基于openswan klips的IPsec实现分析(六)应用层SADB操作

最新推荐文章于 2023-04-25 22:13:55 发布
原创 最新推荐文章于 2023-04-25 22:13:55 发布 · 3.8k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sa #sadb

本文详细介绍了基于openswan klips的IPsec实现中,应用层如何通过SADB操作来增加、删除安全联盟SA。内容包括SA的结构、添加和删除SA的函数调用过程,以及SADB消息的构造和发送给内核的过程。

基于openswan klips的IPsec实现分析(六)应用层SADB操作

转载请注明出处:http://blog.youkuaiyun.com/rosetta

    这里的操作是指由openswan的密钥管理守护进程pluto对于内核SADB的操作。如下来至rfc2367的密钥关联程序和PF_KEY的关系图。

                   

                     +----------------+

                     |密钥管理守护进程|

                     +----------------+

                       |           |

                       |           |

                       |           |                   应用程序

              ======[PF_KEY]====[PF_INET]==========================

                       |           |                   系统内核

               +------------+   +-----------------+

               |  密钥引擎 |   |     TCP/IP     |

               |    或者   |---|      包括       |

               |    SADB   |   |     IPsec      |

               +------------+   +-----------------+

                                        |

                                   +----------+

                                   | 网络接口 |

                                   +----------+

 

              图1:密钥关联程序和PF_KEY的关系

 

 

 

 

 

 

         pluto第二阶段协商成功收尾时,在发起方的quick_inR1_outI2()函数里调用install_ipsec_sa()增加SA。

        增加SA函数调用过程:

quick_inR1_outI2(), install_ipsec_sa(),setup_half_ipsec_sa(),kernel_ops->add_sa()(kernel_ops的成员赋值在《应用层和内核通信》一节讲,klips的add_sa指向的函数是pfkey_add_sa())。

删除SA函数调用过程:

在删除隧道或者SA过期等情况下调用相关删除函数,delete_ipsec_sa(),del_spi(),kernel_ops->del_sa()。

         如果存在多个SA的情况下,归组SA,即放到SA结构体数组中:

         setup_half_ipsec_sa(),kernel_ops->grp_sa()。

 

传说中的安全联盟SA概貌如斯:

struct kernel_sa {

   const ip_address *src; //源地址

   const ip_address *dst;  //目的地址

   

   const ip_subnet *src_client;//源保护子网

   const ip_subnet *dst_client;//目的保护子网

                 

   ipsec_spi_t spi; //spi

   unsigned proto; //安全协议

   unsigned satype; //安全联盟类型,比如ESP,AH,IPIP,IPCOMP等

   unsigned replay_window;//重放窗口

   unsigned reqid; //请求ID

                    

   unsigned authalg; //认证算法

   unsigned authkeylen; //认证算法密钥长度

   char *authkey;   //认证密钥

             

   unsigned encalg; //加密算法

   unsigned enckeylen; //加密算法密钥长度

   char *enckey; //加密密钥

 

   int encapsulation;//封装

   const char *text_said;

};

 

应用层构造SADB发送给内核,构造过程看似复杂,其实它只利用了一个指针数组做为中间buf,然后把此buf中的数据拷到pfkey_msg中,最后把pfkey_msg通过write pfkeyfd套接字把消息传给内核,最后释放指针和空间。

static bool pfkey_add_sa(const structkernel_sa *sa, bool replace)

{

   struct sadb_ext *extensions[SADB_EXT_MAX + 1]; //构造SADB临时使用的指针数组。

    boolsuccess = FALSE;

        

         //构造消息头结构体structsadb_msg信息。

   success = pfkey_msg_start(replace ? SADB_UPDATE : SADB_ADD,sa->satype

                                  , "pfkey_msg_hdr Add SA"

                                  , sa->text_said, extensions);

 

   if(!success) return FALSE;

 

//构造结构体struct sadb_sa信息,包换SPI,回放窗口,认证算法,加密算法等。

// pfkey_sa_build()函数返回0表示成功,pfkey_build()用于处理pfkey_sa_build()返回失败的情况下打印详细的错误信息;如果成功直接返回0。

   success = pfkey_build(pfkey_sa_build(&extensions[SADB_EXT_SA]

                                                , SADB_EXT_SA

                                                , sa->spi /*in network order */

                                                , sa->replay_window, SADB_SASTATE_MATURE

                                                , sa->authalg, sa->encalg, 0)

<
最低0.47元/天 解锁文章
基于openswan klipsIPsec实现分析(四)应用层和内核通信(1)
终身学习的程序猿
06-18 4242
基于openswan klipsIPsec VPN实现分析(四)应用层和内核通信——应用层操作 转载请注明出处:http://blog.youkuaiyun.com/rosetta   klips和NETKEY在内核域中运行,主要负责控制管理SA及密钥,负责注册和初始化模块,数据加密解密,SHA1、MD5算法实现等。两者与用户层通信都使用套接字socket PF_KEY。现讲解用户层pluto和kli
基于openswan klipsIPsec实现分析(五)应用层和内核通信(2)
终身学习的程序猿
06-18 3031
基于openswan klipsIPsec VPN实现分析(五)应用层和内核通信——内核操作 转载请注明出处:http://blog.youkuaiyun.com/rosetta 在数据发送一节讲过,加载模块时会执行pfkey_init()初始化与用户层通信的PF_KEY套接字,在这个函数里会把支持的协议和算法加到pfkey_supported_list[]全局数组中,并在soc
Openswan介绍
《Linux就是这个范儿》
11-08 9973
Openswan IPSec VPN中最著名的人物应属Openswan。它自带有IPsec内核堆栈KLIPS,更方便的是可以使用2.6内核中的堆栈代码。如果使用2.6及以上内核,不用打补丁NAT就能启作用。Openswan已经内建对x.509和NAT Traversal的支持,使用起来非常的方便。 下载openswan软件包后只要make programs install就可以搞定,然后用i
基于openswan klipsIPsec实现分析(八)内核SADB维护(2)
终身学习的程序猿
06-18 8126
基于openswan klipsIPsec VPN实现分析(七)内核SADB维护2 转载请注明出处:http://blog.youkuaiyun.com/rosetta 内核完整的消息处理过程,以隧道模式ESP协议增加SA情况为例 接收消息和发送消息的知识涉及到Linux内核了,所以不关注它是怎么收发,而是关注收到消息后对消息本身的处理过程。但为了保证代码的完整性,就把接收和发送的代码全部帖上来了
SADB参数定义差异分析
weixin_34252686的博客
05-14 422
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性, 严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 1. 前言 由于RFC2367中只定义了SA的类型,但没有定义安全策略的定义,因此各种IPSEC实现只能自己定义,openswan-2.4.7...
基于openswan klipsIPsec实现分析(七)内核SADB维护(1)
终身学习的程序猿
06-18 2078
基于openswan klipsIPsec VPN实现分析(七)内核SADB维护(1) 转载请注明出处:http://blog.youkuaiyun.com/rosetta 上一节讲了应用层pluto是如何构造SADB消息发送给内核的,这节将讲内核对SADB的维护,所有SA处理函数都在指针数组msg_parsers[]中。 SADB(SA Database)SA数据库,一般听到数据库三字
基于openswan klipsIPsec实现分析(一)数据发送
终身学习的程序猿
06-18 7138
基于openswan klipsIPsec VPN实现分析之数据发送 转载请注明出处:http://blog.youkuaiyun.com/rosetta   Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。   Klips对外出数据的处理流程如下:   相关函数调用过程如下:
使用openswan构建lan-to-lan ×××(KLIPS)
weixin_34245169的博客
08-03 301
一、OpenSWan简介 OpenSWan是Linux下IPsec的最佳实现方式,其功能强大,最大程度地保证了数据传输中的安全性、完整性问题。 OpenSWan支持2.0、2.2、2.4以及2.6内核,可以运行在不同的系统平台下,包括X86、X86_64、IA64、MIPS以及ARM。 OpenSWan是开源项目FreeS/WAN停止开发后的后继...
openswan实验
王以山的专栏
10-13 2408
openswan 在Linux kernel 2.6上,的使用 本实验在RedHat Enterprise Linux 4, Kernel 2.6.9上通过 Author: Iry Date: June 10, 2005 openswan 在Linux kernel 2.6上,的使用 本实验在RedHat Enterprise Linux 4, Kernel 2.6.9上通过 s
Openswan-2.6.41源码包
06-16
该源码包是openswan.org提供的最新版本
openswan-2.6.38
01-08
openswan-2.6.38源码,搬运自openswan.org openswan-2.6.38.tar.gz
openswan的学习
Rafael的专栏
10-19 1884
写的有点乱,把这几天学的IPSEC做VPN连接的内容写一下,但是NAT穿越还没有试通。目前使用的linux为mandrava2006free版本,极烂的版本,要什么没什么。内核版本为2.6.12,但好像不是原版,默认安装的时候自带了ipsec,是基于NETKEY的,不是原freeswan的klips(kernel ipsec suport)。不需要打补丁直接可以做NAT穿越。下载opens
openswan部署
weixin_34198453的博客
12-24 898
Openswan部署一、OpenSWan简介OpenSWan是Linux下IPsec的最佳实现方式,其功能强大,最大程度地保证了数据传输中的安全性、完整性问题。OpenSWan支持2.0、2.2、2.4以及2.6内核,可以运行在不同的系统平台下,包括X86、X86_64、IA64、MIPS以及ARM。OpenSWan是开源项目FreeS/WAN停止开发后的后继分支项目,由...
Openswan安装和简单配置
chn-zgq's Blog
04-25 3178
本文档只描述了Openswan安装和简单的相关配置,具体情况请按照你所需要的场景进行布置,本文档仅作为一个参考。
openswan 移植
04-22 1827
最近一周都在移植openswan。这是个fei chan
openswan配置IPSec(tunnel模式,esp封装,rsa认证)
weixin_43190642的博客
12-24 3694
vm1:192.168.182.144 host1:192.168.182.254 9.94.189.225 host2:9.94.189.226 192.168.152.254 vm2:192.168.152.132 环境如图所示,两台物理机充当网关,分别启动一台虚拟机组成局域网。 一、虚拟机启动 使用qume脚本启动,关键信息: -enable-kvm -display none -cpu host -smp 4 -m 4096 -kernel KaTeX .
openswan专栏序言
遇见你是我最美丽的意外
04-27 5418
openswan专栏序言 “一杯茶,一包烟,一个bug解一天!!!”。 ​ 2020年春季,正值新冠病毒在全球肆虐之际,美国的疫情已经相当的严峻,每天仍以3万速度狂奔。而国内的疫情在全国人民的共同努力下已经逐渐减弱,并趋于正常,人们的工作、生活逐步步入正轨。在这里由衷的希望全球人们早日度过难关,开始新的征程。 ​ 首先需要说明openswan的起源。 现在网络已经基本实现了互联互通,但是通讯面...
openswan与飞塔对接,将openswan接口当作上网线路使用
Aggy阿吉的博客
08-23 1190
@[TOC]虚拟专线 openswan与飞塔对接 国内办公室与国外办公室的网络互联,国内企业与国外网络的互联一直都是一个热点问题。今天的openswan就是云端或者服务器替代网络设备的典范实例。 安装配置openswan 本次实验基于centos7.3 # cat /etc/redhat-release CentOS Linux release 7.3.1611 (Core) 安装openswan # yum -y install openswan # vi /etc/sysctl.conf 修
openswan简介,安装,部署
weixin_33872660的博客
08-31 1411
1.OpenSWan介绍1.1 OpenSWan概述OpenSWan是linux选Ipsec及I2tp协议的一个不错的实现方案。他支持和ipsec相关的大多数的扩展(RFC+IETF drafts)。Openswan项目起源于FreeS/WAN 2.04项目,该项目的功能很强大,可以很大程度上保证数据在跨网传输中的安全性、完整性,特别是通过它,饿哦没可以很好地实现跨机房或异...
Openswan ipsec
最新发布
02-21
### Openswan IPsec 配置与故障排除 #### 安装 Openswan 对于基于 Debian 的系统,可以使用如下命令来安装 Openswan: ```bash sudo apt-get update && sudo apt-get install openswan ``` 对于 Red Hat 或 CentOS 系统,则应执行以下操作以获取并安装软件包[^1]: ```bash sudo yum install epel-release sudo yum install openswan ``` #### 基本配置文件结构 主要的配置位于 `/etc/ipsec.conf` 文件内。此文件定义了安全关联(SAs),即两个端点之间的加密通信协议。一个典型的设置可能看起来像这样: ```plaintext config setup plutodebug=all protostack=netkey conn myconnection authby=secret auto=start type=tunnel left=<local_IP> leftsubnet=<local_subnet> right=<remote_IP> rightsubnet=<remote_subnet> ``` 上述片段中的 `left` 和 `right` 参数分别指代本地和远程网关地址;而 `leftsubnet` 及 `rightsubnet` 则表示要保护的数据流所涉及的具体子网络范围。 为了使这些更改生效,在编辑完成后需重启服务: ```bash sudo systemctl restart ipsec.service ``` 或者在较旧版本上可能是这样的命令: ```bash sudo service ipsec restart ``` #### 故障排查技巧 当遇到连接失败的情况时,查看日志是一个很好的起点。通常可以在 `/var/log/syslog` (Debian/Ubuntu) 或者 `/var/log/messages` (RedHat/CentOS) 中找到相关信息。特别关注带有 "pluto" 字样的条目,因为这是负责建立 SA 的守护进程的名字。 如果发现密钥协商存在问题,尝试调整 debug 设置以便获得更详细的输出: ```plaintext plutodebug="all" ``` 这会增加调试信息量,有助于识别潜在问题所在之处[^2]。 另外值得注意的是防火墙规则也可能阻碍正常工作。确保允许 UDP 500 (ISAKMP/IKE)以及 ESP 协议通过,并且如果有 NAT 情况下还需要开放 UDP 4500 端口用于NAT-T功能支持。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值