linux XFRM整体框架简单分析

最新推荐文章于 2024-04-15 09:09:24 发布
最新推荐文章于 2024-04-15 09:09:24 发布
阅读量4.6k 收藏 13
点赞数
分类专栏: driver&kernel

  author: jonathan

本文档的CopyRight归jonathan所有,可自由转载,转载时请保持文档的完整性。

/*----------------------------------------------------------------------------------------------------------------------------*/

Linux 的 XFRM框架多简单阿。6年前整理过,到现在还记得基本原理,说明xfrm设计的是多么简单明了。

不过网上都是基于代码的分析,很少有从整体框架上来描述,大家都被code淹没了。

 

0 前言 

Linux引入XFRM是在不打乱原有的网络协议结构和HOOK点安全架构设计前提下,成功引入了一种基于策略的高扩展性的网络安全架构。

有人会说在HOOK点也能实现IPSEC的问题,为何还要XFRM?!!好问题,但是不是一两句话能把你说明白,只有去设计一安全网络系统才能深深体会到好处。这里就不过多描述。

 

1 静态框架

1.1 组建构成

    XFRM 框架数据接收协议(如AH/ESP,与TCP/UDP并列属于4层网络协议)

    XFRM 框架数据发送协议(相当于虚拟网卡驱动)

    XFRM 框架策略引擎(与策略路有整合再一起)

1.2 结构图

  此图还真不好画,简单描述一下就OK。有问题自己去解决把。     

/* ------------------------------------------------------------------------ */

       XFRM 框架策略引擎                             TCP/UDP/XFRM

 

         OUT点                                         IN点

           

                          forward点

                       (XFRM 框架策略引擎)

         POST点                                        PRE点

XFRM 框架数据发送协议 其它网卡驱动

/* ------------------------------------------------------------------------ */

 

2 动态流程

2.1 发送数据

    skb_buff XFRM 框架策略引擎命中策略(skb_buff明文) -> XFRM 框架数据发送协议处理->再次回到OUT点处理(skb_buff已经加密)->其它网卡驱动发送出去

2.2 接收数据

    skb_buff PRE点(skb_buff加密)->路由查询是本地数据 -> XFRM四层协议处理 ->再次回到PRE点处理(skb_buff已经解密)->根据路由转发/本地接收

2.3 转发数据

   在forward点策略查询,然后根据是否命中策略,决点在POST点后是否加密还是直接发送出去。

 

3 总结

   XFRM具有极大的扩展性,我现在的产品就是在此基础上实现了网络安全管理。学习架构,学习思想,永无止境。

  可以此XFRM基础上设计添加新的架构,就看你的思维是否开阔;

  可以把XFRM体现的思想应用到其他方面,就看你的思维是否灵活;

  学习不是最终目的,创造才是追求的。不是为了学习而学习,是为了创造而学习。

 

源文档 <http://hi.baidu.com/jonathan2004/blog/item/7893eeed35c28626adafd578.html>

wind_rabbit
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux内核之XFRM框架
m0_74282605的博客
03-04 418
要添加XFRM状态,可从用户空间套接字发送请求XFRM_MSG_NEWSA,在内核中,这种请求方法由xfrm_state_add()处理(位于文件net/xfrm/xfrm_user.c)。XFRM框架支持网络命名空间。从用户空间发出的消息(比如XFRM_MSG_NEWPOLICY创建新的安全策略或者XFRM_MSG_NEWSA创建新的安全联盟)会被xfrm_netlink_rcv()方法处理,该方法又会被xfrm_user_rcv_msg()方法调用(第二章曾讨论过netlink套接字)。
xfrm_poc:Linux内核XFRM UAF POC(3.x-5.x内核)
03-12
Linux内核3.x-5.x XFRM UAF PoC 这是去年报告的。 CentOS是2020年1月修补该错误的最后一个发行版。 技术报告在这里 在以下发行版中,应在构建日期为2019年7月至11月之前的所有内核上工作: Ubuntu 14.04 / 16.04...
ipsec内核实现分析
07-04
linux的ipsec内核实现源码分析,本人的源码阅读笔记,主要讲解了xfrm模块的实现和源码流程,有需要的可以下载参考
xfrm框架发展历史
最新发布
funtasty的专栏
04-15 166
总的来说,XFRM 框架经过多个版本的发展和迭代,已经成为 Linux 内核中主流的 IPsec 实现,为 Linux 系统提供了强大的网络安全功能。随着 Linux 内核的不断更新和发展,XFRM 框架也在不断完善和改进。XFRM 框架将 IPsec 的核心功能分解为若干个组件,包括 SA、SP、XFRM Policy 等,使得 IPsec 的配置和管理更加灵活和方便。最初的 IPsec 实现是通过 KLIPS(Kernel IPsec)模块实现的,它是作为 Linux 内核的一个模块而存在的。
XFRM -- IPsec协议的内核实现框架
fnhc462354756的专栏
05-25 394
整体上看,IPsec报文的接收是一个迂回的过程,IP层接收时,根据报文的protocol字段,如果它是IPsec类型(AH、ESP),则会进入XFRM框架进行接收,在此过程里,比较重要的过程是xfrm_state_lookup(), 该函数查找SA,如果找到之后,再根据不同的协议和模式进入不同的处理过程,最终,将原始报文的信息获取出来,重入ip_local_deliver().然后,还需经历XFRM Policy的过滤,最后再上送到应用层。同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。
XFRM--IPsec协议的内核实现框架
maimang1001的专栏
12-20 386
IPsec有两个重要的概念:安全关联(Security Association)和安全策略(Security Policy)。这两种类型的信息都需要储存在内核的XFRM(Transform)中。核心XFRM使用netns_xfrm结构来组织这些信息,也被称为xfrm实例( instance)(例子)。从名称可以看出,该实例与网络命名空间(network namespace)相关,每个命名空间都有一个彼此独立的实例。所以同一主机上的不同容器可以在没有干扰的情况下使用XFRM。struct net。
linux xfrm网络框架,Linux网络子系统安全性模块详细分析之文件xfrm_state.c
weixin_31032799的博客
05-12 358
原标题:Linux网络子系统安全性模块详细分析之文件xfrm_state.c2.4.4.6 核心代码注释该文件中xfrm_state_find( )函数涉及的原理较多,此处对其进行简要的注释。struct xfrm_state * xfrm_state_find(const xfrm_address_t *daddr, const xfrm_address_t *saddr, const stru...
Linux 内核IPSec(xfrm)协议栈源码分析
06-21
该文档从源码分析上入手分析linux 内核收发数据包流程,内核路由查询流程。很清楚的分析了一个数据包如何通过查询路由进入内核ipsec协议栈的处理、Linux 内核ipsec协议栈详细的加解密流程以及加解密完后如何将...
xfrm_replay.rar_Linux/Unix编程_Unix_Linux_
08-11
标题 "xfrm_replay.rar" 暗示了这是一个与Linux/Unix系统相关的代码压缩包,专注于IPsec(Internet Protocol Security)的封装技术。描述提到"Common IPsec encapsulation code for linux",意味着这个包包含了用于...
linux内核通信-netlink使用例子.pdf
11-19
Netlink 是Linux内核提供的一种通信机制,用于在内核空间和用户空间之间进行高效、灵活的数据交换。这种通信方式比传统的系统调用、ioctl或/proc文件系统更具有优势,因为它提供了异步通信、多播支持、模块化实现...
一文带你走进Linux内核之XFRM框架
m0_73494896的博客
09-02 1430
XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。Psec(Internet协议安全)应该很多人都听过,IPsec是一组协议,他们通过对通信会话中的每个数据包进行身份验证和加密,以确保IP流量的安全。XFRM框架是IPsec的“基础设施”,IPsec通过XFRM框架实现的。XFRM源自USAGI项目,该项目旨在提供适用于生产环境的IPv6和IPsec协议栈。
XFRM-IPsec内核实现框架
wq897387的专栏
03-20 4988
XFRM是个传输数据包(比如加密载荷payloads)的IP层框架。这个框架被用来实现IPsec协议套件(Security Association Database 和 Security Policy Database)。也可以被用来压缩IP层载荷payload。 IPsec is implemented by the XFRM (pronounced “transform”) framework, originated in the USAGI project, which aimed at pro
基于内核4.19版本的XFRM框架
日积月累
01-29 893
XFRM框架
linux2.6中xfrm框架的dst_output的处理过程
gujing001的专栏
08-05 1602
Linux内核中ipsec的dst_output处理过程,当执行第一个dst_output时,这时会进入 xfrm4_outpot,下面是这个函数的代码: int xfrm4_output(struct sk_buff *skb) {         return NF
linux xfrm框架详细介绍
funtasty的专栏
04-15 344
此外,也可以使用其他工具,如 StrongSwan、Libreswan 等 IPsec 实现,它们提供了更高级的 IPsec 配置和管理功能,同时基于 XFRM 框架实现了 IPsec 功能。XFRM Policy:XFRM Policy 是 IPsec 通信的规则集合,用于确定哪些流量应该受到 IPsec 保护,并指定要使用的加密算法、认证算法和密钥等参数。XFRM State:XFRM State 是与特定流量相关联的实时状态,它包含了与流量处理相关的信息,如加密和认证的密钥、安全参数等。
Linux内核XFRM -- IPsec协议的实现框架问题研究
mingpeng520的博客
11-02 718
XFRM – IPsec协议的内核实现框架 首先网上的两篇文章很好 1.https://blog.csdn.net/chenmo187J3X1/article/details/101794624?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param&depth_1-utm_source=distribute.pc_relevant.none-task-blog-
linux xfrm网络框架,Linux2.6中xfrm框架的dst_output的处理过程
weixin_39860757的博客
05-12 164
Linux内核中ipsec的dst_output处理过程,当执行第一个dst_output时,这时会进入 xfrm4_outpot,下面是这个函数的代码:int xfrm4_output(struct sk_buff *skb){return NF_HOOK_COND(PF_INET, NF_IP_POST_ROUTING, skb, NULL, skb->dst->dev,xfrm4...
linux xfrm收发包流程
01-09
Linux操作系统中,XFRM(eXtensible Forwarding Information Base)是用于IPSec(Internet Protocol Security)实现的重要组件。它负责对网络数据包进行加密、解密和验证等操作。下面是Linux XFRM收发包的流程: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值