PF_KEYv2接口

最新推荐文章于 2022-09-11 21:12:55 发布
最新推荐文章于 2022-09-11 21:12:55 发布
阅读量1.7k 收藏 4
点赞数 2
分类专栏: 隧道XFRM 网络安全 文章标签: PF_KEY xfrm IPSec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/90381986
版权

内核的PF_KEY类型套接口,提供了IPSec的应用层管理程序与内核的交互接口。

套接口初始化

sock_register函数注册PF_KEY套接口pfkey_family_ops,另外函数pfkeyv2_mgr注册一个KM(key manager)秘钥管理器pfkeyv2_mgr。

static int __init ipsec_pfkey_init(void)
{
    err = sock_register(&pfkey_family_ops);
    err = xfrm_register_km(&pfkeyv2_mgr);
}

对于套接口PF_KEY而言,可用的系统调用仅有以下几个poll/sendmsg/recvmsg,当然还有套接口创建调用pfkey_create。

static const struct proto_ops pfkey_ops = {
    .family     =   PF_KEY,
    /* Now the operations that really occur. */
    .release    =   pfkey_release,
    .poll       =   datagram_poll,
    .sendmsg    =   pfkey_sendmsg,
    .recvmsg    =   pfkey_recvmsg,
};
static const struct net_proto_family pfkey_family_ops = {
    .family =   PF_KEY,
    .create =   pfkey_create,
    .owner  =   THIS_MODULE,
};

PF_KEY的秘钥管理器pfkeyv2_mgr主要用于向应用层管理程序发送相关通知。

static struct xfrm_mgr pfkeyv2_mgr =
{
    .notify     = pfkey_send_notify,
    .acquire    = pfkey_send_acquire,
    .compile_policy = pfkey_compile_policy,
    .new_mapping    = pfkey_send_new_mapping,
    .notify_policy  = pfkey_send_policy_notify,
    .migrate    = pfkey_send_migrate,
    .is_alive   = pfkey_is_alive,
};

PF_KEY发送

函数pfkey_sendmsg负责接收应用层发送的数据。其处理逻辑简单,首先函数pfkey_get_base_msg做一些简单的合法性检查,例如数据长度必须大于sadb_msg结构体长度;sadb消息的版本必须为PF_KEY_V2;sadb_msg消息的保留字段必须为零;消息类型SADB_RESERVED(0)和SADB_MAX(24)之间。如果所有检查都通过,将SKB中的数据转换为sadb_msg结构返回。

static int pfkey_sendmsg(struct socket *sock, struct msghdr *msg, size_t len)
{
    struct sock *sk = sock->sk;
    struct sk_buff *skb = NULL;
    struct sadb_msg *hdr = NULL;

    hdr = pfkey_get_base_msg(skb, &err);
    if (!hdr)
        goto out;
    err = pfkey_process(sk, skb, hdr);
}

消息处理函数pfkey_process如下。首先,将接收到的sadb消息尝试在当前网络命名空间中的所有PF_KEY套接口上广播,广播对象BROADCAST_PROMISC_ONLY,所以只向设置了混杂模式的套接口发送此消息。之后将看到套接口通告sadb的消息类型SADB_X_PROMISC控制混杂模式。最后,根据消息类型调用相应的处理函数,两者之间的对应关系保存在全局变量pfkey_funcs中。
 

static int pfkey_process(struct sock *sk, struct sk_buff *skb, const struct sadb_msg *hdr)
{
    void *ext_hdrs[SADB_EXT_MAX];

    pfkey_broadcast(skb_clone(skb, GFP_KERNEL), GFP_KERNEL, BROADCAST_PROMISC_ONLY, NULL, sock_net(sk));

    memset(ext_hdrs, 0, sizeof(ext_hdrs));
    err = parse_exthdrs(skb, hdr, ext_hdrs);
    if (!err) {
        err = -EOPNOTSUPP;
        if (pfkey_funcs[hdr->sadb_msg_type])
            err = pfkey_funcs[hdr->sadb_msg_type](sk, skb, hdr, ext_hdrs);
    }
}

pfkey_funcs结构如下。

static const pfkey_handler pfkey_funcs[SADB_MAX + 1] = {
    [SADB_RESERVED]     = pfkey_reserved,
    [SADB_GETSPI]       = pfkey_getspi,
    [SADB_UPDATE]       = pfkey_add,
    [SADB_ADD]      = pfkey_add,
    [SADB_DELETE]       = pfkey_delete,
    [SADB_GET]      = pfkey_get,
    [SADB_ACQUIRE]      = pfkey_acquire,
    [SADB_REGISTER]     = pfkey_register,
    [SADB_EXPIRE]       = NULL,
    [SADB_FLUSH]        = pfkey_flush,
    [SADB_DUMP]     = pfkey_dump,
    [SADB_X_PROMISC]    = pfkey_promisc,
    [SADB_X_PCHANGE]    = NULL,
    [SADB_X_SPDUPDATE]  = pfkey_spdadd,
    [SADB_X_SPDADD]     = pfkey_spdadd,
    [SADB_X_SPDDELETE]  = pfkey_spddelete,
    [SADB_X_SPDGET]     = pfkey_spdget,
    [SADB_X_SPDACQUIRE] = NULL,
    [SADB_X_SPDDUMP]    = pfkey_spddump,
    [SADB_X_SPDFLUSH]   = pfkey_spdflush,
    [SADB_X_SPDSETIDX]  = pfkey_spdadd,
    [SADB_X_SPDDELETE2] = pfkey_spdget,
    [SADB_X_MIGRATE]    = pfkey_migrate,
};

在应用层数据sadb_msg之后是可选的扩展字段,parse_exthdrs函数解析扩展字段和进行必要的合法性验证。扩展字段头部通用字段如下:

    |----------------|-----------------|
    |  sadb_ext_len  |  sadb_ext_type  |
    |----------------|-----------------|
    |     16bit      |      16bit      |

扩展长度字段sadb_ext_len单位为8个字节(sizeof(uint64_t))。扩展类型字段sadb_ext_type的合法值在SADB_EXT_RESERVED(0)和SADB_EXT_MAX(26)之间,但是最大值SADB_EXT_MAX为合法值SADB_X_EXT_FILTER(26)。

static int parse_exthdrs(struct sk_buff *skb, const struct sadb_msg *hdr, void **ext_hdrs)
{
    const char *p = (char *) hdr;
    int len = skb->len;
    len -= sizeof(*hdr);
    p += sizeof(*hdr);
    while (len > 0) {
        const struct sadb_ext *ehdr = (const struct sadb_ext *) p;
        ext_len  = ehdr->sadb_ext_len;
        ext_len *= sizeof(uint64_t);
        ext_type = ehdr->sadb_ext_type;
        if (ext_len < sizeof(uint64_t) || ext_len > len || ext_type == SADB_EXT_RESERVED) return -EINVAL;
        if (ext_type <= SADB_EXT_MAX) {
            int min = (int) sadb_ext_min_len[ext_type];
            if (ext_len < min) return -EINVAL;
            if (ext_hdrs[ext_type-1] != NULL) return -EINVAL;
            if (ext_type == SADB_EXT_ADDRESS_SRC || ext_type == SADB_EXT_ADDRESS_DST ||
                ext_type == SADB_EXT_ADDRESS_PROXY || ext_type == SADB_X_EXT_NAT_T_OA) {
                if (verify_address_len(p)) return -EINVAL;
            }
            if (ext_type == SADB_X_EXT_SEC_CTX) {
                if (verify_sec_ctx_len(p)) return -EINVAL;
            }
            ext_hdrs[ext_type-1] = (void *) p;
        }
        p   += ext_len;
        len -= ext_len;
}

内核使用数组sadb_ext_min_len验证数据中每一种扩展类型的长度值是否符合定义其定义的最小长度值。对于扩展类型为SADB_EXT_ADDRESS_SRC/SADB_EXT_ADDRESS_DST/SADB_EXT_ADDRESS_PROXY/SADB_X_EXT_NAT_T_OA等地址相关类型时,验证地址的长度是否合法,即函数verify_address_len。

static const u8 sadb_ext_min_len[] = {
    [SADB_EXT_RESERVED]     = (u8) 0,
    [SADB_EXT_SA]           = (u8) sizeof(struct sadb_sa),
    [SADB_EXT_LIFETIME_CURRENT] = (u8) sizeof(struct sadb_lifetime),
    [SADB_EXT_LIFETIME_HARD]    = (u8) sizeof(struct sadb_lifetime),
    [SADB_EXT_LIFETIME_SOFT]    = (u8) sizeof(struct sadb_lifetime),
}

以下介绍几个比较重要的消息类型。

SADB_REGISTER消息


由消息类型和处理函数的对应关系结构pfkey_funcs可知,SADB_REGISTER注册消息由函数pfkey_register处理。如果此套接口已注册过相同SA类型的消息,直接返回-EEXIST。xfrm_probe_algs函数检查当前系统中可用的哈希、加密和压缩算法的状态,compose_sadb_supported函数将可用的哈希以及加密算法添加到返回的SKB数据中,类型分别为SADB_EXT_SUPPORTED_AUTH和SADB_EXT_SUPPORTED_ENCRYPT。

通过此消息告知内核此套接口应用程序可处理的SA类型。

static int pfkey_register(struct sock *sk, struct sk_buff *skb, const struct sadb_msg *hdr, void * const *ext_hdrs)
{
    struct pfkey_sock *pfk = pfkey_sk(sk);
    struct sk_buff *supp_skb;

    if (hdr->sadb_msg_satype != SADB_SATYPE_UNSPEC) {
        if (pfk->registered & (1<<hdr->sadb_msg_satype)) return -EEXIST;
        pfk->registered |= (1<<hdr->sadb_msg_satype);
    }
    xfrm_probe_algs();
    supp_skb = compose_sadb_supported(hdr, GFP_KERNEL);
    if (!supp_skb) {
        if (hdr->sadb_msg_satype != SADB_SATYPE_UNSPEC)
            pfk->registered &= ~(1<<hdr->sadb_msg_satype);
        return -ENOBUFS;
    }
    pfkey_broadcast(supp_skb, GFP_KERNEL, BROADCAST_REGISTERED, sk, sock_net(sk));
}


SADB_X_SPDADD消息

内核函数pfkey_spdadd处理此消息,应用层下发此安全策略消息,以定义匹配此策略的数据所应使用的安全操作。简单的数据合法性检查之后,在内核中分配对应的xfrm_policy结构,以存储应用层下发的加密策略参数。

static int pfkey_spdadd(struct sock *sk, struct sk_buff *skb, const struct sadb_msg *hdr, void * const *ext_hdrs)
{
	struct xfrm_policy *xp;
    if (!present_and_same_family(ext_hdrs[SADB_EXT_ADDRESS_SRC-1], ext_hdrs[SADB_EXT_ADDRESS_DST-1]) || !ext_hdrs[SADB_X_EXT_POLICY-1])
        return -EINVAL;
    pol = ext_hdrs[SADB_X_EXT_POLICY-1];
    if (pol->sadb_x_policy_type > IPSEC_POLICY_IPSEC)
        return -EINVAL;
    if (!pol->sadb_x_policy_dir || pol->sadb_x_policy_dir >= IPSEC_DIR_MAX)
        return -EINVAL;

    xp = xfrm_policy_alloc(net, GFP_KERNEL);

以下,主要初始化内核IPSec策略的selector结构,包括地址簇类型,源和目的IP地址/网段、源端口/目的端口、前缀长度、协议等用来标识策略的元组。

    xp->action = (pol->sadb_x_policy_type == IPSEC_POLICY_DISCARD ? XFRM_POLICY_BLOCK : XFRM_POLICY_ALLOW);
    xp->priority = pol->sadb_x_policy_priority;

    sa = ext_hdrs[SADB_EXT_ADDRESS_SRC-1];
    xp->family = pfkey_sadb_addr2xfrm_addr(sa, &xp->selector.saddr);
    xp->selector.family = xp->family;
    xp->selector.prefixlen_s = sa->sadb_address_prefixlen;
    xp->selector.proto = pfkey_proto_to_xfrm(sa->sadb_address_proto);
    xp->selector.sport = ((struct sockaddr_in *)(sa+1))->sin_port;
    if (xp->selector.sport)
        xp->selector.sport_mask = htons(0xffff);

    sa = ext_hdrs[SADB_EXT_ADDRESS_DST-1];
    pfkey_sadb_addr2xfrm_addr(sa, &xp->selector.daddr);
    xp->selector.prefixlen_d = sa->sadb_address_prefixlen;

    /* Amusing, we set this twice.  KAME apps appear to set same value in both addresses. */
    xp->selector.proto = pfkey_proto_to_xfrm(sa->sadb_address_proto);
    xp->selector.dport = ((struct sockaddr_in *)(sa+1))->sin_port;
    if (xp->selector.dport)
        xp->selector.dport_mask = htons(0xffff);

之后,初始化策略的超时设置,包括soft和hard两种、以及按照字节计量或者数据报文个数计量的限值,再者就是以时间计量的限值。parse_ipsecrequests函数处理模式相关参数,如隧道模式XFRM_MODE_TUNNEL和传输模式XFRM_MODE_TRANSPORT。策略初始化完成之后,内核使用函数xfrm_policy_insert插入到网络命名空间的全局链表中。

    if ((lifetime = ext_hdrs[SADB_EXT_LIFETIME_HARD-1]) != NULL) {
        xp->lft.hard_packet_limit = _KEY2X(lifetime->sadb_lifetime_allocations);
        xp->lft.hard_byte_limit = _KEY2X(lifetime->sadb_lifetime_bytes);
        xp->lft.hard_add_expires_seconds = lifetime->sadb_lifetime_addtime;
        xp->lft.hard_use_expires_seconds = lifetime->sadb_lifetime_usetime;
    }
    if ((lifetime = ext_hdrs[SADB_EXT_LIFETIME_SOFT-1]) != NULL) {
        xp->lft.soft_packet_limit = _KEY2X(lifetime->sadb_lifetime_allocations);
        xp->lft.soft_byte_limit = _KEY2X(lifetime->sadb_lifetime_bytes);
        xp->lft.soft_add_expires_seconds = lifetime->sadb_lifetime_addtime;
        xp->lft.soft_use_expires_seconds = lifetime->sadb_lifetime_usetime;
    }
    xp->xfrm_nr = 0;
    if (pol->sadb_x_policy_type == IPSEC_POLICY_IPSEC &&
        (err = parse_ipsecrequests(xp, pol)) < 0)
        goto out;

    err = xfrm_policy_insert(pol->sadb_x_policy_dir-1, xp, hdr->sadb_msg_type != SADB_X_SPDUPDATE);

函数的最后,调用km_policy_notify通知内核的秘钥管理模块新注册的策略。

    if (hdr->sadb_msg_type == SADB_X_SPDUPDATE)
        c.event = XFRM_MSG_UPDPOLICY;
    else
        c.event = XFRM_MSG_NEWPOLICY;

    c.seq = hdr->sadb_msg_seq;
    c.portid = hdr->sadb_msg_pid;

    km_policy_notify(xp, pol->sadb_x_policy_dir-1, &c);


SADB_ACQUIRE消息


AF_KEY套接口在初始化时,注册了秘钥管理器pfkeyv2_mgr,在内核接收到匹配以上安全策略的数据流后,如果没有可用的安全关联SA,秘钥管理器将发送通知到应用层,以便应用层的秘钥协商程序生成安全关联。内核中相应的通知函数为pfkey_send_acquire。发送到应用层的数据报文包含sadb_msg结构的头部、源和目的地址sadb_address、哈希与加密相关参数和安全策略。

static int pfkey_send_acquire(struct xfrm_state *x, struct xfrm_tmpl *t, struct xfrm_policy *xp)
{
    size = sizeof(struct sadb_msg) +
        (sizeof(struct sadb_address) * 2) +
        (sockaddr_size * 2) +
        sizeof(struct sadb_x_policy);

    if (x->id.proto == IPPROTO_AH)
        size += count_ah_combs(t);
    else if (x->id.proto == IPPROTO_ESP)
        size += count_esp_combs(t);

    if ((xfrm_ctx = x->security)) {
        ctx_size = PFKEY_ALIGN8(xfrm_ctx->ctx_len);
        size +=  sizeof(struct sadb_x_sec_ctx) + ctx_size;
    }
    skb =  alloc_skb(size + 16, GFP_ATOMIC);
    hdr = skb_put(skb, sizeof(struct sadb_msg));
    hdr->sadb_msg_version = PF_KEY_V2;
    hdr->sadb_msg_type = SADB_ACQUIRE;
	...
    return pfkey_broadcast(skb, GFP_ATOMIC, BROADCAST_REGISTERED, NULL, xs_net(x));
}


SADB_GETSPI消息


应用层在协商SA之前,SA协商程序使用SADB_GETSPI消息获取SPI值。下发的参数有proto协议(SADB_SATYPE_AH/SADB_SATYPE_ESP/IPPROTO_COMP等),模式mode包括:XFRM_MODE_TRANSPORT、XFRM_MODE_TUNNEL和XFRM_MODE_BEET,以及源和目的地址信息。

static int pfkey_getspi(struct sock *sk, struct sk_buff *skb, const struct sadb_msg *hdr, void * const *ext_hdrs)
{
    proto = pfkey_satype2proto(hdr->sadb_msg_satype);

    if ((sa2 = ext_hdrs[SADB_X_EXT_SA2-1]) != NULL) {
        mode = pfkey_mode_to_xfrm(sa2->sadb_x_sa2_mode);
        reqid = sa2->sadb_x_sa2_reqid;
    } else {
        mode = 0;
        reqid = 0;
    }

    saddr = ext_hdrs[SADB_EXT_ADDRESS_SRC-1];
    daddr = ext_hdrs[SADB_EXT_ADDRESS_DST-1];

内核首先使用消息头部的sadb_msg_seq序号查找对应的ACQUIRE相关结构,在找不到的情况下,使用地址、协议等参数再次进行查找,如果没有对应的ACQUIRE结构,表明内核未发送过SADB_ACQUIRE消息,不处理此GETSPI消息。

    if (hdr->sadb_msg_seq) {
        x = xfrm_find_acq_byseq(net, DUMMY_MARK, hdr->sadb_msg_seq);
        if (x && !xfrm_addr_equal(&x->id.daddr, xdaddr, family)) {
            xfrm_state_put(x);
            x = NULL;
        }
    }

    if (!x)
        x = xfrm_find_acq(net, &dummy_mark, mode, reqid, proto, xdaddr, xsaddr, 1, family);

否则,内核分配新的SPI。

    err = xfrm_alloc_spi(x, min_spi, max_spi);
    resp_skb = err ? ERR_PTR(err) : pfkey_xfrm_state2msg(x);

    out_hdr = (struct sadb_msg *) resp_skb->data;
    out_hdr->sadb_msg_version = hdr->sadb_msg_version;
    out_hdr->sadb_msg_type = SADB_GETSPI;
    out_hdr->sadb_msg_satype = pfkey_proto2satype(proto);
    out_hdr->sadb_msg_errno = 0;
    out_hdr->sadb_msg_reserved = 0;
    out_hdr->sadb_msg_seq = hdr->sadb_msg_seq;
    out_hdr->sadb_msg_pid = hdr->sadb_msg_pid;

    xfrm_state_put(x);
    pfkey_broadcast(resp_skb, GFP_KERNEL, BROADCAST_ONE, sk, net);
}


SADB_ADD消息

在SA协商程序协商完成之后,添加SA到内核中。SADB_ADD消息由函数pfkey_add处理。此函数同时处理SADB_UPDATE消息。

static int pfkey_add(struct sock *sk, struct sk_buff *skb, const struct sadb_msg *hdr, void * const *ext_hdrs)
{   
    struct xfrm_state *x;
    struct km_event c;
    
    x = pfkey_msg2xfrm_state(net, hdr, ext_hdrs);
    
    xfrm_state_hold(x);
    if (hdr->sadb_msg_type == SADB_ADD)
        err = xfrm_state_add(x);
    else
        err = xfrm_state_update(x);
    
    if (hdr->sadb_msg_type == SADB_ADD)
        c.event = XFRM_MSG_NEWSA;
    else
        c.event = XFRM_MSG_UPDSA;
    c.seq = hdr->sadb_msg_seq;
    c.portid = hdr->sadb_msg_pid;
    km_state_notify(x, &c);
}

核心处理函数为xfrm_state_add,其在完成合法性检查之后,使用函数__xfrm_state_insert将新xfrm_state结构插入到三个链表中,分别为以xfrm_dst_hash目的地址哈希链表、xfrm_src_hash源地址哈希链表和SPI哈希链表。另外,插入到网络命名空间的state_all链表中。

static void __xfrm_state_insert(struct xfrm_state *x)
{
    list_add(&x->km.all, &net->xfrm.state_all);

    h = xfrm_dst_hash(net, &x->id.daddr, &x->props.saddr, x->props.reqid, x->props.family);
    hlist_add_head_rcu(&x->bydst, net->xfrm.state_bydst + h);

    h = xfrm_src_hash(net, &x->id.daddr, &x->props.saddr, x->props.family);
    hlist_add_head_rcu(&x->bysrc, net->xfrm.state_bysrc + h);

    if (x->id.spi) {
        h = xfrm_spi_hash(net, &x->id.daddr, x->id.spi, x->id.proto, x->props.family);
        hlist_add_head_rcu(&x->byspi, net->xfrm.state_byspi + h);
    }

    tasklet_hrtimer_start(&x->mtimer, ktime_set(1, 0), HRTIMER_MODE_REL);
    if (x->replay_maxage)
        mod_timer(&x->rtimer, jiffies + x->replay_maxage);
    net->xfrm.state_num++;
    xfrm_hash_grow_check(net, x->bydst.next != NULL);
}

 

内核版本 4.15

 

redwingz
关注
专栏目录
Linux——密钥管理Socket
I am firo,I am here for you.
01-17 3728
缅怀Stevens大师。最好的参考资料:1.师从互联网。2.http://man.cx/pf_key(7p):这个man命令并不是Linux的,应该是BSD的,但原理相同。3.UNP v1第19章 。4.http://www.ibm.com/developerworks/cn/linux/l-key-retention.html。第一条:概述人如期名,密钥管理Socket,就是用来管理密钥的(废话^_^)。密钥(key)是一组密码学数据、身份验证标记或某些相似的元素,它在内核中由 struct key 表示
UNPv1_r3学习日记: PF_KEY
cxw06023273的博客
01-10 293
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严 禁用于任何商业用途。 msn: yfydz_no1@hotmail.com 来源:http://yfydz.cublog.cn [code="java"]UNP第一卷的第3版是著名的RWS先生魂归上帝后由后人添加新的一些新的东西后发布的,增加的部分包括 PF_KEY和SCTP...
Linux内核中PF_KEY协议族的实现(1)
dxphjt的专栏
05-13 376
Linux内核中PF_KEY协议族的实现(1) 本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: yfydz_no1@hotmail.com 来源:http://yfydz.cublog.cn 1. 前言 在Linux2.6内核中自带了PF_KEY协议族的实现,这样就不用象2.4那样打补丁...
RFC2367 PF_KEY键管理API
bytxl的专栏
07-29 851
组织:中国互动出版网(http://www.china-pub.com/) RFC文档中文翻译计划(http://www.china-pub.com/compters/emook/aboutemook.htm) E-mail:ouyang@china-pub.com 译者:(  ) 译文发布时间:2002-1-9 版权:本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载,
Linux内核中PF_KEY协议族的实现(3)
cxw06023273的博客
01-10 564
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: yfydz_no1@hotmail.com 来源:http://yfydz.cublog.cn [code="java"]5.10 添加/更新SPD(安全策略) // 添加安全策略到安全策略数据库SPDB static int pfkey_spd...
af_key.rar_af_key_pf_key
09-19
2. **系统调用接口**:实现PF_KEYv2相关的系统调用,如`socket`, `bind`, `connect`, `sendmsg`, 和 `recvmsg`等,以便用户空间程序通过这些接口与内核交互。 3. **数据结构**:定义了表示SA和安全策略的内核数据...
XR-201_EVB_AUDIO V1.0开发板原理图1
08-03
例如,“C14 1uF R23 30K 1% R27 0R C16 1uF 6.3V R33 30K K2 LA STR16 1K C13 104 R26 0R C18 NC-47pF”等记录了电容和电阻的具体值及其容差,这些都是电路设计的基础。 ### 结论 XR-201_EVB_AUDIO V1.0开发板是...
野火_F429挑战者_核心板_原理图_V2.11
08-03
除此之外,还有LCD、KEY、FLASH和E2PROM等接口,这些都是常见的外设接口。LCD(液晶显示器)用于显示信息,KEY用于用户输入,FLASH和E2PROM则是非易失性存储器,用于存储程序或数据,即使断电也能保持。 总结来说,...
AC6369F_Wireless_Mouse_Module_V1.1原理图1
08-03
SDIO和CLK引脚可能用于扩展存储或与其他设备通信,而KEY(留测试点)则为预留的外部接口,可能用于添加额外的功能或测试。 总的来说,AC6369F无线鼠标模块V1.1是一个集成度高、功能全面的无线鼠标解决方案。其设计...
linux内核有哪些协议族,Linux内核中PF_KEY协议族的实现.doc
weixin_35390150的博客
05-09 78
Linux内核中PF_KEY协议族的实现Linux内核中PF_KEY协议族的实现(1)本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@来源:1. 前言在Linux2.6内核中自带了PF_KEY协议族的实现,这样就不用象2.4那样打补丁来实现了。内核中PF_KEY实现要完成的功能是实现维护内核...
ipsec(linux内核实现)
09-13
讲解linux内核最新代码中ipsec pfkey的实现过程。很具有参考价值。
IPSec基础教程-IPSec概述
04-15
一本不错得IPSec基础,能帮助大家解决管道加密问题,值得收藏!
使用Quick打包工具接入应用宝渠道包,支付时出现“请求参数错误(pfkey)”的错误
qq_43377237的博客
10-22 1191
问题现状: 在使用Quick接入应用宝渠道时,发现打出来的包不能充值,出现“请求参数错误(pfkey)”的错误,另外还提示"腾讯支付尚未初始化的问题",如下图, 问了Quick技术和应用宝的技术,都说没有问题, 一直让我们检查参数,我们配置的参数也检查了很多遍确认没有问题。 解决办法: 其实问题的原因就是Quick打包工具有问题,在不同电脑上打出来的包不一样,多找几个同事的电脑安装Quick打包工具重新打包,有些可以,有些打出来的包就不能用,具体原因也不清楚,需要Quick技术他们查明。 ...
Linux内核中PF_KEY协议族的实现(4)
cxw06023273的博客
01-10 608
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: yfydz_no1@hotmail.com 来源:http://yfydz.cublog.cn [code="java"]6. 通知回调处理 6.1 初始化 在pf_key的初始化函数中定义了通知回调结构pfkeyv2_mgr: err ...
IPsec&PF_KEY
wu1373369的专栏
09-10 1110
来源:http://zh.wikipedia.org/wiki/IPsec IPsec(缩写Internet Protocol Security ),以IP Packet(小包)为单位对信息进行暗号化的方式,来对传输途中的信息包进行加密或者防止遭到篡改的一种协议(Protocol)。是保护IP协议安全通信的标准,它主要对IP协议分组进行加密和认证。IPsec作为一个
密钥套接字
weixin_50866517的博客
09-11 803
IP安全体系结构(IPsec)的引入,私钥体系加密和认证秘钥的管理需要一套标准机制。秘钥管理API,可用于安全体系结构和其他网络安全服务。API创建新的协议族PF_KEY`域。支持原始套接字。秘钥管理套接字需要特权。SA(安全关联)为分组提供安全服务,描述了源地址和目的地址、机制以及秘钥素材的组合。存放在一个系统中所有SA构成安全关联数据库(SADB)。SPDB(安全策略数据库)描述分组流通的需求,如何执行所需的安全步骤,含有所用的算法和秘钥。PF_KEY可以维护SADB,对SPDB无能为力。
[dev][ipsec][dpdk] strongswan/dpdk源码分析之ipsec算法配置过程
weixin_30689307的博客
03-25 1321
1 简述 storngswan的配置里用一种固定格式的字符串设置了用于协商的预定义算法。在包协商过程中strongswan将字符串转换为固定的枚举值封在数据包里用于传输。 协商成功之后,这组被协商选中的枚举值会通过netlink接口xfrm定义好的字符串形式,传递给内核,内核再将字符串转换成pfkey定义的枚举值,最终进行加密设置。 DPDK的话,也有其统一的一组枚举值的抽象。在调用不同的...
IPsec相关的一些基本概念
每天写一点,进步一点点
05-04 4194
问题提出:什么是xfrm,racoon,netkey,PF_KEY,netlink,clips,26sec,Setkey,KAME,ipsec? IPsec:Internet Protocol Security是一种开放标准的框架结构,通过使用加密的安全服务以确保在网络上进程保密而安全的通讯。IPsec IP层协议安全主要包括一个IP包进程模块和一个密钥交换模块,IPsec包的处理模块是基本
基于openswan klips的IPsec实现分析(五)应用层和内核通信(2)
终身学习的程序猿
06-18 2943
基于openswan klips的IPsec VPN实现分析(五)应用层和内核通信——内核操作 转载请注明出处:http://blog.csdn.net/rosetta 在数据发送一节讲过,加载模块时会执行pfkey_init()初始化与用户层通信的PF_KEY套接字,在这个函数里会把支持的协议和算法加到pfkey_supported_list[]全局数组中,并在soc
IKE实现方案:模块化设计与PF_KEY接口
5. **PF_KEY协议**:作为内核与IKE守护进程之间的接口,用于SA消息的传递。 文档还提到,IKE守护进程使用UDP协议的500端口进行通信,而管理模块与消息处理模块间的通信则通过AF_UNIX socket协议簇实现,这是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值