基于openswan klips的IPsec实现分析(二)数据接收

最新推荐文章于 2024-05-09 10:07:03 发布
最新推荐文章于 2024-05-09 10:07:03 发布
阅读量3.5k 收藏 1
点赞数
分类专栏: Linux开源代码分析 openswan源码分析 IPsec实现原理分析 文章标签: ah esp IPsec Openswan 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rosetta/article/details/8494381
版权

基于openswan klips的IPsec实现分析之数据接收

转载请注明出处:http://blog.csdn.net/rosetta

  接收数据解密和加密发送数据处理基本相似,无非就是逆过程。

  Klips对接收数据的处理流程如下:

  数据解密过程(以esp为例)

  ipsec_rcv()
         ->ipsec_rcv_decap()
               ->ipsec_rcv_decap_once()//proto_funcs = esp_xform_funcs(当然这里还有ah,ipcomp对应的结构体指针赋值)
                       ->proto_funcs->rcv_checks
                       ->proto_funcs->rcv_setup_auth
                       ->proto_funcs->rcv_decrypt

                  解完密后由  netif_rx(irs->skb);发送给上层协议栈处理。

  下面详细分析数据接收并解密过程。

  Ipsec_rcv()从物理网卡获取到数据包,这个处理函数是在ipsec_klips_init()中的openswan_inet_add_protocol()增加协议支持时注册的,首先判断skb是否有数据并确保skb是一份拷贝数据,然后判断是否是ESP包、AH包或者是COMP包,如果是则再判断物理网卡是否有对应的虚拟网卡绑定,然后走到ipsec_rcv_decap()。

  在ipsec_rcv_decap()里依据ESP、AH或COMP选择对应的xform_functions结构体,此结构包含认证函数指针、解密函数指针。再进入ipsec_rcv_decap_once()    proto_funcs->rcv_checks检查ESP包是否是4字节对齐(rfc24062.4节),接着判断是否存在有效的SA;proto_funcs->rcv_setup_auth设置哈希检验函数相关结构体;

proto_funcs->rcv_decrypt解密,解完密的数据再去查询SP,如果查找匹配的SP(eroute)就调用netif_rx()把数据包扔给上层协议栈处理。

sweird
关注
专栏目录
基于openswan klipsIPsec实现分析(八)内核SADB维护(2)
终身学习的程序猿
06-18 8036
基于openswan klipsIPsec VPN实现分析(七)内核SADB维护2 转载请注明出处:http://blog.csdn.net/rosetta 内核完整的消息处理过程,以隧道模式ESP协议增加SA情况为例 接收消息和发送消息的知识涉及到Linux内核了,所以不关注它是怎么收发,而是关注收到消息后对消息本身的处理过程。但为了保证代码的完整性,就把接收和发送的代码全部帖上来了
openswan klips数据加解密过程
终身学习的程序猿
06-15 1622
本文档的Copyleft归rosetta所有,使用GPL发布,可以自由拷贝、转载,转载时请保持文档的完整性。         klips实现IP数据包的安全接受或发送的进程。在内核域中运行,主要负责控制管理SA及密钥,同时处理数据包的加密和解密工作。 数据加密过程:         ipsec_tunnel_start_xmit()                 ->ipsec_
基于openswan klipsIPsec实现分析(九)加密算法维护
终身学习的程序猿
06-18 3542
基于openswan klipsIPsec VPN实现分析(九)加密算法维护 转载请注明出处:http://blog.csdn.net/rosetta 本节将介绍klips加密算法的维护,并介绍如何增加新加密算法的支持,下一节将讲认证算法维护和增加。 这里说的加密算法是指对称加密算法,是在通信过程中对传送的信息加解密时使用的,比如:AES,3DES,sm4等。
基于openswan klipsIPsec实现分析(十一)NAT穿越
终身学习的程序猿
06-18 4294
基于openswan klipsIPsec VPN实现分析(十一)NAT穿越 转载请注明出处:http://blog.csdn.net/rosetta 本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。 简介 IPsec和NAT的冲突: NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口,然
openswan klips代码分析--(1)初始化流程
u013920085的专栏
01-19 982
Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。
基于openswan klipsIPsec实现分析(一)数据发送
终身学习的程序猿
06-18 6713
基于openswan klipsIPsec VPN实现分析数据发送 转载请注明出处:http://blog.csdn.net/rosetta   Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。   Klips对外出数据的处理流程如下:   相关函数调用过程如下:
基于openswan klipsIPsec实现分析(五)应用层和内核通信(2)
终身学习的程序猿
06-18 2943
基于openswan klipsIPsec VPN实现分析(五)应用层和内核通信——内核操作 转载请注明出处:http://blog.csdn.net/rosetta 在数据发送一节讲过,加载模块时会执行pfkey_init()初始化与用户层通信的PF_KEY套接字,在这个函数里会把支持的协议和算法加到pfkey_supported_list[]全局数组中,并在soc
基于openswan klipsIPsec实现分析(六)应用层SADB操作
终身学习的程序猿
06-18 3724
基于openswan klipsIPsec VPN实现分析(六)应用层SADB操作 转载请注明出处:http://blog.csdn.net/rosetta 这里的操作是指由openswan的密钥管理守护进程pluto对于内核SADB的操作。如下来至rfc2367的密钥关联程序和PF_KEY的关系图。
基于openswan klipsIPsec实现分析(四)应用层和内核通信(1)
终身学习的程序猿
06-18 4115
基于openswan klipsIPsec VPN实现分析(四)应用层和内核通信——应用层操作 转载请注明出处:http://blog.csdn.net/rosetta   klips和NETKEY在内核域中运行,主要负责控制管理SA及密钥,负责注册和初始化模块,数据加密解密,SHA1、MD5算法实现等。两者与用户层通信都使用套接字socket PF_KEY。现讲解用户层pluto和kli
开源项目推荐:OpenSwan - 强大的Linux IPsec实现
最新发布
gitblog_00070的博客
05-09 444
开源项目推荐:OpenSwan - 强大的Linux IPsec实现 项目地址:https://gitcode.com/xelerance/Openswan 1、项目介绍 OpenSwan是一款专为Linux设计的IPsec实施项目,它支持大多数与IPsec相关的扩展,包括IKEv2、X.509数字证书、NAT穿透以及许多其他功能。这个项目源自FreeS/WAN 2.04,并集成了一些重要的补丁和...
openswan的Pluto源码分析以及linux的IPsec内核源码分析
11-08
openswan的Pluto源码和linux的IPsec内核源码进行了详细的分析,对于理解openswan的运行机制以及linux的IPsec实现很有帮助
ipsec内核实现分析
07-04
linux的ipsec内核实现源码分析,本人的源码阅读笔记,主要讲解了xfrm模块的实现和源码流程,有需要的可以下载参考
基于openswan klipsIPsec实现分析(十)认证算法维护
终身学习的程序猿
06-18 3061
基于openswan klipsIPsec VPN实现分析(十)认证算法维护 转载请注明出处:http://blog.csdn.net/rosetta 这里指的认证算法是ESP使用的,对通信过程中的信息做哈希,用来校验信息的完整性的;协商时的认证算法仅用来做哈希,哈希结果再用来做签名和验签。 相对于加密算法,认证算法会比较简单些,它也不需要像加密算法一样去构造一个结构体
Openswan中遇到的问题以及解决办法
热门推荐
专栏
01-17 3万+
Linux version 2.6.32-71.el6.i686 (mockbuild@c6b5.bsys.dev.centos.org) (gcc version 4.4.4 20100726 (Red Hat 4.4.4-13) (GCC) ) ipsec --version:Linux Openswan 2.6.38 (klips) 遇到的诸多问题: 安装完openswan之后
IPSec故障排除:了解和使用调试指令
weixin_42930696的博客
11-21 6475
跳转到页面内容跳转到页脚 产品 支持 合作伙伴与代理商 更多 CN ZH 搜索 登录 已有帐户? 个性化内容 您的产品和支持 登录 忘记了用户 ID 或密码? 管理帐户 需要帐户? 创建帐户 帮助 CN ZH 选择语言选项 已选国家/地区: Mainland China - 简体中文 All Countries / Regions North America Africa Asia Pacific...
openswan pluto代码分析--(1)pluto简介
u013920085的专栏
01-20 2731
Pluto是一个守护进程,提供IKEv1服务 Pluto通信消息:网卡数据报文消息;whack命令的消息;内核通信消息 接下来分别介绍上面三种通信消息 1. 网卡数据报文消息 打开UDP500和4500端口监听网卡数据----什么时机可以创建这个socket还没看出来 call_server中遍历所有网卡检查是否可读   2.whack命令的消息 在pluto的主函数
Openswan介绍
《Linux就是这个范儿》
11-08 9744
Openswan IPSec VPN中最著名的人物应属Openswan。它自带有IPsec内核堆栈KLIPS,更方便的是可以使用2.6内核中的堆栈代码。如果使用2.6及以上内核,不用打补丁NAT就能启作用。Openswan已经内建对x.509和NAT Traversal的支持,使用起来非常的方便。 下载openswan软件包后只要make programs install就可以搞定,然后用i
IPsec协议的ESP报文的装包与拆包过程
chenxz_的博客
12-23 1万+
一、IPsec简介 了解网络层相关知识应该就知道IP协议是不可靠的网络层协议,因此存在很多安全隐患。因此对IP协议进行安全加强的迫切需要催生了IPsecIPsec在网络层将IP报文进行处理之后再传输,增强了IP报文的安全性。准确来说,IPsec不是一个单独的协议,而是一组协议。 IPSec是IPv6的组成部分,也是IPv4的可选扩展协议,能保证IP报文的数据保密性(加密)、数据完整性度量...
教我用openswan部署IPSec ,详细的介绍每一个配置文件,并解释第一阶段第阶段的认证加密算法如何配置
03-27
OpenSwan是一个IPSec实现,它允许您建立安全的虚拟专用网络(VPN)连接来保护您的网络通信。在本教程中,我们将介绍如何使用OpenSwan部署IPSec。我们将讨论每个配置文件的详细信息,并解释第一阶段和第阶段的认证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值