基于openswan klips的IPsec实现分析(七)内核SADB维护(1)

最新推荐文章于 2022-05-19 22:18:00 发布
最新推荐文章于 2022-05-19 22:18:00 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: openswan源码分析 IPsec实现原理分析 文章标签: klips sadb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rosetta/article/details/8569284
版权
本文详细介绍了Linux内核中如何使用klips实现IPsec的安全关联数据库(SADB)维护,包括通过三元组(SPI、目的地址、协议)标识SA,查找、添加和删除SA的过程,以及涉及到的数据结构和哈希表操作。
摘要由CSDN通过智能技术生成

基于openswan klips的IPsec实现分析(七)内核SADB维护(1)

转载请注明出处:http://blog.csdn.net/rosetta

    上一节讲了应用层pluto是如何构造SADB消息发送给内核的,这节将讲内核对SADB的维护,所有SA处理函数都在指针数组msg_parsers[]中。

SADB(SA Database)即SA数据库,一般听到数据库三字就会想到众所周知的Mysql、Oracle等,但klips对于SA的维护使用的数据库其实就是一个哈希表ipsec_sadb_hash[](以下称sa哈希表),其每一个成员都是structipsec_sa结构,定义在ipsec_sa.c里:

struct ipsec_sa *ipsec_sadb_hash[SADB_HASHMOD];

结构体struct ipsec_sa成员比较多就不给出了。

三元组said (spi,目的地址,协议),用以唯一标识SA

typedefstruct {        /* to identify an SA, weneed: */

        ip_address dst;     /* A. destination host */

        ipsec_spi_t spi;    /* B. 32-bit SPI, assigned by dest. host */

#       define SPI_PASS    256 /* magic values...*/

#       define SPI_DROP    257 /* ...for use...*/

#       define SPI_REJECT  258 /* ...with SA_INT*/

#       define SPI_HOLD    259

#       define SPI_TRAP    260    

#       define SPI_TRAPSUBNET  261

    int proto;      /* C. protocol */

#       define SA_ESP  50  /* IPPROTO_ESP */

#       define SA_AH   51  /* IPPROTO_AH */

#       define SA_IPIP 4   /* IPPROTO_IPIP */

#       define SA_COMP 108 /* IPPROTO_COMP */

#       define SA_INT  61  /* IANA reserved for internal use */

} ip_said;

 

最低0.47元/天 解锁文章
sweird
关注
专栏目录
基于openswan klipsIPsec实现分析(六)应用层SADB操作
终身学习的程序猿
06-18 3724
基于openswan klipsIPsec VPN实现分析(六)应用层SADB操作 转载请注明出处:http://blog.csdn.net/rosetta 这里的操作是指由openswan的密钥管理守护进程pluto对于内核SADB的操作。如下来至rfc2367的密钥关联程序和PF_KEY的关系图。
基于openswan klipsIPsec实现分析(八)内核SADB维护(2)
终身学习的程序猿
06-18 8036
基于openswan klipsIPsec VPN实现分析内核SADB维护2 转载请注明出处:http://blog.csdn.net/rosetta 内核完整的消息处理过程,以隧道模式ESP协议增加SA情况为例 接收消息和发送消息的知识涉及到Linux内核了,所以不关注它是怎么收发,而是关注收到消息后对消息本身的处理过程。但为了保证代码的完整性,就把接收和发送的代码全部帖上来了
openswan的Pluto源码分析以及linux的IPsec内核源码分析
11-08
openswan的Pluto源码和linux的IPsec内核源码进行了详细的分析,对于理解openswan的运行机制以及linux的IPsec实现很有帮助
SADB参数定义差异分析
weixin_34252686的博客
05-14 371
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性, 严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 1. 前言 由于RFC2367中只定义了SA的类型,但没有定义安全策略的定义,因此各种IPSEC实现只能自己定义,openswan-2.4.7...
Openswan-2.6.41源码包
06-16
该源码包是openswan.org提供的最新版本
基于openswan klipsIPsec实现分析(四)应用层和内核通信(1)
终身学习的程序猿
06-18 4115
基于openswan klipsIPsec VPN实现分析(四)应用层和内核通信——应用层操作 转载请注明出处:http://blog.csdn.net/rosetta   klips和NETKEY在内核域中运行,主要负责控制管理SA及密钥,负责注册和初始化模块,数据加密解密,SHA1、MD5算法实现等。两者与用户层通信都使用套接字socket PF_KEY。现讲解用户层pluto和kli
基于openswan klipsIPsec实现分析(十一)NAT穿越
终身学习的程序猿
06-18 4294
基于openswan klipsIPsec VPN实现分析(十一)NAT穿越 转载请注明出处:http://blog.csdn.net/rosetta 本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。 简介 IPsec和NAT的冲突: NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口,然
openswan源码ubantu下编译、安装、基本环境搭建
遇见你是我最美丽的意外
04-30 9406
openswan的编译过程 1. 下载源码: 对于openswan源码,我们是从官网上下载的。这里提供两个不同的网站: 专门下载openswan源码的网站 ​ openswan官网1源码下载 openswan官网页面 ​ openswan官网2源码下载 2. 在虚拟机上解压后编译: 我解压后的源码目录为:root@ubantu:/usr/src/openswan-2.6.51.5#...
pluto分析
zhaozhanyong的专栏
01-27 1245
1. 前言 pluto是著名的VPN开源项目freeswan及其后续项目中的一个重要组成部分,实现了IKEv1(RFC2409),原始的fresswan只是实现IKE的基本功能,但不包括很多其他扩展功能,都需要打补丁实现,freeswan停止开发后,继续扩展出两个不同的分支,openswan和strongswan,前者综合各种功能的补丁,IKE功能比较全面;后者功能相对少点,但重要特点就是支持了IKEv2(RFC4306),因此两者各有优势。目前国内做IPSec VPN的基本都是基于这实现的,好象没听说一
ipsec内核实现分析
07-04
linux的ipsec内核实现源码分析,本人的源码阅读笔记,主要讲解了xfrm模块的实现和源码流程,有需要的可以下载参考
ipsec(linux内核实现)
09-13
讲解linux内核最新代码中ipsec pfkey的实现过程。很具有参考价值。
CentOS 5.4 源代码安装openswan2.6.28
人生如棋
09-08 5792
在CentOS5.4中源代码安装openswan做VPN server
基于openswan klipsIPsec实现分析(一)数据发送
终身学习的程序猿
06-18 6713
基于openswan klipsIPsec VPN实现分析之数据发送 转载请注明出处:http://blog.csdn.net/rosetta   Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。   Klips对外出数据的处理流程如下:   相关函数调用过程如下:
IPSec 专栏目录锦集(openswan)
热门推荐
遇见你是我最美丽的意外
12-23 4万+
为了方便查阅现有的文章,特准备一个目录页供后续查询使用 1. openswan任务调度基础知识之信号
openswan性能初步分析
遇见你是我最美丽的意外
05-19 904
openswan性能初步分析 这里相对openswan的性能做个简单的说明。为什么要介绍这个话题呢? 其实最主要的原因还是想openswan的性能到底如何、极限是多少隧道、会有哪些瓶颈等等? 比如某个项目,客户需要设备支持1000条隧道,那么首先要考虑自己的产品能否支持到这么多?也就是说需要知道自己的实力。如果不考虑这些实际的问题,只一味的接项目,那么最可能的结果就是白白投入这么多的人力物力时间,最终对于公司来说收效甚微。 另一个原因:openswan的官方也没有给出明确的性能参数,比如说最大能支持多少
基于openswan klipsIPsec实现分析(九)加密算法维护
终身学习的程序猿
06-18 3542
基于openswan klipsIPsec VPN实现分析(九)加密算法维护 转载请注明出处:http://blog.csdn.net/rosetta 本节将介绍klips加密算法的维护,并介绍如何增加新加密算法的支持,下一节将讲认证算法维护和增加。 这里说的加密算法是指对称加密算法,是在通信过程中对传送的信息加解密时使用的,比如:AES,3DES,sm4等。
openswan pluto代码分析--(1)pluto简介
u013920085的专栏
01-20 2734
Pluto是一个守护进程,提供IKEv1服务 Pluto通信消息:网卡数据报文消息;whack命令的消息;内核通信消息 接下来分别介绍上面三种通信消息 1. 网卡数据报文消息 打开UDP500和4500端口监听网卡数据----什么时机可以创建这个socket还没看出来 call_server中遍历所有网卡检查是否可读   2.whack命令的消息 在pluto的主函数
Linux内核 ipsec transport tunnel
最新发布
07-22
Linux内核支持IPSec协议的传输模式和隧道模式。 1. 传输模式(Transport Mode):在传输模式下,IPSec仅对IP数据报的有效负载进行加密和验证,IP头部不会被修改。这意味着仅数据部分受到保护,IP头部信息不受保护。传输模式常用于主机到主机的通信,例如两台服务器之间的通信。 2. 隧道模式(Tunnel Mode):在隧道模式下,整个IP数据报都会被加密和验证,包括IP头部和有效负载。IPSec会在原始IP数据报的基础上添加一个新的IP头部,新的IP头部中的源地址和目的地址指定了隧道的入口和出口。隧道模式常用于网络到网络的通信,例如不同网络之间的通信。 Linux内核提供了StrongSwanOpenswan等软件包来实现IPSec功能。这些软件包提供了用户空间工具和内核模块,用于配置和管理IPSec连接。用户可以使用ip xfrm命令来配置IPSec策略和连接,以及监视和管理IPSec连接的状态。 请注意,以上是关于Linux内核IPSec传输模式和隧道模式的一般介绍,具体实施和配置可能因不同的Linux发行版和版本而有所差异。建议查阅相关文档或参考特定发行版的文档以获得更详细的配置指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值