基于openswan klips的IPsec实现分析(一)数据发送

最新推荐文章于 2020-06-18 15:42:13 发布
最新推荐文章于 2020-06-18 15:42:13 发布
阅读量6.7k 收藏 8
点赞数 1
分类专栏: openswan源码分析 Linux开源代码分析 IPsec实现原理分析 文章标签: ah esp IPsec Openswan 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rosetta/article/details/8481925
版权
本文分析了基于openswan klips的IPsec实现,重点讲述了数据发送的流程,包括ipsec_tunnel_start_xmit、ipsec_xmit_encap_bundle、ipsec_alg_esp_encrypt等函数的作用,以及如何进行数据加密和发送。模块初始化、SA查找、加密算法的使用等内容也进行了详述。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

基于openswan klips的IPsec实现分析之数据发送

转载请注明出处:http://blog.csdn.net/rosetta

  Klips是openswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。

  Klips对外出数据的处理流程如下:

  相关函数调用过程如下:
        ipsec_tunnel_start_xmit()
               ->ipsec_xmit_encap_bundle()
                       ->ipsec_sa_getbyid()//获取sa
                       ->ipsec_xmit_encap_once()  
                               ->ipsec_alg_esp_encrypt()
                                       ->struct ipsec_alg_enc *ixt_e=sa_p->ips_alg_enc
                                       ->ixt_e->ixt_e_cbc_encrypt()//真正的加密处理
                                       //此加密函数指针是在ipsec_xmit_encap_bundle()中获取sa后赋的值。
                                       // ixt_e=ixs->ipsp-&g

最低0.47元/天 解锁文章
openswan klips数据加解密过程
终身学习的程序猿
06-15 1656
本文档的Copyleft归rosetta所有,使用GPL发布,可以自由拷贝、转载,转载时请保持文档的完整性。         klips实现IP数据包的安全接受或发送的进程。在内核域中运行,主要负责控制管理SA及密钥,同时处理数据包的加密和解密工作。 数据加密过程:         ipsec_tunnel_start_xmit()                 ->ipsec_
基于openswan klipsIPsec实现分析(五)应用层和内核通信(2)
终身学习的程序猿
06-18 2987
基于openswan klipsIPsec VPN实现分析(五)应用层和内核通信——内核操作 转载请注明出处:http://blog.csdn.net/rosetta 在数据发送节讲过,加载模块时会执行pfkey_init()初始化与用户层通信的PF_KEY套接字,在这个函数里会把支持的协议和算法加到pfkey_supported_list[]全局数组中,并在soc
openswan发送状态机分析
遇见你是我最美丽的意外
05-14 4884
openswan发送状态机分析 1. 函数调用关系 init_module ipsec_klips_init ipsec_tunnel_init_devices ipsec_tunnel_createnum klips_device_ops ipsec_tunnel_probe ipsec_tunnel_init 【以上为初始化流程,下面是真正的数据包处理函数接口】 ipsec_tunnel_start_xmit ipsec_tunnel_SAlookup ipsec_xsm
openswan的Pluto源码分析以及linux的IPsec内核源码分析
11-08
openswan的Pluto源码和linux的IPsec内核源码进行了详细的分析,对于理解openswan的运行机制以及linux的IPsec实现很有帮助
基于openswan klipsIPsec实现分析(十)NAT穿越
终身学习的程序猿
06-18 4349
基于openswan klipsIPsec VPN实现分析(十)NAT穿越 转载请注明出处:http://blog.csdn.net/rosetta 本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。 简介 IPsec和NAT的冲突: NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口,然
基于openswan klipsIPsec实现分析(九)加密算法维护
终身学习的程序猿
06-18 3604
基于openswan klipsIPsec VPN实现分析(九)加密算法维护 转载请注明出处:http://blog.csdn.net/rosetta 本节将介绍klips加密算法的维护,并介绍如何增加新加密算法的支持,下节将讲认证算法维护和增加。 这里说的加密算法是指对称加密算法,是在通信过程中对传送的信息加解密时使用的,比如:AES,3DES,sm4等。
基于openswan klipsIPsec实现分析(四)应用层和内核通信(1)
终身学习的程序猿
06-18 4177
基于openswan klipsIPsec VPN实现分析(四)应用层和内核通信——应用层操作 转载请注明出处:http://blog.csdn.net/rosetta   klips和NETKEY在内核域中运行,主要负责控制管理SA及密钥,负责注册和初始化模块,数据加密解密,SHA1、MD5算法实现等。两者与用户层通信都使用套接字socket PF_KEY。现讲解用户层pluto和kli
基于openswan klipsIPsec实现分析(六)应用层SADB操作
终身学习的程序猿
06-18 3776
基于openswan klipsIPsec VPN实现分析(六)应用层SADB操作 转载请注明出处:http://blog.csdn.net/rosetta 这里的操作是指由openswan的密钥管理守护进程pluto对于内核SADB的操作。如下来至rfc2367的密钥关联程序和PF_KEY的关系图。
IPSEC_KLIPSDEBUG(8) - 设置KLIPS调试选项
Rain
07-24 854
IPSEC_KLIPSDEBUG NAME ipsec_klipsdebug - 设置KLIPS调试选项 SYSNOPSIS ipsec klipsdebug     ipsec klipsdebug --set flagname     ipsec klipsdebug --clear flagname    
基于openswan klipsIPsec实现分析(二)数据接收
终身学习的程序猿
06-18 3538
基于openswan klipsIPsec VPN实现分析数据接收 转载请注明出处:http://blog.csdn.net/rosetta   接收数据解密和加密发送数据处理基本相似,无非就是逆过程。   Klips对接收数据的处理流程如下:   数据解密过程(以esp为例)   ipsec_rcv() ->ipsec_rcv_decap()
Linux 内核IPSec(xfrm)协议栈源码分析
06-21
该文档从源码分析上入手分析了linux 内核收发数据包流程,内核路由查询流程。很清楚的分析数据包如何通过查询路由进入内核ipsec协议栈的处理、Linux 内核ipsec协议栈详细的加解密流程以及加解密完后如何将数据发送出去。 文档中前半部分主要介绍些关键的数据结构,及其相互之间的关系。后半部分介绍了各个函数的调用层级关系。文档主要以ipsec 隧道模式下的ESP协议为例来分析。文档中关键部分的源码都标有中文注释。
ipsec源代码
03-06
ipsec源代码的实现,非常流行的strongswan ikev2,lgplliesecs
ipsec内核实现分析
07-04
linux的ipsec内核实现源码分析,本人的源码阅读笔记,主要讲解了xfrm模块的实现和源码流程,有需要的可以下载参考
openswan klips代码分析--(1)初始化流程
u013920085的专栏
01-19 1023
Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。
基于openswan klipsIPsec实现分析(十)认证算法维护
终身学习的程序猿
06-18 3116
基于openswan klipsIPsec VPN实现分析(十)认证算法维护 转载请注明出处:http://blog.csdn.net/rosetta 这里指的认证算法是ESP使用的,对通信过程中的信息做哈希,用来校验信息的完整性的;协商时的认证算法仅用来做哈希,哈希结果再用来做签名和验签。 相对于加密算法,认证算法会比较简单些,它也不需要像加密算法样去构造个结构体
基于openswan klipsIPsec实现分析(三)安全协议
终身学习的程序猿
06-18 2928
基于openswan klipsIPsec VPN实现分析(三)安全协议 参考rfc2402,rfc2406 转载请注明出处:http://blog.csdn.net/rosetta 博客格式显示有问题,只能将就了。 AH(Authentication Header)认证头和ESP(Encapsulating Security Payload)封装安全载荷是IPsec主要安全协议,当然
【内核IPSec代码分析2】报文转发处理过程
weixin_33901843的博客
01-03 110
2019独角兽企业重金招聘Python工程师标准>>> ...
pluto分析
zhaozhanyong的专栏
01-27 1309
1. 前言 pluto是著名的VPN开源项目freeswan及其后续项目中的个重要组成部分,实现了IKEv1(RFC2409),原始的fresswan只是实现IKE的基本功能,但不包括很多其他扩展功能,都需要打补丁实现,freeswan停止开发后,继续扩展出两个不同的分支,openswan和strongswan,前者综合各种功能的补丁,IKE功能比较全面;后者功能相对少点,但重要特点就是支持了IKEv2(RFC4306),因此两者各有优势。目前国内做IPSec VPN的基本都是基于这实现的,好象没听说
基于openswan klipsIPsec实现分析(七)内核SADB维护(1)
终身学习的程序猿
06-18 2036
基于openswan klipsIPsec VPN实现分析(七)内核SADB维护(1) 转载请注明出处:http://blog.csdn.net/rosetta 上节讲了应用层pluto是如何构造SADB消息发送给内核的,这节将讲内核对SADB的维护,所有SA处理函数都在指针数组msg_parsers[]中。 SADB(SA Database)即SA数据库,般听到数据库三字
教我用openswan部署IPSec ,详细的介绍每个配置文件,并解释第阶段第二阶段的认证加密算法如何配置
03-27
OpenSwanIPSec实现,它允许您建立安全的虚拟专用网络(VPN)连接来保护您的网络通信。在本教程中,我们将介绍如何使用OpenSwan部署IPSec。我们将讨论每个配置文件的详细信息,并解释第阶段和第二阶段的认证和加密算法如何配置。 步骤1:安装OpenSwan 在开始之前,请确保您已在Linux系统上安装了OpenSwan。您可以使用以下命令在Ubuntu上安装OpenSwan: ``` sudo apt-get update sudo apt-get install openswan ``` 步骤2:配置IPSec 下面是IPSec的配置文件。您可以在/etc/ipsec.conf中找到它。 ``` config setup protostack=netkey nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 oe=off nhelpers=0 interfaces=%defaultroute plutodebug=all plutostderrlog=/var/log/openswan.log dumpdir=/var/run/pluto/ lockdir=/var/run/pluto/ conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 authby=secret pfs=no conn vpn-to-site left=192.168.1.1 leftsubnet=192.168.1.0/24 right=203.0.113.2 rightsubnet=10.0.0.0/24 auto=start ``` 让我们逐个解释每个配置项: - protostack:指定协议堆栈。在这种情况下,我们使用netkey协议堆栈。 - nat_traversal:启用NAT遍历。如果您的VPN连接将通过NAT进行,则应启用此选项。 - virtual_private:指定内部网络的IP地址段。在这种情况下,我们指定了三个IP地址段:10.0.0.0/8,192.168.0.0/16和172.16.0.0/12。 - oe:关闭超时。如果您的VPN连接长时间处于非活动状态,则关闭此选项可能会更安全,因为它不会在非活动状态下发送任何消息。 - nhelpers:指定NAT助手的数量。在这种情况下,我们将其设置为0。 - interfaces:指定默认路由接口。 - plutodebug:指定调试级别。在这种情况下,我们将其设置为all,以便记录所有信息。 - plutostderrlog:指定日志文件的位置。 - dumpdir:指定该进程的转储目录。 - lockdir:指定该进程的锁定目录。 接下来,我们定义了些默认连接参数。这些参数将应用于我们所有的连接。 - ikelifetime:指定IKE的生存期。 - keylife:指定IPSec密钥的生存期。 - rekeymargin:指定重新生成密钥的时间差。 - keyingtries:指定尝试建立连接的次数。 - authby:指定身份验证方式。在这种情况下,我们使用预共享密钥(PSK)。 - pfs:指定完美的前向保密性。在这种情况下,我们将其禁用。 最后,我们定义了我们的第个连接,它将使用我们之前定义的默认参数。 - conn vpn-to-site:指定连接的名称。 - left:指定本地IP地址。 - leftsubnet:指定本地IP地址段。 - right:指定远程IP地址。 - rightsubnet:指定远程IP地址段。 - auto:指定连接类型。在这种情况下,我们将其设置为start,以便在启动时自动启动连接。 步骤3:配置PSK 现在,让我们创建个预共享密钥(PSK)。您可以在/etc/ipsec.secrets中找到它。 ``` 192.168.1.1 203.0.113.2 : PSK "myvpnpassword" ``` 在这里,我们将本地IP地址和远程IP地址与PSK绑定。在这种情况下,我们将其设置为“myvpnpassword”。 步骤4:配置IKE 下面是IKE的配置文件。您可以在/etc/ike.conf中找到它。 ``` ikev1=enable esp=3des-sha1 ike=3des-sha1-modp1024 phase2=esp ``` 让我们逐个解释每个配置项: - ikev1:启用IKEv1。 - esp:指定ESP的加密算法。在这种情况下,我们使用3DES和SHA1。 - ike:指定IKE的加密算法。在这种情况下,我们使用3DES,SHA1和MODP1024。 - phase2:指定第二阶段的协议。在这种情况下,我们使用ESP。 现在,我们已经完成了所有配置。您可以使用以下命令启动IPSec服务: ``` sudo service ipsec start ``` 您可以使用以下命令停止IPSec服务: ``` sudo service ipsec stop ``` 总结 在本教程中,我们介绍了如何使用OpenSwan部署IPSec。我们逐个解释了每个配置文件,并解释了第阶段和第二阶段的认证和加密算法如何配置。现在,您可以使用OpenSwan建立安全的VPN连接来保护您的网络通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值