ipsec SADB参数定义差异分析

最新推荐文章于 2024-08-29 08:02:14 发布
最新推荐文章于 2024-08-29 08:02:14 发布
阅读量1.4k 收藏 1
点赞数
文章标签: ipsec

http://blog.chinaunix.net/uid-127037-id-2919568.html

1. 前言

由于RFC2367中只定义了SA的类型,但没有定义安全策略的定义,因此各种IPSEC实现只能自己定义,
openswan-2.4.7和linux-2.6.19.2内核的xfrm都实现了IPSEC,但某些非标准参数定义有差异,
openswan的头文件为openswan-2.4.7/linux/include/pfkeyv2.h, xfrm的头文件为
 include/linux/pfkeyv2.h, 以下比较以下两者的定义的差别。

openswan的内核部分实现是klips, IKE为pluto;linux内核部分实现是xfrm,IKE为ipsec-
tools/racoon。

2. 非标准SA定义

openswan-2.4.7中的定义:

#define SADB_X_PROMISC  11
#define SADB_X_PCHANGE  12
#define SADB_X_GRPSA    13
#define SADB_X_ADDFLOW 14
#define SADB_X_DELFLOW 15
#define SADB_X_DEBUG 16
#define SADB_X_NAT_T_NEW_MAPPING  17
#define SADB_MAX                  17
Linux-2.6.19.2中的定义:

#define SADB_X_PROMISC  11
#define SADB_X_PCHANGE  12
#define SADB_X_SPDUPDATE 13
#define SADB_X_SPDADD  14
#define SADB_X_SPDDELETE 15
#define SADB_X_SPDGET  16
#define SADB_X_SPDACQUIRE 17
#define SADB_X_SPDDUMP  18
#define SADB_X_SPDFLUSH  19
#define SADB_X_SPDSETIDX 20
#define SADB_X_SPDEXPIRE 21
#define SADB_X_SPDDELETE2 22
#define SADB_X_NAT_T_NEW_MAPPING 23
#define SADB_MAX  23
openswan中的SA类型比较少, ADDFLOW和DELFLOW分别对于增加和删除安全策略, 这和linux是相同的,
但不支持其他类型的安全策略操作命令, openswan对安全策略支持比较少,因为其安全策略实际是通
过eroute来实现的,直接根据路由到ipsec*网卡来实现IPSEC封装。NAT_T_NEW_MAPPING的定义不同,
这个参数其实内核不用,只是在IKE双方使用,也就是在NAT穿越情况下pluto和racoon两者应该不能
配合。

3. 非标准SA扩展类型定义
openswan-2.4.7中的定义:
#define SADB_X_EXT_KMPRIVATE          17
#define SADB_X_EXT_SATYPE2            18
#ifdef KERNEL26_HAS_KAME_DUPLICATES
#define SADB_X_EXT_POLICY             18
#endif
#define SADB_X_EXT_SA2                19
#define SADB_X_EXT_ADDRESS_DST2       20
#define SADB_X_EXT_ADDRESS_SRC_FLOW   21
#define SADB_X_EXT_ADDRESS_DST_FLOW   22
#define SADB_X_EXT_ADDRESS_SRC_MASK   23
#define SADB_X_EXT_ADDRESS_DST_MASK   24
#define SADB_X_EXT_DEBUG              25
#define SADB_X_EXT_PROTOCOL           26
#define SADB_X_EXT_NAT_T_TYPE         27
#define SADB_X_EXT_NAT_T_SPORT        28
#define SADB_X_EXT_NAT_T_DPORT        29
#define SADB_X_EXT_NAT_T_OA           30
#define SADB_EXT_MAX                  30
Linux-2.6.19.2中的定义:
#define SADB_X_EXT_KMPRIVATE  17
#define SADB_X_EXT_POLICY  18
#define SADB_X_EXT_SA2   19
/* The next four entries are for setting up NAT Traversal */
#define SADB_X_EXT_NAT_T_TYPE  20
#define SADB_X_EXT_NAT_T_SPORT  21
#define SADB_X_EXT_NAT_T_DPORT  22
#define SADB_X_EXT_NAT_T_OA  23
#define SADB_X_EXT_SEC_CTX  24
#define SADB_EXT_MAX   24

两者虽然都定义了NAT-T相关的SA扩展类型,但定义值完全不同,再次说明NAT穿越下openswan/pluto
和racoon应该不能正常配合。

4. 非标准SA类型定义
openswan-2.4.7中的定义:
#define SADB_X_SATYPE_IPIP    9
#ifdef KERNEL26_HAS_KAME_DUPLICATES
#define SADB_X_SATYPE_IPCOMP  9   /* ICK! */
#endif
#define SADB_X_SATYPE_COMP    10
#define SADB_X_SATYPE_INT     11
#define SADB_SATYPE_MAX       11

Linux-2.6.19.2中的定义:
#define SADB_X_SATYPE_IPCOMP 9
#define SADB_SATYPE_MAX  9

在openswan中增加了COMP和INT两种非标准的SATYPE

5. 非标准ID类型
openswan-2.4.7中的定义:
#define SADB_X_IDENTTYPE_CONNECTION 4
#define SADB_IDENTTYPE_MAX        4

Linux-2.6.19.2中的定义:

#define SADB_IDENTTYPE_MAX 3
在openswan中增加了CONNECTION类型的ID类型定义

6. 非标准的SA标志类型

openswan-2.4.7中的定义:
#define SADB_X_SAFLAGS_REPLACEFLOW 2
#define SADB_X_SAFLAGS_CLEARFLOW 4
#define SADB_X_SAFLAGS_INFLOW  8
Linux-2.6.19.2中的定义:
#define SADB_SAFLAGS_NOPMTUDISC 0x20000000
#define SADB_SAFLAGS_DECAP_DSCP 0x40000000
#define SADB_SAFLAGS_NOECN 0x80000000

两者的标志类型完全不同

7. 算法部分定义

各种加密, 认证, 压缩算法定义都是相同的.

8. 结论

如果只是简单环境的IPSEC,pluto可能会与recoon能正确协商,如NAT穿越情况下两者应该是不能正
确配合的, 不过NAT穿越协商只是IKE过程中的定义, 好象是不涉及IKE和内核的通信。而pluto和
xfrm, racoon和klips是否能正常配合还有待测试,谁有测试情况报告可以说一声。

red.dust
关注
基于openswan klips的IPsec实现分析(七)内核SADB维护(1)
终身学习的程序猿
06-18 2001
基于openswan klips的IPsec VPN实现分析(七)内核SADB维护(1) 转载请注明出处:http://blog.csdn.net/rosetta 上一节讲了应用层pluto是如何构造SADB消息发送给内核的,这节将讲内核对SADB的维护,所有SA处理函数都在指针数组msg_parsers[]SADB(SA Database)即SA数据库,一般听到数据库三字
基于openswan klips的IPsec实现分析(六)应用层SADB操作
终身学习的程序猿
06-18 3737
基于openswan klips的IPsec VPN实现分析(六)应用层SADB操作 转载请注明出处:http://blog.csdn.net/rosetta 这里的操作是指由openswan的密钥管理守护进程pluto对于内核SADB的操作。如下来至rfc2367的密钥关联程序和PF_KEY的关系图。
SADB参数定义差异分析
weixin_34252686的博客
05-14 379
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性, 严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 1. 前言 由于RFC2367定义SA的类型,但没有定义安全策略的定义,因此各种IPSEC实现只能自己定义,openswan-2.4.7...
推荐使用:sadb - 多设备adb操作的得力助手
最新发布
gitblog_00623的博客
08-29 603
推荐使用:sadb - 多设备adb操作的得力助手 sadb(safe adb) Easy your adb operation when connected multiple devices项目地址:https://gitcode.com/gh_mirrors/sa/sadb 在Android开发或调试过程,当您的电脑连接了多台设备时,是否经常因为adb命令的设备选择而感到头疼?长指令输入后...
基于openswan klips的IPsec实现分析(八)内核SADB维护(2)
终身学习的程序猿
06-18 8052
基于openswan klips的IPsec VPN实现分析(七)内核SADB维护2 转载请注明出处:http://blog.csdn.net/rosetta 内核完整的消息处理过程,以隧道模式ESP协议增加SA情况为例 接收消息和发送消息的知识涉及到Linux内核了,所以不关注它是怎么收发,而是关注收到消息后对消息本身的处理过程。但为了保证代码的完整性,就把接收和发送的代码全部帖上来了
SADB
04-01
南亚开发银行
MyGeneric_sadb3t_carryfz8_泛型的使用进阶_
10-03
在IT行业,泛型是Java、C#等编程语言的一种强大的特性,它允许程序员在定义数据结构或方法时引入类型参数,以提高代码的复用性和安全性。本篇文章将深入探讨“泛型的使用进阶”,包括泛型缓存、泛型类、泛型方法...
SADB 开源项目使用教程
gitblog_01040的博客
08-26 413
SADB 开源项目使用教程 sadb(safe adb) Easy your adb operation when connected multiple devices项目地址:https://gitcode.com/gh_mirrors/sa/sadb 项目介绍 SADB(Stop A DoucheBag)是一个俄罗斯的非营利组织,旨在通过技术手段减少不文明驾驶行为。该项目在GitHub上的仓...
开源项目 `sadb` 使用教程
gitblog_00974的博客
08-26 354
开源项目 sadb 使用教程 sadb(safe adb) Easy your adb operation when connected multiple devices项目地址:https://gitcode.com/gh_mirrors/sa/sadb 1. 项目的目录结构及介绍 sadb/ ├── app/ │ ├── src/ │ │ ├── main/ │ │ │ ...
linux查看ipsec命令,Linux 下基于路由 IPsec 的花式实践
weixin_30811273的博客
05-05 1185
动机IPsec 转发流量有两种方式,一种是基于策略,另外一种是基于路由。本文将尝试阐述基于路由的 IPsec 核心概念和实现原理并引出一些花式玩法。IPsec 带给计算机世界的困惑在计算机世界里面,核心的一个概念就是路由,其定义了某个指定的数据包要从哪个接口出去的规则。很多软件和命令都是基于这个事实来设计的。譬如 iproute 包,各类路由软件,iptables 等等。但是在 IPsec 的世界...
IPSec手动创建隧道
redwingz的博客
05-21 3528
网络拓扑 |-------------------| |-------------------| | | | | | 192.168.1.115 | <---------> | 192.168.1.142 | ...
Linux内核PF_KEY协议族的实现(3)
cxw06023273的博客
01-10 577
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: yfydz_no1@hotmail.com 来源:http://yfydz.cublog.cn [code="java"]5.10 添加/更新SPD(安全策略) // 添加安全策略到安全策略数据库SPDB static int pfkey_spd...
IPsec 配置干货,理论+配置
Bert_Wang的博客
09-04 9208
一、IPSec VPN场景特点 1、一般用于总部和分支机构,间通过互联网线路传输数据,保证数据的安全传输。 2、机密性 : 数据加密保护。 3、完整性:对数据进行认证,确保数据没有篡改。 4、防重放性:防止恶意用户进行攻击。 二、 IPSec VPN参数 1、AH: 数据的完整性,无法加密 2、ESP:对IP报文的加密 3、IKE:协商AH和ESP使用的算法 , 建立和维护安全联盟SA 建立SA:手工和动态协商两种方式 IPSec传输和隧道两种模式 三、配置步骤 1、网络互联互通.
IPsec相关的一些基本概念
每天写一点,进步一点点
05-04 4232
问题提出:什么是xfrm,racoon,netkey,PF_KEY,netlink,clips,26sec,Setkey,KAME,ipsec? IPsec:Internet Protocol Security是一种开放标准的框架结构,通过使用加密的安全服务以确保在网络上进程保密而安全的通讯。IPsec IP层协议安全主要包括一个IP包进程模块和一个密钥交换模块,IPsec包的处理模块是基本
openswan pluto代码分析--(1)pluto简介
u013920085的专栏
01-20 2760
Pluto是一个守护进程,提供IKEv1服务 Pluto通信消息:网卡数据报文消息;whack命令的消息;内核通信消息 接下来分别介绍上面三种通信消息 1. 网卡数据报文消息 打开UDP500和4500端口监听网卡数据----什么时机可以创建这个socket还没看出来 call_server遍历所有网卡检查是否可读   2.whack命令的消息 在pluto的主函数
IPSec简介
热门推荐
tangyangyu123的博客
06-25 1万+
1 IPSec协议简介针对Internet安全需求,IETF(因特网工程任务组)于1998年11月颁发了IP层安全协议IPSec。它不是一个单独的协议,而是一组协议。IPsec是ip安全协议标准,是在IP层为ip业务提供保护的安全协议标准,其基本目的就是把安全机制引入IP协议。IPSec在IPv6必需支持,在IPv4则是可选的。2 体系结构2.1 SA(安全关联)1)SA简介SAIPSec提...
利用IKE构建企业虚拟网
cnbird's blog
10-05 830
目前,互联网通信面临的风险主要包括两个方面:1.信息在传输时被偷看或非法修改;2.公网对内部网的非法访问和攻击。在这样的情况下,VPN技术脱颖而出,它可以很好地解决利用互联网传输的安全问题。IPSec是被广泛接受用来实现VPN的技术,在企业得到广泛应用。IPSec在IP层上对数据包进行保护,它可提供数据源验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务,可以在相当程度上
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值