Linux內核中的IPSEC實現(1)

Linux內核中的IPSEC實現(1)

本文檔的Copyleft歸yfydz所有，使用GPL發佈，可以自由拷貝，轉載，轉載時請保持文檔的完整性，嚴禁用於任何商業用途。

msn: [email protected]

來源：http://yfydz.cublog.cn

1. 前言

在Linux2.6內核中自帶了IPSEC的實現,這樣就不用象2.4那樣打補丁來實現了。該實現包括以下幾個部分: PF_KEY類型套接口, 用來提供和用戶層空間進行PF_KEY通信，代碼在net/key目錄下，前面已經介紹過；安全聯盟SA和安全策略SP管理，是使用xfrm庫來實現的，代碼在net/xfrm/目錄下定義；ESP，AH等協議實現，在net/ipv4(6)下定義；加密認證算法庫，在crypto目錄下定義，這些算法都是標準代碼了。本系列文章主要描述XFRM庫的實現以及在IPV4下相關協議的處理部分, IPV6的忽略。

本文Linux內核代碼版本爲2.6.19.2。xfrm是內核中變化比較大的部分,每個版本中都有不小的差異, 同時也說明了該模塊的不成熟性。

在net/xfrm目錄下的各文件大致功能說明如下:

xfrm_state.c: xfrm狀態管理

xfrm_policy.c: xfrm策略管理

xfrm_algo.c: 算法管理

xfrm_hash.c: HASH計算函數

xfrm_input.c: 安全路徑(sec_path)處理,用於進入的ipsec包

xfrm_user.c:  netlink接口的SA和SP管理

在net/ipv4目錄下的和ipsec相關各文件大致功能說明如下:

ah4.c: IPV4的AH協議處理

esp4.c: IPV4的ESP協議處理

ipcomp.c: IP壓縮協議處理

xfrm4_input: 接收的IPV4的IPSEC包處理

xfrm4_output: 發出的IPV4的IPSEC包處理

xfrm4_state: IPV4的SA處理

xfrm4_policy: IPV4的策略處理

xfrm4_tunnel: IPV4的通道處理

xfrm4_mode_transport: 傳輸模式

xfrm4_mode_tunnel: 通道模式

xfrm4_mode_beet: BEET模式

2. 數據結構

內核SA的定義用xfrm_state結構定義，SP用xfrm_policy結構定義，在include/net/xfrm.h中定義。

2.1 狀態(SA)

xfrm_state狀態結構用來描述SA在內核中的具體實現:

struct xfrm_state

{

 /* Note: bydst is re-used during gc */

// 每個狀態結構掛接到三個HASH鏈表中

 struct hlist_node bydst; // 按目的地址HASH

 struct hlist_node bysrc; // 按源地址HASH

 struct hlist_node byspi; // 按SPI值HASH

 atomic_t  refcnt; // 所有使用計數

 spinlock_t  lock;   // 狀態鎖

 struct xfrm_id  id; // ID結構， 即目的地址，SPI，協議三元組

 struct xfrm_selector sel; // 狀態選擇子

 u32   genid; // 狀態的標誌值, 防止發生碰撞

 /* Key manger bits */

 struct {

  u8  state;

  u8  dying;

  u32  seq;

 } km;  // KEY回調管理處理結構參數

 /* Parameters of this state. */

 struct {

  u32  reqid; // 請求ID

  u8  mode;  // 模式: 傳輸/通道

  u8  replay_window; // 回放窗口

  u8  aalgo, ealgo, calgo; // 認證,加密,壓縮算法ID值

  u8  flags; // 一些標準

  u16  family; // 協議族

  xfrm_address_t saddr;  // 源地址

  int  header_len;  // 添加的協議頭長度

  int  trailer_len; //

 } props; // SA相關參數結構

 struct xfrm_lifetime_cfg lft; // 生存時間配置

 /* Data for transformer */

 struct xfrm_algo *aalg; // hash算法

 struct xfrm_algo *ealg; // 加密算法

 struct xfrm_algo *calg; // 壓縮算法

 /* Data for encapsulator */

 struct xfrm_encap_tmpl *encap; // NAT-T封裝信息

 /* Data for care-of address */

 xfrm_address_t *coaddr;

 /* IPComp needs an IPIP tunnel for handling uncompressed packets */

 struct xfrm_state *tunnel;  // 通道, 實際是另一個SA

 /* If a tunnel, number of users + 1 */

 atomic_t  tunnel_users; // 通道的使用數

 /* State for replay detection */

 struct xfrm_replay_state replay; // 回放檢測結構,包含各種序列號掩碼等信息

 /* Replay detection state at the time we sent the last notification */

 struct xfrm_replay_state preplay; // 上次的回放記錄值

 /* internal flag that only holds state for delayed aevent at the

  * moment

 */

 u32   xflags; // 標誌

 /* Replay detection notification settings */

 u32   replay_maxage; // 回放最大時間間隔

 u32   replay_maxdiff; // 回放最大差值

 /* Replay detection notification timer */

 struct timer_list rtimer; // 回放檢測定時器

 /* Statistics */

 struct xfrm_stats stats; // 統計值

 struct xfrm_lifetime_cur curlft; // 當前時間計數器

 struct timer_list timer;  // SA定時器

 /* Last used time */

 u64   lastused; // 上次使用時間

 /* Reference to data common to all the instances of this

  * transformer. */

 struct xfrm_type *type;  // 協議, ESP/AH/IPCOMP

 struct xfrm_mode *mode;  // 模式, 通道或傳輸

 /* Security context */

 struct xfrm_sec_ctx *security; // 安全上下文, 加密時使用

 /* Private data of this transformer, format is opaque,

  * interpreted by xfrm_type methods. */

 void   *data; // 內部數據

};

2.2 安全策略(SP)

xfrm_policy結構用於描述SP在內核內部的具體實現:

struct xfrm_policy

{

 struct xfrm_policy *next; // 下一個策略

 struct hlist_node bydst; // 按目的地址HASH的鏈表

 struct hlist_node byidx; // 按索引號HASH的鏈表

 /* This lock only affects elements except for entry. */

 rwlock_t  lock;  // 策略結構鎖

 atomic_t  refcnt; // 引用次數

 struct timer_list timer; // 策略定時器

 u8   type;     // 類型

 u32   priority; // 策略優先級

 u32   index;    // 策略索引號

 struct xfrm_selector selector; // 選擇子

 struct xfrm_lifetime_cfg lft;     // 策略生命期

 struct xfrm_lifetime_cur curlft;  // 當前的生命期數據

 struct dst_entry       *bundles;  // 路由鏈表

 __u16   family;   // 協議族

 __u8   action;   // 策略動作, 接受/加密/阻塞...

 __u8   flags;    // 標誌

 __u8   dead;     // 策略死亡標誌

 __u8   xfrm_nr;  // 使用的xfrm_vec的數量

 struct xfrm_sec_ctx *security; // 安全上下文

 struct xfrm_tmpl        xfrm_vec[XFRM_MAX_DEPTH]; // 狀態模板

};

xfrm模板結構, 用於狀態和策略的查詢:

struct xfrm_tmpl

{

/* id in template is interpreted as:

 * daddr - destination of tunnel, may be zero for transport mode.

 * spi   - zero to acquire spi. Not zero if spi is static, then

 *    daddr must be fixed too.

 * proto - AH/ESP/IPCOMP

 */

// SA三元組, 目的地址, 協議, SOI

 struct xfrm_id  id;

/* Source address of tunnel. Ignored, if it is not a tunnel. */

// 源地址

 xfrm_address_t  saddr;

// 請求ID

 __u32   reqid;

/* Mode: transport, tunnel etc. */

 __u8   mode;

/* Sharing mode: unique, this session only, this user only etc. */

 __u8   share;

/* May skip this transfomration if no SA is found */

 __u8   optional;

/* Bit mask of algos allowed for acquisition */

 __u32   aalgos;

 __u32   ealgos;

 __u32   calgos;

};

2.3 協議結構

對ESP, AH, IPCOMP等協議的描述是通過xfrm_type結構來描述的, 多個協議的封裝就是靠多個協議結構形成的鏈表來實現:

struct xfrm_type

{

 char   *description; // 描述字符串

 struct module  *owner; // 協議模塊

 __u8   proto;  // 協議值

 __u8   flags;  // 標誌

#define XFRM_TYPE_NON_FRAGMENT 1

// 初始化狀態

 int   (*init_state)(struct xfrm_state *x);

// 析構函數

 void   (*destructor)(struct xfrm_state *);

// 數據輸入函數

 int   (*input)(struct xfrm_state *, struct sk_buff *skb);

// 數據輸出函數

 int   (*output)(struct xfrm_state *, struct sk_buff *pskb);

// 拒絕函數

 int   (*reject)(struct xfrm_state *, struct sk_buff *, struct flowi *);

// 頭部偏移

 int   (*hdr_offset)(struct xfrm_state *, struct sk_buff *, u8 **);

// 本地地址

 xfrm_address_t  *(*local_addr)(struct xfrm_state *, xfrm_address_t *);

// 遠程地址

 xfrm_address_t  *(*remote_addr)(struct xfrm_state *, xfrm_address_t *);

 /* Estimate maximal size of result of transformation of a dgram */

// 最大數據報長度

 u32   (*get_max_size)(struct xfrm_state *, int size);

};

具體的協議結構定義如下, 通常只定義初始化,析構,輸入和輸出四個成員函數:

AH協議定義

/* net/ipv4/ah4.c */

static struct xfrm_type ah_type =

{

 .description = "AH4",

 .owner  = THIS_MODULE,

 .proto       = IPPROTO_AH,

 .init_state = ah_init_state,

 .destructor = ah_destroy,

 .input  = ah_input,

 .output  = ah_output

};

ESP協議定義:

/* net/ipv4/esp4.c */

static struct xfrm_type esp_type =

{

 .description = "ESP4",

 .owner  = THIS_MODULE,

 .proto       = IPPROTO_ESP,

 .init_state = esp_init_state,

 .destructor = esp_destroy,

 .get_max_size = esp4_get_max_size,

 .input  = esp_input,

 .output  = esp_output

};

IP壓縮協議定義:

/* net/ipv4/ipcomp.c */

static struct xfrm_type ipcomp_type = {

 .description = "IPCOMP4",

 .owner  = THIS_MODULE,

 .proto       = IPPROTO_COMP,

 .init_state = ipcomp_init_state,

 .destructor = ipcomp_destroy,

 .input  = ipcomp_input,

 .output  = ipcomp_output

};

IPIP協議定義:

/* net/ipv4/xfrm4_tunnel.c */

static struct xfrm_type ipip_type = {

 .description = "IPIP",

 .owner  = THIS_MODULE,

 .proto       = IPPROTO_IPIP,

 .init_state = ipip_init_state,

 .destructor = ipip_destroy,

 .input  = ipip_xfrm_rcv,

 .output  = ipip_output

};

2.4 模式結構

模式結構用於描述IPSEC連接描述, 可爲通道模式或傳輸模式兩種:

struct xfrm_mode {

// 數據輸入函數

 int (*input)(struct xfrm_state *x, struct sk_buff *skb);

// 數據輸出函數

 int (*output)(struct xfrm_state *x,struct sk_buff *skb);

// 模塊指針

 struct module *owner;

// 封裝

 unsigned int encap;

};

通道模式結構定義:

/* net/ipv4/xfrm4_mode_tunnel.c */

static struct xfrm_mode xfrm4_tunnel_mode = {

 .input = xfrm4_tunnel_input,

 .output = xfrm4_tunnel_output,

 .owner = THIS_MODULE,

 .encap = XFRM_MODE_TUNNEL,

};

傳輸模式結構定義:

/* net/ipv4/xfrm4_mode_transport.c */

static struct xfrm_mode xfrm4_transport_mode = {

 .input = xfrm4_transport_input,

 .output = xfrm4_transport_output,

 .owner = THIS_MODULE,

 .encap = XFRM_MODE_TRANSPORT,

};

beet模式, 不知道在哪用

/* net/ipv4/xfrm4_mode_beet.c */

static struct xfrm_mode xfrm4_beet_mode = {

 .input = xfrm4_beet_input,

 .output = xfrm4_beet_output,

 .owner = THIS_MODULE,

 .encap = XFRM_MODE_BEET,

};

2.5 策略的相關協議處理結構

以下結構用於描述具體協議族下的的策略處理:

struct xfrm_policy_afinfo {

// 協議族

 unsigned short  family;

// 協議類型

 struct xfrm_type *type_map[IPPROTO_MAX];

// 模式

 struct xfrm_mode *mode_map[XFRM_MODE_MAX];

// 目的操作結構

 struct dst_ops  *dst_ops;

// 垃圾蒐集

 void   (*garbage_collect)(void);

// 路由選擇

 int   (*dst_lookup)(struct xfrm_dst **dst, struct flowi *fl);

// 獲取源地址

 int   (*get_saddr)(xfrm_address_t *saddr, xfrm_address_t *daddr);

// 查找路由項

 struct dst_entry *(*find_bundle)(struct flowi *fl, struct xfrm_policy *policy);

// 創建新路由項

 int   (*bundle_create)(struct xfrm_policy *policy,

       struct xfrm_state **xfrm,

       int nx,

       struct flowi *fl,

       struct dst_entry **dst_p);

// 解碼會話

 void   (*decode_session)(struct sk_buff *skb,

        struct flowi *fl);

};

IPV4的策略協議相關處理結構定義如下:

/* net/ipv4/xfrm4_policy.c */

static struct xfrm_policy_afinfo xfrm4_policy_afinfo = {

 .family =   AF_INET,

 .dst_ops =  &xfrm4_dst_ops,

 .dst_lookup =  xfrm4_dst_lookup,

 .get_saddr =  xfrm4_get_saddr,

 .find_bundle =   __xfrm4_find_bundle,

 .bundle_create = __xfrm4_bundle_create,

 .decode_session = _decode_session4,

2.5 狀態的相關協議處理結構

以下結構用於描述具體協議族下的的狀態處理:

struct xfrm_state_afinfo {

// 協議族

 unsigned short  family;

// 初始化標誌

 int   (*init_flags)(struct xfrm_state *x);

// 初始化模板選擇

 void   (*init_tempsel)(struct xfrm_state *x, struct flowi *fl,

      struct xfrm_tmpl *tmpl,

      xfrm_address_t *daddr, xfrm_address_t *saddr);

// 模板排序

 int   (*tmpl_sort)(struct xfrm_tmpl **dst, struct xfrm_tmpl **src, int n);

// 狀態排序

 int   (*state_sort)(struct xfrm_state **dst, struct xfrm_state **src, int n);

};

IPV4的狀態相關協議處理結構

/* net/ipv4/xfrm4_state.c */

static struct xfrm_state_afinfo xfrm4_state_afinfo = {

 .family   = AF_INET,

 .init_flags  = xfrm4_init_flags,

 .init_tempsel  = __xfrm4_init_tempsel,

};

2.6 回調通知信息結構

struct xfrm_mgr

{

 struct list_head list;

 char   *id;

// 狀態通知

 int   (*notify)(struct xfrm_state *x, struct km_event *c);

// 獲取, 如獲取SA

 int   (*acquire)(struct xfrm_state *x, struct xfrm_tmpl *, struct xfrm_policy *xp, int dir);

// 編譯策略

 struct xfrm_policy *(*compile_policy)(struct sock *sk, int opt, u8 *data, int len, int *dir);

// 映射

 int   (*new_mapping)(struct xfrm_state *x, xfrm_address_t *ipaddr, u16 sport);

// 策略通知

 int   (*notify_policy)(struct xfrm_policy *x, int dir, struct km_event *c);

// 報告

 int   (*report)(u8 proto, struct xfrm_selector *sel, xfrm_address_t *addr);

};

在net/key/pf_key.c中定義了pkeyv2_mgr結構:

static struct xfrm_mgr pfkeyv2_mgr =

{

 .id  = "pfkeyv2",

 .notify  = pfkey_send_notify,

 .acquire = pfkey_send_acquire,

 .compile_policy = pfkey_compile_policy,

 .new_mapping = pfkey_send_new_mapping,

 .notify_policy = pfkey_send_policy_notify,

};

3. 初始化

/* net/xfrm/xfrm_policy.c */

// xfrm初始化函數包括狀態, 策略和輸入處理的三初始化函數

// xfrm是不支持模塊方式的

void __init xfrm_init(void)

{

 xfrm_state_init();

 xfrm_policy_init();

 xfrm_input_init();

}

3.1 xfrm狀態初始化

/* net/xfrm/xfrm_state.c */

void __init xfrm_state_init(void)

{

 unsigned int sz;

// 初始HASH表不大, 每個HASH中初始化爲8個鏈表, 但隨着狀態數量的增加

// 會動態增加HASH表數量

 sz = sizeof(struct hlist_head) * 8;

// 建立3組HASH, 分別按SA的源地址, 目的地址和SPI值

 xfrm_state_bydst = xfrm_hash_alloc(sz);

 xfrm_state_bysrc = xfrm_hash_alloc(sz);

 xfrm_state_byspi = xfrm_hash_alloc(sz);

 if (!xfrm_state_bydst || !xfrm_state_bysrc || !xfrm_state_byspi)

  panic("XFRM: Cannot allocate bydst/bysrc/byspi hashes.");

// xfrm_state_hmask初始值爲=7, 計算出的HASH值與該值與來得到鏈表號

 xfrm_state_hmask = ((sz / sizeof(struct hlist_head)) - 1);

// 初始化工作隊列work_queue, 完成對狀態垃圾的蒐集和釋放

 INIT_WORK(&xfrm_state_gc_work, xfrm_state_gc_task, NULL);

}

3.2 策略初始化

static void __init xfrm_policy_init(void)

{

 unsigned int hmask, sz;

 int dir;

// 建立一個內核cache, 用於分配xfrm_dst結構()

 xfrm_dst_cache = kmem_cache_create("xfrm_dst_cache",

        sizeof(struct xfrm_dst),

        0, SLAB_HWCACHE_ALIGN|SLAB_PANIC,

        NULL, NULL);

// 分配狀態HASH表, 初始是8個HASH鏈表,以後隨着策略數量的增加

// 會動態增加HASH表的數量

 hmask = 8 - 1;

 sz = (hmask+1) * sizeof(struct hlist_head);

// 該HASH表是按策略的index參數進行索引的

 xfrm_policy_byidx = xfrm_hash_alloc(sz);

 xfrm_idx_hmask = hmask;

 if (!xfrm_policy_byidx)

  panic("XFRM: failed to allocate byidx hash\n");

// 輸入, 輸出, 轉發三個處理點, 雙向

 for (dir = 0; dir < XFRM POLICY_MAX dir br style='font-size:12px;font-style:normal;font-weight:400;color:#666;' />  struct xfrm_policy_hash *htab;

// 初始化inexact鏈表頭, inexact處理選擇子相關長度不是標準值的一些特別策略

  INIT_HLIST_HEAD(&xfrm_policy_inexact[dir]);

// 分配按地址HASH的HASH表

  htab = &xfrm_policy_bydst[dir];

  htab-<table = xfrm_hash_alloc(sz);

  htab-<hmask = hmask;

  if (!htab-<table)

   panic("XFRM: failed to allocate bydst hash\n");

 }

// 初始化策略垃圾蒐集的工作隊列, 完成對策略垃圾的蒐集和釋放

 INIT_WORK(&xfrm_policy_gc_work, xfrm_policy_gc_task, NULL);

// 登記網卡通知

 register_netdevice_notifier(&xfrm_dev_notifier);

}

xfrm的網卡通知回調結構

static struct notifier_block xfrm_dev_notifier = {

 xfrm_dev_event,

 NULL,

 0

};

// 網卡通知回調函數

static int xfrm_dev_event(struct notifier_block *this, unsigned long event, void *ptr)

{

 switch (event) {

// 如果網卡down掉的話, 清除相關的所有的xfrm路由項

 case NETDEV_DOWN:

  xfrm_flush_bundles();

 }

 return NOTIFY_DONE;

}

// 清除相關的所有的xfrm路由項

static int xfrm_flush_bundles(void)

{

// 將不用的路由項刪除

 xfrm_prune_bundles(stale_bundle);

 return 0;

}

3.3 輸入初始化

/* net/xfrm/xfrm_input.c */

void __init xfrm_input_init(void)

{

// 建立一個內核cache, 用於分配sec_path結構(安全路徑)

 secpath_cachep = kmem_cache_create("secpath_cache",

        sizeof(struct sec_path),

        0, SLAB_HWCACHE_ALIGN|SLAB_PANIC,

        NULL, NULL);

}

struct sec_path結構是對輸入的加密包進行層層解包的處理, 在sk_buff中有該結構的指針sp, 如果sp非空表示這是個IPSEC解密後的包。

...... 待續 ......