Linux kernel xfrm 调用流程

最新推荐文章于 2024-10-08 19:35:45 发布
最新推荐文章于 2024-10-08 19:35:45 发布
阅读量268 收藏
点赞数 1
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qianguozheng/article/details/118553745
版权

XFRM 架构目的

主要服务于IP Security, 俗称IPsec. 应用程序主要是strongswan结合,企业级的VPN基本基于这个构建。

xfrm函数调用流程

正常的数据报文。
sendto/sendmsg -> udp_sendmsg-> ip_make_skb()->ip_send_skb()->ip_local_out(skb)

udp_rcv->__udp4_lib_rcv->udp_queue_rcv_skb->encap_rcv
up->encap_rcv = xfrm4_udp_encap_rcv;
xfrm4_udp_encap_rcv->xfrm4_rcv_encap->xfrm_input
nexthdr = x->type->input(x, skb);

static const struct xfrm_type esp_type =
{
	.description	= "ESP4",
	.owner		= THIS_MODULE,
	.proto	     	= IPPROTO_ESP,
	.flags		= XFRM_TYPE_REPLAY_PROT,
	.init_state	= esp_init_state,
	.destructor	= esp_destroy,
	.get_mtu	= esp4_get_mtu,
	.input		= esp_input,
	.output		= esp_output
};

上述是正常的内核处理逻辑,如果你用的是带有硬件加速的硬件,某些步骤可能会被略过,比如我用lantiq的mpe,发现esp input就没有走,来的数据报文内核收到的都是解密过后的。

钱国正
关注
【优麒麟】编译linux kernel + 增加系统调用 + 编写批处理脚本
m0_54129327的博客
11-29 2080
hust操作系统实验一 —— linux内核编译,增加系统调用,并编写批处理脚本程序。处理了多种报错。
一文带你走进Linux内核之XFRM框架
m0_73494896的博客
09-02 1503
XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。Psec(Internet协议安全)应该很多人都听过,IPsec是一组协议,他们通过对通信会话中的每个数据包进行身份验证和加密,以确保IP流量的安全。XFRM框架是IPsec的“基础设施”,IPsec通过XFRM框架实现的。XFRM源自USAGI项目,该项目旨在提供适用于生产环境的IPv6和IPsec协议栈。
Linux内核中的IPSEC实现(6)
weixin_34380296的博客
05-14 447
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 8. 安全协议 与IPSEC相关的安全协议是AH(51)和ESP(50), IPSEC使用这两个协议对普通数据包进行封装, AH只认证不加密, ...
Linux对ipsec的支持
daa20的专栏
06-17 1783
转:https://blog.csdn.net/cxw06023273/article/details/83809492 前言 在Linux2.6内核中自带了PF_KEY协议族的实现,这样就不用象2.4那样打补丁来实现了。内核中PF_KEY实现要完成的功能是实现维护内核的安全联盟(SA)和安全策略(SP)数据库, 以及和用户空间的接口。 以下内核代码版本为2.6.19.2, PF_KEY相关代...
走进Linux内核之XFRM框架
北观止的博客
09-21 3136
笔者此前对Linux内核相关模块稍有研究,实现内核级通信加密、视频流加密等。下面开始上才艺,带你走进Linux内核之XFRM框架。
Linux kernel 配置选项
qq_28779021的博客
01-17 1万+
General setup 常规设置 Cross-compiler tool prefix CONFIG_CROSS_COMPILE 交叉编译工具前缀(比如"arm-linux-"相当于使用"make CROSS_COMPILE=arm-linux-"进行编译).除非你想配置后默认自动进行交叉编译,否则不要使用此选项. Local version - append to kernel rel...
Linux kernel Namespace源码分析
热门推荐
WaltonWang's Blog
12-27 1万+
学习一下linux kernel namespace的代码还是很有必要的,让你对docker容器的namespace隔离有更深的认识。
高通开发系列 - linux kernel内核升级msm-3.18升至msm-4.9(1)
fulinux的博客
02-10 1802
高通开发系列 - linux kernel更新msm-3.18升至msm-4.9
linux ipsec内核,XFRM -- IPsec协议的内核实现框架
weixin_39688019的博客
04-29 975
IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。OverviewXFRM 实...
查看Linux内核启动时调用的init函数
雜貨鋪
07-01 6103
Linux内核引导加载后 会调用一些初始化函数 其中有很多模块化的代码使用do_initcalls调用 这些函数通过宏pure_initcall、core_initcall、subsys_initcall、fs_initcall等声明 在内核链接的时候将函数指针加入".initcall"节 这样do_initcalls遍历该节中的函数指针进行调用   启动时按e键 在GRUB中加入
linux内核协议栈 icmp 报文收发流程
11-09 5137
1 ICMP报文接收 1.1 icmp_rcv() 实现 在ip层判断是icmp报文之后,会调用icmp_rcv()来处理 icmp 类型的报文 对数据包进行合理性检查 根据icmp的类型,分类处理 /* * Deal with incoming ICMP packets. */ int icmp_rcv(struct sk_buff *skb) { struct icmphdr *icmph; struct rtable *rt = skb_rtable(skb); str...
Linux 再入门整理:详解 /etc/fstab 文件
一只奋斗的猪
10-01 1270
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
Linux的基本指令(2)
shylyly_的博客
10-01 1045
Linux的基本指令(2) man nano cp mv which 自制指令 alias echo cat tac > >> < more less head tail |(管道)
linux之curl
qq_41081716的博客
10-06 313
发送指定的数据作为POST请求的主体。数据可以是键值对的形式。: 添加自定义HTTP头部。可以多次使用以添加多个头部。: 用于发送表单数据,特别是文件上传。: 指定请求方法,例如。
LINUX——内核移植、内核编译教程
最新发布
m0_63247632的博客
10-08 153
Linux内核编译是一个将内核源代码转换成可在特定硬件架构上运行的二进制文件的过程。这些命令提供了一个图形界面来配置内核选项,配置完毕后,退出并保存。如果下载失败,需要检查网络配置问题,如通过ping ubuntu的地址查看是否可以连接上;10、bootm 0x30008000 启动这个地址处的代码,即拷贝过去的内核代码;所以,我们需要将入口地址向后偏移64字节,即偏移到:0x30008040处。解压完成后会生成一个文件夹,后续有些操作就在该文件夹顶层操作。:如果下载的是压缩包,使用。
Linux下Qt项目出现libQt5WebEngineCore.so报错
weixin_74239923的博客
10-08 71
总的来说,这条命令的目的是将ld.gold链接器设置为系统默认的链接器,通过替换/usr/bin/ld来实现。
linux xfrm收发包流程
01-09
Linux操作系统中,XFRM(eXtensible Forwarding Information Base)是用于IPSec(Internet Protocol Security)实现的重要组件。它负责对网络数据包进行加密、解密和验证等操作。下面是Linux XFRM收发包的流程: 1. 发送方:当发送方要发送一个经过IPSec保护的数据包时,它将数据包通过网络协议栈发送给XFRM层。 2. XFRM层处理:XFRM层首先会根据策略数据库(SPD,Security Policy Database)中的规则,查找匹配的安全策略。找到匹配项后,会根据策略中的SA(Security Association,安全连接)信息对数据包进行封装。 3. 封装数据包:XFRM层将数据包封装为IPSec packet,并根据匹配的SA信息,添加AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)头部等,以确保数据包的完整性和机密性。 4. 发送封装的数据包:封装完成后的数据包被传递给传输层协议(如TCP或UDP),由传输层协议在网络上进行发送。 5. 接收方:当接收方收到经过IPSec保护的数据包时,它将数据包交给XFRM层进行解封。 6. 解封数据包:XFRM层在解封数据包时,根据接收到的数据包中的AH和ESP头部,查找匹配的SA信息,然后根据SA信息进行解密、验证和解封操作。 7. 解封完成后,数据包被传递给上层应用程序进行处理。 总之,Linux XFRM收发包流程主要包括查找匹配的安全策略、封装数据包、发送封装的数据包、接收数据包、解封数据包以及将解封后的数据包传递给应用程序处理。通过这样的流程Linux操作系统能够为IPSec提供强大的网络安全功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

钱国正

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值