基于openswan klips的IPsec实现分析(八)内核SADB维护(2)

最新推荐文章于 2024-01-28 14:40:32 发布
最新推荐文章于 2024-01-28 14:40:32 发布
阅读量8k 收藏 3
点赞数
分类专栏: openswan源码分析 IPsec实现原理分析 文章标签: Openswan sadb sa esp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rosetta/article/details/8569767
版权
本文深入探讨了Linux内核如何处理基于openswan的IPsec协议安全联盟(SA)的增加和删除操作。通过pfkey_recvmsg和pfkey_sendmsg函数,阐述了内核接收和发送PF_KEY消息的过程,详细解析了pfkey_msg_interp函数中对SA、密钥、地址等信息的处理。同时,文章提到了satype2proto函数用于将应用层的协议类型转换为内核支持的协议号,以及内核如何将SA添加到哈希表中和从哈希表中删除的详细步骤。
摘要由CSDN通过智能技术生成

基于openswan klips的IPsec实现分析(七)内核SADB维护2

转载请注明出处:http://blog.csdn.net/rosetta

内核完整的消息处理过程,以隧道模式ESP协议增加SA情况为例

接收消息和发送消息的知识涉及到Linux内核了,所以不关注它是怎么收发,而是关注收到消息后对消息本身的处理过程。但为了保证代码的完整性,就把接收和发送的代码全部帖上来了(但省略部分比较长的调试信息)。

 

其接收发送函数调用关系如下:

pfkey_recvmsg()接收消息

pfkey_sendmsg()发送消息

 -> pfkey_msg_interp()解释消息后执行msg_parsers[]数组里相应函数(增加、删除SA等)。

         ->satype2proto()通过查表获取内核支持的协议号

         ->pfkey_msg_parse()解析并处理消息是否有错,判断相应的协议是否有算法支持等。

          ->ext_processors[]()处理消息中具体的数据结构,如SA,密钥,地址,周期等。

                   ->msg_parsers[]()调用最终的SA处理函数。

 

在msg_parsers[]处理函数数组中的每个函数,如果需要,都会在处理完后通过pfkey_upmsg()函数把消息发到PF_KEY密钥套接字传递给应用层。

从应用层接收到消息

pfkey_recvmsg()函数

/*

 *     Receive PF_KEY data up.

 */

DEBUG_NO_STATIC int

#ifdef NET_26

pfkey_recvmsg(struct kiocb *kiocb

               , struct socket *sock

               , struct msghdr *msg

               , size_t size

               , int flags)

#else

pfkey_recvmsg(struct socket *sock

               , struct msghdr *msg

               , int size, int flags

               , struct scm_cookie *scm)

#endif

{

         structsock *sk;

         intnoblock = flags & MSG_DONTWAIT;

         structsk_buff *skb;

         interror;

 

         if(sock== NULL) {

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_recvmsg: "

                                "Null socket passed in.\n");

                   return-EINVAL;

         }

 

         sk= sock->sk; 

 

         if(sk== NULL) {

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_recvmsg: "

                                "Null sock passed in forsock=0p%p.\n", sock);

                   return-EINVAL;

         }

 

         if(msg== NULL) {

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_recvmsg: "

                                "Null msghdr passed in for sock=0p%p,sk=0p%p.\n",

                                sock, sk);

                   return-EINVAL;

         }

 

         if(flags& ~MSG_PEEK) {

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_sendmsg: "

                                "flags (%d) other than MSG_PEEK notsupported.\n",

                                flags);

                   return-EOPNOTSUPP;

         }

                  

         msg->msg_namelen= 0; /* sizeof(*ska); */

                  

         if(sk->sk_err){

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_sendmsg: "

                                "sk->sk_err=%d.\n", sk->sk_err);

                   returnsock_error(sk);

         }

 

         if((skb= skb_recv_datagram(sk, flags, noblock, &error) )== NULL) {

                return error;

         }

 

         if(size> skb->len) {

                   size= skb->len;

         }

         elseif(size <skb->len) {

                   msg->msg_flags|= MSG_TRUNC;

         }

 

         skb_copy_datagram_iovec(skb,0, msg->msg_iov, size);

#ifdef HAVE_TSTAMP

         sk->sk_stamp.tv_sec  = skb->tstamp.off_sec;

         sk->sk_stamp.tv_usec= skb->tstamp.off_usec;

#else

       sk->sk_stamp=skb->stamp;

#endif

 

         skb_free_datagram(sk,skb);

         returnsize;

}

处理消息后发送给应用层

pfkey_sendmsg()函数

/*

 *     Send PF_KEY data down.

 */

DEBUG_NO_STATIC int

#ifdef NET_26

pfkey_sendmsg(struct kiocb *iocb, struct socket *sock, struct msghdr *msg, size_tlen)

#else

pfkey_sendmsg(struct socket *sock, structmsghdr *msg, int len, struct scm_cookie *scm)

#endif

{

         structsock *sk;

         interror = 0;

         //pfkey_msg用于存放来至应用层的数据.

struct sadb_msg*pfkey_msg = NULL, *pfkey_reply = NULL;

        

        

         if(sock== NULL) {

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_sendmsg: "

                                "Null socket passed in.\n");

                   SENDERR(EINVAL);

         }

        

         sk= sock->sk;

 

         if(sk== NULL) {

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_sendmsg: "

                                "Null sock passed in.\n");

                   SENDERR(EINVAL);

         }

        

         if(msg== NULL) {

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_sendmsg: "

                                "Null msghdr passed in.\n");

                   SENDERR(EINVAL);

         }

 

         KLIPS_PRINT(debug_pfkey,

                       "klips_debug:pfkey_sendmsg:.\n");

         if(sk->sk_err){

                   error= sock_error(sk);

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_sendmsg: "

                                "sk->err is non-zero, returns%d.\n",

                                error);

                   SENDERR(-error);

         }

 

         if((current->uid!= 0)) {

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_sendmsg: "

                                "must be root to send messages topfkey sockets.\n");

                   SENDERR(EACCES);

         }

 

         if(msg->msg_control)

         {

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_sendmsg: "

                                "can't set flags or setmsg_control.\n");

                   SENDERR(EINVAL);

         }

                  

         if(sk->sk_shutdown& SEND_SHUTDOWN) {

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_sendmsg: "

                                "shutdown.\n");

                   send_sig(SIGPIPE,current, 0);

                   SENDERR(EPIPE);

         }

        

         if(len< sizeof(struct sadb_msg)) {

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_sendmsg: "

                                "bogus msg len of %d, toosmall.\n", (int)len);

                   SENDERR(EMSGSIZE);

         }

 

         KLIPS_PRINT(debug_pfkey,

                       "klips_debug:pfkey_sendmsg: "

                       "allocating %d bytes for downwardmessage.\n",

                       (int)len);

         //为pfkey_msg分配空间

         if((pfkey_msg= (struct sadb_msg*)kmalloc(len, GFP_KERNEL)) == NULL) {

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_sendmsg: "

                                "memory allocation error.\n");

                   SENDERR(ENOBUFS);

         }

        

//拷贝待处理消息至pfkey_msg指向的缓冲区中

memcpy_fromiovec((void*)pfkey_msg, msg->msg_iov, len);

        

         //一些字段的正确性判断,比如版本,长度,是否是发向自己的消息等。

         if(pfkey_msg->sadb_msg_version!= PF_KEY_V2) {

                   KLIPS_PRINT(1|| debug_pfkey,

                                "klips_debug:pfkey_sendmsg: "

                                "not PF_KEY_V2 msg, found %d, shouldbe %d.\n",

                                pfkey_msg->sadb_msg_version,

                                PF_KEY_V2);

                   kfree((void*)pfkey_msg);

                   return-EINVAL;

         }

 

         if(len!= pfkey_msg->sadb_msg_len * IPSEC_PFKEYv2_ALIGN) {

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_sendmsg: "

                                "bogus msg len of %d, not %d bytealigned.\n",

                                (int)len, (int)IPSEC_PFKEYv2_ALIGN);

                   SENDERR(EMSGSIZE);

         }

 

         if(pfkey_msg->sadb_msg_reserved){

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_sendmsg: "

                                "reserved field must be zero, set to%d.\n",

                                pfkey_msg->sadb_msg_reserved);

                   SENDERR(EINVAL);

         }

        

         if((pfkey_msg->sadb_msg_type> SADB_MAX) || (!pfkey_msg->sadb_msg_type)){

                   KLIPS_PRINT(debug_pfkey,

                                "klips_debug:pfkey_sendmsg: "

                                "msg type too large orsmall:%d.\n",

                                pfkey_msg->sadb_msg_

最低0.47元/天 解锁文章
sweird
关注
专栏目录
ipsec内核实现分析
07-04
linux的ipsec内核实现源码分析,本人的源码阅读笔记,主要讲解了xfrm模块的实现和源码流程,有需要的可以下载参考
基于openswan klipsIPsec实现分析(二)数据接收
终身学习的程序猿
06-18 3501
基于openswan klipsIPsec VPN实现分析之数据接收 转载请注明出处:http://blog.csdn.net/rosetta   接收数据解密和加密发送数据处理基本相似,无非就是逆过程。   Klips对接收数据的处理流程如下:   数据解密过程(以esp为例)   ipsec_rcv() ->ipsec_rcv_decap()
IPsec在Linux内核2.4和2.6中实现分析和比较.pdf
09-07
IPsec在Linux内核2.4和2.6中实现分析和比较.pdf
基于openswan klipsIPsec实现分析(六)应用层SADB操作
终身学习的程序猿
06-18 3724
基于openswan klipsIPsec VPN实现分析(六)应用层SADB操作 转载请注明出处:http://blog.csdn.net/rosetta 这里的操作是指由openswan的密钥管理守护进程pluto对于内核SADB的操作。如下来至rfc2367的密钥关联程序和PF_KEY的关系图。
SADB参数定义差异分析
weixin_34252686的博客
05-14 371
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性, 严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 1. 前言 由于RFC2367中只定义了SA的类型,但没有定义安全策略的定义,因此各种IPSEC实现只能自己定义,openswan-2.4.7...
基于openswan klipsIPsec实现分析(七)内核SADB维护(1)
终身学习的程序猿
06-18 1987
基于openswan klipsIPsec VPN实现分析(七)内核SADB维护(1) 转载请注明出处:http://blog.csdn.net/rosetta 上一节讲了应用层pluto是如何构造SADB消息发送给内核的,这节将讲内核SADB的维护,所有SA处理函数都在指针数组msg_parsers[]中。 SADB(SA Database)即SA数据库,一般听到数据库三字
基于openswan klipsIPsec实现分析(五)应用层和内核通信(2)
终身学习的程序猿
06-18 2943
基于openswan klipsIPsec VPN实现分析(五)应用层和内核通信——内核操作 转载请注明出处:http://blog.csdn.net/rosetta 在数据发送一节讲过,加载模块时会执行pfkey_init()初始化与用户层通信的PF_KEY套接字,在这个函数里会把支持的协议和算法加到pfkey_supported_list[]全局数组中,并在soc
基于openswan klipsIPsec实现分析(十一)NAT穿越
终身学习的程序猿
06-18 4294
基于openswan klipsIPsec VPN实现分析(十一)NAT穿越 转载请注明出处:http://blog.csdn.net/rosetta 本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。 简介 IPsec和NAT的冲突: NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口,然
IPsec原理+实现 一文全介绍
最新发布
qingwangheni的博客
01-28 2306
一组基于网络层,密码学的安全通信协议族。不具体指哪个协议,而是一个协议族。可用于VPN或单纯加密数据。在IP头中协议号为51。特点:只能校验数据,不能加密数据。哈希校验算法:SHA1或MD5AH在传输模式下封装:原始IP头+AH认证头+传输层+应用层AH在隧道模式下封装:新IP头+AH认证头+原始IP头++传输层+应用层。
openswan的Pluto源码分析以及linux的IPsec内核源码分析
11-08
openswan的Pluto源码和linux的IPsec内核源码进行了详细的分析,对于理解openswan的运行机制以及linux的IPsec实现很有帮助
IPsec相关的一些基本概念
每天写一点,进步一点点
05-04 4194
问题提出:什么是xfrm,racoon,netkey,PF_KEY,netlink,clips,26sec,Setkey,KAME,ipsec? IPsec:Internet Protocol Security是一种开放标准的框架结构,通过使用加密的安全服务以确保在网络上进程保密而安全的通讯。IPsec IP层协议安全主要包括一个IP包进程模块和一个密钥交换模块,IPsec包的处理模块是基本
XFRM -- ipsec协议的内核实现框架
01-24 3592
目录 1 Overview 1.1 XFRM 实例 1.2 Netlink 通道 1.3 XFRM State 1.3 XFRM Policy 2 接收发送IPsec报文 2.1 接收 2.2 发送 IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwanOpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。 XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才
Linux内核中的IPSEC实现(1)
dolphin98629的专栏
12-31 4770
Java代码   1. 前言      在Linux2.6内核中自带了IPSEC实现,这样就不用象2.4那样打补丁来实现了。该实现包括以下几个部分: PF_KEY类型套接口, 用来提供和用户层空间进行PF_KEY通信,代码在net/key目录下,前面已经介绍过;安全联盟SA和安全策略SP管理,是使用xfrm库来实现的,代码在net/xfrm/目录下定义;ESP,AH等协议实现
UNPv1_r3学习日记: PF_KEY
cxw06023273的博客
01-10 293
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严 禁用于任何商业用途。 msn: yfydz_no1@hotmail.com 来源:http://yfydz.cublog.cn [code="java"]UNP第一卷的第3版是著名的RWS先生魂归上帝后由后人添加新的一些新的东西后发布的,增加的部分包括 PF_KEY和SCTP...
openswan中ISAKMP交互过程关键函数接口
遇见你是我最美丽的意外
05-18 5024
1. ISAKMP交互过程中关键函数接口 下面分别说明不同的阶段和模式下的函数接口以及对应的报文。 2. 第一阶段(Phase I)主模式函数接口 发送端响应端main_outI1主模式第一包main_inI1_outR1主模式第二包main_inR1_outI2主模式第三包main_inI2_outR2主模式第四包main_inR2_outI3主模式第五包main_inI3_outR3主模式第六包main_inR3发送端响应端 3. 第一阶段(Phase I)野蛮模式函数接口 发送端响应端aggr_ou
openstack 核心部件 openswitch 源码分析和逻辑整理
何进的博客
02-24 2539
OVS 核心代码OVS 架构OVS 主要的数据结构 数据结构关系图主要的数据结构和数据结构的参数数据结构代码 datapath 模块 datapath 简介datapath 代码 vswitchd 模块 vswitchd 代码 - [主循环](#主循环) 动态过程分析 数据流流向添加网桥收包处理流表匹配upcall 消息处理 相关内容 Linux R
C++实现ipsec ikev2
04-29
实现 IPsec IKEv2 需要使用一个现有的 IPsec 实现库,例如 StrongSwanOpenSwan,这些库已经实现了 IKEv2 协议。您可以使用这些库来实现 IPsec IKEv2。以下是一些实现步骤: 1. 首先,您需要编写代码来配置 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值