基于openswan klips的IPsec实现分析(六)应用层SADB操作

最新推荐文章于 2024-05-09 10:07:03 发布
最新推荐文章于 2024-05-09 10:07:03 发布
阅读量3.7k 收藏 3
点赞数
分类专栏: Linux开源代码分析 openswan源码分析 IPsec实现原理分析 文章标签: sa sadb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rosetta/article/details/8539030
版权
本文详细介绍了基于openswan klips的IPsec实现中,应用层如何通过SADB操作来增加、删除安全联盟SA。内容包括SA的结构、添加和删除SA的函数调用过程,以及SADB消息的构造和发送给内核的过程。
摘要由CSDN通过智能技术生成

基于openswan klips的IPsec实现分析(六)应用层SADB操作

转载请注明出处:http://blog.csdn.net/rosetta

    这里的操作是指由openswan的密钥管理守护进程pluto对于内核SADB的操作。如下来至rfc2367的密钥关联程序和PF_KEY的关系图。

                   

                     +----------------+

                     |密钥管理守护进程|

                     +----------------+

                       |           |

                       |           |

                       |           |                   应用程序

              ======[PF_KEY]====[PF_INET]==========================

                       |           |                   系统内核

               +------------+   +-----------------+

               |  密钥引擎 |   |     TCP/IP     |

               |    或者   |---|      包括       |

               |    SADB   |   |     IPsec      |

               +------------+   +-----------------+

                                        |

                                   +----------+

                                   | 网络接口 |

                                   +----------+

 

              图1:密钥关联程序和PF_KEY的关系

 

 

 

 

 

 

         pluto第二阶段协商成功收尾时,在发起方的quick_inR1_outI2()函数里调用install_ipsec_sa()增加SA。

        增加SA函数调用过程:

quick_inR1_outI2(), install_ipsec_sa(),setup_half_ipsec_sa(),kernel_ops->add_sa()(kernel_ops的成员赋值在《应用层和内核通信》一节讲,klips的add_sa指向的函数是pfkey_add_sa())。

删除SA函数调用过程:

在删除隧道或者SA过期等情况下调用相关删除函数,delete_ipsec_sa(),del_spi(),kernel_ops->del_sa()。

         如果存在多个SA的情况下,归组SA,即放到SA结构体数组中:

         setup_half_ipsec_sa(),kernel_ops->grp_sa()。

 

传说中的安全联盟SA概貌如斯:

struct kernel_sa {

   const ip_address *src; //源地址

   const ip_address *dst;  //目的地址

   

   const ip_subnet *src_client;//源保护子网

   const ip_subnet *dst_client;//目的保护子网

                 

   ipsec_spi_t spi; //spi

   unsigned proto; //安全协议

   unsigned satype; //安全联盟类型,比如ESP,AH,IPIP,IPCOMP等

   unsigned replay_window;//重放窗口

   unsigned reqid; //请求ID

                    

   unsigned authalg; //认证算法

   unsigned authkeylen; //认证算法密钥长度

   char *authkey;   //认证密钥

             

   unsigned encalg; //加密算法

   unsigned enckeylen; //加密算法密钥长度

   char *enckey; //加密密钥

 

   int encapsulation;//封装

   const char *text_said;

};

 

应用层构造SADB发送给内核,构造过程看似复杂,其实它只利用了一个指针数组做为中间buf,然后把此buf中的数据拷到pfkey_msg中,最后把pfkey_msg通过write pfkeyfd套接字把消息传给内核,最后释放指针和空间。

static bool pfkey_add_sa(const structkernel_sa *sa, bool replace)

{

   struct sadb_ext *extensions[SADB_EXT_MAX + 1]; //构造SADB临时使用的指针数组。

    boolsuccess = FALSE;

<
最低0.47元/天 解锁文章
sweird
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于openswan klipsIPsec实现分析(四)应用层和内核通信(1)
终身学习的程序猿
06-18 4114
基于openswan klipsIPsec VPN实现分析(四)应用层和内核通信——应用层操作 转载请注明出处:http://blog.csdn.net/rosetta   klips和NETKEY在内核域中运行,主要负责控制管理SA及密钥,负责注册和初始化模块,数据加密解密,SHA1、MD5算法实现等。两者与用户层通信都使用套接字socket PF_KEY。现讲解用户层pluto和kli
基于openswan klipsIPsec实现分析(五)应用层和内核通信(2)
终身学习的程序猿
06-18 2941
基于openswan klipsIPsec VPN实现分析(五)应用层和内核通信——内核操作 转载请注明出处:http://blog.csdn.net/rosetta 在数据发送一节讲过,加载模块时会执行pfkey_init()初始化与用户层通信的PF_KEY套接字,在这个函数里会把支持的协议和算法加到pfkey_supported_list[]全局数组中,并在soc
Openswan介绍
《Linux就是这个范儿》
11-08 9731
Openswan IPSec VPN中最著名的人物应属Openswan。它自带有IPsec内核堆栈KLIPS,更方便的是可以使用2.6内核中的堆栈代码。如果使用2.6及以上内核,不用打补丁NAT就能启作用。Openswan已经内建对x.509和NAT Traversal的支持,使用起来非常的方便。 下载openswan软件包后只要make programs install就可以搞定,然后用i
基于openswan klipsIPsec实现分析(八)内核SADB维护(2)
终身学习的程序猿
06-18 8035
基于openswan klipsIPsec VPN实现分析(七)内核SADB维护2 转载请注明出处:http://blog.csdn.net/rosetta 内核完整的消息处理过程,以隧道模式ESP协议增加SA情况为例 接收消息和发送消息的知识涉及到Linux内核了,所以不关注它是怎么收发,而是关注收到消息后对消息本身的处理过程。但为了保证代码的完整性,就把接收和发送的代码全部帖上来了
SADB参数定义差异分析
weixin_34252686的博客
05-14 370
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性, 严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 1. 前言 由于RFC2367中只定义了SA的类型,但没有定义安全策略的定义,因此各种IPSEC实现只能自己定义,openswan-2.4.7...
基于openswan klipsIPsec实现分析(七)内核SADB维护(1)
终身学习的程序猿
06-18 1986
基于openswan klipsIPsec VPN实现分析(七)内核SADB维护(1) 转载请注明出处:http://blog.csdn.net/rosetta 上一节讲了应用层pluto是如何构造SADB消息发送给内核的,这节将讲内核对SADB的维护,所有SA处理函数都在指针数组msg_parsers[]中。 SADB(SA Database)即SA数据库,一般听到数据库三字
基于openswan klipsIPsec实现分析(十一)NAT穿越
终身学习的程序猿
06-18 4291
基于openswan klipsIPsec VPN实现分析(十一)NAT穿越 转载请注明出处:http://blog.csdn.net/rosetta 本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。 简介 IPsec和NAT的冲突: NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口,然
使用openswan构建lan-to-lan ×××(KLIPS)
weixin_34245169的博客
08-03 183
一、OpenSWan简介 OpenSWan是Linux下IPsec的最佳实现方式,其功能强大,最大程度地保证了数据传输中的安全性、完整性问题。 OpenSWan支持2.0、2.2、2.4以及2.6内核,可以运行在不同的系统平台下,包括X86、X86_64、IA64、MIPS以及ARM。 OpenSWan是开源项目FreeS/WAN停止开发后的后继...
openswan实验
王以山的专栏
10-13 2302
openswan 在Linux kernel 2.6上,的使用 本实验在RedHat Enterprise Linux 4, Kernel 2.6.9上通过 Author: Iry Date: June 10, 2005 openswan 在Linux kernel 2.6上,的使用 本实验在RedHat Enterprise Linux 4, Kernel 2.6.9上通过 s
Openswan-2.6.41源码包
06-16
该源码包是openswan.org提供的最新版本
openswan-2.6.38
01-08
openswan-2.6.38源码,搬运自openswan.org openswan-2.6.38.tar.gz
openswan的Pluto源码分析以及linux的IPsec内核源码分析
11-08
openswan的Pluto源码和linux的IPsec内核源码进行了详细的分析,对于理解openswan的运行机制以及linux的IPsec实现很有帮助
开源项目推荐:OpenSwan - 强大的Linux IPsec实现
最新发布
gitblog_00070的博客
05-09 423
开源项目推荐:OpenSwan - 强大的Linux IPsec实现 项目地址:https://gitcode.com/xelerance/Openswan 1、项目介绍 OpenSwan是一款专为Linux设计的IPsec实施项目,它支持大多数与IPsec相关的扩展,包括IKEv2、X.509数字证书、NAT穿透以及许多其他功能。这个项目源自FreeS/WAN 2.04,并集成了一些重要的补丁和...
openswan的学习
Rafael的专栏
10-19 1828
写的有点乱,把这几天学的IPSEC做VPN连接的内容写一下,但是NAT穿越还没有试通。目前使用的linux为mandrava2006free版本,极烂的版本,要什么没什么。内核版本为2.6.12,但好像不是原版,默认安装的时候自带了ipsec,是基于NETKEY的,不是原freeswanklips(kernel ipsec suport)。不需要打补丁直接可以做NAT穿越。下载opens
Openswan安装和简单配置
CHN_Zgq's Blog
04-25 2208
本文档只描述了Openswan安装和简单的相关配置,具体情况请按照你所需要的场景进行布置,本文档仅作为一个参考。
openswan 移植
04-22 1737
最近一周都在移植openswan。这是个fei chan
openswan专栏序言
遇见你是我最美丽的意外
04-27 5286
openswan专栏序言 “一杯茶,一包烟,一个bug解一天!!!”。 ​ 2020年春季,正值新冠病毒在全球肆虐之际,美国的疫情已经相当的严峻,每天仍以3万速度狂奔。而国内的疫情在全国人民的共同努力下已经逐渐减弱,并趋于正常,人们的工作、生活逐步步入正轨。在这里由衷的希望全球人们早日度过难关,开始新的征程。 ​ 首先需要说明openswan的起源。 现在网络已经基本实现了互联互通,但是通讯面...
openswan与飞塔对接,将openswan接口当作上网线路使用
Aggy阿吉的博客
08-23 981
@[TOC]虚拟专线 openswan与飞塔对接 国内办公室与国外办公室的网络互联,国内企业与国外网络的互联一直都是一个热点问题。今天的openswan就是云端或者服务器替代网络设备的典范实例。 安装配置openswan 本次实验基于centos7.3 # cat /etc/redhat-release CentOS Linux release 7.3.1611 (Core) 安装openswan # yum -y install openswan # vi /etc/sysctl.conf 修
openswan实现多站点互通
03-25
A:要使用OpenSWAN实现多站点互通,需要进行以下步骤: 1.配置OpenSWAN网络 首先,需要在每个站点上安装和配置OpenSWAN。在每个站点上设置网络IP地址,用于区分不同站点的IP地址。确保每个站点的OpenSWAN版本相同...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值