基于openswan klips的IPsec实现分析(九)加密算法维护

最新推荐文章于 2024-10-25 09:28:43 发布
原创 最新推荐文章于 2024-10-25 09:28:43 发布 · 3.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#klips加密算法 #对称加密算法

本文介绍了Linux内核中基于openswan klips的IPsec实现中加密算法的维护,包括数据结构、相关函数接口,以及如何增加新的加密算法支持,如3DES。内容涵盖了struct ipsec_alg、register_ipsec_alg()、ipsec_alg_insert()和pfkey_list_insert_supported()等关键组件和函数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

基于openswan klips的IPsec实现分析(九)加密算法维护

转载请注明出处:http://blog.youkuaiyun.com/rosetta

    本节将介绍klips加密算法的维护,并介绍如何增加新加密算法的支持,下一节将讲认证算法维护和增加。

    这里说的加密算法是指对称加密算法,是在通信过程中对传送的信息加解密时使用的,比如:AES,3DES,sm4等。

    加密算法对应的数据结构tructipsec_alg,其信息也是放在哈希表中:

    static structlist_head ipsec_alg_hash_table[IPSEC_ALG_HASHSZ];

相关数据结构

#define IPSEC_ALG_ST_SUPP   0x01

#define IPSEC_ALG_ST_REGISTERED 0x02

#define IPSEC_ALG_ST_EXCL   0x04

 

#define IPSEC_ALG_TYPE_AUTH14

#define IPSEC_ALG_TYPE_ENCRYPT  15

 

struct ipsec_alg_supported// pfkey_supported_list[]数据的每一个成员为此结构体。

{

         uint16_tias_exttype;//算法类型:加密或认证,IPSEC_ALG_TYPE_*

         uint8_t  ias_id;//算法ID,比如3des为3,aes为12。

         uint8_t  ias_ivlen;//IV长度,单位是bit,比如SM4的IV长度为128bit

         uint16_tias_keyminbits; //密钥支持最小位数。

         uint16_tias_keymaxbits;  //密钥支持最大位数。

       char    *ias_name;

};

 

struct ipsec_alg {

         unsignedixt_version;       /* only allow thisversion (or 'near')*/\  //IPSEC_ALG_VERSION

         structlist_head ixt_list;  /* dlinked list */ \  //内核标志的链表结构

         structmodule *ixt_module;    /* THIS_MODULE */ \ //THIS_MODULE

         unsignedixt_state;          /* state flags */ \ // IPSEC_ALG_ST_*三种

         atomic_tixt_refcnt;        /* ref. count whenpointed from ipsec_sa */ \ //被sa引用的次数

         charixt_name[16];  /* descriptive short name,eg. "3des" */ \ //算法名字,比如“3des”

         void*ixt_data;                   /* privatefor algo implementation */ \

         uint8_t  ixt_blocksize;   /* blocksize in bytes */ \//CBC模式分块大小,比如3des为8;SM4为16。

         structipsec_alg_supported ixt_support;

};

/*

 *   Note the const in cbc_encrypt IV arg:

 *   some ciphers like to toast passed IV (eg.3DES): make a local IV copy

 */

struct ipsec_alg_enc {

         structipsec_alg ixt_common;

         unsignedixt_e_keylen;             /* raw keylength in bytes */原始密钥长度,单位为字节,比如SM4为16.

         unsignedixt_e_ctx_size;          /*sa_p->key_e_size *///这个不知道什么用,SM4为16.

         int(*ixt_e_set_key)(struct ipsec_alg_enc *alg, __u8 *key_e, const __u8 *key,size_t keysize);

         //设置密钥函数指针

         __u8*(*ixt_e_new_key)(struct ipsec_alg_enc *alg, const __u8 *key, size_t keysize);

         void(*ixt_e_destroy_key)(struct ipsec_alg_enc *alg, __u8 *key_e);

         //销毁密钥函数指针

         int(*ixt_e_cbc_encrypt)(struct ipsec_alg_enc *alg, __u8 *key_e, __u8 *in, intilen, const __u8 *iv, int encrypt);

         //加密函数指针

};

相关函数接口

函数调用关系:

ipsec_klips_init()

->ipsec_alg_init()

->ipsec_3des_init()

  -> register_ipsec_alg_enc()

 

//内核增加加密算法支持

static inline int register_ipsec_alg_enc(structipsec_alg_enc *ixt) {

   return register_ipsec_alg((struct ipsec_alg*)ixt);

}          

//内核撤销此加密算法支持

static inline intunregister_ipsec_alg_enc(struct ipsec_alg_enc *ixt) {

   return unregister_ipsec_alg((struct ipsec_alg*)ixt);

}

register_ipsec_alg()函数

/*

 *Generic (enc, auth) registration entry point

 */

int register_ipsec_alg(structipsec_alg *ixt)

{

         intret=-EINVAL;

         /*     Validation        */

         if(ixt==NULL)

                   barf_out("NULLipsec_alg object passed\n");

         if((ixt->ixt_version&0xffffff00) != (IPSEC_ALG_VERSION&0xffffff00))

                   barf_out("incorrectversion: %d.%d.%d-%d, "

                            "mustbe %d.%d.%d[-%d]\n",

                                     IPSEC_ALG_VERSION_QUAD(ixt->ixt_version),

                                     IPSEC_ALG_VERSION_QUAD(IPSEC_ALG_VERSION));

 

         switch(ixt->ixt_alg_type){

                   caseIPSEC_ALG_TYPE_AUTH://认证算法

                            if((ret=check_auth((struct ipsec_alg_auth *)ixt)<0))

                                     gotoout;

                       &nbs

最低0.47元/天 解锁文章

200万优质内容无限畅学
openswan klips数据加解密过程
终身学习的程序猿
06-15 1676
本文档的Copyleft归rosetta所有,使用GPL发布,可以自由拷贝、转载,转载时请保持文档的完整性。         klips实现IP数据包的安全接受或发送的进程。在内核域中运行,主要负责控制管理SA及密钥,同时处理数据包的加密和解密工作。 数据加密过程:         ipsec_tunnel_start_xmit()                 ->ipsec_
基于openswan klipsIPsec实现分析(十一)NAT穿越
终身学习的程序猿
06-18 4377
基于openswan klipsIPsec VPN实现分析(十一)NAT穿越 转载请注明出处:http://blog.youkuaiyun.com/rosetta 本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。 简介 IPsec和NAT的冲突: NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口,然
openswan pluto代码分析--(1)pluto简介
u013920085的专栏
01-20 2888
Pluto是一个守护进程,提供IKEv1服务 Pluto通信消息:网卡数据报文消息;whack命令的消息;内核通信消息 接下来分别介绍上面三种通信消息 1. 网卡数据报文消息 打开UDP500和4500端口监听网卡数据----什么时机可以创建这个socket还没看出来 call_server中遍历所有网卡检查是否可读   2.whack命令的消息 在pluto的主函数
openswan发送状态机分析
遇见你是我最美丽的意外
05-14 4901
openswan发送状态机分析 1. 函数调用关系 init_module ipsec_klips_init ipsec_tunnel_init_devices ipsec_tunnel_createnum klips_device_ops ipsec_tunnel_probe ipsec_tunnel_init 【以上为初始化流程,下面是真正的数据包处理函数接口】 ipsec_tunnel_start_xmit ipsec_tunnel_SAlookup ipsec_xsm
openswan的Pluto源码分析以及linux的IPsec内核源码分析
11-08
openswan的Pluto源码和linux的IPsec内核源码进行了详细的分析,对于理解openswan的运行机制以及linux的IPsec实现很有帮助
基于openswan klipsIPsec实现分析(十)认证算法维护
终身学习的程序猿
06-18 3152
基于openswan klipsIPsec VPN实现分析(十)认证算法维护 转载请注明出处:http://blog.youkuaiyun.com/rosetta 这里指的认证算法是ESP使用的,对通信过程中的信息做哈希,用来校验信息的完整性的;协商时的认证算法仅用来做哈希,哈希结果再用来做签名和验签。 相对于加密算法,认证算法会比较简单些,它也不需要像加密算法一样去构造一个结构体
基于openswan klipsIPsec实现分析(一)数据发送
终身学习的程序猿
06-18 6866
基于openswan klipsIPsec VPN实现分析之数据发送 转载请注明出处:http://blog.youkuaiyun.com/rosetta   Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。   Klips对外出数据的处理流程如下:   相关函数调用过程如下:
基于openswan klipsIPsec实现分析(四)应用层和内核通信(1)
终身学习的程序猿
06-18 4201
基于openswan klipsIPsec VPN实现分析(四)应用层和内核通信——应用层操作 转载请注明出处:http://blog.youkuaiyun.com/rosetta   klips和NETKEY在内核域中运行,主要负责控制管理SA及密钥,负责注册和初始化模块,数据加密解密,SHA1、MD5算法实现等。两者与用户层通信都使用套接字socket PF_KEY。现讲解用户层pluto和kli
基于openswan klipsIPsec实现分析(六)应用层SADB操作
终身学习的程序猿
06-18 3806
基于openswan klipsIPsec VPN实现分析(六)应用层SADB操作 转载请注明出处:http://blog.youkuaiyun.com/rosetta 这里的操作是指由openswan的密钥管理守护进程pluto对于内核SADB的操作。如下来至rfc2367的密钥关联程序和PF_KEY的关系图。
基于openswan klipsIPsec实现分析(二)数据接收
终身学习的程序猿
06-18 3559
基于openswan klipsIPsec VPN实现分析之数据接收 转载请注明出处:http://blog.youkuaiyun.com/rosetta   接收数据解密和加密发送数据处理基本相似,无非就是逆过程。   Klips对接收数据的处理流程如下:   数据解密过程(以esp为例)   ipsec_rcv() ->ipsec_rcv_decap()
openswan klips代码分析--(1)初始化流程
u013920085的专栏
01-19 1040
Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。
IPsec加密算法
孑然的博客
10-25 1280
加密算法:用于保证数据的私密性加密和解密过程可以使用相同或不同的密钥可以通过多种算法来实现需要密钥管理机制散列函数变长信息转换成定长摘要单项运算不可逆推强壮的冲突避免机制摘要值可以看做是数字指纹用于完整性校验和身份认证散列比加密速度块很多。
IPSEC 加密算法详解
weixin_44383922的博客
08-23 9957
一.加密技术的分类 1.1 块加密Block Cipher (对称秘钥算法) 将明文分成固定长度的块(不足的bit 用0补足), 逐块加密. 算法不同, 分块大小不相同 密文长度一般稍长于原文长度(填充部分) 1.2 流加密Stream Cipher (对称秘钥算法) 逐bit 加密 密文长度与原文长度一致 1.3 理想的加密算法: 能够抵御密码学攻击(破译密码) 秘钥长度可变或者够长, 可扩展(便于管理) 具有雪崩效应(明文有一点不同, 则密文就完全不同, 无法还原) 没有进出口政策限制(通用性足够好,
IPsec技术介绍(转)
热门推荐
Better Me的博客
02-03 3万+
目  录 IPsec IPsec简介 IPsec的协议实现 IPsec基本概念 加密卡 IPsec虚拟隧道接口 使用IPsec保护IPv6路由协议 IKE IKE简介 IKE的安全机制 IKE的交换过程 IKE在IPsec中的作用 IPsec与IKE的关系 IPsec IPsec简介 IPsec(IP Security)是IETF制定的三层隧道加密协议,
关于IPSEC中身份验证与加密
11-02 6253
完整性算法:MD5,SHA1  MD5(单向散列算法)的全称是Message-Digest Algorithm 5(信息-摘要算法),经MD2、MD3和MD4发展而来。MD5算法的使用不需要支付任何版权费用。    MD5功能:    输入任意长度的信息,经过处理,输出为128位的信息(数字指纹);    不同的输入得到的不同的结果(唯一性);    根据128位的输出结果不可能反推出输入
IPSec 密钥加密体系概述
这是一个网络小菜鸡的笔记本,欢迎大家前来纠错。
09-21 2225
IPsec 了解基本加密知识。
ipsec 详解
qq_40390383的博客
09-01 3万+
目录 加密算法 对称加密算法对称加密算法 DH算法 RSA 公钥+私钥 (成对出现) IPsec IPSec VPN简介 ipsec的工作模式 IPsec通信协议 1、AH协议(Authentication Header,认证报头) 2、ESP协议 IPSec vpn建立 IKE Ipsec数据传递图 对于ipsec vpn 最重要的是安全 安全 三要素 安...
加密流量协议(1)--IPSec协议介绍
zx113187的博客
04-01 1979
互联网安全协议(Internet Protocol Security,IPSec)是一种网络层安全协议,主要用于保护IP通信的机密性、完整性以及身份验证。它是一种公认的安全协议,广泛应用于加密通信与其他安全网络连接中,如Cisco VPN、Microsoft DirectAccess等网络服务都是采用的IPsec协议。报文首部认证协议(AH)提供数据完整性校验和身份认证功能,还可以防止重放攻击(Replay Attacks)。封装安全荷载协议(ESP)
基于openswan klipsIPsec实现分析(五)应用层和内核通信(2)
终身学习的程序猿
06-18 3007
基于openswan klipsIPsec VPN实现分析(五)应用层和内核通信——内核操作 转载请注明出处:http://blog.youkuaiyun.com/rosetta 在数据发送一节讲过,加载模块时会执行pfkey_init()初始化与用户层通信的PF_KEY套接字,在这个函数里会把支持的协议和算法加到pfkey_supported_list[]全局数组中,并在soc
Openswan ipsec
最新发布
02-21
### Openswan IPsec 配置与故障排除 #### 安装 Openswan 对于基于 Debian 的系统,可以使用如下命令来安装 Openswan: ```bash sudo apt-get update && sudo apt-get install openswan ``` 对于 Red Hat 或 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值