Linux内核中的IPSEC实现(1)
本文档的Copyleft归yfydz所有，使用GPL发布，可以自由拷贝，转载，转载时请保持文档的完整性，严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源：http://yfydz.cublog.cn

1. 前言

在Linux2.6内核中自带了IPSEC的实现,这样就不用象2.4那样打补丁来实现了。该实现包括以下几个部分: PF_KEY类型套接口, 用来提供和用户层空间进行PF_KEY通信，代码在net/key目录下，前面已经介绍过；安全联盟SA和安全策略SP管理，是使用xfrm库来实现的，代码在net/xfrm/目录下定义；ESP，AH等协议实现，在net/ipv4(6)下定义；加密认证算法库，在crypto目录下定义，这些算法都是标准代码了。本系列文章主要描述XFRM库的实现以及在IPV4下相关协议的处理部分, IPV6的忽略。

本文Linux内核代码版本为2.6.19.2。xfrm是内核中变化比较大的部分,每个版本中都有不小的差异, 同时也说明了该模块的不成熟性。
在net/xfrm目录下的各文件大致功能说明如下:
xfrm_state.c: xfrm状态管理
xfrm_policy.c: xfrm策略管理
xfrm_algo.c: 算法管理
xfrm_hash.c: HASH计算函数
xfrm_input.c: 安全路径(sec_path)处理,用于进入的ipsec包
xfrm_user.c:  netlink接口的SA和SP管理
在net/ipv4目录下的和ipsec相关各文件大致功能说明如下:
ah4.c: IPV4的AH协议处理
esp4.c: IPV4的ESP协议处理
ipcomp.c: IP压缩协议处理
xfrm4_input: 接收的IPV4的IPSEC包处理
xfrm4_output: 发出的IPV4的IPSEC包处理
xfrm4_state: IPV4的SA处理
xfrm4_policy: IPV4的策略处理
xfrm4_tunnel: IPV4的通道处理
xfrm4_mode_transport: 传输模式
xfrm4_mode_tunnel: 通道模式
xfrm4_mode_beet: BEET模式

2. 数据结构

内核SA的定义用xfrm_state结构定义，SP用xfrm_policy结构定义，在include/net/xfrm.h中定义。

2.1 状态(SA)

xfrm_state状态结构用来描述SA在内核中的具体实现:
struct xfrm_state
{
 /* Note: bydst is re-used during gc */
// 每个状态结构挂接到三个HASH链表中
 struct hlist_node bydst; // 按目的地址HASH
 struct hlist_node bysrc; // 按源地址HASH
 struct hlist_node byspi; // 按SPI值HASH
 atomic_t  refcnt; // 所有使用计数
 spinlock_t  lock;   // 状态锁
 struct xfrm_id  id; // ID结构， 即目的地址，SPI，协议三元组
 struct xfrm_selector sel; // 状态选择子
 u32   genid; // 状态的标志值, 防止发生碰撞
 /* Key manger bits */
 struct {
  u8  state;
  u8  dying;
  u32  seq;
 } km;  // KEY回调管理处理结构参数
 /* Parameters of this state. */
 struct {
  u32  reqid; // 请求ID
  u8  mode;  // 模式: 传输/通道
  u8  replay_window; // 回放窗口
  u8  aalgo, ealgo, calgo; // 认证,加密,压缩算法ID值
  u8  flags; // 一些标准
  u16  family; // 协议族
  xfrm_address_t saddr;  // 源地址
  int  header_len;  // 添加的协议头长度
  int  trailer_len; //
 } props; // SA相关参数结构
 struct xfrm_lifetime_cfg lft; // 生存时间配置
 /* Data for transformer */
 struct xfrm_algo *aalg; // hash算法
 struct xfrm_algo *ealg; // 加密算法
 struct xfrm_algo *calg; // 压缩算法
 /* Data for encapsulator */
 struct xfrm_encap_tmpl *encap; // NAT-T封装信息
 /* Data for care-of address */
 xfrm_address_t *coaddr;
 /* IPComp needs an IPIP tunnel for handling uncompressed packets */
 struct xfrm_state *tunnel;  // 通道, 实际是另一个SA
 /* If a tunnel, number of users + 1 */
 atomic_t  tunnel_users; // 通道的使用数
 /* State for replay detection */
 struct xfrm_replay_state replay; // 回放检测结构,包含各种序列号掩码等信息
 /* Replay detection state at the time we sent the last notification */
 struct xfrm_replay_state preplay; // 上次的回放记录值
 /* internal flag that only holds state for delayed aevent at the
  * moment
 */
 u32   xflags; // 标志
 /* Replay detection notification settings */
 u32   replay_maxage; // 回放最大时间间隔
 u32   replay_maxdiff; // 回放最大差值
 /* Replay detection notification timer */
 struct timer_list rtimer; // 回放检测定时器
 /* Statistics */
 struct xfrm_stats stats; // 统计值
 struct xfrm_lifetime_cur curlft; // 当前时间计数器
 struct timer_list timer;  // SA定时器
 /* Last used time */
 u64   lastused; // 上次使用时间
 /* Reference to data common to all the instances of this
  * transformer. */
 struct xfrm_type *type;  // 协议, ESP/AH/IPCOMP
 struct xfrm_mode *mode;  // 模式, 通道或传输
 /* Security context */
 struct xfrm_sec_ctx *security; // 安全上下文, 加密时使用
 /* Private data of this transformer, format is opaque,
  * interpreted by xfrm_type methods. */
 void   *data; // 内部数据
};
 
2.2 安全策略(SP)

xfrm_policy结构用于描述SP在内核内部的具体实现:
struct xfrm_policy
{
 struct xfrm_policy *next; // 下一个策略
 struct hlist_node bydst; // 按目的地址HASH的链表
 struct hlist_node byidx; // 按索引号HASH的链表
 /* This lock only affects elements except for entry. */
 rwlock_t  lock;  // 策略结构锁
 atomic_t  refcnt; // 引用次数
 struct timer_list timer; // 策略定时器
 u8   type;     // 类型
 u32   priority; // 策略优先级
 u32   index;    // 策略索引号
 struct xfrm_selector selector; // 选择子
 struct xfrm_lifetime_cfg lft;     // 策略生命期
 struct xfrm_lifetime_cur curlft;  // 当前的生命期数据
 st