【问题标题】:Update IPsec keys using XFRM messages使用 XFRM 消息更新 IPsec 密钥
【发布时间】:2013-11-11 09:39:39
【问题描述】:

我正在开发一个 C++ 项目,需要使用 ESP 建立 IPsec SA 并快速更改加密密钥。我的问题如下:

有没有一种方法可以在不删除相应 SA 并创建新 SA 的情况下更新加密 IPsec 密钥?

IPsec 甚至允许这样做吗?我在 RFC4301 中没有发现任何关于此问题的信息...

我正在使用 Netlink/XFRM 消息来更改 SAD。我尝试在 Netlink 消息标志和 XFRM_MSG_UPDSA 中使用 NLM_F_REPLACE 作为消息类型,但这些消息根本没有效果。我已经看到 XFRM_MSG_UPDSA 用于完成由 XFRM_MSG_ALLOCSPI 消息发起的 SA。

这是 XFRM_MSG_UPDSA 类型消息的唯一用途,还是我可以以某种方式使用它们来更改加密密钥?

由于键必须快速更改(如上所述),因此性能是一个因素。因此,我想用尽可能少的管理 IPsec (=Netlink/XFRM) 操作来压缩我的系统。

【问题讨论】:

    标签: c++ linux ipsec


    【解决方案1】:

    我从 strongSwan 开发人员邮件列表中的人那里得到了答复。 不幸的是,似乎实际上没有更好的方法。 Linux 内核不会更新 XFRM_MSG_UPDSA 上的密钥(只有一些其他的东西),因此剩下的唯一可能就是删除一个 SA 并创建一个新的。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2015-06-30
      • 2022-01-28
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2016-06-08
      • 2011-03-01
      • 2019-01-14
      相关资源
      最近更新 更多