日期:2014-05-16 浏览次数:20731 次
1. 前言 在Linux2.6内核中自带了IPSEC的实现,这样就不用象2.4那样打补丁来实现了。该实现包括以下几个部分: PF_KEY类型套接口, 用来提供和用户层空间进行PF_KEY通信,代码在net/key目录下,前面已经介绍过;安全联盟SA和安全策略SP管理,是使用xfrm库来实现的,代码在net/xfrm/目录下定义;ESP,AH等协议实现,在net/ipv4(6)下定义;加密认证算法库,在crypto目录下定义,这些算法都是标准代码了。本系列文章主要描述XFRM库的实现以及在IPV4下相关协议的处理部分, IPV6的忽略。 本文Linux内核代码版本为2.6.19.2。xfrm是内核中变化比较大的部分,每个版本中都有不小的差异, 同时也说明了该模块的不成熟性。 在net/xfrm目录下的各文件大致功能说明如下: xfrm_state.c: xfrm状态管理 xfrm_policy.c: xfrm策略管理 xfrm_algo.c: 算法管理 xfrm_hash.c: HASH计算函数 xfrm_input.c: 安全路径(sec_path)处理,用于进入的ipsec包 xfrm_user.c: netlink接口的SA和SP管理 在net/ipv4目录下的和ipsec相关各文件大致功能说明如下: ah4.c: IPV4的AH协议处理 esp4.c: IPV4的ESP协议处理 ipcomp.c: IP压缩协议处理 xfrm4_input: 接收的IPV4的IPSEC包处理 xfrm4_output: 发出的IPV4的IPSEC包处理 xfrm4_state: IPV4的SA处理 xfrm4_policy: IPV4的策略处理 xfrm4_tunnel: IPV4的通道处理 xfrm4_mode_transport: 传输模式 xfrm4_mode_tunnel: 通道模式 xfrm4_mode_beet: BEET模式 2. 数据结构 内核SA的定义用xfrm_state结构定义,SP用xfrm_policy结构定义,在include/net/xfrm.h中定义。 2.1 状态(SA) xfrm_state状态结构用来描述SA在内核中的具体实现: struct xfrm_state { /* Note: bydst is re-used during gc */ // 每个状态结构挂接到三个HASH链表中 struct hlist_node bydst; // 按目的地址HASH struct hlist_node bysrc; // 按源地址HASH struct hlist_node byspi; // 按SPI值HASH atomic_t refcnt; // 所有使用计数 spinlock_t lock; // 状态锁 struct xfrm_id id; // ID结构, 即目的地址,SPI,协议三元组 struct xfrm_selector sel; // 状态选择子 u32 genid; // 状态的标志值, 防止发生碰撞 /* Key manger bits */ struct { u8 state; u8 dying; u32 seq; } km; // KEY回调管理处理结构参数 /* Parameters of this state. */ struct { u32 reqid; // 请求ID u8 mode; // 模式: 传输/通道 u8 replay_window; // 回放窗口 u8 aalgo, ealgo, calgo; // 认证,加密,压缩算法ID值 u8 flags; // 一些标准 u16 family; // 协议族 xfrm_address_t saddr; // 源地址 int header_len; // 添加的协议头长度 int trailer_len; // } props; // SA相关参数结构 struct xfrm_lifetime_cfg lft; // 生存时间配置 /* Data for transformer */ struct xfrm_algo *aalg; // hash算法 struct xfrm_algo *ealg; // 加密算法 struct xfrm_algo *calg; // 压缩算法 /* Data for encapsulator */ struct xfrm_encap_tmpl *encap; // NAT-T封装信息 /* Data for care-of address */ xfrm_address_t *coaddr; /* IPComp needs an IPIP tunnel for handling uncompressed packets */ struct xfrm_state *tunnel; // 通道, 实际是另一个SA /* If a tunnel, number of users + 1 */ atomic_t tunnel_users; // 通道的使用数 /* State for replay detection */ struct xfrm_replay_state replay; // 回放检测结构,包含各种序列号掩码等信息 /* Replay detection state at the time we sent the last notification */ struct xfrm_replay_state preplay; // 上次的回放记录值 /* internal flag that only holds state for delayed aevent at the * moment */ u32 xflags; // 标志 /* Replay detection notification settings */ u32 replay_maxage; // 回放最大时间间隔 u32 replay_maxdiff; // 回放最大差值 /* Replay detection notification timer */ struct timer_list rtimer; // 回放检测定时器 /* Statistics */ struct xfrm_stats stats; // 统计值 struct xfrm_lifetime_cur curlft; // 当前时间计数器 struct timer_list timer; // SA定时器 /* Last used time */ u64 lastused; // 上次使用时间 /* Reference to data common to all the instances of this * transformer. */ struct xfrm_type *type; // 协议, ESP/AH/IPCOMP struct xfrm_mode *mode; // 模式, 通道或传输 /* Security context */ struct xfrm_sec_ctx *security; // 安全上下文, 加密时使用 /* Private data of this transformer, format is opaque, * interpreted by xfrm_type methods. */ void *data; // 内部数据 }; 2.2 安全策略(SP) xfrm_policy结构用于描述SP在内核内部的具体实现: struct xfrm_policy { struct xfrm_policy *next; // 下一个策略 struct hlist_node bydst; // 按目的地址HASH的链表 struct hlist_node byidx; // 按索引号HASH的链表 /* This lock only affects elements except for entry. */ rwlock_t lock; // 策略结构锁 atomic_t refcnt; // 引用次数 struct timer_list timer; // 策略定时器 u8 type; // 类型 u32 priority; // 策略优先级 u32 index; // 策略索引号 struct xfrm_selector selector; // 选择子 struct xfrm_lifetime_cfg lft; // 策略生命期 struct xfrm_lifetime_cur curlft; // 当前的生命期数据 st