基于openswan klips的IPsec实现分析(五)应用层和内核通信(2)

最新推荐文章于 2022-08-15 17:22:28 发布
原创 最新推荐文章于 2022-08-15 17:22:28 发布 · 3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#esp #Openswan #openswan #内核

本文详细介绍了基于openswan klips的IPsec实现中,应用层和内核通信的过程。通过pfkey_init()初始化PF_KEY套接字,并在内核中注册操作函数。pfkey_recvmsg()和pfkey_sendmsg()分别用于接收和发送应用层消息,根据不同类型的sadb_msg_satype和sadb_msg_type调用相应的处理函数。这些消息类型包括获取SPI、更新SA、增加SA等操作。

基于openswan klips的IPsec实现分析(五)应用层和内核通信——内核操作

转载请注明出处:http://blog.youkuaiyun.com/rosetta

         在数据发送一节讲过,加载模块时会执行pfkey_init()初始化与用户层通信的PF_KEY套接字,在这个函数里会把支持的协议和算法加到pfkey_supported_list[]全局数组中,并在sock_register ()函数里注册PF_KEY套接字操作函数sock->ops = &pfkey_ops ,pfkey_ops内容如下。

struct proto_ops SOCKOPS_WRAPPED(pfkey_ops)= {

   family:     PF_KEY,

   owner:      THIS_MODULE,

   release:    pfkey_release,

   bind:       sock_no_bind,

   connect:    sock_no_connect,

   socketpair: sock_no_socketpair,

   accept:     sock_no_accept,

   getname:  &nb

最低0.47元/天 解锁文章
基于openswan klipsIPsec实现分析(四)应用层内核通信(1)
终身学习的程序猿
06-18 4241
基于openswan klipsIPsec VPN实现分析(四)应用层内核通信——应用层操作 转载请注明出处:http://blog.youkuaiyun.com/rosetta   klipsNETKEY在内核域中运行,主要负责控制管理SA及密钥,负责注册初始化模块,数据加密解密,SHA1、MD5算法实现等。两者与用户层通信都使用套接字socket PF_KEY。现讲解用户层plutokli
基于openswan klipsIPsec实现分析(六)应用层SADB操作
终身学习的程序猿
06-18 3827
基于openswan klipsIPsec VPN实现分析(六)应用层SADB操作 转载请注明出处:http://blog.youkuaiyun.com/rosetta 这里的操作是指由openswan的密钥管理守护进程pluto对于内核SADB的操作。如下来至rfc2367的密钥关联程序PF_KEY的关系图。
IPSec环境搭建与分析
GOOD__YOUTH的博客
10-11 1583
测试调试 网络拓扑 路由器配置为: 设置ipsec信息为: 隧道模式,配置远端路由网关192.168.151.73 即路由器2 IP 配置本地网端,与远端网段,设置ike协商 采用ESP中的封装安全荷载协议中的DES加密协议 完整性检测采用SHA1协议 配置密钥信息. 路由器1设置为初始者模式,路由器2设置为响应者模式,,通过抓包发现当设置为初始者模式时,路由器主动向对端建立ike协商,响应者模式则为被动状态等待ike连接请求。 测试可以PING通远端网段. 报文解析 主动模式 建立IKEV1协商
应用层内核通信
返_人_类_联盟
11-20 2531
介绍应用层内核通信前需要了解一些自旋锁,事件,链表相关的东西。 LIST_ENTRY一个双向链表,在Windows中经常使用。在使用时只需在结构体中插入一个LIST_ENTRY结构,位置无所谓(最好在前面)。比如: typedef struct { LIST_ENTRY list_entry; UNICODE_STRING file_name; }MY_LIST_TEST; 在使用
基于openswan klipsIPsec实现分析(十一)NAT穿越
终身学习的程序猿
06-18 4415
基于openswan klipsIPsec VPN实现分析(十一)NAT穿越 转载请注明出处:http://blog.youkuaiyun.com/rosetta 本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。 简介 IPsecNAT的冲突: NAT服务器对内网来的数据包,需要修改其源地址源端口为服务器自身的地址端口,然
基于openswan klipsIPsec实现分析(一)数据发送
终身学习的程序猿
06-18 7137
基于openswan klipsIPsec VPN实现分析之数据发送 转载请注明出处:http://blog.youkuaiyun.com/rosetta   Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。   Klips对外出数据的处理流程如下:   相关函数调用过程如下:
基于openswan klipsIPsec实现分析(九)加密算法维护
终身学习的程序猿
06-18 3672
基于openswan klipsIPsec VPN实现分析(九)加密算法维护 转载请注明出处:http://blog.youkuaiyun.com/rosetta 本节将介绍klips加密算法的维护,并介绍如何增加新加密算法的支持,下一节将讲认证算法维护增加。 这里说的加密算法是指对称加密算法,是在通信过程中对传送的信息加解密时使用的,比如:AES,3DES,sm4等。
IPSEC_KLIPSDEBUG(8) - 设置KLIPS调试选项
Rain
07-24 889
IPSEC_KLIPSDEBUG NAME ipsec_klipsdebug - 设置KLIPS调试选项 SYSNOPSIS ipsec klipsdebug     ipsec klipsdebug --set flagname     ipsec klipsdebug --clear flagname    
驱动应用层的三种通信方式
03-03
介绍了驱动应用层的三种通信方式,工程一个应用层exe.一个驱动,exe中没有安装驱动的代码,驱动需要手动找工具安装下,然后再运行exe
ipsec源代码
03-06
ipsec源代码的实现,非常流行的strongswan ikev2,lgplliesecs
IPSec Driver-开源
05-30
该项目将 IPSec 实现为 Windows 2000 中的 NDIS 中间过滤器驱动程序。此 IPSec 驱动程序对于 TCP/IP 驱动程序等协议驱动程序显示为虚拟 NIC。 网络应用程序不需要知道这个 IPSec 驱动程序的存在
ipsec(linux内核实现)
09-13
讲解linux内核最新代码中ipsec pfkey的实现过程。很具有参考价值。
ipsec内核实现分析
07-04
linux的ipsec内核实现源码分析,本人的源码阅读笔记,主要讲解了xfrm模块的实现源码流程,有需要的可以下载参考
Linux内核XFRM -- IPsec协议的实现框架问题研究
mingpeng520的博客
11-02 862
XFRM – IPsec协议的内核实现框架 首先网上的两篇文章很好 1.https://blog.youkuaiyun.com/chenmo187J3X1/article/details/101794624?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param&depth_1-utm_source=distribute.pc_relevant.none-task-blog-
基于openswan klipsIPsec实现分析(十)认证算法维护
终身学习的程序猿
06-18 3185
基于openswan klipsIPsec VPN实现分析(十)认证算法维护 转载请注明出处:http://blog.youkuaiyun.com/rosetta 这里指的认证算法是ESP使用的,对通信过程中的信息做哈希,用来校验信息的完整性的;协商时的认证算法仅用来做哈希,哈希结果再用来做签名验签。 相对于加密算法,认证算法会比较简单些,它也不需要像加密算法一样去构造一个结构体
IPSec开源项目strongSwan
小脑斧的博客
08-15 9777
strongSwan是一套完整的IPsec开源实现方案,用来提供服务端客户端之间的加密认证。
Linux内核l2tp源码分析,[ipsec][strongswan] strongswan源码分析-- () xfrm与strongswan内核接口分析...
weixin_42128963的博客
04-29 1276
strongwan sa分析()[TOC]xfrm与strongswan内核接口分析1. strongswan的实现如下图,业务场景可以分为两类:下发类的交互主要由包触发或用户配置动作触发。消息类的交互主要由watcher监听socket,然后触发。 2. 交互机制2.1 下发消息消息名功能定义XFRM_MSG_ALLOCSPI获取SPIXFRM_MSG_NEWSA新建SAXFRM_MSG_UP...
基于openswan klipsIPsec实现分析(三)安全协议
终身学习的程序猿
06-18 2996
基于openswan klipsIPsec VPN实现分析(三)安全协议 参考rfc2402,rfc2406 转载请注明出处:http://blog.youkuaiyun.com/rosetta 博客格式显示有问题,只能将就了。 AH(Authentication Header)认证头ESP(Encapsulating Security Payload)封装安全载荷是IPsec主要安全协议,当然
linux ipsec内核,ipsec linux内核
weixin_39526459的博客
04-29 197
今天将给大家详细讲解查看CentOS版本信息的命令() 查看已经安装的CentOS版本信息1.cat /etc/issue 查看版本cat 缩写concatenate cat命令可以用来显示、合并文件。 CentOS release 6.6 (Final) CentOS 发行版6.6 etc 初期etc的英文名字缩写为etcetera ,后来大家更习惯称为 Editable Text Confi...
Openswan ipsec
最新发布
02-21
### Openswan IPsec 配置与故障排除 #### 安装 Openswan 对于基于 Debian 的系统,可以使用如下命令来安装 Openswan: ```bash sudo apt-get update && sudo apt-get install openswan ``` 对于 Red Hat 或 CentOS 系统,则应执行以下操作以获取并安装软件包[^1]: ```bash sudo yum install epel-release sudo yum install openswan ``` #### 基本配置文件结构 主要的配置位于 `/etc/ipsec.conf` 文件内。此文件定义了安全关联(SAs),即两个端点之间的加密通信协议。一个典型的设置可能看起来像这样: ```plaintext config setup plutodebug=all protostack=netkey conn myconnection authby=secret auto=start type=tunnel left=<local_IP> leftsubnet=<local_subnet> right=<remote_IP> rightsubnet=<remote_subnet> ``` 上述片段中的 `left` `right` 参数分别指代本地远程网关地址;而 `leftsubnet` 及 `rightsubnet` 则表示要保护的数据流所涉及的具体子网络范围。 为了使这些更改生效,在编辑完成后需重启服务: ```bash sudo systemctl restart ipsec.service ``` 或者在较旧版本上可能是这样的命令: ```bash sudo service ipsec restart ``` #### 故障排查技巧 当遇到连接失败的情况时,查看日志是一个很好的起点。通常可以在 `/var/log/syslog` (Debian/Ubuntu) 或者 `/var/log/messages` (RedHat/CentOS) 中找到相关信息。特别关注带有 "pluto" 字样的条目,因为这是负责建立 SA 的守护进程的名字。 如果发现密钥协商存在问题,尝试调整 debug 设置以便获得更详细的输出: ```plaintext plutodebug="all" ``` 这会增加调试信息量,有助于识别潜在问题所在之处[^2]。 另外值得注意的是防火墙规则也可能阻碍正常工作。确保允许 UDP 500 (ISAKMP/IKE)以及 ESP 协议通过,并且如果有 NAT 情况下还需要开放 UDP 4500 端口用于NAT-T功能支持。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值