Linux内核网络:实现和理论(2014)-第十章 IPsec

最新推荐文章于 2024-08-20 10:23:26 发布
最新推荐文章于 2024-08-20 10:23:26 发布
阅读量3.9k 收藏 11
点赞数 2
分类专栏: Linux内核网络 文章标签: linux XFRM

...

XFRM框架

        IPsec基于XFRM(读作“transform”)框架实现,该框架源于USAGI项目,其目标是提供一种产品化的IPv6和IPsec协议栈。术语“transform”指的是在内核协议栈中根据一些IPsec规则转发入方向报文或者出方向报文。Linux内核2.5引入了XFRM框架,XFRM是一种协议族独立的基本框架,这意味着对于IPv4和IPv6而言存在一个通用的部分,这部分位于net/xfrm之中。IPv4和IPv6拥有各自的ESP、AH和IPCOMP实现,例如IPv4 ESP模块位于net/ipv4/esp4.c,IPv6 ESP模块在net/ipv6/esp6.c中。除此之外,IPv4和IPv6为支持XFRM基本框架还实现了一些与各自协议相关的一些模块,比如net/ipv4/xfrm4_policy.c或者net/ipv6/xfrm6_policy.c。
        XFRM框架支持网络命名空间,这是一种轻量级的进程虚拟化,允许单个或者一组进程拥有自己的网络协议栈(在第14章会讨论网络命名空间)。每个网络命名空间(数据类型struct net的实例)都包含一个名为xfrm的成员,该成员是数据类型struct netns_xfrm的实例。这个对象包含很多你在本章会碰到的数据结构和变量,比如XFRM策略哈希表、XFRM状态哈希表、sysctl参数、XFRM状态垃圾回收器、计数器等等。 
struct netns_xfrm {
        struct hlist_head       *state_bydst;
        struct hlist_head       *state_bysrc;
        struct hlist_head       *state_byspi;
        . . .
        unsigned int            state_num;
        . . .
 
        struct work_struct      state_gc_work;
 
        . . .
 
        u32                     sysctl_aevent_etime;
        u32                     sysctl_aevent_rseqth;
        int                     sysctl_larval_drop;
        u32                     sysctl_acq_expires;
};
(include/net/netns/xfrm.h)

XFRM初始化

        在IPv4中,XFRM初始化工作在xfrm_init()函数完成,其调用栈为ip_rt_init()->xfrm4_init()->xfrm_init(),ip_rt_init()方法位于net/ipv4/route.c文件中。而在IPv6中,通过调用ipv6_route_init()方法中的xfrm6_init()方法实现了XFRM的初始化。通过创建NETLINK_XFRM类型netlink套接字(socket)并发送/接收netlink消息可以实现用户空间和内核之间的通信。 
static int __net_init xfrm_user_net_init(struct net *net)
{
        struct sock *nlsk;
        struct netlink_kernel_cfg cfg = {
                .groups = XFRMNLGRP_MAX,
                .input  = xfrm_netlink_rcv,
        };
 
        nlsk = netlink_kernel_create(net, NETLINK_XFRM, &cfg);
        . . .
        return 0;
}
        从用户空间发出的消息(比如XFRM_MSG_NEWPOLICY创建新的安全策略或者XFRM_MSG_NEWSA创建新的安全联盟)会被xfrm_netlink_rcv()方法处理,该方法又会被xfrm_user_rcv_msg()方法调用(第二章曾讨论过netlink套接字)。
        XFRM策略和XFRM状态是XFRM框架的基础数据结构,接下来我将陆续介绍什么是XFRM策略以及XFRM状态。

XFRM策略

        安全策略是一种规则,告诉IPsec一条特定流量是否应该处理或者旁路,xfrm_policy结构用来描述IPsec策略。一个安全策略包含一个选择器(一个xfrm_selector对象)。当其选择器匹配一条流时会提供一种策略。XFRM选择器有一系列属性组成:比如source和destination address、source和destination port、protocol等等,用这些属性来识别一条流: 
struct xfrm_selector {
        xfrm_address_t  daddr;
        xfrm_address_t  saddr;
        __be16  dport;
        __be16  dport_mask;
        __be16  sport;
        __be16  sport_mask;
        __u16   family;
        __u8    prefixlen_d;
        __u8    prefixlen_s;
        __u8    proto;
        int     ifindex;
        __kernel_uid32_t        user;
};

(include/uapi/linux/xfrm.h)
        xfrm_selector_match()方法使用XFRM selector、flow和family(IPv4对应AF_INET,IPv6对应AF_INET6)作为参数,当特定XFRM流量匹配中特定选择器时返回true。注意xfrm_selector结构同样用在XFRM状态中,在本节后续将看到。安全策略(Security Policy)使用xfrm_policy结构表示: 
struct xfrm_policy {
        . . .
        struct hlist_node             bydst;
        struct hlist_node             byidx;
 
        /* This lock only affects elements except for entry. */
        rwlock_t                      lock;
        atomic_t                      refcnt;
        struct timer_list             timer;
 
        struct flow_cache_object      flo;
        atomic_t                      genid;
        u32                           priority;
        u32                           index;
        struct xfrm_mark              mark;
        struct xfrm_selector          selector;
        struct xfrm_lifetime_cfg      lft;
        struct xfrm_lifetime_cur      curlft;
        struct xfrm_policy_walk_entry walk;
        struct xfrm_policy_queue      polq;
        u8                            type;
        u8                            action;
        u8                            flags;
        u8                            xfrm_nr;
        u16                           family;
        struct xfrm_sec_ctx           *security;
        struct xfrm_tmpl              xfrm_vec[XFRM_MAX_DEPTH];
};

(include/net/xfrm.h)
         下面将重点介绍一些xfrm_policy结构中重要的成员:
  • refcnt:XFRM引用计数,在xfrm_policy_alloc()方法中初始化为1,在xfrm_pol_hold()方法中增加计数,在xfrm_pol_put()方法中减少计数。
  • timer:Per-policy定时器,定时器的回调函数在xfrm_policy_alloc()方法中的xfrm_policy_timer()里设置。xfrm_policy_timer()方法在策略到期时进行相关处理:某个策略到期后调用xfrm_policy_delete()方法时负责删除对应策略,向通过调用km_policy_expired()方法注册的Key Manager发送XFRM_MSG_POLEXPIRE事件。
  • lft:XFRM策略有效期(xfrm_lifetime_cfg对象),每一个XFRM策略都有一个有效期(使用时间或者字节计数表示)。用户可以使用ip命令和限制的参数设置XFRM有效期,比如:ip xfrm policy add src 172.16.2.0/24 dst 172.16.1.0/24 limit byte-soft 6000...该命令设置XFRM策略有效期的软字节限制是6000,请参阅帮助8-ip xfrm。您可以执行ip -stat xfrm policy show命令查看有效期的配置项,显示XFRM策略的有效期(lft)。
  • curlft:XFRM策略当前的有效期,反映某个策略当前有效期的情况,curlft是一个xfrm_lifetime_cur对象,由四个成员组成,每个成员都是unsigned类型的64bit属性
  •         bytes:IPsec子系统处理的字节数量,在Tx路径的xfrm_output_one()方法和Rx路径的xfrm_input()方法中增加。
  •         packets:IPsec子系统处理的报文数量,在Tx路径的xfrm_output_one()方法和Rx路径的xfrm_input()方法中增加。
  •         add_time:添加策略的时间戳,在xfrm_policy_insert()方法和xfrm_sk_policy_insert()方法中添加策略时初始化。
  •         use_time:最新一次访问策略的时间,在xfrm_lookup()方法或者_xfrm_policy_check()方法中更新use_time的时间戳,使用xfrm_policy_insert()方法和xfrm_sk_policy_insert()方法中添加策略时初始化为0。
  • 注意:您可以执行ip -stat xfrm policy show命令查看有效期的配置项,显示某个XFRM策略的当前有效期(curlft)。
         




(未完待续)

原文源自网络,若有兴趣可直接阅读原文(http://apprize.info/linux/kernel/11.html)


龙虾天天
关注
专栏目录
Linux 内核IPSecxfrm)协议栈源码分析
06-21
该文档从源码分析上入手分析了linux 内核收发数据包流程,内核路由查询流程。很清楚的分析了一个数据包如何通过查询路由进入内核ipsec协议栈的处理、Linux 内核ipsec协议栈详细的加解密流程以及加解密完后如何将数据包发送出去。 文档中前半部分主要介绍一些关键的数据结构,及其相互之间的关系。后半部分介绍了各个函数的调用层级关系。文档主要以ipsec 隧道模式下的ESP协议为例来分析。文档中关键部分的源码都标有中文注释。
Linux内核网络实现理论 -- 目录
wq897387的专栏
03-24 3351
Linux Kernel Networking: Implementation and Theory (2014)https://apprize.best/linux/kernel/index.html对于我来说最好的学习就是翻译,☹ 目录:
Linux网络设置
Amrian_robot的博客
08-15 2114
ss命令:查看网络连接情况,主要用于获取socket统计信息,它可以显示和netstat命令类似的输出内容。但ss的优势在于它能够显示更多更详细的有关TCP和连接状态的信息,而且比netstat更快更高效。当服务器的socket连接数量变得非常大时,无论是使用netstat命令还是直接cat/proc/net/tcp,执行速度都会很慢。ss快的秘诀在于,它利用到了TCP协议栈中tcp_diagtcp_diag是一个用于分析统计的模块,可以获得Linux内核中第一手的信息,这就确保了ss的快捷高效。
Linux内核网络实现理论--介绍
wq897387的专栏
03-26 4021
Linux Kernel Networking: Implementation and Theory
Linux内核中的IPSEC实现(7)
dolphin98629的专栏
12-31 1849
9. IPSEC封装流程 IPSEC 数据包的封装过程是在数据包发出前完成的, 是和路由选择密切相关的, 根据前面的发出分析可知封装是通过对数据设置安全路由链表来实现的, 因此对数据包的IPSEC封装流程可以简单描述如下: 1) 对于进入的数据包, 进行路由选择, 如果是转发的, 进入路由输入, 然后查找安全策略检查是否需要IPSEC封装, 如果需要封装, 就查找和创建相关的安全路由, 进入路由输
Linux 内核源码分析---IPsec 互联网安全协议
最新发布
学习记录
08-20 1080
学习记录
linux内核实现ipsec,IP XFRM配置示例:利用linux kernel自带的IPSec实现,手动配置IPSec...
weixin_39559277的博客
04-29 1712
1、拓扑192.168.18.101 <=======> 192.168.18.1022、配置192.168.18.101ip xfrm state add src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301 mode tunnel auth md5 0x96358c90783bbfa3d7b196ceabe05...
编译linux实时内核‘error: ‘-mindirect-branch’ and ‘-fcf-protection’ are not compatible’等几个问题
cwdben的博客
04-03 4319
Kernel does not support PIC mode 解决办法:https://blog.csdn.net/jasonLee_lijiaqi/article/details/84651138 ./include/linux/types.h:17:9: error: unknown type name ‘__kernel_ino_t’ typedef __kernel_ino_t in...
linux2.6.1内核源码注释
03-10
Linux 2.6.11.12内核源码注释是一份极其珍贵的资料,它涵盖了Linux内核的多个关键组件,包括同步机制、信号处理、内存管理、进程调度、文件系统以及网络系统。这些是Linux内核运行的核心组成部分,对于理解Linux操作...
ipsec(linux内核实现)
09-13
讲解linux内核最新代码中ipsec pfkey的实现过程。很具有参考价值。
深入理解LINUX网络内幕和LINUX网络实现源代码分析合本
01-05
理论加详细例子分析,有文档结构目录,非影音版本, 希望对你物有所值
Linux内核设计与实现
AI天才研究院
09-06 1230
作者:禅与计算机程序设计艺术 1.简介 Linux内核作为开源、免费、稳定的系统级操作系统,其设计理念以及实现细节均值得探讨。本文将从操作系统理论层面出发,从宏观上对Linux内核进行概述,并结合CPU硬件体系结构等相关知识对其架构进行全面剖析,然后深入到其各个子模块的实现中,进一步剖析其工作原理,以此
linux ipsec内核,XFRM -- IPsec协议的内核实现框架
weixin_39688019的博客
04-29 980
IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。OverviewXFRM 实...
Linux内核协议栈--ipsec收发包流程
01-27 3713
1 ipsec收包解封流程 流程路径:ip_rcv() --> ip_rcv_finish() --> ip_local_deliver() --> ip_local_deliver_finish() 解封侧一定是ip报文的目的端,ip_rcv_finish中查到的路由肯定是本机路由(RTCF_LOCAL),调用 ip_local_deliver 处理。 下面是贴的网上的一张图片。 ip_local_deliver_finish中 根据上次协议类型,调用对应的处理函数。inet..
网络编程】Linux网络内核结构以及分布剖析
weixin_73951752的博客
04-15 1898
Linux内核中,软中断(Soft Interrupt)是一种非硬件中断,它允许内核代码在不需要CPU硬件中断的情况下执行中断处理代码。软中断通常用于执行一些需要立即执行的任务,但不需要立即响应的场合,例如网络数据包的处理、磁盘I/O操作等。
linux网络内核配置详解,Linux系统配置网络详解
weixin_39516956的博客
05-01 472
一.安装和配置网络设备在安装linux时,如果你有网卡,安装程序将会提示你给出tcp/ip网络的配置参数,如本机的ip地址,缺省网关的ip地址,DNS的ip地址等等.根据这些配置参数,安装程序将会自动把网卡(linux系统首先要支持)驱动程序编译到内核中去.但是我们一定要了解加载网卡驱动程序的过程,那么在以后改变网卡,使用多个网卡的时候我们就会很容易的操作.网卡的驱动程序是作为模块加载到内核中去的...
linux内核实现ipsec,基于IPv6的IPSec原理分析和在Linux内核中的实现
weixin_42176612的博客
04-29 344
The Analysis of IPsec and It's Implement in Linux Kernel Based on IPv6Sun Shanpeng1孙善鹏(1987-),男,硕士研究生,主要研究方向:网络安全1、Computer School, Beijing University of Posts and Telecommunications, Beijing 100876Ab...
linux网络内核分析
linken_yue的博客
11-20 394
Linux内核分析 - 网络[一]:收发数据包的调用 http://www.linuxidc.com/Linux/2011-05/36063.htm Linux内核分析 - 网络[二]:网卡驱动接收报文 http://www.linuxidc.com/Linux/2011-05/36064.htm Linux内核分析 - 网络[三]:从netif_receive_skb()说起 http://...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值