基于openswan klips的IPsec实现分析(七)内核SADB维护(1)

最新推荐文章于 2022-05-19 22:18:00 发布
最新推荐文章于 2022-05-19 22:18:00 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: openswan源码分析 IPsec实现原理分析 文章标签: klips sadb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rosetta/article/details/8569284
版权
本文详细介绍了Linux内核中如何使用klips实现IPsec的安全关联数据库(SADB)维护,包括通过三元组(SPI、目的地址、协议)标识SA,查找、添加和删除SA的过程,以及涉及到的数据结构和哈希表操作。
摘要由CSDN通过智能技术生成

基于openswan klips的IPsec实现分析(七)内核SADB维护(1)

转载请注明出处:http://blog.csdn.net/rosetta

    上一节讲了应用层pluto是如何构造SADB消息发送给内核的,这节将讲内核对SADB的维护,所有SA处理函数都在指针数组msg_parsers[]中。

SADB(SA Database)即SA数据库,一般听到数据库三字就会想到众所周知的Mysql、Oracle等,但klips对于SA的维护使用的数据库其实就是一个哈希表ipsec_sadb_hash[](以下称sa哈希表),其每一个成员都是structipsec_sa结构,定义在ipsec_sa.c里:

struct ipsec_sa *ipsec_sadb_hash[SADB_HASHMOD];

结构体struct ipsec_sa成员比较多就不给出了。

三元组said (spi,目的地址,协议),用以唯一标识SA

typedefstruct {        /* to identify an SA, weneed: */

        ip_address dst;     /* A. destination host */

        ipsec_spi_t spi;    /* B. 32-bit SPI, assigned by dest. host */

#       define SPI_PASS    256 /* magic values...*/

#       define SPI_DROP    257 /* ...for use...*/

#       define SPI_REJECT  258 /* ...with SA_INT*/

#       define SPI_HOLD    259

#       define SPI_TRAP    260    

#       define SPI_TRAPSUBNET  261

    int proto;      /* C. protocol */

#       define SA_ESP  50  /* IPPROTO_ESP */

#       define SA_AH   51  /* IPPROTO_AH */

#       define SA_IPIP 4   /* IPPROTO_IPIP */

#       define SA_COMP 108 /* IPPROTO_COMP */

#       define SA_INT  61  /* IANA reserved for internal use */

} ip_said;

 

最低0.47元/天 解锁文章
sweird
关注
专栏目录
基于openswan klipsIPsec实现分析(六)应用层SADB操作
终身学习的程序猿
06-18 3724
基于openswan klipsIPsec VPN实现分析(六)应用层SADB操作 转载请注明出处:http://blog.csdn.net/rosetta 这里的操作是指由openswan的密钥管理守护进程pluto对于内核SADB的操作。如下来至rfc2367的密钥关联程序和PF_KEY的关系图。
基于openswan klipsIPsec实现分析(八)内核SADB维护(2)
终身学习的程序猿
06-18 8036
基于openswan klipsIPsec VPN实现分析内核SADB维护2 转载请注明出处:http://blog.csdn.net/rosetta 内核完整的消息处理过程,以隧道模式ESP协议增加SA情况为例 接收消息和发送消息的知识涉及到Linux内核了,所以不关注它是怎么收发,而是关注收到消息后对消息本身的处理过程。但为了保证代码的完整性,就把接收和发送的代码全部帖上来了
openswan的Pluto源码分析以及linux的IPsec内核源码分析
11-08
openswan的Pluto源码和linux的IPsec内核源码进行了详细的分析,对于理解openswan的运行机制以及linux的IPsec实现很有帮助
SADB参数定义差异分析
weixin_34252686的博客
05-14 371
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性, 严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 1. 前言 由于RFC2367中只定义了SA的类型,但没有定义安全策略的定义,因此各种IPSEC实现只能自己定义,openswan-2.4.7...
Openswan-2.6.41源码包
06-16
该源码包是openswan.org提供的最新版本
基于openswan klipsIPsec实现分析(四)应用层和内核通信(1)
终身学习的程序猿
06-18 4115
基于openswan klipsIPsec VPN实现分析(四)应用层和内核通信——应用层操作 转载请注明出处:http://blog.csdn.net/rosetta   klips和NETKEY在内核域中运行,主要负责控制管理SA及密钥,负责注册和初始化模块,数据加密解密,SHA1、MD5算法实现等。两者与用户层通信都使用套接字socket PF_KEY。现讲解用户层pluto和kli
基于openswan klipsIPsec实现分析(十一)NAT穿越
终身学习的程序猿
06-18 4294
基于openswan klipsIPsec VPN实现分析(十一)NAT穿越 转载请注明出处:http://blog.csdn.net/rosetta 本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。 简介 IPsec和NAT的冲突: NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口,然
openswan源码ubantu下编译、安装、基本环境搭建
遇见你是我最美丽的意外
04-30 9406
openswan的编译过程 1. 下载源码: 对于openswan源码,我们是从官网上下载的。这里提供两个不同的网站: 专门下载openswan源码的网站 ​ openswan官网1源码下载 openswan官网页面 ​ openswan官网2源码下载 2. 在虚拟机上解压后编译: 我解压后的源码目录为:root@ubantu:/usr/src/openswan-2.6.51.5#...
pluto分析
zhaozhanyong的专栏
01-27 1244
1. 前言 pluto是著名的VPN开源项目freeswan及其后续项目中的一个重要组成部分,实现了IKEv1(RFC2409),原始的fresswan只是实现IKE的基本功能,但不包括很多其他扩展功能,都需要打补丁实现,freeswan停止开发后,继续扩展出两个不同的分支,openswan和strongswan,前者综合各种功能的补丁,IKE功能比较全面;后者功能相对少点,但重要特点就是支持了IKEv2(RFC4306),因此两者各有优势。目前国内做IPSec VPN的基本都是基于这实现的,好象没听说一
ipsec内核实现分析
07-04
linux的ipsec内核实现源码分析,本人的源码阅读笔记,主要讲解了xfrm模块的实现和源码流程,有需要的可以下载参考
ipsec(linux内核实现)
09-13
讲解linux内核最新代码中ipsec pfkey的实现过程。很具有参考价值。
CentOS 5.4 源代码安装openswan2.6.28
人生如棋
09-08 5792
在CentOS5.4中源代码安装openswan做VPN server
基于openswan klipsIPsec实现分析(一)数据发送
终身学习的程序猿
06-18 6713
基于openswan klipsIPsec VPN实现分析之数据发送 转载请注明出处:http://blog.csdn.net/rosetta   Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。   Klips对外出数据的处理流程如下:   相关函数调用过程如下:
IPSec 专栏目录锦集(openswan)
热门推荐
遇见你是我最美丽的意外
12-23 4万+
为了方便查阅现有的文章,特准备一个目录页供后续查询使用 1. openswan任务调度基础知识之信号
openswan性能初步分析
遇见你是我最美丽的意外
05-19 903
openswan性能初步分析 这里相对openswan的性能做个简单的说明。为什么要介绍这个话题呢? 其实最主要的原因还是想openswan的性能到底如何、极限是多少隧道、会有哪些瓶颈等等? 比如某个项目,客户需要设备支持1000条隧道,那么首先要考虑自己的产品能否支持到这么多?也就是说需要知道自己的实力。如果不考虑这些实际的问题,只一味的接项目,那么最可能的结果就是白白投入这么多的人力物力时间,最终对于公司来说收效甚微。 另一个原因:openswan的官方也没有给出明确的性能参数,比如说最大能支持多少
基于openswan klipsIPsec实现分析(九)加密算法维护
终身学习的程序猿
06-18 3542
基于openswan klipsIPsec VPN实现分析(九)加密算法维护 转载请注明出处:http://blog.csdn.net/rosetta 本节将介绍klips加密算法的维护,并介绍如何增加新加密算法的支持,下一节将讲认证算法维护和增加。 这里说的加密算法是指对称加密算法,是在通信过程中对传送的信息加解密时使用的,比如:AES,3DES,sm4等。
openswan pluto代码分析--(1)pluto简介
u013920085的专栏
01-20 2734
Pluto是一个守护进程,提供IKEv1服务 Pluto通信消息:网卡数据报文消息;whack命令的消息;内核通信消息 接下来分别介绍上面三种通信消息 1. 网卡数据报文消息 打开UDP500和4500端口监听网卡数据----什么时机可以创建这个socket还没看出来 call_server中遍历所有网卡检查是否可读   2.whack命令的消息 在pluto的主函数
Linux内核 ipsec transport tunnel
最新发布
07-22
Linux内核提供了StrongSwanOpenswan等软件包来实现IPSec功能。这些软件包提供了用户空间工具和内核模块,用于配置和管理IPSec连接。用户可以使用ip xfrm命令来配置IPSec策略和连接,以及监视和管理IPSec连接的状态...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值