openswan klips数据加解密过程

最新推荐文章于 2024-07-02 21:08:19 发布
原创 最新推荐文章于 2024-07-02 21:08:19 发布 · 1.7k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#解密 #加密 #文档 #hook #null
#工作
本文档介绍了KLIPS在内核中如何处理IP数据包的加密和解密,涉及ipsec_tunnel_start_xmit、ipsec_rcv等关键函数,以及加密过程中ixt_e_cbc_encrypt的实际调用。解密过程以ESP为例,通过ipsec_rcv_decap_once完成解密,并将解密后的数据交给上层协议栈处理。
本文档的Copyleft归rosetta所有,使用GPL发布,可以自由拷贝、转载,转载时请保持文档的完整性。

        klips实现IP数据包的安全接受或发送的进程。在内核域中运行,主要负责控制管理SA及密钥,同时处理数据包的加密和解密工作。

数据加密过程:
        ipsec_tunnel_start_xmit()
                ->ipsec_xmit_encap_bundle()
                        ->ipsec_sa_getbyid()//获取sa
                        ->ipsec_xmit_encap_once()  
                                ->ipsec_alg_esp_encrypt()
                                        ->struct ipsec_alg_enc *ixt_e=sa_p->ips_alg_enc
                                        ->ixt_e->ixt_e_cbc_encrypt()//真正的加密处理
                                        //此加密函数指针是在ipsec_xmit_encap_bundle()中获取sa后赋的值。
                                        // ixt_e=ixs->ipsp->ips_alg_enc;
                ->ipsec_tunnel_send()//发送数据         
                    ->NF_HOOK(PF_INET, NF_IP_LOCAL_OUT, ixs->skb, NULL, ixs->route->u.dst.dev,ipsec_tunnel_xmit2);
                    //这里安装一个发包勾子。最终数据由ipsec_tunnel_xmit2发出。

数据解密过程(以esp为例):
        ipsec_rcv()
         ->ipsec_rcv_decap()
                ->ipsec_rcv_decap_once()//proto_funcs = esp_xform_funcs(当然这里还有ah,ipcomp对应的结构体指针赋值)
                        ->proto_funcs->rcv_checks
                        ->proto_funcs->rcv_setup_auth
                        ->proto_funcs->rcv_decrypt
                        解完密后由  netif_rx(irs->skb);发送给上层协议栈处理。
openswan的Pluto源码分析以及linux的IPsec内核源码分析
11-08
openswan的Pluto源码和linux的IPsec内核源码进行了详细的分析,对于理解openswan的运行机制以及linux的IPsec实现很有帮助
ipsec内核实现分析
07-04
linux的ipsec内核实现源码分析,本人的源码阅读笔记,主要讲解了xfrm模块的实现和源码流程,有需要的可以下载参考
使用openswan构建lan-to-lan ×××(KLIPS)
weixin_34245169的博客
08-03 342
一、OpenSWan简介 OpenSWan是Linux下IPsec的最佳实现方式,其功能强大,最大程度地保证了数据传输中的安全性、完整性问题。 OpenSWan支持2.0、2.2、2.4以及2.6内核,可以运行在不同的系统平台下,包括X86、X86_64、IA64、MIPS以及ARM。 OpenSWan是开源项目FreeS/WAN停止开发后的后继...
IPsec相关的一些基本概念
每天写一点,进步一点点
05-04 4532
问题提出:什么是xfrm,racoon,netkey,PF_KEY,netlink,clips,26sec,Setkey,KAME,ipsec? IPsec:Internet Protocol Security是一种开放标准的框架结构,通过使用加密的安全服务以确保在网络上进程保密而安全的通讯。IPsec IP层协议安全主要包括一个IP包进程模块和一个密钥交换模块,IPsec包的处理模块是基本
linux堆栈区别,Linux中的KLIPS和Netkey IPSEC堆栈之间的区别
weixin_36331312的博客
05-13 583
When you apply firewall (iptables) rules, KLIPS is the easier case,because with KLIPS, you can identify IPsec traffic, as this trafficgoes through ipsecX interfaces. You apply iptables rules to thesei...
openswan klips代码分析--(1)初始化流程
u013920085的专栏
01-19 1075
Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。
基于openswan klips的IPsec实现分析(八)内核SADB维护(2)
终身学习的程序猿
06-18 8155
基于openswan klips的IPsec VPN实现分析(七)内核SADB维护2 转载请注明出处:http://blog.csdn.net/rosetta 内核完整的消息处理过程,以隧道模式ESP协议增加SA情况为例 接收消息和发送消息的知识涉及到Linux内核了,所以不关注它是怎么收发,而是关注收到消息后对消息本身的处理过程。但为了保证代码的完整性,就把接收和发送的代码全部帖上来了
基于openswan klips的IPsec实现分析(一)数据发送
终身学习的程序猿
06-18 7175
基于openswan klips的IPsec VPN实现分析之数据发送 转载请注明出处:http://blog.csdn.net/rosetta   Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。   Klips对外出数据的处理流程如下:   相关函数调用过程如下:
基于openswan klips的IPsec实现分析(九)加密算法维护
终身学习的程序猿
06-18 3741
基于openswan klips的IPsec VPN实现分析(九)加密算法维护 转载请注明出处:http://blog.csdn.net/rosetta 本节将介绍klips加密算法的维护,并介绍如何增加新加密算法的支持,下一节将讲认证算法维护和增加。 这里说的加密算法是指对称加密算法,是在通信过程中对传送的信息加解密时使用的,比如:AES,3DES,sm4等。
Openswan介绍
kepa520的博客
01-12 1321
原文地址:http://blog.csdn.net/zhangjie875/article/details/14578253 Openswan IPSec VPN中最著名的人物应属Openswan。它自带有IPsec内核堆栈KLIPS,更方便的是可以使用2.6内核中的堆栈代码。如果使用2.6及以上内核,不用打补丁NAT就能启作用。Openswan已经内建对x.509和NAT T
基于openswan klips的IPsec实现分析(十一)NAT穿越
终身学习的程序猿
06-18 4464
基于openswan klips的IPsec VPN实现分析(十一)NAT穿越 转载请注明出处:http://blog.csdn.net/rosetta 本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。 简介 IPsec和NAT的冲突: NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口,然
国密SM2算法进行数据加密、签名和验签、解密
热门推荐
卓越之识论道,平常之识论事,狭隘之识论人
02-06 4万+
国密SM2算法的研究使用(springboot环境)
基于openswan klips的IPsec实现分析(十)认证算法维护
终身学习的程序猿
06-18 3235
基于openswan klips的IPsec VPN实现分析(十)认证算法维护 转载请注明出处:http://blog.csdn.net/rosetta 这里指的认证算法是ESP使用的,对通信过程中的信息做哈希,用来校验信息的完整性的;协商时的认证算法仅用来做哈希,哈希结果再用来做签名和验签。 相对于加密算法,认证算法会比较简单些,它也不需要像加密算法一样去构造一个结构体
IPSEC_KLIPSDEBUG(8) - 设置KLIPS调试选项
Rain
07-24 913
IPSEC_KLIPSDEBUG NAME ipsec_klipsdebug - 设置KLIPS调试选项 SYSNOPSIS ipsec klipsdebug     ipsec klipsdebug --set flagname     ipsec klipsdebug --clear flagname    
使用Openswan建立一对多IPSes数据加密
专栏
01-31 3744
这几个月在做一个数据安全交换的东西,其中用到了Openswan IPSec。下面是我这段时间学习的心得,拿出来和大家分享一下。 我们知道,Openswan可以实现两个网关后边的子网进行数据传输时进行数据加密,并且网上有关使用Openswan IPSec VPN配置的资料多是讲解怎么配置一对一的网关之间数据加密的方法,本文主要讲解怎么配置一对多的方法。比如根据网上的讲解我们可以实现AB网关之间传输
基于openswan klips的IPsec实现分析(二)数据接收
终身学习的程序猿
06-18 3604
基于openswan klips的IPsec VPN实现分析之数据接收 转载请注明出处:http://blog.csdn.net/rosetta   接收数据解密加密发送数据处理基本相似,无非就是逆过程。   Klips对接收数据的处理流程如下:   数据解密过程(以esp为例)   ipsec_rcv() ->ipsec_rcv_decap()
数据加密解密和哈希的解析
最新发布
chengxuyuanlaow的博客
07-02 1482
我们在调用ServiceCollection对象的AddDataProtection扩展方法并得到返回的IDataProtectionBuilder之后,我们调用了该对象的UseEphemeralDataProtectionProvider扩展方法完成针对EphemeralDataProtectionProvider的服务注册,所以我们最终得到的IDataProtectionProvider对象的类型就是EphemeralDataProtectionProvider。在此之后,我们将加密采用的密钥撤销掉。
IPSec 密钥加密体系概述
这是一个网络小菜鸡的笔记本,欢迎大家前来纠错。
09-21 2293
IPsec 了解基本加密知识。
openswan性能初步分析
遇见你是我最美丽的意外
05-19 1110
openswan性能初步分析 这里相对openswan的性能做个简单的说明。为什么要介绍这个话题呢? 其实最主要的原因还是想openswan的性能到底如何、极限是多少隧道、会有哪些瓶颈等等? 比如某个项目,客户需要设备支持1000条隧道,那么首先要考虑自己的产品能否支持到这么多?也就是说需要知道自己的实力。如果不考虑这些实际的问题,只一味的接项目,那么最可能的结果就是白白投入这么多的人力物力时间,最终对于公司来说收效甚微。 另一个原因:openswan的官方也没有给出明确的性能参数,比如说最大能支持多少
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值