Linux内核xfrm模块：模板查找与ESP封装详解

Linux内核中的IPSec模块xfrm实现了IP数据包的安全封装，主要关注ESP协议和隧道模式。本文将深入解析xfrm的核心功能，即安全策略（Security Policy, SP）和安全联盟（Security Association, SA）。SP负责匹配数据包，根据配置条件决定是否进行IPSec处理。当数据包匹配到相应的SP后，会调用`xfrm_tmpl_resolve()`函数来查找策略对应的模板（tmpl），这个过程涉及到`xfrm_tmpl_resolve_one()`函数，它遍历策略中的模板结构链表，通过地址信息（源地址saddr和目的地址daddr）匹配模板。 模板（tmpl）在xfrm中扮演着关键角色，它是策略和SA之间的桥梁。`xfrm_tmpl_resolve_one()`函数根据输入的流信息（flowi结构）和指定的网络家族（family）查找模板，然后根据策略中的模板个数（xfrm_nr）进行逐一匹配。每个模板包含加密算法、认证算法、密钥等信息，这些信息决定了数据包如何被封装和解封装。 ESP协议（ESP号50）负责数据的加密和完整性保护，其头部结构包括安全参数索引（SPI）、序列号以及可选的填充项和验证数据。SPI用于唯一标识每个SA，而序列号则防止重放攻击。数据经过ESP的加密和散列计算，最终形成完整的封装结构，包括原始IP数据、ESP封装头、可能的填充和校验部分。 xfrm的实现基于Linux-3.18内核，主要针对网关到网关的隧道模式，不适用于端到端或端到网关的应用场景。对于ESP封装，文章没有详述具体的加密和认证算法细节，而是聚焦于xfrm框架的高级逻辑和关键函数。 理解xfrm的实现涉及到了IPSec安全框架的策略匹配、模板查找、以及ESP协议的封装机制，这对于研究者和开发者来说，是深入理解Linux内核IPSec安全功能的重要一步。