文案ipsec實驗報告

IPSECIPSECIPSEC協(xié)議實現(xiàn)的工作模式、AH協(xié)議和ESP協(xié)議有一個初步的認(rèn)識，通過這個實驗，也可以增進(jìn)對于網(wǎng)絡(luò)根據(jù)系統(tǒng)提供的已經(jīng)建立安全的信息，對于接收到的報文和發(fā)送的報文，在IPSECAH協(xié)議使用系統(tǒng)提供的認(rèn)證算法對報文進(jìn)行相應(yīng)混合模式報文處理（AH協(xié)議+ESP協(xié)議IPSECAHESP協(xié)議使用系統(tǒng)提供的認(rèn)證和加密3DES加密算法實現(xiàn)（ESP協(xié)議IPSECESP3des加密算法對(一)傳輸模式報文處理（AH協(xié)議 ）或者其他IPSec協(xié)議之前。以TCP數(shù)據(jù)為例，下圖表示了AH在傳輸模式中的位置。） 接收過來的IPSEC報文，len是報文的長度，具體算法如下：查詢安全庫externstructipsecAssoc*g_ipsec_sad_in，根據(jù)報文的目的地址和其中的SPI號查詢與之匹配的安全SA，注意這里面系統(tǒng)應(yīng)該是有BUG，正常的流程應(yīng)是先SAalgAuth，然后再根據(jù)系統(tǒng)AH_ALGORITHM*ahAlgorithmLookup 相應(yīng)的改動，然后加上IP凈荷域部分構(gòu)成一個IP包。 還要實現(xiàn)stud_ipsec_output(char*pBuffer,unsignedintlen)函數(shù)查詢安全庫externstructipsecAssoc*g_ipsec_sad_out，根據(jù)報文的源地址、目的地址和上層協(xié)議號查詢與之匹配的安全SA，注意這里面系統(tǒng)應(yīng)該是有BUG，正常的根據(jù)實際測試可知使用第二個匹配命中的SA進(jìn)行接下來的操作。AH_ALGORITHM*ahAlgorithmLookup(unsignedcharalgAuth)查詢相應(yīng)的認(rèn)證算法結(jié)構(gòu)ah_algorithm。構(gòu)造出初始的IPSEC報文，此報文中的認(rèn)證 的認(rèn)證算法函數(shù)ah4CalculateICV()計算出認(rèn)證 再將原IP包頭、AH頭、新計算出來的認(rèn)證 、IP凈荷域按次序組成最終的IPSEC報 ESP協(xié)議的格ESP隧道模式保護(hù)的是整個IP包，對整個IP包進(jìn)行加密。ESP到原IP頭部（含選項字段）之前，在ESP之前再新的IP頭部。以TCP為例，下圖是在應(yīng)用ESP隧道模式前后的IP包格式。4-4ESPIPIPIPIPIP地IPIPIPIP地址，例如，可以是NAT網(wǎng)關(guān)的IP地址，這樣兩個子網(wǎng)中的主機(jī)可以利用ESP進(jìn)行安全通信。與傳輸模式一樣，ESPSPI和序號字段；ESP尾部含有填充、填充頭部和下一個頭字段；如果選用了驗證，ESP的驗證數(shù)據(jù)字段中包含了驗證數(shù)據(jù)。同樣，ESP頭部和ESP驗證數(shù)據(jù)字段不被加密。第一步：intstud_ipsec_input(char*pBuffer,unsignedintlen)函數(shù)，pBuffer指向接收過來的IPSEC報文，len是報文的長度，具體算法如下：查詢安全庫externstructipsecAssoc*g_ipsec_sad_in，根據(jù)報文的目的地址和其中SAalgAuth，然后再根據(jù)系統(tǒng)AH_ALGORITHM*ahAlgorithmLookup使用系統(tǒng)提供ESP協(xié)議認(rèn)證計算函數(shù)espAuthCalculate()計算出該接收報文的認(rèn)證摘 系統(tǒng)提供的函數(shù)espAlgorithmLookup()查詢相應(yīng)的加密算法結(jié)構(gòu)esp_Algorithm。調(diào)用系統(tǒng)提供的函數(shù)int(*decrypt)(unsignedchar*pEncryText,unsignedintencryLen,unsignedchar*pinText,unsignedint*pinLen,char*pKeyschar*iv);將原報文中的密文部分，其中iv初始化向量是在原報文中ESP報頭后面的八個字節(jié)的數(shù)據(jù)。交給系統(tǒng)接收報文函數(shù)voidipsec_Receive_process(char*pBuffer,intdwLen)即可。第二步：查詢安全庫externstructipsecAssoc*g_ipsec_sad_out，根據(jù)報文的源地址、目的地址和上層協(xié)議號查詢與之匹配的安全SA，注意這里面系統(tǒng)應(yīng)該是有BUG，正常的還有另一個BUG，根據(jù)這個匹配方法在安全庫中會沒有符合條件的安全SA，最后根據(jù)測試使用窮舉法發(fā)現(xiàn)使用安全庫中的第二個安全，最終測試可以通系統(tǒng)提供的函數(shù)espAlgorithmLookup()查詢相應(yīng)的加密算法結(jié)構(gòu)esp_Algorithm。調(diào)用系統(tǒng)提供的ESPint(*padding)(unsignedchar*pOriginalText,unsignedintoriginalLen,unsignedchar**pPaddingText,unsignedint*paddedLen,unsignedcharnxtHdr);將原中需要加密的部分填充成需要的字節(jié)數(shù)，然后返回填充好的數(shù)據(jù)。ESPint(*encrypt)(unsigned*inText,unsignedintinLen,unsignedchar*encryText,unsignedint*encryLen,*pKeys,char*iv);其中的iv初始化向量是在安全SA的結(jié)構(gòu)體中查到的，而且需要注意的是這個iv在調(diào)用這個函數(shù)之前首先要拷貝一下，否則此函數(shù)會將iv改變。ESP協(xié)議頭。提供的函數(shù)ahAlgorithmLookup()查詢相應(yīng)的認(rèn)證算法結(jié)構(gòu)ah_algorithm。將第6步構(gòu)造出的報文作為系統(tǒng)提供的ESP協(xié)議認(rèn)證計算函數(shù)int IP頭、ESP頭、IVIPSECvoidipsec_Send_process(char*pBuffer,int 接收過來的IPSEC報文，len是報文的長度，具體算法如下：查詢安全庫externstructipsecAssoc*g_ipsec_sad_in，根據(jù)報文的目的地址和其中個符合條件的安全，一個是供AH協(xié)議使用的；一個是供ESP協(xié)議使用的。AHSAalgAuth，然后因0，因此需要拷貝一下原 將原報文中的AH認(rèn)證 使用系統(tǒng)提供ESP協(xié)議認(rèn)證 從原報文中提取出最后的12個字節(jié)（是原報文的認(rèn)證 系統(tǒng)提供的函數(shù)espAlgorithmLookup()查詢相應(yīng)的加密算法結(jié)構(gòu)esp_Algorithm。調(diào)用系統(tǒng)提供的函數(shù)int(*decrypt)(unsignedchar*pEncryText,unsignedintencryLen,unsignedchar*pinText,unsignedint*pinLen,char*pKeyschar*iv);將原報文中的密文部分，其中iv初始化向量是在原報文中ESP報頭后面的八個字節(jié)的數(shù)據(jù)。系統(tǒng)接收報文函數(shù)ipsec_Receive_process()即可。 還要實現(xiàn)stud_ipsec_output(char*pBuffer,unsignedintlen)函數(shù)查詢安全庫externstructipsecAssoc*g_ipsec_sad_out，正常應(yīng)該根據(jù)報文的源地供AH協(xié)議使用的；一個是供ESP協(xié)議使用的。ESPSAESP加密算法的名稱algEncry，然后再根據(jù)系統(tǒng)提供的函數(shù)espAlgorithmLookup()查詢相應(yīng)的加密算法結(jié)構(gòu)調(diào)用系統(tǒng)提供的ESPint(*padding)(unsignedchar*pOriginalText,unsignedintoriginalLen,unsignedchar**pPaddingText,unsignedint*paddedLen,unsignedcharnxtHdr);將原中需要加密的部分填充成需要的字節(jié)數(shù)，然后返回填充好的數(shù)據(jù)。ESPint(*encrypt)(unsigned*inText,unsignedintinLen,unsignedchar*encryText,unsignedint*encryLen,*pKeys,char*iv);其中的iv初始化向量是在安全SA的結(jié)構(gòu)體中查到的，而且需要注意的是這個iv在調(diào)用這個函數(shù)之前首先要拷貝一下，否則此函數(shù)會將iv改變。且還要構(gòu)造ESP協(xié)議頭。ESPSAalgAuth，然后6步構(gòu)造出的報文作為系統(tǒng)提供的ESP協(xié)議認(rèn)證計算函數(shù)espAuthCalculate()的輸入計算出該報文的ESP認(rèn)證。IP頭、AH頭、AH認(rèn)證（0、ESP報頭、IV初始化向量、加密數(shù)據(jù)、ESP認(rèn)證按次序組成新的報文，然后調(diào)用系統(tǒng)提供的認(rèn)證算法函數(shù)ah4CalculateICV()計算出AH認(rèn)證。再將新的IP頭、AH頭、AH認(rèn)證 、ESP報頭、IV初始化向量、加密數(shù)據(jù)、ESP認(rèn)證按次序組成最終的IPSEC報文。IPSECvoidipsec_Send_process(char*pBuffer,int 接收過來的IPSEC報文，len是報文的長度，具體算法如下：查詢安全庫externstructipsecAssoc*g_ipsec_sad_in，根據(jù)報文的目的地址和其中提供的函數(shù)ahAlgorithmLookup()查詢相應(yīng)的認(rèn)證算法結(jié)構(gòu)ah_algorithm。使用系統(tǒng)提供ESP協(xié)議認(rèn)證計算函數(shù)espAuthCalculate()計算出該接收報文的認(rèn)證摘12個字節(jié)（是原報文的認(rèn)證），與新計算出的認(rèn)證進(jìn)出的明文組裝成IP報文。 還要實現(xiàn)stud_ipsec_output(char*pBuffer,unsignedintlen)函數(shù)查詢安全庫externstructipsecAssoc*g_ipsec_sad_out，根據(jù)報文的源地址、目的地址和上層協(xié)議號查詢與之匹配的安全SA。最后兩個字節(jié)分別記錄填充的長度和IP上層的協(xié)議號。INT32des(BYTE*dataBYTE*key,INT32readlen)dataINT32Ddes(BYTE*data,BYTE*key,INT32readlen)對data進(jìn)行；最后再使用第一個密鑰，調(diào)用INT32des(BYTE*data,BYTE*key,INT32readlen)函數(shù)對data再次加密，得出最終的密文。提供的函數(shù)ahAlgorithmLookup()查詢相應(yīng)的認(rèn)證算法結(jié)構(gòu)ah_al