基于openswan klips的IPsec实现分析(九)加密算法维护

最新推荐文章于 2024-09-23 14:35:19 发布
最新推荐文章于 2024-09-23 14:35:19 发布
阅读量3.5k 收藏 2
点赞数
分类专栏: openswan源码分析 IPsec实现原理分析 文章标签: klips加密算法 对称加密算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rosetta/article/details/8572096
版权
本文介绍了Linux内核中基于openswan klips的IPsec实现中加密算法的维护,包括数据结构、相关函数接口,以及如何增加新的加密算法支持,如3DES。内容涵盖了struct ipsec_alg、register_ipsec_alg()、ipsec_alg_insert()和pfkey_list_insert_supported()等关键组件和函数。
摘要由CSDN通过智能技术生成

基于openswan klips的IPsec实现分析(九)加密算法维护

转载请注明出处:http://blog.csdn.net/rosetta

    本节将介绍klips加密算法的维护,并介绍如何增加新加密算法的支持,下一节将讲认证算法维护和增加。

    这里说的加密算法是指对称加密算法,是在通信过程中对传送的信息加解密时使用的,比如:AES,3DES,sm4等。

    加密算法对应的数据结构tructipsec_alg,其信息也是放在哈希表中:

    static structlist_head ipsec_alg_hash_table[IPSEC_ALG_HASHSZ];

相关数据结构

#define IPSEC_ALG_ST_SUPP   0x01

#define IPSEC_ALG_ST_REGISTERED 0x02

#define IPSEC_ALG_ST_EXCL   0x04

 

#define IPSEC_ALG_TYPE_AUTH14

#define IPSEC_ALG_TYPE_ENCRYPT  15

 

struct ipsec_alg_supported// pfkey_supported_list[]数据的每一个成员为此结构体。

{

         uint16_tias_exttype;//算法类型:加密或认证,IPSEC_ALG_TYPE_*

         uint8_t  ias_id;//算法ID,比如3des为3,aes为12。

         uint8_t  ias_ivlen;//IV长度,单位是bit,比如SM4的IV长度为128bit

         uint16_tias_keyminbits; //密钥支持最小位数。

         uint16_tias_keymaxbits;  //密钥支持最大位数。

       char    *ias_name;

};

 

struct ipsec_alg {

         unsignedixt_version;       /* only allow thisversion (or 'near')*/\  //IPSEC_ALG_VERSION

         structlist_head ixt_list;  /* dlinked list */ \  //内核标志的链表结构

         structmodule *ixt_module;    /* THIS_MODULE */ \ //THIS_MODULE

         unsignedixt_state;          /* state flags */ \ // IPSEC_ALG_ST_*三种

         atomic_tixt_refcnt;        /* ref. count whenpointed from ipsec_sa */ \ //被sa引用的次数

         charixt_name[16];  /* descriptive short name,eg. "3des" */ \ //算法名字,比如“3des”

         void*ixt_data;                   /* privatefor algo implementation */ \

         uint8_t  ixt_blocksize;   /* blocksize in bytes */ \//CBC模式分块大小,比如3des为8;SM4为16。

         structipsec_alg_supported ixt_support;

};

/*

 *   Note the const in cbc_encrypt IV arg:

 *   some ciphers like to toast passed IV (eg.3DES): make a local IV copy

 */

struct ipsec_alg_enc {

         structipsec_alg ixt_common;

         unsignedixt_e_keylen;             /* raw keylength in bytes */原始密钥长度,单位为字节,比如SM4为16.

         unsignedixt_e_ctx_size;          /*sa_p->key_e_size *///这个不知道什么用,SM4为16.

         int(*ixt_e_set_key)(struct ipsec_alg_enc *alg, __u8 *key_e, const __u8 *key,size_t keysize);

         //设置密钥函数指针

         __u8*(*ixt_e_new_key)(struct ipsec_alg_enc *alg, const __u8 *key, size_t keysize);

         void(*ixt_e_destroy_key)(struct ipsec_alg_enc *alg, __u8 *key_e);

         //销毁密钥函数指针

         int(*ixt_e_cbc_encrypt)(struct ipsec_alg_enc *alg, __u8 *key_e, __u8 *in, intilen, const __u8 *iv, int encrypt);

         //加密函数指针

};

相关函数接口

函数调用关系:

ipsec_klips_init()

->ipsec_alg_init()

->ipsec_3des_init()

  -> register_ipsec_alg_enc()

 

//内核增加加密算法支持

static inline int register_ipsec_alg_enc(structipsec_alg_enc *ixt) {

   return register_ipsec_alg((struct ipsec_alg*)ixt);

}          

//内核撤销此加密算法支持

static inline intunregister_ipsec_alg_enc(struct ipsec_alg_enc *ixt) {

   return unregister_ipsec_alg((struct ipsec_alg*)ixt);

}

register_ipsec_alg()函数

/*

 *Generic (enc, auth) registration entry point

 */

int register_ipsec_alg(structipsec_alg *ixt)

{

         intret=

最低0.47元/天 解锁文章
openswan klips数据加解密过程
终身学习的程序猿
06-15 1633
本文档的Copyleft归rosetta所有,使用GPL发布,可以自由拷贝、转载,转载时请保持文档的完整性。         klips实现IP数据包的安全接受或发送的进程。在内核域中运行,主要负责控制管理SA及密钥,同时处理数据包的加密和解密工作。 数据加密过程:         ipsec_tunnel_start_xmit()                 ->ipsec_
基于openswan klipsIPsec实现分析(十一)NAT穿越
终身学习的程序猿
06-18 4316
基于openswan klipsIPsec VPN实现分析(十一)NAT穿越 转载请注明出处:http://blog.csdn.net/rosetta 本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。 简介 IPsec和NAT的冲突: NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口,然
openswan pluto代码分析--(1)pluto简介
u013920085的专栏
01-20 2761
Pluto是一个守护进程,提供IKEv1服务 Pluto通信消息:网卡数据报文消息;whack命令的消息;内核通信消息 接下来分别介绍上面三种通信消息 1. 网卡数据报文消息 打开UDP500和4500端口监听网卡数据----什么时机可以创建这个socket还没看出来 call_server中遍历所有网卡检查是否可读   2.whack命令的消息 在pluto的主函数
IPSECIPSEC VPN一篇通(面试复习)
最新发布
atmxs的博客
09-23 2107
简述为IPSEC的概念后,现在看看IPSEC是怎么运用到我们的现实生活中去的。
openswan发送状态机分析
遇见你是我最美丽的意外
05-14 4858
openswan发送状态机分析 1. 函数调用关系 init_module ipsec_klips_init ipsec_tunnel_init_devices ipsec_tunnel_createnum klips_device_ops ipsec_tunnel_probe ipsec_tunnel_init 【以上为初始化流程,下面是真正的数据包处理函数接口】 ipsec_tunnel_start_xmit ipsec_tunnel_SAlookup ipsec_xsm
openswan的Pluto源码分析以及linux的IPsec内核源码分析
11-08
openswan的Pluto源码和linux的IPsec内核源码进行了详细的分析,对于理解openswan的运行机制以及linux的IPsec实现很有帮助
基于openswan klipsIPsec实现分析(十)认证算法维护
终身学习的程序猿
06-18 3080
基于openswan klipsIPsec VPN实现分析(十)认证算法维护 转载请注明出处:http://blog.csdn.net/rosetta 这里指的认证算法是ESP使用的,对通信过程中的信息做哈希,用来校验信息的完整性的;协商时的认证算法仅用来做哈希,哈希结果再用来做签名和验签。 相对于加密算法,认证算法会比较简单些,它也不需要像加密算法一样去构造一个结构体
ipsec openswan 内核(klips)算法管理分析
04-11
本文章从代码层面分析openswan 内核模块klips的算法管理。文章中重要数据结构和代码逻辑都标有中文注释,能够快速帮助不熟悉的人了解openswan 内核部分的算法管理架构
基于openswan klipsIPsec实现分析(一)数据发送
终身学习的程序猿
06-18 6732
基于openswan klipsIPsec VPN实现分析之数据发送 转载请注明出处:http://blog.csdn.net/rosetta   Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。   Klips对外出数据的处理流程如下:   相关函数调用过程如下:
基于openswan klipsIPsec实现分析(二)数据接收
终身学习的程序猿
06-18 3514
基于openswan klipsIPsec VPN实现分析之数据接收 转载请注明出处:http://blog.csdn.net/rosetta   接收数据解密和加密发送数据处理基本相似,无非就是逆过程。   Klips对接收数据的处理流程如下:   数据解密过程(以esp为例)   ipsec_rcv() ->ipsec_rcv_decap()
openswan klips代码分析--(1)初始化流程
u013920085的专栏
01-19 996
Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。
ipsec内核实现分析
07-04
linux的ipsec内核实现源码分析,本人的源码阅读笔记,主要讲解了xfrm模块的实现和源码流程,有需要的可以下载参考
IPSEC 加密算法详解
weixin_44383922的博客
08-23 9292
一.加密技术的分类 1.1 块加密Block Cipher (对称秘钥算法) 将明文分成固定长度的块(不足的bit 用0补足), 逐块加密. 算法不同, 分块大小不相同 密文长度一般稍长于原文长度(填充部分) 1.2 流加密Stream Cipher (对称秘钥算法) 逐bit 加密 密文长度与原文长度一致 1.3 理想的加密算法: 能够抵御密码学攻击(破译密码) 秘钥长度可变或者够长, 可扩展(便于管理) 具有雪崩效应(明文有一点不同, 则密文就完全不同, 无法还原) 没有进出口政策限制(通用性足够好,
IPsec技术介绍(转)
热门推荐
Better Me的博客
02-03 3万+
目  录 IPsec IPsec简介 IPsec的协议实现 IPsec基本概念 加密卡 IPsec虚拟隧道接口 使用IPsec保护IPv6路由协议 IKE IKE简介 IKE的安全机制 IKE的交换过程 IKE在IPsec中的作用 IPsec与IKE的关系 IPsec IPsec简介 IPsec(IP Security)是IETF制定的三层隧道加密协议,
关于IPSEC中身份验证与加密
11-02 6140
完整性算法:MD5,SHA1  MD5(单向散列算法)的全称是Message-Digest Algorithm 5(信息-摘要算法),经MD2、MD3和MD4发展而来。MD5算法的使用不需要支付任何版权费用。    MD5功能:    输入任意长度的信息,经过处理,输出为128位的信息(数字指纹);    不同的输入得到的不同的结果(唯一性);    根据128位的输出结果不可能反推出输入
IPSec 密钥加密体系概述
这是一个网络小菜鸡的笔记本,欢迎大家前来纠错。
09-21 2145
IPsec 了解基本加密知识。
ipsec 详解
qq_40390383的博客
09-01 3万+
目录 加密算法 对称加密算法对称加密算法 DH算法 RSA 公钥+私钥 (成对出现) IPsec IPSec VPN简介 ipsec的工作模式 IPsec通信协议 1、AH协议(Authentication Header,认证报头) 2、ESP协议 IPSec vpn建立 IKE Ipsec数据传递图 对于ipsec vpn 最重要的是安全 安全 三要素 安...
加密流量协议(1)--IPSec协议介绍
zx113187的博客
04-01 1806
互联网安全协议(Internet Protocol Security,IPSec)是一种网络层安全协议,主要用于保护IP通信的机密性、完整性以及身份验证。它是一种公认的安全协议,广泛应用于加密通信与其他安全网络连接中,如Cisco VPN、Microsoft DirectAccess等网络服务都是采用的IPsec协议。报文首部认证协议(AH)提供数据完整性校验和身份认证功能,还可以防止重放攻击(Replay Attacks)。封装安全荷载协议(ESP)
基于openswan klipsIPsec实现分析(五)应用层和内核通信(2)
终身学习的程序猿
06-18 2959
基于openswan klipsIPsec VPN实现分析(五)应用层和内核通信——内核操作 转载请注明出处:http://blog.csdn.net/rosetta 在数据发送一节讲过,加载模块时会执行pfkey_init()初始化与用户层通信的PF_KEY套接字,在这个函数里会把支持的协议和算法加到pfkey_supported_list[]全局数组中,并在soc
教我用openswan部署IPSec ,详细的介绍每一个配置文件,并解释第一阶段第二阶段的认证加密算法如何配置
03-27
OpenSwan是一个IPSec实现,它允许您建立安全的虚拟专用网络(VPN)连接来保护您的网络通信。在本教程中,我们将介绍如何使用OpenSwan部署IPSec。我们将讨论每个配置文件的详细信息,并解释第一阶段和第二阶段的认证和加密算法如何配置。 步骤1:安装OpenSwan 在开始之前,请确保您已在Linux系统上安装了OpenSwan。您可以使用以下命令在Ubuntu上安装OpenSwan: ``` sudo apt-get update sudo apt-get install openswan ``` 步骤2:配置IPSec 下面是IPSec的配置文件。您可以在/etc/ipsec.conf中找到它。 ``` config setup protostack=netkey nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 oe=off nhelpers=0 interfaces=%defaultroute plutodebug=all plutostderrlog=/var/log/openswan.log dumpdir=/var/run/pluto/ lockdir=/var/run/pluto/ conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 authby=secret pfs=no conn vpn-to-site left=192.168.1.1 leftsubnet=192.168.1.0/24 right=203.0.113.2 rightsubnet=10.0.0.0/24 auto=start ``` 让我们逐个解释每个配置项: - protostack:指定协议堆栈。在这种情况下,我们使用netkey协议堆栈。 - nat_traversal:启用NAT遍历。如果您的VPN连接将通过NAT进行,则应启用此选项。 - virtual_private:指定内部网络的IP地址段。在这种情况下,我们指定了三个IP地址段:10.0.0.0/8,192.168.0.0/16和172.16.0.0/12。 - oe:关闭超时。如果您的VPN连接长时间处于非活动状态,则关闭此选项可能会更安全,因为它不会在非活动状态下发送任何消息。 - nhelpers:指定NAT助手的数量。在这种情况下,我们将其设置为0。 - interfaces:指定默认路由接口。 - plutodebug:指定调试级别。在这种情况下,我们将其设置为all,以便记录所有信息。 - plutostderrlog:指定日志文件的位置。 - dumpdir:指定该进程的转储目录。 - lockdir:指定该进程的锁定目录。 接下来,我们定义了一些默认连接参数。这些参数将应用于我们所有的连接。 - ikelifetime:指定IKE的生存期。 - keylife:指定IPSec密钥的生存期。 - rekeymargin:指定重新生成密钥的时间差。 - keyingtries:指定尝试建立连接的次数。 - authby:指定身份验证方式。在这种情况下,我们使用预共享密钥(PSK)。 - pfs:指定完美的前向保密性。在这种情况下,我们将其禁用。 最后,我们定义了我们的第一个连接,它将使用我们之前定义的默认参数。 - conn vpn-to-site:指定连接的名称。 - left:指定本地IP地址。 - leftsubnet:指定本地IP地址段。 - right:指定远程IP地址。 - rightsubnet:指定远程IP地址段。 - auto:指定连接类型。在这种情况下,我们将其设置为start,以便在启动时自动启动连接。 步骤3:配置PSK 现在,让我们创建一个预共享密钥(PSK)。您可以在/etc/ipsec.secrets中找到它。 ``` 192.168.1.1 203.0.113.2 : PSK "myvpnpassword" ``` 在这里,我们将本地IP地址和远程IP地址与PSK绑定。在这种情况下,我们将其设置为“myvpnpassword”。 步骤4:配置IKE 下面是IKE的配置文件。您可以在/etc/ike.conf中找到它。 ``` ikev1=enable esp=3des-sha1 ike=3des-sha1-modp1024 phase2=esp ``` 让我们逐个解释每个配置项: - ikev1:启用IKEv1。 - esp:指定ESP的加密算法。在这种情况下,我们使用3DES和SHA1。 - ike:指定IKE的加密算法。在这种情况下,我们使用3DES,SHA1和MODP1024。 - phase2:指定第二阶段的协议。在这种情况下,我们使用ESP。 现在,我们已经完成了所有配置。您可以使用以下命令启动IPSec服务: ``` sudo service ipsec start ``` 您可以使用以下命令停止IPSec服务: ``` sudo service ipsec stop ``` 总结 在本教程中,我们介绍了如何使用OpenSwan部署IPSec。我们逐个解释了每个配置文件,并解释了第一阶段和第二阶段的认证和加密算法如何配置。现在,您可以使用OpenSwan建立安全的VPN连接来保护您的网络通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值