ipsec内核实现分析
需积分: 50 138 浏览量
2018-07-04
14:55:33
上传
评论 3
收藏 893KB PDF 举报
1 / 41
Linux 的 xfrm 实现源码分析
刘成天
2018 年 5 月
1 引言
本文主要介绍 Linux 内核中 IPSec 模块 xfrm 的实现逻辑,分析重点源码,不介绍加
密认证算法的具体实现,内核版本基于 Linux-3.18。本文的读者理应具备一定的 Linux 内
核协议栈基础知识,比如 HOOK、路由、网络设备、hash 链表等相关技术。
2 实现原理
IPSec 主要通过两种协议来实现对 IP 数据包的安全封装,分别是 AH 和 ESP:AH 用
于数据完整性验证,ESP 主要用于数据机密性,也可以用于完成性验证,两种协议可以单
独使用,也可以混合使用,本文的源码分析基于 ESP 封装方式。
IPSec 在连接模式上有两种:一种是传输模式,一种是隧道模式,选择哪种模式要根
据 ipsec 的具体使用场景而定。在 IPSecVPN 的三种应用场景中:网关到网关(site-to-
site)、端到端(end-to-end)、端到网关(end-to-site),传输模式只能用于端到端,
本文的源码分析基于网关到网关的隧道模式封装。
2.1 封装协议 ESP
ESP 协议号为 50,头部格式如下:
剩余40页未读,继续阅读
评论0