整理IPSEC实现分析.pptxVIP

IPSec 实现分析;引言 编写目的 编写该文档的目的是为了更好地理 IPSec 模块。为了能更好地理解 IPSec，本详细设计 报告描述了 IPSec 介绍、数据结构、IPSec 策略匹配、SA 的查找安全路由的安装、发包和 收包过程和 IPSec IKE。 编写背景 无 预期读者和阅读建议 本文档的预期读者包括网关安全模块开发人员。开发人员应重点理解函数实现和数据结 构之间的关系。 文档约定 IPSec Internet Protocol Security SA Security Association （安全联盟） SPI Security parameter index（安全参数索引） AH Authentication Header （认证头） ESP Encapsulating Security Payload （加密安全载荷） IKE Internet Key Exchange HMAC Keyed-hash Message Authentication Code;容；2.即便是修改了内容，但两边机构是能检测到报文有无修改。;Security Parameters Index (SPI);IP;IP;;index, SPI) 和 IP 目标。SA 是单向的，发送需要一个 SA，接收也需要一个 SA；SA 由手工 或者通过 IKE 自动协商两种方式创建。 IPSec 的主要处理流程，如图 2-12 所示。;LOCAL_OUT-POST_ROUTING 发出 当收到 IPSEC 包的时候，首先收到本地进行处理，验证-解密-除去封装头，然后再放 入到收包队列中进行再次收包 这个时候，就是正常的转发包了;;struct hlist_node bydst; /*按目的地址 HASH 的链表，加入到全局链表中;如下图 2-17。;// SA 索引，即目的地址，spi 和协议号;/* Replay detection state at the time we sent the last notification */ struct xfrm_replay_state preplay; // 上次的回放记录值 /* internal flag that only holds state for delayed aevent at the * moment */ u32 xflags; // 标志 /* Replay detection notification settings */;;;图 2-22 安全策略匹配;;xfrm_policy_lookup →xfrm_policy_lookup_bytype;xfrm_find_bundle →xfrm_policy_get_afinfo →afinfo-find_bundle;;IPSec 发包和收包 转发包的 IPSec 封装处理流程;;;;xfrm_input;→ netlink_policy 对于获取来说，调用的地方有三个，这三个函数中，存在代码冗余： netlink_get_policy 、find_matched_policy、netlink_policy_expire 请求建立SA 内核通过类型 XFRM_MSG_ACQUIRE 发送Netlink 消息给用户态的 IKE 进程，来告诉 IKE 进程，需要协商SA。 build_acquire （内核态函数） →netlink_acquire （用户态函数） SA 的添加 IKE 进程通过Netlink 消息把协商好的SA 告诉内核，消息类型是 XFRM_MSG_UPDSA 或者 XFRM_MSG_NEWSA，见以下调用关系： install_inbound_ipsec_sa 或者 install_ipsec_sa →setup_half_ipsec_sa → kernel_ops-add_sa (netlink_add_sa 消 息 XFRM_MSG_UPDSA 或 者 XFRM_MSG_NEWSA) SA 的删除 SA 超时，内核会通过Netlink 发送消息(消息类型是XFRM_MSG_EXPIRE)给IKE 进程， IKE 进程收到后删除SA： build_expire （内核态） →netlink_expire →delete_state IKE 接收到删除载荷，对方发过来删除SA 的消息： accept_delete () → delete_state → delete_ipsec_sa → teardown_half_ipsec_sa → del_spi → kernel_ops-del_sa (netlink_del_sa 消息 XFRM_MSG_DELSA) 扩展认证失败，则删除 SA: x