基于openswan klips的IPsec实现分析(二)数据接收

最新推荐文章于 2025-07-24 14:21:38 发布
原创 最新推荐文章于 2025-07-24 14:21:38 发布 · 3.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ah #esp #IPsec #Openswan #加密解密

本文详细解析了基于OpenSwanKlips的IPsec数据接收及解密流程,包括ipsec_rcv()、ipsec_rcv_decap()等关键函数的作用及内部处理逻辑,并介绍了如何通过解密后的数据查询SP并传递给上层协议栈。
部署运行你感兴趣的模型镜像

基于openswan klips的IPsec实现分析之数据接收

转载请注明出处:http://blog.youkuaiyun.com/rosetta

  接收数据解密和加密发送数据处理基本相似,无非就是逆过程。

  Klips对接收数据的处理流程如下:

  数据解密过程(以esp为例)

  ipsec_rcv()
         ->ipsec_rcv_decap()
               ->ipsec_rcv_decap_once()//proto_funcs = esp_xform_funcs(当然这里还有ah,ipcomp对应的结构体指针赋值)
                       ->proto_funcs->rcv_checks
                       ->proto_funcs->rcv_setup_auth
                       ->proto_funcs->rcv_decrypt

                  解完密后由  netif_rx(irs->skb);发送给上层协议栈处理。

  下面详细分析数据接收并解密过程。

  Ipsec_rcv()从物理网卡获取到数据包,这个处理函数是在ipsec_klips_init()中的openswan_inet_add_protocol()增加协议支持时注册的,首先判断skb是否有数据并确保skb是一份拷贝数据,然后判断是否是ESP包、AH包或者是COMP包,如果是则再判断物理网卡是否有对应的虚拟网卡绑定,然后走到ipsec_rcv_decap()。

  在ipsec_rcv_decap()里依据ESP、AH或COMP选择对应的xform_functions结构体,此结构包含认证函数指针、解密函数指针。再进入ipsec_rcv_decap_once()    proto_funcs->rcv_checks检查ESP包是否是4字节对齐(rfc24062.4节),接着判断是否存在有效的SA;proto_funcs->rcv_setup_auth设置哈希检验函数相关结构体;

proto_funcs->rcv_decrypt解密,解完密的数据再去查询SP,如果查找匹配的SP(eroute)就调用netif_rx()把数据包扔给上层协议栈处理。

您可能感兴趣的与本文相关的镜像

Wan2.2-T2V-A5B

Wan2.2-T2V-A5B

文生视频
Wan2.2

Wan2.2是由通义万相开源高效文本到视频生成模型,是有​50亿参数的轻量级视频生成模型,专为快速内容创作优化。支持480P视频生成,具备优秀的时序连贯性和运动推理能力

基于openswan klipsIPsec实现分析(八)内核SADB维护(2)
终身学习的程序猿
06-18 8126
基于openswan klipsIPsec VPN实现分析(七)内核SADB维护2 转载请注明出处:http://blog.youkuaiyun.com/rosetta 内核完整的消息处理过程,以隧道模式ESP协议增加SA情况为例 接收消息和发送消息的知识涉及到Linux内核了,所以不关注它是怎么收发,而是关注收到消息后对消息本身的处理过程。但为了保证代码的完整性,就把接收和发送的代码全部帖上来了
openswan klips数据加解密过程
终身学习的程序猿
06-15 1697
本文档的Copyleft归rosetta所有,使用GPL发布,可以自由拷贝、转载,转载时请保持文档的完整性。         klips实现IP数据包的安全接受或发送的进程。在内核域中运行,主要负责控制管理SA及密钥,同时处理数据包的加密和解密工作。 数据加密过程:         ipsec_tunnel_start_xmit()                 ->ipsec_
基于openswan klipsIPsec实现分析(九)加密算法维护
终身学习的程序猿
06-18 3672
基于openswan klipsIPsec VPN实现分析(九)加密算法维护 转载请注明出处:http://blog.youkuaiyun.com/rosetta 本节将介绍klips加密算法的维护,并介绍如何增加新加密算法的支持,下一节将讲认证算法维护和增加。 这里说的加密算法是指对称加密算法,是在通信过程中对传送的信息加解密时使用的,比如:AES,3DES,sm4等。
基于openswan klipsIPsec实现分析(十一)NAT穿越
终身学习的程序猿
06-18 4415
基于openswan klipsIPsec VPN实现分析(十一)NAT穿越 转载请注明出处:http://blog.youkuaiyun.com/rosetta 本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。 简介 IPsec和NAT的冲突: NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口,然
openswan klips代码分析--(1)初始化流程
u013920085的专栏
01-19 1051
Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。
libreswan算法管理分析
02-19
在libreswan中,klips实现IPSec功能的核心组件之一,主要负责数据包的安全传输以及加密解密等任务。本文将从代码层面出发,详细介绍libreswan(版本3.29)中klips的算法管理部分,包括算法的使用、加解密等内容。 ...
Ipsec Openswan 26sec等基础知识扫盲
终身学习的程序猿
05-08 8623
最近在整理openswan clips,linux netkey等 方面的东西. 理清openswan什么版本支持ipv6,pluto和racoon作用等等知识 . 希望对研究ipsec,vpn方面的朋友有帮助.整理不足之处还请指正. 问题提出:什么是xfrm,racoon,netkey,PF_KEY,netlink,clips,26sec,Setkey,KAME,ipsec?
31、深入解析Netfilter与IPsec:网络安全与数据包处理的核心技术
ujm567890的博客
07-09 80
本文深入解析了Netfilter与IPsec这两项Linux网络中的核心技术,详细介绍了它们的工作原理、关键方法和实际应用场景。Netfilter通过规则过滤和钩子机制实现灵活的数据包处理,而IPsec则提供强大的网络安全保障,通过认证和加密保护IP通信。文章还探讨了两者之间的协同工作机制,以及在企业VPN、数据中心等场景中的应用,并给出了性能优化建议,为构建安全高效的网络环境提供了全面的技术指导。
31、深入理解Netfilter与IPsec:原理、方法与应用
最新发布
m9n0o的博客
07-24 47
本文深入探讨了Linux内核中的Netfilter和IPsec子系统,详细解析了它们的原理、方法及应用。Netfilter作为网络数据包处理的核心机制,提供了钩子、规则和连接跟踪功能,用于过滤、修改和转发数据包。IPsec则通过认证和加密保障IP通信的安全性,支持传输模式和隧道模式。文章还介绍了IKE协议的工作流程、IPsec的NAT穿越机制以及XFRM框架的结构。此外,还涵盖了相关代码示例、工具库的使用以及常见问题的解答,帮助读者全面理解并应用Netfilter和IPsec技术。
基于openswan klipsIPsec实现分析(一)数据发送
终身学习的程序猿
06-18 7138
基于openswan klipsIPsec VPN实现分析数据发送 转载请注明出处:http://blog.youkuaiyun.com/rosetta   Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。   Klips对外出数据的处理流程如下:   相关函数调用过程如下:
ipsec内核实现分析
07-04
linux的ipsec内核实现源码分析,本人的源码阅读笔记,主要讲解了xfrm模块的实现和源码流程,有需要的可以下载参考
基于openswan klipsIPsec实现分析(四)应用层和内核通信(1)
终身学习的程序猿
06-18 4242
基于openswan klipsIPsec VPN实现分析(四)应用层和内核通信——应用层操作 转载请注明出处:http://blog.youkuaiyun.com/rosetta   klips和NETKEY在内核域中运行,主要负责控制管理SA及密钥,负责注册和初始化模块,数据加密解密,SHA1、MD5算法实现等。两者与用户层通信都使用套接字socket PF_KEY。现讲解用户层pluto和kli
使用openwrt搭建ipsec隧道
buhuidage的博客
01-26 4989
刚好手机拍下了日志,把日志往群里发了一下,细心的群友看出了问题点,然后我搜了一下这个函数是在哪个地方定义的,只需要我们去开一下对应的宏就行,然后重新编译了一下版本,发现连接上去了。我们直接去编译一下带ipsec的openwrt的固件,遇到问题也好解决一点,这里我选择的lean大佬的openwrt源码,源码链接如下,在国内我们玩openwrt的玩家基本都在用lean的代码,因为lean的代码适配了国内基本上常见的路由器固件,我们只需要make menuconfig开一下对应产品的宏就可以编译,非常简单上手。
Iphone连接Openwrt的IPSEC服务器
胡同老道的博客
09-12 1万+
最近搭建了群晖的Moments服务,把家人的所有照片全部存储到NAS,然后删除了手机中的照片,省出了大量空间,家里的领导再也不抱怨手机空间不够了。 我是经常换手机,用手机自带的备份克隆或者换机助手,动不动就一两个小时才能把几十G照片搬到新手机,用了群晖,这个问题也解决了。 话说物极必反,没用几天,领导就抱怨在外面看到不以前的照片了,发了限期整改的通知,否则把每月零花钱从350降到200。 本着绝对不开历史倒车的技术理念,加上捉襟见肘的预算,排除了把照片...
如何在openwrt下编译ipsec隧道相关软件包并配置隧道
qq_33744128的博客
05-28 1812
查看ipsec隧道日志 logread | grep ipsecswanctl --log #启动连接(需要选择阶段名) swanctl --initiate --child hz # 清理连接(需要选择一阶段名) swanctl --terminate --ike HZ 3 .查看隧道已启动的连接swanctl -l 4 .查看配置是否有问题附件:附自己编译的openwrt固件,包含ipsec隧道软件包。
详解 OpenWrt 防火墙配置、NAT配置
l00102795的博客
01-19 4746
OpenWrt内置防火墙介绍Openwrt 是一个 GNU/Linux 的发行版, Openwrt 的防火墙实现与Linux的防火墙是通过netfilter内核模块,加上用户空间的iptables管理工具;同样是五链四张表、五元素的管理框架。OpenWRT开发了一套与iptables同地位的netfilter管理工具fw3,这个工具侧重于从uci格式的配置文件中获取过滤信息下发到内核的netfilter中去。
3. 详解 IPSec 的 net2net 组网实践
weixin_38387929的博客
06-03 2084
实验环境 本篇记录 IPSec 的 net2net 的组网, 身份认证方式 基于 预共享密钥 (PSK) 模式, 主机采用自定义编译 openwrt-x86 虚拟主机,IPSec 使用 StrongSwan 组件。 测试环境: (1)x86-OpenWRT-19.09 镜像 (2)PVE ( proxmox-6.3.2 ) 网络架构 net2net-psk的组网图,我们可以看到我们至少需要两个客户机Alice和Bob,两个网关Moon和Sun。 第一步 创建 4台 openwrt 的虚机 如何把 op
openwrt使用l2tp
热门推荐
08-01 1万+
1、配置openwrt cat > /etc/ipsec.conf <<EOF # ipsec.conf - strongSwan IPsec configuration file # basic configuration config setup # strictcrlpolicy=yes # uniqueids = no # Add connections...
IPSec站点到站点实验(预共享认证)
weixin_51045259的博客
03-03 719
文章目录Site to Site IPsec 组网:组网需求:采用WEB登录防火墙方式配置配置接口地址及划分安全区域配置去对端的路由配置安全策略配置IPSec策略结果验证采用命令行配置 Site to Site IPsec 组网: 组网需求: 这是一个典型的站点到站点IPSec VPN拓扑。 FW1内部网络192.168.1.0/24模拟站点一内部网络,R2模拟站点一内部服务器。 FW2内部网络192.168.2.0/24模拟站点内部网络,R3模拟站点内部服务器。 1.1.1.0/24和2.2.2
Openswan ipsec
02-21
### Openswan IPsec 配置与故障排除 #### 安装 Openswan 对于基于 Debian 的系统,可以使用如下命令来安装 Openswan: ```bash sudo apt-get update && sudo apt-get install openswan ``` 对于 Red Hat 或 ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值