由查询,只能是本地数据 -> XFRM四层协议处理 ->再次回到PRE点处理(skb_buff已经解密)->根据路由转发/本地接收

在这里插入图片描述
发送数据如别的图
转发数据与发送数据图差不多.转发数据是 ip_forward–>xfrm4_route_forward–>xfrm_lookup

??+15972018705
关注
XFRM -- ipsec协议内核实现框架
01-24 3596
目录 1 Overview 1.1 XFRM 实例 1.2 Netlink 通道 1.3 XFRM State 1.3 XFRM Policy 2 接收发送IPsec报文 2.1 接收 2.2 发送 IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。 XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才
Linux网络协议栈9--ipsec收发包流程
bigsheng2的博客
02-04 2599
IPSec协议帮助IP层建立安全可信的数据包传输通道。当前已经如strongswan、openswan等比较成熟稳定的开源项目做协议层的控制。但他们最终都是使用的内核XFRM框架做报文的封装发送和接收解封,只不过内核的转发表项数据是由他们生成的。 XFRM,是transfrom的简写。 ######IPSec收包解封流程 流程路径:ip_rcv() --> ip_rcv_finish() --> ip_local_deliver() --> ip_local_deliver_fini
XFRM -- IPsec协议内核实现框架
fnhc462354756的专栏
05-25 429
从整体上看,IPsec报文的接收是一个迂回的过程,IP层接收时,根据报文的protocol字段,如果它是IPsec类型(AH、ESP),则会进入XFRM框架进行接收,在此过程里,比较重要的过程是xfrm_state_lookup(), 该函数查找SA,如果找到之后,再根据不同的协议和模式进入不同的处理过程,最终,将原始报文的信息获取出来,重入ip_local_deliver().然后,还需经历XFRM Policy的过滤,最后再上送到应用层。同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。
Linux内核XFRM框架
m0_74282605的博客
03-04 431
要添加XFRM状态,可从用户空间套接字发送请求XFRM_MSG_NEWSA,在内核中,这种请求方法由xfrm_state_add()处理(位于文件net/xfrm/xfrm_user.c)。XFRM框架支持网络命名空间。从用户空间发出的消息(比如XFRM_MSG_NEWPOLICY创建新的安全策略或者XFRM_MSG_NEWSA创建新的安全联盟)会被xfrm_netlink_rcv()方法处理,该方法又会被xfrm_user_rcv_msg()方法调用(第二章曾讨论过netlink套接字)。
走进Linux内核XFRM框架
北观止的博客
09-21 3120
笔者此前对Linux内核相关模块稍有研究实现内核级通信加密、视频流加密等。下面开始上才艺,带你走进Linux内核XFRM框架
linux XFRM整体框架简单分析
weixin_34026276的博客
10-12 708
author: jonathan本文档的CopyRight归jonathan所有,可自由转载,转载时请保持文档的完整性。/*----------------------------------------------------------------------------------------------------------------------------*/L...
linux ipsec内核,XFRM -- IPsec协议内核实现框架
weixin_39688019的博客
04-29 973
IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。OverviewXFRM 实...
Linux 内核IPSecxfrm协议栈源码分析
06-21
Linux内核中的IPSec协议栈通过XFRM框架实现了对数据包的安全处理。从数据结构到处理流程,再到加解密机制,每一个环节都经过精心设计,以确保网络通信的安全性和可靠性。通过源码分析,我们可以深入了解这一核心网络...
Linux内核加密框架设计与实现-书签版
10-24
3. IPsec协议对加密框架的应用:本文重点讨论了IPSec协议xfrm)的两个重要协议AH(Authentication Header)和ESP(Encapsulating Security Payload)如何使用加密框架,以此来展现加密框架的设计与实现。...
xfrm_poc:Linux内核XFRM UAF POC(3.x-5.x内核
03-12
Linux内核3.x-5.x XFRM UAF PoC 这是去年报告的。 CentOS是2020年1月修补该错误的最后一个发行版。 技术报告在这里 在以下发行版中,应在构建日期为2019年7月至11月之前的所有内核上工作: Ubuntu 14.04 / 16.04 Server 4.4 LTS内核 CentOS 8 4.18内核 红帽企业Linux 8 4.18内核 Ubuntu 18.04 Server LTS 4.15内核 在以下情况下,其他发行版可能会受到影响: 允许非特权的用户名空间 xfrm支持在其中编译或可以自动加载 补丁没有被反向移植 要赢得比赛,可能需要几次尝试(有时超过10次尝试),因此请像下面这样循环运行: $ while :; do ./lucky0 -q && break; done 成功后,当前用户无需密码即可添加到/ etc / sudoers中。
一个IPSecLinux平台上的实现框架.pdf
09-07
一个IPSecLinux平台上的实现框架.pdf
ipsec(linux内核实现)
09-13
讲解linux内核最新代码中ipsec pfkey的实现过程。很具有参考价值。
XFRM--IPsec协议内核实现框架
maimang1001的专栏
12-20 533
IPsec有两个重要的概念:安全关联(Security Association)和安全策略(Security Policy)。这两种类型的信息都需要储存在内核XFRM(Transform)中。核心XFRM使用netns_xfrm结构来组织这些信息,也被称为xfrm实例( instance)(例子)。从名称可以看出,该实例与网络命名空间(network namespace)相关,每个命名空间都有一个彼此独立的实例。所以同一主机上的不同容器可以在没有干扰的情况下使用XFRM。struct net。
XFRM-IPsec内核实现框架
wq897387的专栏
03-20 5070
XFRM是个传输数据包(比如加密载荷payloads)的IP层框架。这个框架被用来实现IPsec协议套件(Security Association Database 和 Security Policy Database)。也可以被用来压缩IP层载荷payload。 IPsec is implemented by the XFRM (pronounced “transform”) framework, originated in the USAGI project, which aimed at pro
linux xfrm框架详细介绍
最新发布
funtasty的专栏
04-15 485
此外,也可以使用其他工具,如 StrongSwan、Libreswan 等 IPsec 实现,它们提供了更高级的 IPsec 配置和管理功能,同时基于 XFRM 框架实现IPsec 功能。XFRM Policy:XFRM Policy 是 IPsec 通信的规则集合,用于确定哪些流量应该受到 IPsec 保护,并指定要使用的加密算法、认证算法和密钥等参数。XFRM State:XFRM State 是与特定流量相关联的实时状态,它包含了与流量处理相关的信息,如加密和认证的密钥、安全参数等。
基于内核4.19版本的XFRM框架
日积月累
01-29 993
XFRM框架
一文带你走进Linux内核XFRM框架
m0_73494896的博客
09-02 1498
XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。Psec(Internet协议安全)应该很多人都听过,IPsec是一组协议,他们通过对通信会话中的每个数据包进行身份验证和加密,以确保IP流量的安全。XFRM框架IPsec的“基础设施”,IPsec通过XFRM框架实现的。XFRM源自USAGI项目,该项目旨在提供适用于生产环境的IPv6和IPsec协议栈。
linux ipsec内核,ipsec linux内核
weixin_39526459的博客
04-29 137
今天将给大家详细讲解查看CentOS版本信息的命令(一) 查看已经安装的CentOS版本信息1.cat /etc/issue 查看版本cat 缩写concatenate cat命令可以用来显示、合并文件。 CentOS release 6.6 (Final) CentOS 发行版6.6 etc 初期etc的英文名字缩写为etcetera ,后来大家更习惯称为 Editable Text Confi...
Linux内核xfrm策略管理与ESP协议详解
xfrmLinux内核实现IPSec安全框架的基础,它支持AH和ESP协议,用于数据包的安全封装和传输。 **策略管理** 策略管理是IPSec的关键组成部分,它涉及到用户空间对内核中的安全策略数据结构(SPD,Security Policy ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值