sys/netipsec/keydb.h

   1 /*      $FreeBSD$       */
   2 /*      $KAME: keydb.h,v 1.14 2000/08/02 17:58:26 sakane Exp $  */
   3
   4 /*-
   5  * Copyright (C) 1995, 1996, 1997, and 1998 WIDE Project.
   6  * All rights reserved.
   7  *
   8  * Redistribution and use in source and binary forms, with or without
   9  * modification, are permitted provided that the following conditions
  10  * are met:
  11  * 1. Redistributions of source code must retain the above copyright
  12  *    notice, this list of conditions and the following disclaimer.
  13  * 2. Redistributions in binary form must reproduce the above copyright
  14  *    notice, this list of conditions and the following disclaimer in the
  15  *    documentation and/or other materials provided with the distribution.
  16  * 3. Neither the name of the project nor the names of its contributors
  17  *    may be used to endorse or promote products derived from this software
  18  *    without specific prior written permission.
  19  *
  20  * THIS SOFTWARE IS PROVIDED BY THE PROJECT AND CONTRIBUTORS ``AS IS'' AND
  21  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  22  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  23  * ARE DISCLAIMED.  IN NO EVENT SHALL THE PROJECT OR CONTRIBUTORS BE LIABLE
  24  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  25  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  26  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  27  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  28  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  29  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  30  * SUCH DAMAGE.
  31  */
  32
  33 #ifndef _NETIPSEC_KEYDB_H_
  34 #define _NETIPSEC_KEYDB_H_
  35
  36 #ifdef _KERNEL
  37
  38 #include <sys/lock.h>
  39 #include <sys/mutex.h>
  40
  41 #include <netipsec/key_var.h>
  42
  43 #ifndef _SOCKADDR_UNION_DEFINED
  44 #define _SOCKADDR_UNION_DEFINED
  45 /*
  46  * The union of all possible address formats we handle.
  47  */
  48 union sockaddr_union {
  49         struct sockaddr         sa;
  50         struct sockaddr_in      sin;
  51         struct sockaddr_in6     sin6;
  52 };
  53 #endif /* _SOCKADDR_UNION_DEFINED */
  54
  55 /* Security Assocciation Index */
  56 /* NOTE: Ensure to be same address family */
  57 struct secasindex {
  58         union sockaddr_union src;       /* source address for SA */
  59         union sockaddr_union dst;       /* destination address for SA */
  60         u_int16_t proto;                /* IPPROTO_ESP or IPPROTO_AH */
  61         u_int8_t mode;                  /* mode of protocol, see ipsec.h */
  62         u_int32_t reqid;                /* reqid id who owned this SA */
  63                                         /* see IPSEC_MANUAL_REQID_MAX. */
  64 };
  65
  66 /*
  67  * In order to split out the keydb implementation from that of the
  68  * PF_KEY sockets we need to define a few structures that while they
  69  * may seem common are likely to diverge over time.
  70  */
  71
  72 /* sadb_identity */
  73 struct secident {
  74         u_int16_t type;
  75         u_int64_t id;
  76 };
  77
  78 /* sadb_key */
  79 struct seckey {
  80         u_int16_t bits;
  81         char *key_data;
  82 };
  83
  84 struct seclifetime {
  85         u_int32_t allocations;
  86         u_int64_t bytes;
  87         u_int64_t addtime;
  88         u_int64_t usetime;
  89 };
  90
  91 /* Security Association Data Base */
  92 struct secashead {
  93         LIST_ENTRY(secashead) chain;
  94
  95         struct secasindex saidx;
  96
  97         struct secident *idents;        /* source identity */
  98         struct secident *identd;        /* destination identity */
  99                                         /* XXX I don't know how to use them. */
 100
 101         u_int8_t state;                 /* MATURE or DEAD. */
 102         LIST_HEAD(_satree, secasvar) savtree[SADB_SASTATE_MAX+1];
 103                                         /* SA chain */
 104                                         /* The first of this list is newer SA */
 105 };
 106
 107 struct xformsw;
 108 struct enc_xform;
 109 struct auth_hash;
 110 struct comp_algo;
 111
 112 /* Security Association */
 113 struct secasvar {
 114         LIST_ENTRY(secasvar) chain;
 115         struct mtx lock;                /* update/access lock */
 116
 117         u_int refcnt;                   /* reference count */
 118         u_int8_t state;                 /* Status of this Association */
 119
 120         u_int8_t alg_auth;              /* Authentication Algorithm Identifier*/
 121         u_int8_t alg_enc;               /* Cipher Algorithm Identifier */
 122         u_int8_t alg_comp;              /* Compression Algorithm Identifier */
 123         u_int32_t spi;                  /* SPI Value, network byte order */
 124         u_int32_t flags;                /* holder for SADB_KEY_FLAGS */
 125
 126         struct seckey *key_auth;        /* Key for Authentication */
 127         struct seckey *key_enc;         /* Key for Encryption */
 128         u_int ivlen;                    /* length of IV */
 129         void *sched;                    /* intermediate encryption key */
 130         size_t schedlen;
 131         uint64_t cntr;                  /* counter for GCM and CTR */
 132
 133         struct secreplay *replay;       /* replay prevention */
 134         time_t created;                 /* for lifetime */
 135
 136         struct seclifetime *lft_c;      /* CURRENT lifetime, it's constant. */
 137         struct seclifetime *lft_h;      /* HARD lifetime */
 138         struct seclifetime *lft_s;      /* SOFT lifetime */
 139
 140         u_int32_t seq;                  /* sequence number */
 141         pid_t pid;                      /* message's pid */
 142
 143         struct secashead *sah;          /* back pointer to the secashead */
 144
 145         /*
 146          * NB: Fields with a tdb_ prefix are part of the "glue" used
 147          *     to interface to the OpenBSD crypto support.  This was done
 148          *     to distinguish this code from the mainline KAME code.
 149          */
 150         struct xformsw *tdb_xform;      /* transform */
 151         struct enc_xform *tdb_encalgxform;      /* encoding algorithm */
 152         struct auth_hash *tdb_authalgxform;     /* authentication algorithm */
 153         struct comp_algo *tdb_compalgxform;     /* compression algorithm */
 154         u_int64_t tdb_cryptoid;         /* crypto session id */
 155
 156         /*
 157          * NAT-Traversal.
 158          */
 159         u_int16_t natt_type;            /* IKE/ESP-marker in output. */
 160         u_int16_t natt_esp_frag_len;    /* MTU for payload fragmentation. */
 161 };
 162
 163 #define SECASVAR_LOCK_INIT(_sav) \
 164         mtx_init(&(_sav)->lock, "ipsec association", NULL, MTX_DEF)
 165 #define SECASVAR_LOCK(_sav)             mtx_lock(&(_sav)->lock)
 166 #define SECASVAR_UNLOCK(_sav)           mtx_unlock(&(_sav)->lock)
 167 #define SECASVAR_LOCK_DESTROY(_sav)     mtx_destroy(&(_sav)->lock)
 168 #define SECASVAR_LOCK_ASSERT(_sav)      mtx_assert(&(_sav)->lock, MA_OWNED)
 169 #define SAV_ISGCM(_sav)                                                 \
 170                         ((_sav)->alg_enc == SADB_X_EALG_AESGCM8 ||      \
 171                         (_sav)->alg_enc == SADB_X_EALG_AESGCM12 ||      \
 172                         (_sav)->alg_enc == SADB_X_EALG_AESGCM16)
 173 #define SAV_ISCTR(_sav) ((_sav)->alg_enc == SADB_X_EALG_AESCTR)
 174 #define SAV_ISCTRORGCM(_sav)    (SAV_ISCTR((_sav)) || SAV_ISGCM((_sav)))
 175
 176 /* Replay prevention, protected by SECASVAR_LOCK:
 177  *  (m) locked by mtx
 178  *  (c) read only except during creation / free
 179  */
 180 struct secreplay {
 181         u_int32_t count;        /* (m) */
 182         u_int wsize;            /* (c) window size, i.g. 4 bytes */
 183         u_int32_t seq;          /* (m) used by sender */
 184         u_int32_t lastseq;      /* (m) used by receiver */
 185         u_int32_t *bitmap;      /* (m) used by receiver */
 186         u_int bitmap_size;      /* (c) size of the bitmap array */
 187         int overflow;           /* (m) overflow flag */
 188 };
 189
 190 /* socket table due to send PF_KEY messages. */
 191 struct secreg {
 192         LIST_ENTRY(secreg) chain;
 193
 194         struct socket *so;
 195 };
 196
 197 /* acquiring list table. */
 198 struct secacq {
 199         LIST_ENTRY(secacq) chain;
 200
 201         struct secasindex saidx;
 202
 203         u_int32_t seq;          /* sequence number */
 204         time_t created;         /* for lifetime */
 205         int count;              /* for lifetime */
 206 };
 207
 208 /* Sensitivity Level Specification */
 209 /* nothing */
 210
 211 #define SADB_KILL_INTERVAL      600     /* six seconds */
 212
 213 /* secpolicy */
 214 extern struct secpolicy *keydb_newsecpolicy(void);
 215 extern void keydb_delsecpolicy(struct secpolicy *);
 216 /* secashead */
 217 extern struct secashead *keydb_newsecashead(void);
 218 extern void keydb_delsecashead(struct secashead *);
 219 /* secasvar */
 220 extern struct secasvar *keydb_newsecasvar(void);
 221 extern void keydb_refsecasvar(struct secasvar *);
 222 extern void keydb_freesecasvar(struct secasvar *);
 223 /* secreplay */
 224 extern struct secreplay *keydb_newsecreplay(size_t);
 225 extern void keydb_delsecreplay(struct secreplay *);
 226 /* secreg */
 227 extern struct secreg *keydb_newsecreg(void);
 228 extern void keydb_delsecreg(struct secreg *);
 229
 230 #endif /* _KERNEL */
 231
 232 #endif /* _NETIPSEC_KEYDB_H_ */