IPsec in linux-2.6(一)

最新推荐文章于 2025-10-22 10:38:27 发布
原创 最新推荐文章于 2025-10-22 10:38:27 发布 · 2.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#transformation #networking #algorithm #authentication #通讯 #sockets

1. 理解 IPsec

IPsec 是一种建立在 Internet 协议 (IP) 层之上的协议。 它能够让两个或更多主机以安全的方式来通讯 (并因此而得名)。
IPsec 包括了两个子协议:
    *Encapsulated Security Payload (ESP) , 保护 IP 包数据不被第三方介入, 通过使用对称加密算法 (例如 Blowfish、 3DES)。
    * Authentication Header (AH) , 保护 IP 包头不被第三方介入和伪造, 通过计算校验和以及对 IP 包头的字段进行安全散列来实现。随后是一个包含了散列值的附加头, 以便能够验证包。

ESP 和 AH 可以根据环境的不同, 分别或者一同使用。
IPsec 既可以用来直接加密主机之间的网络通讯 (也就是 传输模式 ); 也可以用来在两个子网之间建造 “虚拟隧道” 用于两个网络之间的安全通讯 (也就是 隧道模式 )。 后一种更多的被称为是 虚拟专用网 (VPN) 。

2. Linux 下测试

我们这里需要下载ipsec-tools 来测试,主页:
http://ipsec-tools.sourceforge.net/

 

kernel 的配置选项:

Networking support (NET) [Y/n/?] y
  *
  * Networking options
  *
  PF_KEY sockets (NET_KEY) [Y/n/m/?] y
  IP: AH transformation (INET_AH) [Y/n/m/?] y
  IP: ESP transformation (INET_ESP) [Y/n/m/?] y
  IP: IPsec user configuration interface (XFRM_USER) [Y/n/m/?] y

Cryptographic API (CRYPTO) [Y/n/?] y
  HMAC support (CRYPTO_HMAC) [Y/n/?] y
  Null algorithms (CRYPTO_NULL) [Y/n/m/?] y
  MD5 digest algorithm (CRYPTO_MD5) [Y/n/m/?] y
  SHA1 digest algorithm (CRYPTO_SHA1) [Y/n/m/?] y
  DES and Triple DES EDE cipher algorithms (CRYPTO_DES) [Y/n/m/?] y
  AES cipher algorithms (CRYPTO_AES) [Y/n/m/?] y

 

我们测试用例,假设有两台主机:
28.224.158.202128.224.165.156

通过ipsec 来建立通讯通道。
128.224.158.202 主机上:
创建/etc/setkey.conf配置文件,其内容如下:

#!/sbin/setkey -f
flush;
spdflush;

# AH
add 128.224.165.156 128.224.158.202 ah 15700 -A hmac-md5 "1234567890123456";
add 128.224.158.202 128.224.165.156 ah 24500 -A hmac-md5 "1234567890123456";

# ESP
add 128.224.165.156 128.224.158.202 esp 15701 -E 3des-cbc "123456789012123456789012";
add 128.224.158.202 128.224.165.156 esp 24501 -E 3des-cbc "123456789012123456789012";

spdadd 128.224.158.202 128.224.165.156 any -P out ipsec
           esp/transport//require
           ah/transport//require;

spdadd 128.224.165.156 128.224.158.202 any -P in ipsec
           esp/transport//require
           ah/transport//require;

执行以下命令:
 1. setkey -f /etc/setkey.conf
 2. setkey -D
 3. setkey -DP

128.224.165.156 主机上:
创建/etc/setkey.conf配置文件,其内容如下:
#!/sbin/setkey -f
flush;
spdflush;

# AH
add 128.224.165.156 128.224.158.202 ah 15700 -A hmac-md5 "1234567890123456";
add 128.224.158.202 128.224.165.156 ah 24500 -A hmac-md5 "1234567890123456";

# ESP
add 128.224.165.156 128.224.158.202 esp 15701 -E 3des-cbc "123456789012123456789012";
add 128.224.158.202 128.224.165.156 esp 24501 -E 3des-cbc "123456789012123456789012";

spdadd 128.224.165.156 128.224.158.202 any -P out ipsec
           esp/transport//require
           ah/transport//require;

spdadd 128.224.158.202 128.224.165.156 any -P in ipsec
           esp/transport//require
           ah/transport//require;

执行以下命令:
 1. setkey -f /etc/setkey.conf
 2. setkey -D
 3. setkey -DP

128.224.165.156 主机上执行:
1. ping 128.224.158.202&
2. tcpdump | grep 128.224.158.202
可以看到如下结果:
01:30:06.384668 IP octeon > 128.224.158.202:
AH(spi=0x00003d54,seq=0x399): ESP(spi=0x00003d55,seq=0x399), length 88
01:30:06.385113 IP 128.224.158.202 > octeon:
AH(spi=0x00005fb4,seq=0x1e7): ESP(spi=0x00005fb5,seq=0x1e7), length 88
01:30:07.389619 IP octeon > 128.224.158.202:
AH(spi=0x00003d54,seq=0x39a): ESP(spi=0x00003d55,seq=0x39a), length 88
01:30:07.394661 IP 128.224.158.202 > octeon:
AH(spi=0x00005fb4,seq=0x1e8): ESP(spi=0x00005fb5,seq=0x1e8), length 88
01:30:08.393231 IP octeon > 128.224.158.202:

IP octeon 的ip 就是128.224.165.156。
由tcpdump 抓的包可以看出:128.224.165.156
发给128.224.158.202的包全部在IP pakcet 头加了 AH 和 ESP 加密信息,而且两者之间可以正常通讯。

另外如果执行:setkey -f /etc/setkey.conf 时,碰到这样的错误提示:pfkey_open: Address family not supported by protocol
一般就是由于没有加载Kernel IPsec 相关的modlue.如果IPsec相关的代码被编译成module 形式,用需要手动加载相关ipsec module:
modprobe af_key

 

参考:

1. http://www.ipsec-howto.org/

2. http://www.shorewall.net/IPSEC-2.6.html

3. http://zh.wikipedia.org/wiki/IPsec

 

Linux内核--网络协议栈()sk_buff介绍
文艺小少年的博客
01-17 859
Linux 的网络栈实现代码中,引用到了些数据结构。要理解 Linux 内部的网络实现,需要先理清这些数据结构的作用。 关键数据结构主要有两个: sk_buff 和 net_device。
Openswan系列教程1:安装并尝试
王以山的专栏
01-08 5322
<!-- @page {margin:2cm} h2 {margin-bottom:0.21cm} h2.western {font-family:"Liberation Sans",sans-serif; font-size:14pt; font-style:italic} h2.cjk {font-family:"Droid Sans Fallback";
ipsec(linux内核实现)
09-13
讲解linux内核最新代码中ipsec pfkey的实现过程。很具有参考价值。
linux内核中的IPsec实现
02-21
linuxIPSec内核实现,请大家能够喜欢,多给点分!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
IPSec
最新发布
徐子元
10-22 609
IPSec(全称 Internet Protocol Security,互联网协议安全)是套用于在 IP 网络中保障数据传输安全性的协议套件(非单协议),其核心目标是为 IP 数据包提供端到端的机密性、完整性、真实性以及抗重播攻击能力,是构建虚拟专用网络(VPN)、保护跨网络通信安全的核心技术之。机密性(Confidentiality):通过对称加密算法(如 AES-256)对 IP 数据包的 payload(载荷)进行加密,防止数据在传输过程中被窃听或篡改后读取。
使用racoon setkey搭建IPsec环境
热门推荐
终身学习的程序猿
06-18 1万+
使用racoon setkey搭建IPsec VPN环境 转载请注明出处:http://blog.csdn.net/rosetta 以前的博文写的都是基于openswan klips的IPsec实现及环境搭建,没有使用过Linux自带的netkey,现基于Linux自带的netkey搭建IPsec VPN环境,并参考UNPV13e写个应用层程序倾泻安全联盟。
IPsec in Linux-2.6()
open_free_share的专栏
01-08 902
在上篇IPsec in Linux-2.6()中,讲述了IPsec 在传输模式(transport mode)两个静态IP建立IPsec 通道的过程。在这篇文章中主要讲述如何理解IPsec工作原理和过程。也就是要回答为什么IPsec你能够提供安全的数据通讯通道,或者IPsec 为什么被引入到TCP/IP协议栈中。其实在原始的TCP/IP模型中,没有包括任何关于网络安全的设计,只要有人接入网络,
linux 2.6ipsec的使用
ufwt的专栏
06-24 1688
可以参考http://www.ipsec-howto.org/ 1。编译kernel 2.6必须选择下面的选择 CONFIG_INET_AH CONFIG_INET_ESP CONFIG_XFRM_USER可能还要安装module-init-tool如何生成kernel看另外的文档 2ipsec-tools /configure --prefix=/ make make install 3。两台
ipsec-tools安装教程
weixin_34367845的博客
05-11 1795
ipsec-tools最新版本为0.8.2,此处以0.7.3版本为例说明安装和使用过程。可参考ipsec-howto。 安装步骤 ipsec-tools依赖于linux2.6版本内核,在安装ipsec-tools前需编译安装linux kernel 2.6,此处以2.6.34.1为例。 内核编译步骤 下载 linux-2.6.34.1.tar.bz2 将文件移...
IPsec工具之ipsec-tools
weixin_33858485的博客
04-19 2759
Linux2.6内核开始自带IPsec模块,配合IPsec-Tools,可以实现LinuxIPsec功能。 IPsec-Tools包含4个模块 libipsec:PF_KEY实现库 setkey:用于配置SAD(安全关联数据库)和SPD(安全策略数据库) racoon:IKE守护程序,用于自动建立IPsec连接 racoonctl:操作racoon的shell工具 ...
linux ipsec内核,ipsec linux内核
weixin_39526459的博客
04-29 197
今天将给大家详细讲解查看CentOS版本信息的命令() 查看已经安装的CentOS版本信息1.cat /etc/issue 查看版本cat 缩写concatenate cat命令可以用来显示、合并文件。 CentOS release 6.6 (Final) CentOS 发行版6.6 etc 初期etc的英文名字缩写为etcetera ,后来大家更习惯称为 Editable Text Confi...
IPSecLinux平台上的实现框架.pdf
09-07
IPSecLinux平台上的实现框架.pdf
LinuxIPsec的实现--(实例)
weixin_34413103的博客
05-13 2441
LinuxIPsec的实现IPsec-×××:virtual private network--虚拟专用网×××作用:通过公网实现远程连接,将私有网络联系起来×××的类型:1、overlay的×××,例如IPsec-×××2、peer-to-peer的×××,例如MPLS-×××还可以分为二层×××和三层×××IPsec-×××是三层的×××IPsec-×××的分类:1、s...
Linux内核ipsec密码库,关于2.6.18 ipsec内核支持(NETKEY)的问题
weixin_29210759的博客
04-30 370
请教各位:本人在将Linux内核对ipsec的支持模块(也就是NETKEY)移植到ARM上的时候,遇到了如下的问题:在交叉编译的时候,如下的module已经在makemenuconfig已经选中:~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~`Networking--->Networkingoptions--->Transformationuser...
Linux内核中的IPSEC实现(1)
dolphin98629的专栏
12-31 5149
Java代码   1. 前言      在Linux2.6内核中自带了IPSEC的实现,这样就不用象2.4那样打补丁来实现了。该实现包括以下几个部分: PF_KEY类型套接口, 用来提供和用户层空间进行PF_KEY通信,代码在net/key目录下,前面已经介绍过;安全联盟SA和安全策略SP管理,是使用xfrm库来实现的,代码在net/xfrm/目录下定义;ESP,AH等协议实现,
Linuxipsec的支持
daa20的专栏
06-17 1909
转:https://blog.csdn.net/cxw06023273/article/details/83809492 前言 在Linux2.6内核中自带了PF_KEY协议族的实现,这样就不用象2.4那样打补丁来实现了。内核中PF_KEY实现要完成的功能是实现维护内核的安全联盟(SA)和安全策略(SP)数据库, 以及和用户空间的接口。 以下内核代码版本为2.6.19.2, PF_KEY相关代...
Linux 内核源码分析---IPsec 互联网安全协议
学习记录
08-20 1853
学习记录
linux与防火墙建立ipsec,LinuxIPSec的实现分析及其与防火墙协同工作的改进设计...
weixin_32287563的博客
05-12 390
摘要:IPSec是为Internet通信提供安全服务的组标准协议.其目标是为IPv4和IPv6提供具有较强互操作能力,高质量和基于密码的安全服务.Linux作为著名的开放源代码操作系统软件,对我国的软件行业来说是个重大的机遇,因此研究LinuxLinux下的各种应用显得非常重要.本论文主要研究了LinuxIPSec的实现及其与防火墙协同工作的改进设计,主要工作如下: 总结了IPSec的研究...
linux3.10.108有/proc/net/pfkey和/proc/net/xfrm_stat吗
08-21
<think>我们正在处理个关于Linux内核3.10.108是否支持PF_KEY和XFRM统计接口的问题。具体来说,用户想知道该内核版本是否包含`/proc/net/pfkey`和`/proc/net/xfrm_stat`文件。 根据引用[1]和[2],我们知道`/proc`文件系统是Linux内核提供的个接口,用于在运行时访问内核内部数据。因此,这些文件的存在与否取决于内核编译时的配置选项。 ### 分析步骤: 1. **PF_KEY接口**: - PF_KEY是用于密钥管理的套接字接口,对应的内核配置选项是`CONFIG_NET_KEY`(即PF_KEYv2套接字)。 - 当该选项启用时,内核会提供`/proc/net/pfkey`文件(或类似接口)。在较新的内核中,该接口可能被移动到其他位置,但在3.10.108版本中,通常还是`/proc/net/pfkey`。 2. **XFRM统计接口**: - XFRM(IPsec框架)的统计信息接口,对应的内核配置选项是`CONFIG_XFRM_STATISTICS`。 - 启用该选项后,会提供`/proc/net/xfrm_stat`文件(或类似接口)。 ### 具体到3.10.108内核版本: - 我们无法直接查看用户系统的配置,但可以根据该版本的内核源代码和常见配置进行推断。 #### 检查方法(理论): 1. **查看内核配置**: - 如果用户有内核配置文件(通常为`.config`),可以检查以下选项: ``` CONFIG_NET_KEY=y # 支持PF_KEY CONFIG_XFRM_STATISTICS=y # 支持XFRM统计 ``` - 如果这些选项被设置为`y`(编译进内核)或`m`(编译为模块),则相应的`/proc`文件应该存在。 2. **在运行中的系统上检查**: - 如果用户正在运行该内核,可以尝试检查`/proc`文件: ```bash ls /proc/net/pfkey ls /proc/net/xfrm_stat ``` - 如果存在,则说明支持。 ### 结论(基于历史版本和常见配置): - **PF_KEY支持**:Linux内核3.10.108版本默认包含PF_KEY支持(即`CONFIG_NET_KEY`选项通常是启用的)。因此,`/proc/net/pfkey`文件应该存在。 - **XFRM统计支持**:该选项(`CONFIG_XFRM_STATISTICS`)在3.10内核中已经存在,但默认可能不启用。因此,`/proc/net/xfrm_stat`文件是否存在取决于内核编译时的配置。 ### 验证方法(用户实际操作): 1. 检查`/proc`文件: ```bash # 检查PF_KEY接口 ls -l /proc/net/pfkey # 检查XFRM统计接口 ls -l /proc/net/xfrm_stat ``` 如果这些文件存在(且非空),则说明支持。 2. 如果文件不存在,可以检查内核配置(如果用户有访问权限): ```bash # 查看内核配置(通常位于/boot/config-$(uname -r)或/proc/config.gz) zcat /proc/config.gz | grep -E 'CONFIG_NET_KEY|CONFIG_XFRM_STATISTICS' ``` 输出可能为: ``` CONFIG_NET_KEY=y CONFIG_XFRM_STATISTICS=y ``` 或 ``` CONFIG_NET_KEY=m CONFIG_XFRM_STATISTICS=y ``` 如果看到`=y`或`=m`,说明内核支持,但对应的模块可能没有加载(对于`=m`的情况)。 3. 如果配置为模块(`=m`),则需要加载模块: ```bash # 加载PF_KEY相关模块(通常为af_key) sudo modprobe af_key # 加载XFRM相关模块(通常为xfrm_user) sudo modprobe xfrm_user ``` 然后再次检查`/proc`文件。 ### 最终答案: - **PF_KEY接口**:Linux 3.10.108内核默认支持,因此`/proc/net/pfkey`文件应该存在(除非编译时禁用了`CONFIG_NET_KEY`)。 - **XFRM统计接口**:取决于内核编译配置,如果启用了`CONFIG_XFRM_STATISTICS`,则`/proc/net/xfrm_stat`存在;否则不存在。 建议用户按照上述验证方法进行检查。 ### 相关问题: 1. 如何在Linux内核中启用PF_KEY支持? 2. 如何配置Linux内核以支持XFRM统计? 3. Linux 3.10.108内核中如何编译IPsec相关模块?</think>### Linux 3.10.108内核对PF_KEY和XFRM统计接口的支持分析 #### 1. **PF_KEY接口支持** (`/proc/net/pfkey`) - **支持状态:完全支持** Linux 3.10.108内核默认包含PF_KEYv2套接字实现,对应内核配置选项: ```ini CONFIG_NET_KEY=y // PF_KEY套接字支持 ``` - **验证方法**: ```bash # 检查内核配置 grep 'CONFIG_NET_KEY' /boot/config-$(uname -r) # 查看运行时接口 ls -l /proc/net/pfkey # 应存在该文件 cat /proc/net/pfkey # 显示密钥管理套接字状态 ``` - **技术说明**: PF_KEY是Linux IPsec的核心基础设施,用于用户空间(如strongSwan)与内核间的密钥交换[^1]。该接口自Linux 2.6时代已稳定存在,3.10.108版本必然包含。 #### 2. **XFRM统计接口支持** (`/proc/net/xfrm_stat`) - **支持状态:有条件支持** 需要内核显式启用统计功能: ```ini CONFIG_XFRM_STATISTICS=y // XFRM统计支持 ``` - **验证方法**: ```bash # 检查内核配置 grep 'CONFIG_XFRM_STATISTICS' /boot/config-$(uname -r) # 查看运行时接口 ls -l /proc/net/xfrm_stat # 若启用则存在 ip -s xfrm state # 替代查看方式 ``` - **技术说明**: XFRM统计接口提供IPsec状态机的性能指标,包括: $$ \text{统计量} = \sum(\text{XFRM_IN_ERROR}, \text{XFRM_OUT_BLOCK}, ...) $$ 但该功能在嵌入式系统中常被禁用以节省资源[^3]。 #### 3. **兼容性结论** | 接口 | 支持状态 | 依赖配置 | 必要性级别 | |-------------------|----------------|----------------------|------------| | `/proc/net/pfkey` | **默认支持** | `CONFIG_NET_KEY=y` | 关键 | | `/proc/net/xfrm_stat` | **可选支持** | `CONFIG_XFRM_STATISTICS=y` | 非关键 | #### 4. **验证操作指南** ```bash # 完整验证流程 echo "1. 内核版本: $(uname -r)" echo "2. PF_KEY支持:" [ -f /proc/net/pfkey ] && echo "存在" || echo "缺失" echo "3. XFRM统计支持:" if grep -q 'XFRM_STATISTICS=y' /boot/config-$(uname -r); then [ -f /proc/net/xfrm_stat ] && echo "已启用" || echo "配置异常" else echo "内核未编译此功能" fi ``` #### 5. **特殊场景处理** - **若`/proc/net/pfkey`缺失**: 表明内核未启用IPsec基础支持,需: 1. 重新编译内核,确保启用: ```makefile CONFIG_NET_KEY=y CONFIG_INET_ESP=y CONFIG_XFRM_USER=y ``` 2. 或加载内核模块: ```bash modprobe af_key xfrm_user ``` - **XFRM统计缺失的影响**: 仅影响监控能力,IPsec核心功能仍可工作。可通过替代方式获取统计: ```bash ip -s -s xfrm state # 双-s显示详细统计 ``` > **数学说明**:XFRM统计本质上是对内核状态机的离散事件计数: > $$ \text{XFRM\_STAT} = \sum_{t=0}^{T} \delta(e_t) \quad \text{其中} \quad e_t \in \{\text{状态转移事件}\} $$ > 这些数据用于分析IPsec性能瓶颈[^3]。 --- ### 最终结论 ✅ **Linux 3.10.108 必然支持`/proc/net/pfkey`**,这是IPsec的基石功能。 ⚠️ **`/proc/net/xfrm_stat`需额外配置**,但缺失不影响IPsec核心功能,仅限制统计监控能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值