问题:什么是xfrm?
它是一个开放的标准框架,使用加密的安全服务来确保网络上进程的机密和安全通信。层协议安全主要包括IP包处理模块和密钥交换模块。IPsec包处理模块属于IPsec基本安全策略(SP)和安全关联SA。
zx。wNFcw。cN
PF_KEY:PF_KEY是一个密钥管理套接字,在UNPV13e第19章中有介绍。
Klips或NETKEY是安全接收或发送IP数据包的过程。运行在内核域主要负责SA和密钥的控制和管理,同时处理数据包的加密和解密。
Klips主要由以下模块组成。通信接口socketPF_KEYklips是pluto自带的Linux内核,这个PF_KEY也是用clips实现的,所以这两个PF_KEY是不一样的。负责注册和初始化模块包处理和转发模块包接收和处理模块SA的管理模块SHA1和MD5算法实现模块路由器的基数实现模块PF_KEY 2协议实现模块等相关子模块。KLIPS不支持IPv6
NETKEY:也叫26sec,通信接口是socketnetlink。包含在2.6内核中的这部分实现实际上是对KAME项目的重写。
Xfrm:指的是处理IP包的网络框架。它是IPSecSPD/SAD的管理模块,与原网络架构的路由和网络数据处理密切相关。政策检查和SA收购属于xfrm。支持pf_key和netlink。
Racoon:一个密钥管理守护进程实现了用户之间的IKE密钥协商模块,主要用于自动方式与通信对等端对应模块的SA进行协商,相当于OpenWAN的pluto Bar配置管理模块。由Setkey实现手动配置SP和SA,完成对SPD和SAD的手动管理,相当于对OpenWAN的重击。需要PF_KEYv2套接字来实现racoon和Setkey模块与内核的交互
zx。wNFcw。cN冥王星密钥交换协议守护进程。主要实现IKE协议,完成SA交互。如果pluto使用夹子,则使用PF_KEY插座,如果pluto使用NETKEY,则使用NETLINK_XFRM插座。
zx。wNFcw。cNSA,SP,SADB等等在代码里是怎么操作的?代码中的含义是什么?数据是如何组织的
对ike、IPSec、冥王星的深入了解
安全策略安全策略是服务点的缩写,用于定义满足条件的IP消息的安全处理规则。即以下路线。或者使用另一种描述安全策略来识别分组是否应该被处理、忽略或丢弃。
SecurityAssociation缩写为SA,是这组协议中最重要的概念。这是一个所有实现都必须包含在RFC文档中的概念。它为当前IP报文的认证和加密提供了必要的算法标识和算法相关参数。安全关联由当前IP消息的目的地址、SPI值和协议唯一确定,即SAID
安全参数指针SecurityParameterIndex缩写为SPI,是一个32位整数,用于标识当前IP报文对应的安全关联
安全策略数据库安全策略数据库缩写为SPDB,用于存储所有本机安全策略的集合
SecurityAssociationDatabase,缩写为SADB,是存储此计算机中所有安全关联的集合
Pluto可以支持内核使用KLIPS或者NETKEY实现IPSEC,前者的通信接口套接字是PF_KEY,后者的通信接口是netlink。另外,它也支持内核没有IPSEC (NO_KERNEL)的情况,但是基本没有意义。KLIPS的IPSEC实现是通过构造ipsec*虚拟网卡来实现的,从这个网卡发送数据就是对数据进行加密;从网卡获取数据就是解密数据包。所以安全策略(SP)实际上是基于路由的,所以配置加密路由就是配置安全策略,所以专门引入了e route的概念来描述这类路由。(本段指的是yfydz的openswan实现)
从http://www.voidcn.com/blog/jeason29/article/p-3409010.html转移
相关阅读
标签: #ipsec相关文章最新报道
