基于openswan klips的IPsec实现分析(一)数据发送

最新推荐文章于 2020-11-22 16:57:16 发布
原创 最新推荐文章于 2020-11-22 16:57:16 发布 · 7.1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ah #esp #IPsec #Openswan #加密解密

本文分析了基于openswan klips的IPsec实现,重点讲述了数据发送的流程,包括ipsec_tunnel_start_xmit、ipsec_xmit_encap_bundle、ipsec_alg_esp_encrypt等函数的作用,以及如何进行数据加密和发送。模块初始化、SA查找、加密算法的使用等内容也进行了详述。

基于openswan klips的IPsec实现分析之数据发送

转载请注明出处:http://blog.youkuaiyun.com/rosetta

  Klips是openswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。

  Klips对外出数据的处理流程如下:

  相关函数调用过程如下:
        ipsec_tunnel_start_xmit()
               ->ipsec_xmit_encap_bundle()
                       ->ipsec_sa_getbyid()//获取sa
                       ->ipsec_xmit_encap_once()  
                  &nbs

最低0.47元/天 解锁文章
openswan发送状态机分析
遇见你是我最美丽的意外
05-14 4921
openswan发送状态机分析 1. 函数调用关系 init_module ipsec_klips_init ipsec_tunnel_init_devices ipsec_tunnel_createnum klips_device_ops ipsec_tunnel_probe ipsec_tunnel_init 【以上为初始化流程,下面是真正的数据包处理函数接口】 ipsec_tunnel_start_xmit ipsec_tunnel_SAlookup ipsec_xsm
openswan klips数据加解密过程
终身学习的程序猿
06-15 1697
本文档的Copyleft归rosetta所有,使用GPL发布,可以自由拷贝、转载,转载时请保持文档的完整性。         klips实现IP数据包的安全接受或发送的进程。在内核域中运行,主要负责控制管理SA及密钥,同时处理数据包的加密和解密工作。 数据加密过程:         ipsec_tunnel_start_xmit()                 ->ipsec_
ipsec 加密流程(二):ipsec初始化操作
遇见你是我最美丽的意外
11-22 6027
openswan》专栏系列文章主要是记录openswan源码学习过程中的笔记。 Author : Toney Email : vip_13031075266@163.com Date : 2020.11.22 Copyright:未经同意不得转载!!! Version : openswan-2.6.51.5 Reference:https://download.openswan.org/openswan/ 1. 加...
openswan的Pluto源码分析以及linux的IPsec内核源码分析
11-08
openswan的Pluto源码和linux的IPsec内核源码进行了详细的分析,对于理解openswan的运行机制以及linux的IPsec实现很有帮助
基于openswan klipsIPsec实现分析(五)应用层和内核通信(2)
终身学习的程序猿
06-18 3030
基于openswan klipsIPsec VPN实现分析(五)应用层和内核通信——内核操作 转载请注明出处:http://blog.youkuaiyun.com/rosetta 在数据发送节讲过,加载模块时会执行pfkey_init()初始化与用户层通信的PF_KEY套接字,在这个函数里会把支持的协议和算法加到pfkey_supported_list[]全局数组中,并在soc
基于openswan klipsIPsec实现分析(十)NAT穿越
终身学习的程序猿
06-18 4414
基于openswan klipsIPsec VPN实现分析(十)NAT穿越 转载请注明出处:http://blog.youkuaiyun.com/rosetta 本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。 简介 IPsec和NAT的冲突: NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口,然
基于openswan klipsIPsec实现分析(九)加密算法维护
终身学习的程序猿
06-18 3672
基于openswan klipsIPsec VPN实现分析(九)加密算法维护 转载请注明出处:http://blog.youkuaiyun.com/rosetta 本节将介绍klips加密算法的维护,并介绍如何增加新加密算法的支持,下节将讲认证算法维护和增加。 这里说的加密算法是指对称加密算法,是在通信过程中对传送的信息加解密时使用的,比如:AES,3DES,sm4等。
基于openswan klipsIPsec实现分析(十)认证算法维护
终身学习的程序猿
06-18 3185
基于openswan klipsIPsec VPN实现分析(十)认证算法维护 转载请注明出处:http://blog.youkuaiyun.com/rosetta 这里指的认证算法是ESP使用的,对通信过程中的信息做哈希,用来校验信息的完整性的;协商时的认证算法仅用来做哈希,哈希结果再用来做签名和验签。 相对于加密算法,认证算法会比较简单些,它也不需要像加密算法样去构造个结构体
基于openswan klipsIPsec实现分析(六)应用层SADB操作
终身学习的程序猿
06-18 3827
基于openswan klipsIPsec VPN实现分析(六)应用层SADB操作 转载请注明出处:http://blog.youkuaiyun.com/rosetta 这里的操作是指由openswan的密钥管理守护进程pluto对于内核SADB的操作。如下来至rfc2367的密钥关联程序和PF_KEY的关系图。
IPSEC_KLIPSDEBUG(8) - 设置KLIPS调试选项
Rain
07-24 889
IPSEC_KLIPSDEBUG NAME ipsec_klipsdebug - 设置KLIPS调试选项 SYSNOPSIS ipsec klipsdebug     ipsec klipsdebug --set flagname     ipsec klipsdebug --clear flagname    
Linux 内核IPSec(xfrm)协议栈源码分析
06-21
该文档从源码分析上入手分析了linux 内核收发数据包流程,内核路由查询流程。很清楚的分析数据包如何通过查询路由进入内核ipsec协议栈的处理、Linux 内核ipsec协议栈详细的加解密流程以及加解密完后如何将数据发送出去。 文档中前半部分主要介绍些关键的数据结构,及其相互之间的关系。后半部分介绍了各个函数的调用层级关系。文档主要以ipsec 隧道模式下的ESP协议为例来分析。文档中关键部分的源码都标有中文注释。
ipsec源代码
03-06
ipsec源代码的实现,非常流行的strongswan ikev2,lgplliesecs
ipsec内核实现分析
07-04
linux的ipsec内核实现源码分析,本人的源码阅读笔记,主要讲解了xfrm模块的实现和源码流程,有需要的可以下载参考
基于openswan klipsIPsec实现分析(二)数据接收
终身学习的程序猿
06-18 3586
基于openswan klipsIPsec VPN实现分析数据接收 转载请注明出处:http://blog.youkuaiyun.com/rosetta   接收数据解密和加密发送数据处理基本相似,无非就是逆过程。   Klips对接收数据的处理流程如下:   数据解密过程(以esp为例)   ipsec_rcv() ->ipsec_rcv_decap()
openswan klips代码分析--(1)初始化流程
u013920085的专栏
01-19 1051
Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。
基于openswan klipsIPsec实现分析(三)安全协议
终身学习的程序猿
06-18 2996
基于openswan klipsIPsec VPN实现分析(三)安全协议 参考rfc2402,rfc2406 转载请注明出处:http://blog.youkuaiyun.com/rosetta 博客格式显示有问题,只能将就了。 AH(Authentication Header)认证头和ESP(Encapsulating Security Payload)封装安全载荷是IPsec主要安全协议,当然
【内核IPSec代码分析2】报文转发处理过程
weixin_33901843的博客
01-03 134
2019独角兽企业重金招聘Python工程师标准>>> ...
pluto分析
zhaozhanyong的专栏
01-27 1353
1. 前言 pluto是著名的VPN开源项目freeswan及其后续项目中的个重要组成部分,实现了IKEv1(RFC2409),原始的fresswan只是实现IKE的基本功能,但不包括很多其他扩展功能,都需要打补丁实现,freeswan停止开发后,继续扩展出两个不同的分支,openswan和strongswan,前者综合各种功能的补丁,IKE功能比较全面;后者功能相对少点,但重要特点就是支持了IKEv2(RFC4306),因此两者各有优势。目前国内做IPSec VPN的基本都是基于这实现的,好象没听说
基于openswan klipsIPsec实现分析(七)内核SADB维护(1)
终身学习的程序猿
06-18 2077
基于openswan klipsIPsec VPN实现分析(七)内核SADB维护(1) 转载请注明出处:http://blog.youkuaiyun.com/rosetta 上节讲了应用层pluto是如何构造SADB消息发送给内核的,这节将讲内核对SADB的维护,所有SA处理函数都在指针数组msg_parsers[]中。 SADB(SA Database)即SA数据库,般听到数据库三字
Openswan ipsec
最新发布
02-21
### Openswan IPsec 配置与故障排除 #### 安装 Openswan 对于基于 Debian 的系统,可以使用如下命令来安装 Openswan: ```bash sudo apt-get update && sudo apt-get install openswan ``` 对于 Red Hat 或 CentOS 系统,则应执行以下操作以获取并安装软件包[^1]: ```bash sudo yum install epel-release sudo yum install openswan ``` #### 基本配置文件结构 主要的配置位于 `/etc/ipsec.conf` 文件内。此文件定义了安全关联(SAs),即两个端点之间的加密通信协议。个典型的设置可能看起来像这样: ```plaintext config setup plutodebug=all protostack=netkey conn myconnection authby=secret auto=start type=tunnel left=<local_IP> leftsubnet=<local_subnet> right=<remote_IP> rightsubnet=<remote_subnet> ``` 上述片段中的 `left` 和 `right` 参数分别指代本地和远程网关地址;而 `leftsubnet` 及 `rightsubnet` 则表示要保护的数据流所涉及的具体子网络范围。 为了使这些更改生效,在编辑完成后需重启服务: ```bash sudo systemctl restart ipsec.service ``` 或者在较旧版本上可能是这样的命令: ```bash sudo service ipsec restart ``` #### 故障排查技巧 当遇到连接失败的情况时,查看日志是个很好的起点。通常可以在 `/var/log/syslog` (Debian/Ubuntu) 或者 `/var/log/messages` (RedHat/CentOS) 中找到相关信息。特别关注带有 "pluto" 字样的条目,因为这是负责建立 SA 的守护进程的名字。 如果发现密钥协商存在问题,尝试调整 debug 设置以便获得更详细的输出: ```plaintext plutodebug="all" ``` 这会增加调试信息量,有助于识别潜在问题所在之处[^2]。 另外值得注意的是防火墙规则也可能阻碍正常工作。确保允许 UDP 500 (ISAKMP/IKE)以及 ESP 协议通过,并且如果有 NAT 情况下还需要开放 UDP 4500 端口用于NAT-T功能支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值