linu内核中的ipsec实现(6)--转载.pdfVIP

linux 内核中的 ipsec 实现 (6)-- 转载 8. 安全协议与 IPSEC 相关的安全协议是 AH(51) 和 ESP(50), IPSEC 使用这两个协议对普通数据包进行封装 , AH 只认证不加密 , ESP 既加密又认证 , 当 ESP 和 AH 同时使用时 , 一般都是先 进行 ESP 封装 , 再进行 AH 封装 , 因为 AH 是对整个 IP 包进 行验证的 , 而 ESP 只验证负载部分 .在 IPV4 下的 AH 和 ESP 的协议实现 在 net/ipv4/ah4.c 和 net/ipv4/esp4.c 中, 每个协议实现实际是要完成两个结构 : struct net_protocol 和 struct xfrm_type, 前者用于处理接收的该协议类型的 IP 包 , 后者则是 IPSEC 协 议处理 .8.1 AH8.1.1 初始化 /* net/ipv4/ah4.c */ static int __init ah4_init(void) { // 登记 AH 协议的 xfrm 协议处理结构 if (xfrm_register_type(amp;ah_type, AF_INET) lt; 0) { printk(KERN_INFO ip ah init: cant add xfrm type\n); return -EAGAIN; } // 登记 AH 协议到 IP 协议 if (inet_add_protocol(amp;ah4_protocol, IPPROTO_AH) lt; 0) { printk(KERN_INFO ip ah init: cant add protocol\n); xfrm_unregister_type(amp;ah_type, AF_INET); return -EAGAIN; } return 0; }8.1.2 IPV4 下的 AH 协议处理结构 // AH 协议处理结构 , 接收 到 IPV4 包后 , 系统根据 IP 头中的 protocol 字段选择相应的 上层协议处理 // 函数 , 当 IP 协议号是 51 时, 数据包将调用该结构的 handler 处理函数 : static struct net_protocol ah4_protocol = { .handler = xfrm4_rcv, .err_handler = ah4_err, .no_policy = 1, }; AH 协议结构的 handler 函数为 xfrm4_rcv, 在 net/ipv4/xfrm4_input.c 中定义 , 在上一篇中进行了介绍 .// 错 误处理 , 收到 ICMP 错误包时的处理情况 , 此时的 skb 包是 ICMP 包 static void ah4_err(struct sk_buff *skb, u32 info) { // 应用层 , data 指向 ICMP 错误包里的内部 IP 头 struct iphdr *iph = (struct iphdr*)skb-gt;data; // AH 头 struct ip_auth_hdr *ah = (struct ip_auth_hdr*)(skb-gt;data+(iph-gt;ihllt;lt;2)); struct xfrm_state *x; // ICMP 错误类型检查