ipsec 加密流程(四):封装状态机和发送流程

最新推荐文章于 2022-03-14 11:05:09 发布
最新推荐文章于 2022-03-14 11:05:09 发布
阅读量4k 收藏 1
点赞数
分类专栏: openswan源码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s2603898260/article/details/110410067
版权

  • Author       : 叨陪鲤
  • Email         : vip_13031075266@163.com
  • Date          : 2020.11.30
  • Copyright : 未经同意不得转载!!!
  • Version    : openswan-2.6.51.5
  • Referencehttps://download.openswan.org/openswan/

目录

1. ipsec封装状态机:

2. ipsec发送流程:

1. ipsec封装状态机:

ipsec封装状态机是一个很经典有限状态机实现:(当前状态,执行动作,下一个状态),同时它的核心调度流程也是比较简单:如果当前状态执行成功,则跳转至下一状态。此外在ipsec状态机中,可以通过实际参数配置(如ESP封装、IP隧道封装、AH封装等)来自动选择下一状态,这个是在ipsec_xmit_cont()函数中实现的。

我们直接来看状态机和核心调度流程:

struct {

enum ipsec_xmit_value (*action)(struct ipsec_xmit_state *ixs);

int next_state;

} xmit_state_table[] = {

[IPSEC_XSM_INIT1]                     =         {ipsec_xmit_init1,               IPSEC_XSM_INIT2 },

[IPSEC_XSM_INIT2]                     =         {ipsec_xmit_init2,               IPSEC_XSM_ENCAP_INIT },

[IPSEC_XSM_ENCAP_INIT]         =         {ipsec_xmit_encap_init,          IPSEC_XSM_ENCAP_SELECT },

[IPSEC_XSM_ENCAP_SELECT]  =         {ipsec_xmit_encap_select,  IPSEC_XSM_DONE },

[IPSEC_XSM_ESP]                       =         {ipsec_xmit_esp,                 IPSEC_XSM_ESP_AH },

[IPSEC_XSM_ESP_AH]                =         {ipsec_xmit_esp_ah,              IPSEC_XSM_CONT },

[IPSEC_XSM_AH]                         =         {ipsec_xmit_ah,                  IPSEC_XSM_CONT },

[IPSEC_XSM_IPIP]                       =         {ipsec_xmit_ipip,                IPSEC_XSM_CONT },

[IPSEC_XSM_IPCOMP]               =         {ipsec_xmit_ipcomp,              IPSEC_XSM_CONT },

[IPSEC_XSM_CONT]                   =         {ipsec_xmit_cont,                IPSEC_XSM_DONE },

[IPSEC_XSM_DONE]                   =         {NULL,                           IPSEC_XSM_DONE},

};

ipsec_xsm(struct ipsec_xmit_state *ixs)

{

enum ipsec_xmit_value stat = IPSEC_XMIT_ENCAPFAIL;

unsigned more_allowed;

 

more_allowed = 1000;

while (ixs->state != IPSEC_XSM_DONE && --more_allowed) {

         ixs->next_state = xmit_state_table[ixs->state].next_state;

         stat = xmit_state_table[ixs->state].action(ixs);

 

        if (stat == IPSEC_XMIT_OK) {

       ixs->state = ixs->next_state;

        } else if (stat == IPSEC_XMIT_PENDING) {

         return;

        } else {

         /* bad result, force state change to done */

         ixs->state = IPSEC_XSM_DONE;

        }

}

/*

 * let the caller continue with their processing

 */

ixs->xsm_complete(ixs, stat);

}

IP报文在经过ipsec_xsm状态机完成报文封装后,进入到xsm_complete函数进行后续收尾处理,之后发送此ipsec报文。

2. ipsec发送流程:

此部分函数入口为:

ipsec_tunnel_xsm_complete(ixs, stat);

此函数的函数调用关系基本如下所示:

  • ipsec_tunnel_xsm_complete
  • ipsec_extract_ports
  • ipsec_findroute
    • 存在隧道嵌套的情况,则再次进入ipsec_xsm进行封装
  • ipsec_nat_encap
  • ipsec_tunnel_restore_hard_header
  • ipsec_tunnel_send
    • ipsec_xmit_send
      • ipsec_set_dst
      • ipsec_xmit_send2_mast
      • ipsec_xmit_send2
  • 判断封装完毕后的状态是否成功:

If (stat != IPSEC_XMIT_OK)

如果不正确,则说明封装有错误,则将释放相应的资源。

  • 获取新封装完毕的报文五元组信息,重新组成ixs->matcher

ixs->matcher.sen_type = SENT_IP4

协议族类型

ixs->matcher.sen_ip_src.s_addr = osw_ip4_hdr(ixs)->saddr;

源IP

ixs->matcher.sen_ip_dst.s_addr = osw_ip4_hdr(ixs)->daddr;

目的IP

nexthdr = osw_ip4_hdr(ixs)->protocol;

四层协议

ixs->matcher.sen_proto = nexthdr;

-

  • 获取新封装完毕的报文端口信息,存储在ixs->matcher

udp = skb_header_pointer(skb, nexthdroff, sizeof(*udp), &_udp);

ixs->matcher.sen_sport = udp->source;

ixs->matcher.sen_dport = udp->dest;

  • 再次根据ixs->matcher查询eroute路由表:

ixs->eroute = ipsec_findroute(&ixs->matcher);

查询eroute路由表

ixs->outgoing_said = ixs->eroute->er_said;

查到后记录said

ixs->eroute_pid = ixs->eroute->er_pid;

 

ixs->eroute->er_count++;

 

  • 如果封装后的报文仍然处于其他隧道的保护子网中,则再次进行封装:

ip_address_cmp(&ixs->orgedst, &ixs->outgoing_said.dst) != 0 &&

!ip_address_isany(&ixs->outgoing_said.dst) &&

ixs->eroute

 上述三个条件同时满足的情况下,则进入封装状态机ipsec_xsm(ixs)继续新的隧道封装。 

  • 如果隧道中间经过NAT设备,则进行NAT-T封装

NAT-T封装报文基本格式如下:

 

在此基础上,需要区分IKE协商报文和业务流量报文(一般是ESP)。当ipsec隧道经过NAT(NATP)设备时,IKE通过端口浮动(port floating)将端口由500浮动到4500;而业务流量报文为了适应NAT环境,也需要进行UDP格式封装,两者仅仅通过端口是无法区分的(目的端口都是4500,源端口可由NAT修改)。因此采用了一个特殊标记来分区:

IKE协商过程中(IKEv1或者IKEv2),最初的两个字段分别为Initiator SPI和Responder SPI, 它们各占用8Bytes。 在IKE协商过程中有一条规则:Initiator SPI不能为0, 而Responder SPI在第一包中可以为0。基于上述规则,IPsec业务流量报文封装时,在UDP头部之后添加8字节的额外空间,全部填充0,NAT-T便是通过这8个字节是否全部为0来区分协商报文和业务报文的。规则如下:

UDP后面的8个字节如果不为0, 则是IKE协商报文(IKE协议要求的)

UDP后面的8个字节全为0, 则是IPSec业务流量报文.

因此,在Ipsec_xmit_init2()函数中,预留头部和尾部空间时,NAT-T的相关操作为:

switch (ixs->natt_type) {

     case ESPINUDP_WITH_NON_IKE:

                ixs->natt_head = sizeof(struct udphdr)+(2*sizeof(__u32));

                break;

     case ESPINUDP_WITH_NON_ESP:

               ixs->natt_head = sizeof(struct udphdr);

               break;

     default:

               goto cleanup;

               break;

}

 

后续操作便是将报文内容后移,填充UDP头部(UDP头部中的校验和未填充):

源端口

udp->source = htons(ixs->natt_sport);

目的端口

udp->dest   = htons(ixs->natt_dport);

udp长度

udp->len    = htons(ntohs(ipp->tot_len) - ixs->iphlen);

IP头部协议字段

ipp->protocol = IPPROTO_UDP;

IP头部校验和

ipp->check  = 0;

ipp->check  = ip_fast_csum((unsigned char *)ipp, ipp->ihl);

至此, NAT-T场景下,UDP封装IPsec报文操作完毕。

  • 填充封装后报文的二层头

因为我们在ipsec_xmit_init2中已经将原先IP报文的二层头存储在ixs->saved_header中,在此,我们再将其添加到封装完毕的IP报文前。

if(ixs->saved_header) {

          skb_push(ixs->skb, ixs->hard_header_len);/*skb_push:添加头部*/

          {

                   int i;

                   for (i = 0; i < ixs->hard_header_len; i++) {

                         ixs->skb->data[i] = ixs->saved_header[i];

                   }

          }

}

  • 最后交由ipsec_tunnel_send()函数来发送封装完毕的报文。
 
 
 
 
 
 
叨陪鲤
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
gre隧道终结功能_Juniper vMX与Linux建立GRE隧道实验
weixin_34005314的博客
01-20 1258
1. GRE隧道基础知识GRE是一种隧道协议,可以在IP隧道内封装各种网络层协议数据包类型,在隧道远端的路由器之间创建虚拟点对点链路。 如图所示,GRE隧道用于隧道IP流量以及非IP流量,例如IPX和AppleTalk。除了引用的协议数据包类型之外,GRE隧道还常用于通过IP传输网络隧道传输IPv6和MPLS协议流量。在这些情况下,GRE隧道连接隔离的IPv6网络,并代替通常由RSVP和LDP创建...
linux内核收发包原理,网络数据包收发流程(一):从驱动到协议栈
weixin_36355328的博客
05-01 828
早就想整理网络数据包收发流程了,一直太懒没动笔。今天下决心写了一、硬件环境intel82546:PHY与MAC集成在一起的PCI网卡芯片,很强大bcm5461: PHY芯片,与之对应的MAC是TSECTSEC: Three Speed Ethernet Controller,三速以太网控制器,PowerPc 架构CPU里面的MAC模块注意,TSEC内部有DMA子模块话说现在的CPU越...
IPv6过渡技术
weixin_51045259的博客
01-22 968
IPv6 to IPv4 实验
gre隧道终结功能_地铁隧道是如何挖掘?中国造出世界最先进盾构机,实现全球领先...
weixin_35926446的博客
12-25 218
噪音、灰尘、泥土、热量、高强度的震动和冲击,这些所有的情况都是在采矿和隧道工程中最常见的工作环境?不得不说,以往挖掘隧道的方式,显得有些“粗暴”,是通过爆破的方式,炸出一个隧道来,这种方式存在很多缺点,不仅炸出的山体较为不规律,并且需要人们经常去处理落石,若是处理不当,就很可能会因爆炸造成一系列伤亡,如此看来,的确十分危险,90年代,为了修建西康公路,在打隧道的时候,国内从德国进口了两台盾构机,...
GRE隧道keepalive的说明
12-11
主要用来研究GRE隧道技术的keepalive
TCP/IP协议的安全隐患和IPSEC协议的研究
06-25
IPSec通过AH和ESP协议,在网络层为数据包提供加密和认证服务,确保数据的完整性和机密性。通过IKE协议自动协商密钥,简化了IPSec的部署过程。 #### 、在Windows配置IPSec传输的安全策略 在Windows系统中配置...
IPsec nat穿越技术
12-06
- 接收方在收到并验证加密后的协商包后,需更新其处理状态,将原先处理500端口的状态切换至处理4500端口,此后所有与该会话相关的通信均使用4500端口,而500端口则不再接收新的协商请求。 #### 、结论 IPSec NAT...
基于ipv6的中小型企业网的设计和实现.docx
04-27
- 内置安全机制:支持IPsec,为数据传输提供加密和身份验证。 - 流量优先级和服务质量:支持QoS(服务质量)机制,确保关键业务的优先处理。 - 自动配置能力:通过无状态地址自动配置(SLAAC)和DHCPv6简化网络部署...
网络安全协议考试题.pdf
10-20
21. SSL握手协议的个阶段:建立安全能力、服务器身份认证和密钥交换、客户机认证和密钥交换、完成。 22. SSL支持的验证方式:双向验证、只验证服务器、完全匿名验证。 23. SSL握手协议消息结构:类型、长度和...
高级计算机网络试题.docx
12-01
- **ESP(封装安全载荷)**: 除了提供AH的所有功能外,还支持数据加密,确保数据机密性。它可以加密整个IP负载,从而为数据流提供额外的安全层。 **区别总结** - AH提供数据验证和完整性保护,但不提供数据加密。 -...
计算机网络考试答案详解.pdf
10-11
它需要满足封装成帧、透明性、支持多种协议和链路层、差错检测、连接状态维护等要求。PPP 还支持最大传送单元 (MTU) 协商和网络层地址及数据压缩的协商。 5. **OSI 与 TCP/IP 体系结构**:OSI 模型分为七层,而 TCP...
IPv6设置及测试文档.zip
最新发布
11-08
3. 安全性:IPv6支持内置IPsec,为通信提供加密和认证。 总结,IPv6的配置和测试涉及地址结构、类型、配置方式、邻居发现协议以及测试方法等多个方面。了解并掌握这些知识点对于网络管理员和IT专业人员来说至关重要...
TCPIP常见协议及协议号及端口号
08-21
- **简介**:EIGRP是由Cisco开发的一种高级内部网关路由协议,结合了距离矢量和链路状态路由算法的优点。 - **用途**: - 快速收敛:快速适应网络变化。 - 无环路:防止路由环路的发生。 #### 13. OSPF(Open ...
IPV6基础知识-地址与报文格式.pptx
09-23
报文头包含源和目的地址、流量标签(用于QoS)、优先级和 Hop Limit 字段等,支持IPsec以提供安全通信,包括认证头(AH)和封装安全载荷(ESP)。 IPv6还引入了无状态自动配置(SLAAC),使得设备可以自动获得IP...
2012年计算机系统集成高级项目经理C组考试包过秘笈单选题.doc
12-17
16. IPSecIPSec是网络安全协议,提供加密和身份验证服务,对IPv6设备来说是必需的,而非可选项。 17. ISATAP技术:ISATAP用于在IPv4网络上透明地传输IPv6流量,但它不是主机到主机或主机和路由器之间的自动隧道...
ipsec 加密流程(二):ipsec初始化操作
遇见你是我最美丽的意外
11-22 5822
《openswan》专栏系列文章主要是记录openswan源码学习过程中的笔记。 Author : Toney Email : vip_13031075266@163.com Date : 2020.11.22 Copyright:未经同意不得转载!!! Version : openswan-2.6.51.5 Reference:https://download.openswan.org/openswan/ 1. 加...
××× 隧道-GRE 协议 47 数据包说明和使用
weixin_34248023的博客
05-26 929
通用路由封装 (GRE) 协议结合使用点对点隧道协议 (PPTP) 用于创建虚拟专用网络 (***) 客户端之间或客户端和服务器之间。 一种流行的实现是使用 Microsoft 的两个路由和远程访问服务 (RRAS),如下所示为局域网到局域网路由,配置的服务器之间的 ××× 技术: Lclient L-RRAS ===== ××× ===== ...
IPSec环境搭建与分析
GOOD__YOUTH的博客
10-11 1291
测试调试 网络拓扑 路由器配置为: 设置ipsec信息为: 隧道模式,配置远端路由网关192.168.151.73 即路由器2 IP 配置本地网端,与远端网段,设置ike协商 采用ESP中的封装安全荷载协议中的DES加密协议 完整性检测采用SHA1协议 配置密钥信息. 路由器1设置为初始者模式,路由器2设置为响应者模式,,通过抓包发现当设置为初始者模式时,路由器主动向对端建立ike协商,响应者模式则为被动状态等待ike连接请求。 测试可以PING通远端网段. 报文解析 主动模式 建立IKEV1协商
IPsec隧道模式下数据包的处理过程
qq_47529104的博客
03-14 1444
1、发送发送端接收到主机的明文信息,首先进行路由表的查询,然后确定该报文的从哪个区域发送来,要到从哪个区域走,总之就是确定报文的流向,然后进行安全策略的匹配查询,如果没有匹配到,那么该报文将会被丢弃,如果匹配到,而且还对应着IPsec的感兴趣流,那么防火墙就会对报文进行隧道封装封装完成后,重新进行路由表的查询,然后再次进行安全策略的匹配,然后看一下该数据包是否能够发送,如果可以就直接发送了。不行就将该数据包拦截。 2、接收端 接收端接收到该信息,第一步查询路由表,然后查询对应的安全策略,观察
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叨陪鲤

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值