sys/netproto/ipsec/keydb.h

   1 /*      $FreeBSD: src/sys/netipsec/keydb.h,v 1.1.4.1 2003/01/24 05:11:36 sam Exp $      */
   2 /*      $KAME: keydb.h,v 1.14 2000/08/02 17:58:26 sakane Exp $  */
   3
   4 /*
   5  * Copyright (C) 1995, 1996, 1997, and 1998 WIDE Project.
   6  * All rights reserved.
   7  *
   8  * Redistribution and use in source and binary forms, with or without
   9  * modification, are permitted provided that the following conditions
  10  * are met:
  11  * 1. Redistributions of source code must retain the above copyright
  12  *    notice, this list of conditions and the following disclaimer.
  13  * 2. Redistributions in binary form must reproduce the above copyright
  14  *    notice, this list of conditions and the following disclaimer in the
  15  *    documentation and/or other materials provided with the distribution.
  16  * 3. Neither the name of the project nor the names of its contributors
  17  *    may be used to endorse or promote products derived from this software
  18  *    without specific prior written permission.
  19  *
  20  * THIS SOFTWARE IS PROVIDED BY THE PROJECT AND CONTRIBUTORS ``AS IS'' AND
  21  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  22  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  23  * ARE DISCLAIMED.  IN NO EVENT SHALL THE PROJECT OR CONTRIBUTORS BE LIABLE
  24  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  25  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  26  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  27  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  28  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  29  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  30  * SUCH DAMAGE.
  31  */
  32
  33 #ifndef _NETIPSEC_KEYDB_H_
  34 #define _NETIPSEC_KEYDB_H_
  35
  36 #ifdef _KERNEL
  37
  38 #include <netipsec/key_var.h>
  39
  40 /*
  41  * The union of all possible address formats we handle.
  42  */
  43 union sockaddr_union {
  44         struct sockaddr         sa;
  45         struct sockaddr_in      sin;
  46         struct sockaddr_in6     sin6;
  47 };
  48
  49 /* Security Assocciation Index */
  50 /* NOTE: Ensure to be same address family */
  51 struct secasindex {
  52         union sockaddr_union src;       /* srouce address for SA */
  53         union sockaddr_union dst;       /* destination address for SA */
  54         u_int16_t proto;                /* IPPROTO_ESP or IPPROTO_AH */
  55         u_int8_t mode;                  /* mode of protocol, see ipsec.h */
  56         u_int32_t reqid;                /* reqid id who owned this SA */
  57                                         /* see IPSEC_MANUAL_REQID_MAX. */
  58 };
  59
  60 /* Security Association Data Base */
  61 struct secashead {
  62         LIST_ENTRY(secashead) chain;
  63
  64         struct secasindex saidx;
  65
  66         struct sadb_ident *idents;      /* source identity */
  67         struct sadb_ident *identd;      /* destination identity */
  68                                         /* XXX I don't know how to use them. */
  69
  70         u_int8_t state;                 /* MATURE or DEAD. */
  71         LIST_HEAD(_satree, secasvar) savtree[SADB_SASTATE_MAX+1];
  72                                         /* SA chain */
  73                                         /* The first of this list is newer SA */
  74
  75         struct route sa_route;          /* route cache */
  76 };
  77
  78 struct xformsw;
  79 struct enc_xform;
  80 struct auth_hash;
  81 struct comp_algo;
  82
  83 /* Security Association */
  84 struct secasvar {
  85         LIST_ENTRY(secasvar) chain;
  86
  87         u_int refcnt;                   /* reference count */
  88         u_int8_t state;                 /* Status of this Association */
  89
  90         u_int8_t alg_auth;              /* Authentication Algorithm Identifier*/
  91         u_int8_t alg_enc;               /* Cipher Algorithm Identifier */
  92         u_int8_t alg_comp;              /* Compression Algorithm Identifier */
  93         u_int32_t spi;                  /* SPI Value, network byte order */
  94         u_int32_t flags;                /* holder for SADB_KEY_FLAGS */
  95
  96         struct sadb_key *key_auth;      /* Key for Authentication */
  97         struct sadb_key *key_enc;       /* Key for Encryption */
  98         caddr_t iv;                     /* Initilization Vector */
  99         u_int ivlen;                    /* length of IV */
 100         void *sched;                    /* intermediate encryption key */
 101         size_t schedlen;
 102
 103         struct secreplay *replay;       /* replay prevention */
 104         long created;                   /* for lifetime */
 105
 106         struct sadb_lifetime *lft_c;    /* CURRENT lifetime, it's constant. */
 107         struct sadb_lifetime *lft_h;    /* HARD lifetime */
 108         struct sadb_lifetime *lft_s;    /* SOFT lifetime */
 109
 110         u_int32_t seq;                  /* sequence number */
 111         pid_t pid;                      /* message's pid */
 112
 113         struct secashead *sah;          /* back pointer to the secashead */
 114
 115         /*
 116          * NB: Fields with a tdb_ prefix are part of the "glue" used
 117          *     to interface to the OpenBSD crypto support.  This was done
 118          *     to distinguish this code from the mainline KAME code.
 119          */
 120         struct xformsw *tdb_xform;      /* transform */
 121         struct enc_xform *tdb_encalgxform;      /* encoding algorithm */
 122         struct auth_hash *tdb_authalgxform;     /* authentication algorithm */
 123         struct comp_algo *tdb_compalgxform;     /* compression algorithm */
 124         u_int64_t tdb_cryptoid;         /* crypto session id */
 125 };
 126
 127 /* replay prevention */
 128 struct secreplay {
 129         u_int32_t count;
 130         u_int wsize;            /* window size, i.g. 4 bytes */
 131         u_int32_t seq;          /* used by sender */
 132         u_int32_t lastseq;      /* used by receiver */
 133         caddr_t bitmap;         /* used by receiver */
 134         int overflow;           /* overflow flag */
 135 };
 136
 137 /* socket table due to send PF_KEY messages. */
 138 struct secreg {
 139         LIST_ENTRY(secreg) chain;
 140
 141         struct socket *so;
 142 };
 143
 144 #ifndef IPSEC_NONBLOCK_ACQUIRE
 145 /* acquiring list table. */
 146 struct secacq {
 147         LIST_ENTRY(secacq) chain;
 148
 149         struct secasindex saidx;
 150
 151         u_int32_t seq;          /* sequence number */
 152         long created;           /* for lifetime */
 153         int count;              /* for lifetime */
 154 };
 155 #endif
 156
 157 /* Sensitivity Level Specification */
 158 /* nothing */
 159
 160 #define SADB_KILL_INTERVAL      600     /* six seconds */
 161
 162 /* secpolicy */
 163 extern struct secpolicy *keydb_newsecpolicy __P((void));
 164 extern void keydb_delsecpolicy __P((struct secpolicy *));
 165 /* secashead */
 166 extern struct secashead *keydb_newsecashead __P((void));
 167 extern void keydb_delsecashead __P((struct secashead *));
 168 /* secasvar */
 169 extern struct secasvar *keydb_newsecasvar __P((void));
 170 extern void keydb_refsecasvar __P((struct secasvar *));
 171 extern void keydb_freesecasvar __P((struct secasvar *));
 172 /* secreplay */
 173 extern struct secreplay *keydb_newsecreplay __P((size_t));
 174 extern void keydb_delsecreplay __P((struct secreplay *));
 175 /* secreg */
 176 extern struct secreg *keydb_newsecreg __P((void));
 177 extern void keydb_delsecreg __P((struct secreg *));
 178
 179 #endif /* _KERNEL */
 180
 181 #endif /* _NETIPSEC_KEYDB_H_ */