没有合适的资源？快使用搜索试试~ 我知道了~

首页IPSec加密流程学习笔记.pdf

IPSec加密流程学习笔记.pdf

IPSEC

需积分: 0 45 下载量 10 浏览量更新于2023-03-03 评论 1 收藏 1.59MB PDF 举报

身份认证购VIP最低享 7 折!

领优惠券(最高得80元）

试读

25页

个人学习ipsec加密过程中整理的学习笔记，供大家参考学习。里面主要说明了ipsec策略匹配、报文封装等核心处理流程，同时对加密中的部分知识点进行解释说明

资源详情

资源评论

资源推荐

Author : Toney

•

Email : vip_13031075266@163.com

•

Date : 2020.11.22•

•

Version ： openswan-2.6.51.5

•

Reference：https://download.openswan.org/openswan/•

1. 加密流程

2020年11月16日

22:21

struct {

enum ipsec_xmit_value (*action)(struct ipsec_xmit_state *ixs);

int next_state;

} xmit_state_table[] = {

[IPSEC_XSM_INIT1] = {ipsec_xmit_init1, IPSEC_XSM_INIT2 },

[IPSEC_XSM_INIT2]

{ipsec_xmit_init2,

IPSEC_XSM_ENCAP_INIT },

[IPSEC_XSM_ENCAP_INIT] = {ipsec_xmit_encap_init, IPSEC_XSM_ENCAP_SELECT },

[IPSEC_XSM_ENCAP_SELECT] = {ipsec_xmit_encap_select, IPSEC_XSM_DONE },

[IPSEC_XSM_ESP] = {ipsec_xmit_esp, IPSEC_XSM_ESP_AH },

[IPSEC_XSM_ESP_AH] = {ipsec_xmit_esp_ah, IPSEC_XSM_CONT },

[IPSEC_XSM_AH] = {ipsec_xmit_ah, IPSEC_XSM_CONT },

[IPSEC_XSM_IPIP] = {ipsec_xmit_ipip, IPSEC_XSM_CONT },

[IPSEC_XSM_IPCOMP] = {ipsec_xmit_ipcomp, IPSEC_XSM_CONT },

[IPSEC_XSM_CONT] = {ipsec_xmit_cont, IPSEC_XSM_DONE },

[IPSEC_XSM_DONE] = {NULL, IPSEC_XSM_DONE},

};

ipsec_tunnel_start_xmit： IPSEC策略匹配流程

根据报文五元组匹配eroute, 根据eroute找到对应得到outgoing_id

ipsec_xmit_init1

根据outgoing_id找到对应的ipsec sa

ipsec_xmit_init2

ipsecsa便是封装测试，遍历ipsecsa链，统计封装需要的headroom和tailroom。

ipsec_xmit_encap_init

加密状态机

2020年11月30日

23:21

以下不考虑ipv6的代码逻辑：

ipsec_tunnel_start_xmit： IPSEC策略匹配流程

创建ipsec发送状态：ixsØ

函数名

ipsec_xmit_state_new()

作用创建ipsec发送状态结构

openswan源码中使用了内存池方式来申请内存○

openswan实现是在内核空间中，可以通过此接口实现流程功能。当ixs申请数量超过阈值时，关闭发送队列：

netif_stop_queue(); 等队列中的报文发送后再开启队列上层可以继续往队列中发送数据包。

○

ipsec出接口正确性检查：Ø

函数名

ipsec_xmit_sanity_check_ipsec_dev()

作用检查ixs出接口相关参数

在

ipsec_xmit_state_new()成功创建完毕ixs后，会将dev结构存储到ixs上。而ipsec_xmit_sanity_check_ipsec_dev()则是检

查此出接口dev是否已经确定：如果未确定则返回失败，停止ipsec加密操作；

如果出接口已经确定，则将出接口MTU值存储在

ixs上。

ixs->physmtu = ixs->physdev->mtu;

ixs->cur_mtu = ixs->physdev->mtu;

网络数据包skb正确性检查：

函数名

ipsec_xmit_sanity_check_skb()

作用检查ixs出接口相关参数

检查是否支持IPv6

○

检查是否支持IP头部选项字段

○

检查报文中是否包含二层头：Ø

函数名

ipsec_tunnel_strip_hard_header()

作用检查报文中是否包含二层头

Sk_buf结构：

-------------

-------------------------

---------------

Head

data tail end

如果ixs->iph - ixs->skb->data > 0, 则说明已经封装了二层头。

如果报文中没有包含二层头，则○

ixs->hard_header_stripped = 1;

ixs->hard_header_len = ixs->physdev->hard_header_len;

根据报文查询Ipsec SA Ø

函数名

ipsec_tunnel_SAlookup()

作用报文五元组查询eroute、IPSEC SA

从报文中提取：源IP、目的IP、Proto、源端口、目的端口、以及协议族构成matcher结构○

IPSEC策略匹配流程

2020年11月18日

23:26

根据matcher查询eroute路由表○

将报文中的端口号存储到ixs结构上

ixs->sport

ixs->dport §

○

构建

ixs->outgoing_said

○

设置outgoing_said默认值§

ixs->outgoing_said.proto = IPPROTO_INT; /*内部使用的协议类型*/

ixs

>outgoing_said.spi

= htonl(SPI_DROP);

ixs->outgoing_said.dst.u.v4.sin_addr.s_addr = INADDR_ANY;

略过本地外发的IKE协商报文§

ixs->outgoing_said.spi = htonl(SPI_PASS);

bypass = TRUE;

处理未被略过的报文(

bypass==FALSE && ixs->eroute

)

Outgoing_said从eroute上的said获取到ipsec sa信息

□

填充ixs->ips.ips_ident_d□

填充ixs->ips.ips_ident_s

□

根据outgoing_said查询ipsec sa

ixs->ipsp = ipsec_sa_getbyid(&ixs->outgoing_said,

IPSEC_REFTX);

○

查询失败，返回：IPSEC_XMIT_SAIDNOTFOUND○

构建ixs->ips

ipsec_xmit_init1

2020年11月18日

23:21

剩余24页未读，继续阅读

/home/scong/vpp2310/vpp/src/vnet/ipsec/esp_encrypt.c:1220:1: error: unrecognizable insn

具体来说，这个错误发生在文件`/home/scong/vpp2310/vpp/src/vnet/ipsec/esp_encrypt.c`的第1220行第1个字符处。可能的原因包括代码错误、编译器版本不兼容或编译器本身存在缺陷等。您可以尝试检查代码并修复错误，...

华为防火墙检测ipsec的命令

华为防火墙检测ipsec的命令包括： 1. display ike sa：显示IKE会话信息。 2. display ipsec sa：显示IPSec安全联盟信息。 3. display ipsec statistics：显示IPSec统计信息。 4. display ike statistics：显示...

android12_n\out\soong\.intermediates\packages\modules\IPsec\apex\com.android.ipsec-bootclasspath-fragment\android_common_com.android.ipsec

这是一个 Android 12 操作系统源代码中的路径，它指向 IPsec 模块的构建产物。具体来说，这个路径下的文件是由 Soong 构建系统生成的，其中包括 com.android.ipsec-bootclasspath-fragment 的 APEX（Android Package...

公网上使用IPSec加密数据具有哪些优点

在公网上使用IPSec（Internet Protocol Security）加密数据具有以下几个优点： 1. 数据加密：IPSec可以对数据进行加密，保护数据的安全性，防止数据被黑客窃取或窃听。IPSec使用先进的加密算法，如AES（Advanced ...

windows2022 IPSec加密被禁用了，需要在注册表启用它

是的，Windows Server 2022 默认情况下禁用了 IPSec 加密。要启用它，您需要在注册表中进行以下更改： 1. 打开注册表编辑器，输入 "regedit" 命令并按 Enter 键。 2. 转到以下路径：HKEY_LOCAL_MACHINE\SYSTEM\...

IPsec 加密算法有哪些? 3DES属于哪种加密算法

IPsec（Internet Protocol Security）是一种网络安全协议，用于对IP数据包进行加密和身份验证。IPsec使用多种加密算法来实现这些功能，其中包括以下几种： 1. DES（Data Encryption Standard）：是一种对称加密算法...

IPsec协议里边，用到什么加密技术？请加以说明

在IPsec协议中，主要采用了以下几种加密技术： 1. 对称加密算法：IPsec协议中常用的对称加密算法有DES、3DES、AES等。它们使用相同的密钥对数据进行加密和解密，因此也被称为共享密钥加密算法。 2. 非对称加密算法...

ipsec加密认证是什么

在IPSec中，加密认证是一种安全机制，它用于验证和保护IP数据包的完整性和机密性。加密认证使用两个不同的安全协议：认证头（AH）和封装安全载荷（ESP）。AH提供数据完整性和来源验证，而ESP提供数据机密性、完整性...

wirehshark解密IPSEC流量

要使用Wireshark解密IPSEC流量，需要进行以下步骤： 1. 确认Wireshark版本：只有...需要注意的是，IPSec解密功能只能解密使用预共享密钥或证书进行加密的IPSec流量，对于使用其他加密方式的IPSec流量无法解密。

centos7 ipsec配置

vim /etc/ipsec.conf ``` 3.在IPSec配置文件中添加以下内容 ```shell config setup protostack=netkey nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8...

ipsec centos7配置

systemctl restart ipsecipsec verify Failed to restart ipsecipsec.service: Unit not found. Failed to restart verify.service: Unit not found.

根据您提供的信息，看起来您正在尝试重启和验证 IPSec 服务，但是系统无法找到相应的服务单元。这可能是由于以下原因之一： 1. IPSec 服务未正确安装或配置。 2. 您的系统不支持 IPSec。 3. IPSec 服务已更改名称或...

思科华三ipsec动态

它通过IPSec协议将数据包加密并通过公共网络传输，以实现不同地理位置之间的安全通信。该技术可以为企业提供安全的远程访问、站点到站点连接和云连接等功能。思科华三IPSec动态(VTI)的工作原理如下： 1. 首先，...

enspipsec配置

6. 配置ipsec安全提议，设置ipsec加密和认证所使用的算法。 7. 配置ipsec安全策略，确定哪些流量需要进行ipsec保护。 8. 最后，在接口上应用ipsec安全策略，确保流经该接口的流量得到适当的保护。根据引用中的配置...

叨陪鲤

粉丝: 2w+
资源: 19

上传资源快速赚钱

我的内容管理收起

我的资源快来上传第一个资源

我的收益

登录查看自己的收益

我的积分登录查看自己的积分

我的C币登录后查看C币余额

我的收藏

我的下载

下载帮助

会员权益专享

IPSec加密流程学习笔记.pdf

评论0

会员权益专享

最新资源

IPSec加密流程学习笔记.pdf

评论0

IPSec入门指南.pdf

ipsec-howto.pdf

IPSec协议文档（PDF版本）

详解ipsec加密过程

cisco asa ipsec 设置

ipsec 加密算法是什么

/home/scong/vpp2310/vpp/src/vnet/ipsec/esp_encrypt.c:1220:1: error: unrecognizable insn

华为防火墙检测ipsec的命令

android12_n\out\soong\.intermediates\packages\modules\IPsec\apex\com.android.ipsec-bootclasspath-fragment\android_common_com.android.ipsec

公网上使用IPSec加密数据具有哪些优点

windows2022 IPSec加密被禁用了，需要在注册表启用它

IPsec 加密算法有哪些? 3DES属于哪种加密算法

IPsec协议里边，用到什么加密技术？请加以说明

ipsec加密认证是什么

wirehshark解密IPSEC流量

centos7 ipsec配置

ipsec centos7配置

systemctl restart ipsecipsec verify Failed to restart ipsecipsec.service: Unit not found. Failed to restart verify.service: Unit not found.

思科华三ipsec动态

enspipsec配置

会员权益专享

最新资源