sys/netipsec/keydb.h

   1 /*      $FreeBSD$       */
   2 /*      $KAME: keydb.h,v 1.14 2000/08/02 17:58:26 sakane Exp $  */
   3
   4 /*-
   5  * Copyright (C) 1995, 1996, 1997, and 1998 WIDE Project.
   6  * All rights reserved.
   7  *
   8  * Redistribution and use in source and binary forms, with or without
   9  * modification, are permitted provided that the following conditions
  10  * are met:
  11  * 1. Redistributions of source code must retain the above copyright
  12  *    notice, this list of conditions and the following disclaimer.
  13  * 2. Redistributions in binary form must reproduce the above copyright
  14  *    notice, this list of conditions and the following disclaimer in the
  15  *    documentation and/or other materials provided with the distribution.
  16  * 3. Neither the name of the project nor the names of its contributors
  17  *    may be used to endorse or promote products derived from this software
  18  *    without specific prior written permission.
  19  *
  20  * THIS SOFTWARE IS PROVIDED BY THE PROJECT AND CONTRIBUTORS ``AS IS'' AND
  21  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  22  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  23  * ARE DISCLAIMED.  IN NO EVENT SHALL THE PROJECT OR CONTRIBUTORS BE LIABLE
  24  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  25  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  26  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  27  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  28  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  29  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  30  * SUCH DAMAGE.
  31  */
  32
  33 #ifndef _NETIPSEC_KEYDB_H_
  34 #define _NETIPSEC_KEYDB_H_
  35
  36 #ifdef _KERNEL
  37
  38 #include <netipsec/key_var.h>
  39
  40 #ifndef _SOCKADDR_UNION_DEFINED
  41 #define _SOCKADDR_UNION_DEFINED
  42 /*
  43  * The union of all possible address formats we handle.
  44  */
  45 union sockaddr_union {
  46         struct sockaddr         sa;
  47         struct sockaddr_in      sin;
  48         struct sockaddr_in6     sin6;
  49 };
  50 #endif /* _SOCKADDR_UNION_DEFINED */
  51
  52 /* Security Assocciation Index */
  53 /* NOTE: Ensure to be same address family */
  54 struct secasindex {
  55         union sockaddr_union src;       /* srouce address for SA */
  56         union sockaddr_union dst;       /* destination address for SA */
  57         u_int16_t proto;                /* IPPROTO_ESP or IPPROTO_AH */
  58         u_int8_t mode;                  /* mode of protocol, see ipsec.h */
  59         u_int32_t reqid;                /* reqid id who owned this SA */
  60                                         /* see IPSEC_MANUAL_REQID_MAX. */
  61 };
  62
  63 /*
  64  * In order to split out the keydb implementation from that of the
  65  * PF_KEY sockets we need to define a few structures that while they
  66  * may seem common are likely to diverge over time.
  67  */
  68
  69 /* sadb_identity */
  70 struct secident {
  71         u_int16_t type;
  72         u_int64_t id;
  73 };
  74
  75 /* sadb_key */
  76 struct seckey {
  77         u_int16_t bits;
  78         char *key_data;
  79 };
  80
  81 struct seclifetime {
  82         u_int32_t allocations;
  83         u_int64_t bytes;
  84         u_int64_t addtime;
  85         u_int64_t usetime;
  86 };
  87
  88 /* Security Association Data Base */
  89 struct secashead {
  90         LIST_ENTRY(secashead) chain;
  91
  92         struct secasindex saidx;
  93
  94         struct secident *idents;        /* source identity */
  95         struct secident *identd;        /* destination identity */
  96                                         /* XXX I don't know how to use them. */
  97
  98         u_int8_t state;                 /* MATURE or DEAD. */
  99         LIST_HEAD(_satree, secasvar) savtree[SADB_SASTATE_MAX+1];
 100                                         /* SA chain */
 101                                         /* The first of this list is newer SA */
 102
 103         struct route sa_route;          /* route cache */
 104 };
 105
 106 struct xformsw;
 107 struct enc_xform;
 108 struct auth_hash;
 109 struct comp_algo;
 110
 111 /* Security Association */
 112 struct secasvar {
 113         LIST_ENTRY(secasvar) chain;
 114         struct mtx lock;                /* update/access lock */
 115
 116         u_int refcnt;                   /* reference count */
 117         u_int8_t state;                 /* Status of this Association */
 118
 119         u_int8_t alg_auth;              /* Authentication Algorithm Identifier*/
 120         u_int8_t alg_enc;               /* Cipher Algorithm Identifier */
 121         u_int8_t alg_comp;              /* Compression Algorithm Identifier */
 122         u_int32_t spi;                  /* SPI Value, network byte order */
 123         u_int32_t flags;                /* holder for SADB_KEY_FLAGS */
 124
 125         struct seckey *key_auth;        /* Key for Authentication */
 126         struct seckey *key_enc;         /* Key for Encryption */
 127         caddr_t iv;                     /* Initilization Vector */
 128         u_int ivlen;                    /* length of IV */
 129         void *sched;                    /* intermediate encryption key */
 130         size_t schedlen;
 131
 132         struct secreplay *replay;       /* replay prevention */
 133         time_t created;                 /* for lifetime */
 134
 135         struct seclifetime *lft_c;      /* CURRENT lifetime, it's constant. */
 136         struct seclifetime *lft_h;      /* HARD lifetime */
 137         struct seclifetime *lft_s;      /* SOFT lifetime */
 138
 139         u_int32_t seq;                  /* sequence number */
 140         pid_t pid;                      /* message's pid */
 141
 142         struct secashead *sah;          /* back pointer to the secashead */
 143
 144         /*
 145          * NB: Fields with a tdb_ prefix are part of the "glue" used
 146          *     to interface to the OpenBSD crypto support.  This was done
 147          *     to distinguish this code from the mainline KAME code.
 148          */
 149         struct xformsw *tdb_xform;      /* transform */
 150         struct enc_xform *tdb_encalgxform;      /* encoding algorithm */
 151         struct auth_hash *tdb_authalgxform;     /* authentication algorithm */
 152         struct comp_algo *tdb_compalgxform;     /* compression algorithm */
 153         u_int64_t tdb_cryptoid;         /* crypto session id */
 154
 155         /*
 156          * NAT-Traversal.
 157          */
 158         u_int16_t natt_type;            /* IKE/ESP-marker in output. */
 159         u_int16_t natt_esp_frag_len;    /* MTU for payload fragmentation. */
 160 };
 161
 162 #define SECASVAR_LOCK_INIT(_sav) \
 163         mtx_init(&(_sav)->lock, "ipsec association", NULL, MTX_DEF)
 164 #define SECASVAR_LOCK(_sav)             mtx_lock(&(_sav)->lock)
 165 #define SECASVAR_UNLOCK(_sav)           mtx_unlock(&(_sav)->lock)
 166 #define SECASVAR_LOCK_DESTROY(_sav)     mtx_destroy(&(_sav)->lock)
 167 #define SECASVAR_LOCK_ASSERT(_sav)      mtx_assert(&(_sav)->lock, MA_OWNED)
 168
 169 /* replay prevention */
 170 struct secreplay {
 171         u_int32_t count;
 172         u_int wsize;            /* window size, i.g. 4 bytes */
 173         u_int32_t seq;          /* used by sender */
 174         u_int32_t lastseq;      /* used by receiver */
 175         caddr_t bitmap;         /* used by receiver */
 176         int overflow;           /* overflow flag */
 177 };
 178
 179 /* socket table due to send PF_KEY messages. */
 180 struct secreg {
 181         LIST_ENTRY(secreg) chain;
 182
 183         struct socket *so;
 184 };
 185
 186 /* acquiring list table. */
 187 struct secacq {
 188         LIST_ENTRY(secacq) chain;
 189
 190         struct secasindex saidx;
 191
 192         u_int32_t seq;          /* sequence number */
 193         time_t created;         /* for lifetime */
 194         int count;              /* for lifetime */
 195 };
 196
 197 /* Sensitivity Level Specification */
 198 /* nothing */
 199
 200 #define SADB_KILL_INTERVAL      600     /* six seconds */
 201
 202 /* secpolicy */
 203 extern struct secpolicy *keydb_newsecpolicy __P((void));
 204 extern void keydb_delsecpolicy __P((struct secpolicy *));
 205 /* secashead */
 206 extern struct secashead *keydb_newsecashead __P((void));
 207 extern void keydb_delsecashead __P((struct secashead *));
 208 /* secasvar */
 209 extern struct secasvar *keydb_newsecasvar __P((void));
 210 extern void keydb_refsecasvar __P((struct secasvar *));
 211 extern void keydb_freesecasvar __P((struct secasvar *));
 212 /* secreplay */
 213 extern struct secreplay *keydb_newsecreplay __P((size_t));
 214 extern void keydb_delsecreplay __P((struct secreplay *));
 215 /* secreg */
 216 extern struct secreg *keydb_newsecreg __P((void));
 217 extern void keydb_delsecreg __P((struct secreg *));
 218
 219 #endif /* _KERNEL */
 220
 221 #endif /* _NETIPSEC_KEYDB_H_ */