sys/netproto/ipsec/keydb.h

   1 /*      $FreeBSD: src/sys/netipsec/keydb.h,v 1.1.4.1 2003/01/24 05:11:36 sam Exp $      */
   2 /*      $DragonFly: src/sys/netproto/ipsec/keydb.h,v 1.4 2003/08/23 10:06:23 rob Exp $  */
   3 /*      $KAME: keydb.h,v 1.14 2000/08/02 17:58:26 sakane Exp $  */
   4
   5 /*
   6  * Copyright (C) 1995, 1996, 1997, and 1998 WIDE Project.
   7  * All rights reserved.
   8  *
   9  * Redistribution and use in source and binary forms, with or without
  10  * modification, are permitted provided that the following conditions
  11  * are met:
  12  * 1. Redistributions of source code must retain the above copyright
  13  *    notice, this list of conditions and the following disclaimer.
  14  * 2. Redistributions in binary form must reproduce the above copyright
  15  *    notice, this list of conditions and the following disclaimer in the
  16  *    documentation and/or other materials provided with the distribution.
  17  * 3. Neither the name of the project nor the names of its contributors
  18  *    may be used to endorse or promote products derived from this software
  19  *    without specific prior written permission.
  20  *
  21  * THIS SOFTWARE IS PROVIDED BY THE PROJECT AND CONTRIBUTORS ``AS IS'' AND
  22  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  23  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  24  * ARE DISCLAIMED.  IN NO EVENT SHALL THE PROJECT OR CONTRIBUTORS BE LIABLE
  25  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  26  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  27  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  28  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  29  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  30  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  31  * SUCH DAMAGE.
  32  */
  33
  34 #ifndef _NETIPSEC_KEYDB_H_
  35 #define _NETIPSEC_KEYDB_H_
  36
  37 #ifdef _KERNEL
  38
  39 #include "key_var.h"
  40
  41 /*
  42  * The union of all possible address formats we handle.
  43  */
  44 union sockaddr_union {
  45         struct sockaddr         sa;
  46         struct sockaddr_in      sin;
  47         struct sockaddr_in6     sin6;
  48 };
  49
  50 /* Security Assocciation Index */
  51 /* NOTE: Ensure to be same address family */
  52 struct secasindex {
  53         union sockaddr_union src;       /* srouce address for SA */
  54         union sockaddr_union dst;       /* destination address for SA */
  55         u_int16_t proto;                /* IPPROTO_ESP or IPPROTO_AH */
  56         u_int8_t mode;                  /* mode of protocol, see ipsec.h */
  57         u_int32_t reqid;                /* reqid id who owned this SA */
  58                                         /* see IPSEC_MANUAL_REQID_MAX. */
  59 };
  60
  61 /* Security Association Data Base */
  62 struct secashead {
  63         LIST_ENTRY(secashead) chain;
  64
  65         struct secasindex saidx;
  66
  67         struct sadb_ident *idents;      /* source identity */
  68         struct sadb_ident *identd;      /* destination identity */
  69                                         /* XXX I don't know how to use them. */
  70
  71         u_int8_t state;                 /* MATURE or DEAD. */
  72         LIST_HEAD(_satree, secasvar) savtree[SADB_SASTATE_MAX+1];
  73                                         /* SA chain */
  74                                         /* The first of this list is newer SA */
  75
  76         struct route sa_route;          /* route cache */
  77 };
  78
  79 struct xformsw;
  80 struct enc_xform;
  81 struct auth_hash;
  82 struct comp_algo;
  83
  84 /* Security Association */
  85 struct secasvar {
  86         LIST_ENTRY(secasvar) chain;
  87
  88         u_int refcnt;                   /* reference count */
  89         u_int8_t state;                 /* Status of this Association */
  90
  91         u_int8_t alg_auth;              /* Authentication Algorithm Identifier*/
  92         u_int8_t alg_enc;               /* Cipher Algorithm Identifier */
  93         u_int8_t alg_comp;              /* Compression Algorithm Identifier */
  94         u_int32_t spi;                  /* SPI Value, network byte order */
  95         u_int32_t flags;                /* holder for SADB_KEY_FLAGS */
  96
  97         struct sadb_key *key_auth;      /* Key for Authentication */
  98         struct sadb_key *key_enc;       /* Key for Encryption */
  99         caddr_t iv;                     /* Initilization Vector */
 100         u_int ivlen;                    /* length of IV */
 101         void *sched;                    /* intermediate encryption key */
 102         size_t schedlen;
 103
 104         struct secreplay *replay;       /* replay prevention */
 105         long created;                   /* for lifetime */
 106
 107         struct sadb_lifetime *lft_c;    /* CURRENT lifetime, it's constant. */
 108         struct sadb_lifetime *lft_h;    /* HARD lifetime */
 109         struct sadb_lifetime *lft_s;    /* SOFT lifetime */
 110
 111         u_int32_t seq;                  /* sequence number */
 112         pid_t pid;                      /* message's pid */
 113
 114         struct secashead *sah;          /* back pointer to the secashead */
 115
 116         /*
 117          * NB: Fields with a tdb_ prefix are part of the "glue" used
 118          *     to interface to the OpenBSD crypto support.  This was done
 119          *     to distinguish this code from the mainline KAME code.
 120          */
 121         struct xformsw *tdb_xform;      /* transform */
 122         struct enc_xform *tdb_encalgxform;      /* encoding algorithm */
 123         struct auth_hash *tdb_authalgxform;     /* authentication algorithm */
 124         struct comp_algo *tdb_compalgxform;     /* compression algorithm */
 125         u_int64_t tdb_cryptoid;         /* crypto session id */
 126 };
 127
 128 /* replay prevention */
 129 struct secreplay {
 130         u_int32_t count;
 131         u_int wsize;            /* window size, i.g. 4 bytes */
 132         u_int32_t seq;          /* used by sender */
 133         u_int32_t lastseq;      /* used by receiver */
 134         caddr_t bitmap;         /* used by receiver */
 135         int overflow;           /* overflow flag */
 136 };
 137
 138 /* socket table due to send PF_KEY messages. */
 139 struct secreg {
 140         LIST_ENTRY(secreg) chain;
 141
 142         struct socket *so;
 143 };
 144
 145 #ifndef IPSEC_NONBLOCK_ACQUIRE
 146 /* acquiring list table. */
 147 struct secacq {
 148         LIST_ENTRY(secacq) chain;
 149
 150         struct secasindex saidx;
 151
 152         u_int32_t seq;          /* sequence number */
 153         long created;           /* for lifetime */
 154         int count;              /* for lifetime */
 155 };
 156 #endif
 157
 158 /* Sensitivity Level Specification */
 159 /* nothing */
 160
 161 #define SADB_KILL_INTERVAL      600     /* six seconds */
 162
 163 /* secpolicy */
 164 extern struct secpolicy *keydb_newsecpolicy (void);
 165 extern void keydb_delsecpolicy (struct secpolicy *);
 166 /* secashead */
 167 extern struct secashead *keydb_newsecashead (void);
 168 extern void keydb_delsecashead (struct secashead *);
 169 /* secasvar */
 170 extern struct secasvar *keydb_newsecasvar (void);
 171 extern void keydb_refsecasvar (struct secasvar *);
 172 extern void keydb_freesecasvar (struct secasvar *);
 173 /* secreplay */
 174 extern struct secreplay *keydb_newsecreplay (size_t);
 175 extern void keydb_delsecreplay (struct secreplay *);
 176 /* secreg */
 177 extern struct secreg *keydb_newsecreg (void);
 178 extern void keydb_delsecreg (struct secreg *);
 179
 180 #endif /* _KERNEL */
 181
 182 #endif /* _NETIPSEC_KEYDB_H_ */