Linu内核中的IPSEC实现.docxVIP

Linux内核中的 IPSEC实现(2) 本文档的Copyleft归 yfydz所有，使用 GPL 发布，可以自由拷贝，转载，转载时请保持文档的完整性，严禁用于任何商业用途。 msn: yfydz_no1@ 来源： 状态(xfrm_stat处e)理 本节所介绍的函数都在net/xfrm/xfrm_state中.c定义。 状态分配 状 态 分 配 函 数 为 xfrm_state_alloc(该), 函 数 被 pfkey_msg2xfrm_state(函) 数 调 用 , pfkey_msg2xfrm_state函()数是将标准的 pfkey_msg(SA结构)转换为 xfrm 状态, 同时该函数也被其他状态处理函数调用. struct xfrm_state *xfrm_state_alloc(void) { struct xfrm_state *x; // 分配空间 x = kzalloc(sizeof(struct xfrm_state), GFP_ATOMIC); if (x) { // 使用数初始化为 1 atomic_set(x-refcnt, 1); // 被 0 个 ipsec通道使用 atomic_set(x-tunnel_users, 0); // 初始化链表节点, 状态可按目的地址, 源地址和SPI挂接到不同链表INIT_HLIST_NODE(x-bydst); INIT_HLIST_NODE(x-bysrc); INIT_HLIST_NODE(x-byspi); // 状态定时器 init_timer(x-timer); // 定时器处理函数 x-timer.function = xfrm_timer_handler; x-timer.data = (unsigned long)x; // 回放检测定时器 init_timer(x-rtimer); // 回放定时器处理函数 x-rtimer.function = xfrm_replay_timer_handler; x-rtimer.data = (unsigned long)x; x-curlft.add_time = (unsigned long)xtime.tv_sec; // SA生命期参数 x-lft.soft_byte_limit = XFRM_INF; x-lft.soft_packet_limit = XFRM_INF; x-lft.hard_byte_limit = XFRM_INF; x-lft.hard_packet_limit = XFRM_INF; // 回放处理参数 x-replay_maxage = 0; x-replay_maxdiff = 0; // 初始化状态锁 spin_lock_init(x-lock); } return x; } EXPORT_SYMBOL(xfrm_state_alloc); // 状态定时器超时处理函数 static void xfrm_timer_handler(unsigned long data) { struct xfrm_state *x = (struct xfrm_state*)data; unsigned long now = (unsigned long)xtime.tv_sec; long next = LONG_MAX; int warn = 0; spin_lock(x-lock); // 如果该xfrm状态已经处于死亡状态, 可以返回了if (x-km.state == XFRM_STATE_DEAD) goto out; // 如果处于生命期到期状态, 转到期处理 if (x-km.state == XFRM_STATE_EXPIRED) goto expired; // 如果到期了还要强制要增加一些时间 if (x-lft.hard_add_expires_seconds) { // 计算强制增加的超时时间 long tmo = x-lft.hard_add_expires_seconds + x-curlft.add_time - now; // 没法增加超时了, 到期 if (tmo = 0) goto expired; if (tmo next) next = tmo; } // 如果到期了还要强制要增加的使用时间 if (x-lft.hard_use_expires_seconds) { // 计算强制增加的使用时间 long tmo = x-lft.hard_use_expires_seconds + (x-curlft.use_time ? : now) - now; // 没法增加超时了, 到期 if (tmo = 0) goto ex