文案ipsec实验报告

IPSECIPSECIPSEC协议实现的工作模式、AH协议和ESP协议有一个初步的认识，通过这个实验，也可以增进对于网络根据系统提供的已经建立安全的信息，对于接收到的报文和发送的报文，在IPSECAH协议使用系统提供的认证算法对报文进行相应混合模式报文处理（AH协议+ESP协议IPSECAHESP协议使用系统提供的认证和加密3DES加密算法实现（ESP协议IPSECESP3des加密算法对(一)传输模式报文处理（AH协议 ）或者其他IPSec协议之前。以TCP数据为例，下图表示了AH在传输模式中的位置。） 接收过来的IPSEC报文，len是报文的长度，具体算法如下：查询安全库externstructipsecAssoc*g_ipsec_sad_in，根据报文的目的地址和其中的SPI号查询与之匹配的安全SA，注意这里面系统应该是有BUG，正常的流程应是先SAalgAuth，然后再根据系统AH_ALGORITHM*ahAlgorithmLookup 相应的改动，然后加上IP净荷域部分构成一个IP包。 还要实现stud_ipsec_output(char*pBuffer,unsignedintlen)函数查询安全库externstructipsecAssoc*g_ipsec_sad_out，根据报文的源地址、目的地址和上层协议号查询与之匹配的安全SA，注意这里面系统应该是有BUG，正常的根据实际测试可知使用第二个匹配命中的SA进行接下来的操作。AH_ALGORITHM*ahAlgorithmLookup(unsignedcharalgAuth)查询相应的认证算法结构ah_algorithm。构造出初始的IPSEC报文，此报文中的认证 的认证算法函数ah4CalculateICV()计算出认证 再将原IP包头、AH头、新计算出来的认证 、IP净荷域按次序组成最终的IPSEC报 ESP协议的格ESP隧道模式保护的是整个IP包，对整个IP包进行加密。ESP到原IP头部（含选项字段）之前，在ESP之前再新的IP头部。以TCP为例，下图是在应用ESP隧道模式前后的IP包格式。4-4ESPIPIPIPIPIP地IPIPIPIP地址，例如，可以是NAT网关的IP地址，这样两个子网中的主机可以利用ESP进行安全通信。与传输模式一样，ESPSPI和序号字段；ESP尾部含有填充、填充头部和下一个头字段；如果选用了验证，ESP的验证数据字段中包含了验证数据。同样，ESP头部和ESP验证数据字段不被加密。第一步：intstud_ipsec_input(char*pBuffer,unsignedintlen)函数，pBuffer指向接收过来的IPSEC报文，len是报文的长度，具体算法如下：查询安全库externstructipsecAssoc*g_ipsec_sad_in，根据报文的目的地址和其中SAalgAuth，然后再根据系统AH_ALGORITHM*ahAlgorithmLookup使用系统提供ESP协议认证计算函数espAuthCalculate()计算出该接收报文的认证摘 系统提供的函数espAlgorithmLookup()查询相应的加密算法结构esp_Algorithm。调用系统提供的函数int(*decrypt)(unsignedchar*pEncryText,unsignedintencryLen,unsignedchar*pinText,unsignedint*pinLen,char*pKeyschar*iv);将原报文中的密文部分，其中iv初始化向量是在原报文中ESP报头后面的八个字节的数据。交给系统接收报文函数voidipsec_Receive_process(char*pBuffer,intdwLen)即可。第二步：查询安全库externstructipsecAssoc*g_ipsec_sad_out，根据报文的源地址、目的地址和上层协议号查询与之匹配的安全SA，注意这里面系统应该是有BUG，正常的还有另一个BUG，根据这个匹配方法在安全库中会没有符合条件的安全SA，最后根据测试使用穷举法发现使用安全库中的第二个安全，最终测试可以通系统提供的函数espAlgorithmLookup()查询相应的加密算法结构esp_Algorithm。调用系统提供的ESPint(*padding)(unsignedchar*pOriginalText,unsignedintoriginalLen,unsignedchar**pPaddingText,unsignedint*paddedLen,unsignedcharnxtHdr);将原中需要加密的部分填充成需要的字节数，然后返回填充好的数据。ESPint(*encrypt)(unsigned*inText,unsignedintinLen,unsignedchar*encryText,unsignedint*encryLen,*pKeys,char*iv);其中的iv初始化向量是在安全SA的结构体中查到的，而且需要注意的是这个iv在调用这个函数之前首先要拷贝一下，否则此函数会将iv改变。ESP协议头。提供的函数ahAlgorithmLookup()查询相应的认证算法结构ah_algorithm。将第6步构造出的报文作为系统提供的ESP协议认证计算函数int IP头、ESP头、IVIPSECvoidipsec_Send_process(char*pBuffer,int 接收过来的IPSEC报文，len是报文的长度，具体算法如下：查询安全库externstructipsecAssoc*g_ipsec_sad_in，根据报文的目的地址和其中个符合条件的安全，一个是供AH协议使用的；一个是供ESP协议使用的。AHSAalgAuth，然后因0，因此需要拷贝一下原 将原报文中的AH认证 使用系统提供ESP协议认证 从原报文中提取出最后的12个字节（是原报文的认证 系统提供的函数espAlgorithmLookup()查询相应的加密算法结构esp_Algorithm。调用系统提供的函数int(*decrypt)(unsignedchar*pEncryText,unsignedintencryLen,unsignedchar*pinText,unsignedint*pinLen,char*pKeyschar*iv);将原报文中的密文部分，其中iv初始化向量是在原报文中ESP报头后面的八个字节的数据。系统接收报文函数ipsec_Receive_process()即可。 还要实现stud_ipsec_output(char*pBuffer,unsignedintlen)函数查询安全库externstructipsecAssoc*g_ipsec_sad_out，正常应该根据报文的源地供AH协议使用的；一个是供ESP协议使用的。ESPSAESP加密算法的名称algEncry，然后再根据系统提供的函数espAlgorithmLookup()查询相应的加密算法结构调用系统提供的ESPint(*padding)(unsignedchar*pOriginalText,unsignedintoriginalLen,unsignedchar**pPaddingText,unsignedint*paddedLen,unsignedcharnxtHdr);将原中需要加密的部分填充成需要的字节数，然后返回填充好的数据。ESPint(*encrypt)(unsigned*inText,unsignedintinLen,unsignedchar*encryText,unsignedint*encryLen,*pKeys,char*iv);其中的iv初始化向量是在安全SA的结构体中查到的，而且需要注意的是这个iv在调用这个函数之前首先要拷贝一下，否则此函数会将iv改变。且还要构造ESP协议头。ESPSAalgAuth，然后6步构造出的报文作为系统提供的ESP协议认证计算函数espAuthCalculate()的输入计算出该报文的ESP认证。IP头、AH头、AH认证（0、ESP报头、IV初始化向量、加密数据、ESP认证按次序组成新的报文，然后调用系统提供的认证算法函数ah4CalculateICV()计算出AH认证。再将新的IP头、AH头、AH认证 、ESP报头、IV初始化向量、加密数据、ESP认证按次序组成最终的IPSEC报文。IPSECvoidipsec_Send_process(char*pBuffer,int 接收过来的IPSEC报文，len是报文的长度，具体算法如下：查询安全库externstructipsecAssoc*g_ipsec_sad_in，根据报文的目的地址和其中提供的函数ahAlgorithmLookup()查询相应的认证算法结构ah_algorithm。使用系统提供ESP协议认证计算函数espAuthCalculate()计算出该接收报文的认证摘12个字节（是原报文的认证），与新计算出的认证进出的明文组装成IP报文。 还要实现stud_ipsec_output(char*pBuffer,unsignedintlen)函数查询安全库externstructipsecAssoc*g_ipsec_sad_out，根据报文的源地址、目的地址和上层协议号查询与之匹配的安全SA。最后两个字节分别记录填充的长度和IP上层的协议号。INT32des(BYTE*dataBYTE*key,INT32readlen)dataINT32Ddes(BYTE*data,BYTE*key,INT32readlen)对data进行；最后再使用第一个密钥，调用INT32des(BYTE*data,BYTE*key,INT32readlen)函数对data再次加密，得出最终的密文。提供的函数ahAlgorithmLookup()查询相应的认证算法结构ah_al