Linux内核中的IPSEC实现(1)
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn
1. 前言在Linux2.6内核中自带了IPSEC的实现,这样就不用象2.4那样打补丁来实现了。该实现包括以下几个部分: PF_KEY类型套接口, 用来提供和用户层空间进行PF_KEY通信,代码在net/key目录下,前面已经介绍过;安全联盟SA和安全策略SP管理,是使用xfrm库来实现的,代码在net/xfrm/目录下定义;ESP,AH等协议实现,在net/ipv4(6)下定义;加密认证算法库,在crypto目录下定义,这些算法都是标准代码了。本系列文章主要描述XFRM库的实现以及在IPV4下相关协议的处理部分, IPV6的忽略。
本文Linux内核代码版本为2.6.19.2。xfrm是内核中变化比较大的部分,每个版本中都有不小的差异, 同时也说明了该模块的不成熟性。
在net/xfrm目录下的各文件大致功能说明如下:
xfrm_state.c: xfrm状态管理
xfrm_policy.c: xfrm策略管理
xfrm_algo.c: 算法管理
xfrm_hash.c: HASH计算函数
xfrm_input.c: 安全路径(sec_path)处理,用于进入的ipsec包
xfrm_user.c: netlink接口的SA和SP管理
在net/ipv4目录下的和ipsec相关各文件大致功能说明如下:
ah4.c: IPV4的AH协议处理
esp4.c: IPV4的ESP协议处理
ipcomp.c: IP压缩协议处理
xfrm4_input: 接收的IPV4的IPSEC包处理
xfrm4_output: 发出的IPV4的IPSEC包处理
xfrm4_state: IPV4的SA处理
xfrm4_policy: IPV4的策略处理
xfrm4_tunnel: IPV4的通道处理
xfrm4_mode_transport: 传输模式
xfrm4_mode_tunnel: 通道模式
xfrm4_mode_beet: BEET模式2. 数据结构
内核SA的定义用xfrm_state结构定义,SP用xfrm_policy结构定义,在include/net/xfrm.h中定义。
2.1 状态(SA)
xfrm_state状态结构用来描述SA在内核中的具体实现:
struct xfrm_state
{
/* Note: bydst is re-used during gc */
// 每个状态结构挂接到三个HASH链表中
struct hlist_node bydst; // 按目的地址HASH
struct hlist_node bysrc; // 按源地址HASH
struct hlist_node byspi; // 按SPI值HASH
atomic_t refcnt; // 所有使用计数
spinlock_t lock; // 状态锁
struct xfrm_id id; // ID结构, 即目的地址,SPI,协议三元组
struct xfrm_selector sel; // 状态选择子
u32 genid; // 状态的标志值, 防止发生碰撞
/* Key manger bits */
struct {
u8 state;
u8 dying;
u32 seq;
} km; // KEY回调管理处理结构参数
/* Parameters of this state. */
struct {
u32 reqid; // 请求ID
u8 mode; // 模式: 传输/通道
u8 replay_window; // 回放窗口
u8 aalgo, ealgo, calgo; // 认证,加密,压缩算法ID值
u8 flags; // 一些标准
u16 family; // 协议族
xfrm_address_t saddr; // 源地址
int header_len; // 添加的协议头长度
int trailer_len; //
} props; // SA相关参数结构
struct xfrm_lifetime_cfg lft; // 生存时间配置
/* Data for transformer */
struct xfrm_algo *aalg; // hash算法
struct xfrm_algo *ealg; // 加密算法
struct xfrm_algo *calg; // 压缩算法
/* Data for encapsulator */
struct xfrm_encap_tmpl *encap; // NAT-T封装信息
/* Data for care-of address */
xfrm_address_t *coaddr;
/* IPComp needs an IPIP tunnel for handling uncompressed packets */
struct xfrm_state *tunnel; // 通道, 实际是另一个SA
/* If a tunnel, number of users + 1 */
atomic_t tunnel_users; // 通道的使用数
/* State for replay detection */
struct xfrm_replay_state replay; // 回放检测结构,包含各种序列号掩码等信息
/* Replay detection state at the time we sent the last notification */
struct xfrm_replay_state preplay; // 上次的回放记录值
/* internal flag that only holds state for delayed aevent at the
* moment
*/
u32 xflags; // 标志
/* Replay detection notification settings */
u32 replay_maxage; // 回放最大时间间隔
u32 replay_maxdiff; // 回放最大差值
/* Replay detection notification timer */
struct timer_list rtimer; // 回放检测定时器
/* Statistics */
struct xfrm_stats stats; // 统计值
struct xfrm_lifetime_cur curlft; // 当前时间计数器
struct timer_list timer; // SA定时器
/* Last used time */
u64 lastused; // 上次使用时间
/* Reference to data common to all the instances of this
* transformer. */
struct xfrm_type *type; // 协议, ESP/AH/IPCOMP
struct xfrm_mode *mode; // 模式, 通道或传输
/* Security context */
struct xfrm_sec_ctx *security; // 安全上下文, 加密时使用
/* Private data of this transformer, format is opaque,
* interpreted by xfrm_type methods. */
void *data; // 内部数据
};2.2 安全策略(SP)
xfrm_policy结构用于描述SP在内核内部的具体实现:
struct xfrm_policy
{
struct xfrm_policy *next; // 下一个策略
struct hlist_node bydst; // 按目的地址HASH的链表
struct hlist_node byidx; // 按索引号HASH的链表
/* This lock only affects elements except for entry. */
rwlock_t lock; // 策略结构锁
atomic_t refcnt; // 引用次数
struct timer_list timer; // 策略定时器
u8 type; // 类型
u32 priority; // 策略优先级
u32 index; // 策略索引号
struct xfrm_selector selector; // 选择子
struct xfrm_lifetime_cfg lft; // 策略生命期
struct xfrm_lifetime_cur curlft; // 当前的生命期数据
st
