版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/lovelycheng/article/details/78335771
内核的4.13版本实现了一个TLS功能(根据 RFC 5288),google员工Dave Watson受到FreeBSD的Netflix的项目启发(FreeBSD网络很强大啊),实现这个功能的初衷是为了优化tls应用协议的性能(略微有一些,作者实测是2-7%)。据他说,google内部的网络协议80%是通过tls加密的。有了这个功能之后,http在用户态不需要加密,只需要纯的http,在内核态封装为https。
从设计上,加密是基于128-bit advanced encryption standard (AES)的Galois counter mode (GCM) ,即gcm(aes)。GCM是内核crypto的组件,因此接口设计上,也是类似标准的crypto子系统的接口一样,通过创建一个AF_ALG family的socket来使用。
具体地,通信两端各创建两个socket,一个是AF_AGL family的crypto socket,另一个是常规的TCP socket。TCP socket负责握手以及keys的传递(用户态通过set_socketopt给内核)。然后一个真正干活的socket被创建(crypto socket执行accept之后),它会负责设置initialization vectors (IVs,通过sendmsg()) 、创建control messages(通过CMSG),以及后续的实际的数据读写。