Linux内核中PF_KEY协议族的实现.docVIP

Linux内核中PF_KEY协议族的实现(1) 本文档的Copyleft归yfydz所有，使用GPL发布，可以自由拷贝，转载，转载时请保持文档的完整性，严禁用于任何商业用途。msn: yfydz_no1@来源： 1. 前言 在Linux2.6内核中自带了PF_KEY协议族的实现,这样就不用象2.4那样打补丁来实现了。内核中PF_KEY实现要完成的功能是实现维护内核的安全联盟(SA)和安全策略(SP)数据库, 以及和用户空间的接口。 以下内核代码版本为, PF_KEY相关代码在net/key/目录下，定义了内核中PF_KEY与用户空间的接口，这个接口是RFC定义的，因此各种实现都基本类似；但具体关于SA和SP的内部的实现和管理则是与实现相关的，各种实现各自不同，在linux内核是使用xfrm库来实现的，代码在net/xfrm/目录下定义。 ? 2. 数据结构 关于SA和SP的数据结构已经在RFC2367中定义, 头文件为include/linux/pfkeyv2.h, 这些是用户空间和内核空间共享的，只是作为接口的数据结构；而内核中具体使用的数据结构为xfrm定义的结构，在include/net/xfrm.h中定义。 2.1 PF_KEY类型的sock struct pfkey_sock {?/* struct sock must be the first member of struct pfkey_sock */?struct sock?sk;// 比普通sock添加两个参数// 是否进行登记?int??registered;// 是否是混杂模式?int??promisc;}; 2.2 状态(SA) xfrm状态用来描述SA在内核中的具体实现: struct xfrm_state{?/* Note: bydst is re-used during gc */// 每个状态结构挂接到三个HASH链表中?struct hlist_node?bydst; // 按目的地址HASH?struct hlist_node?bysrc; // 按源地址HASH?struct hlist_node?byspi; // 按SPI值HASH ?atomic_t??refcnt; // 所有使用计数?spinlock_t??lock;?? // 状态锁 ?struct xfrm_id??id; // ID?struct xfrm_selector?sel; // 状态选择子 ?u32???genid; ?/* Key manger bits */?struct {??u8??state;??u8??dying;??u32??seq;?} km; ?/* Parameters of this state. */?struct {??u32??reqid;??u8??mode;??u8??replay_window;??u8??aalgo, ealgo, calgo;??u8??flags;??u16??family;??xfrm_address_t?saddr;??int??header_len;??int??trailer_len;?} props; ?struct xfrm_lifetime_cfg lft; // 生存时间 ?/* Data for transformer */?struct xfrm_algo?*aalg; // hash算法?struct xfrm_algo?*ealg; // 加密算法?struct xfrm_algo?*calg; // 压缩算法 ?/* Data for encapsulator */?struct xfrm_encap_tmpl?*encap; // NAT-T封装信息 ?/* Data for care-of address */?xfrm_address_t?*coaddr; ?/* IPComp needs an IPIP tunnel for handling uncompressed packets */?struct xfrm_state?*tunnel; ?/* If a tunnel, number of users + 1 */?atomic_t??tunnel_users; ?/* State for replay detection */?struct xfrm_replay_state replay; ?/* Replay detection state at the time we sent the last notification */?struct xfrm_re