楊浩淼， 張文科， 蔣 磊

（①電子科技大學(xué) 計算機(jī)學(xué)院，四川 成都611731；②衛(wèi)士通信息產(chǎn)業(yè)股份有限公司，四川 成都610041；③四川省人民政府社會發(fā)展研究中心，四川 成都610091）

0 引言

早期TCP/IP協(xié)議存在種種安全問題，為此IETF設(shè)計了一套提供 Internet安全通信的協(xié)議，稱之為IPsec協(xié)議[1-2]。該協(xié)議在IP層提供安全服務(wù)，包括機(jī)密性、完整性以及認(rèn)證性。它既可以和IPv4聯(lián)合使用，也可以和IPv6聯(lián)合使用，是互聯(lián)網(wǎng)的基礎(chǔ)安全協(xié)議。因此, 了解和應(yīng)用 IPSec 協(xié)議也必將成為網(wǎng)絡(luò)安全課程中的重要內(nèi)容。探討如何開展 IPSec實(shí)驗(yàn), 對提高學(xué)生計算機(jī)網(wǎng)絡(luò)安全實(shí)踐操作能力具有現(xiàn)實(shí)的指導(dǎo)意義。考慮到Windows平臺應(yīng)用的普及，這里將在Windows 2003平臺下設(shè)計IPSec實(shí)驗(yàn)。

在建立 IPSec安全通道之前，對等體之間需要相互認(rèn)證以確定身份。Windows 2003 IPSec 支持3種身份認(rèn)證：Kerberos、證書和預(yù)共享密鑰。只有當(dāng)兩個終結(jié)點(diǎn)（計算機(jī)）都位于同一個 Windows 2003域時，Kerberos 身份認(rèn)證才有效。這種類型的身份認(rèn)證是首選方法。如果計算機(jī)位于不同的域中，或者至少有一臺計算機(jī)不在某個域中，則必須使用證書或預(yù)共享密鑰。只有當(dāng)每個終結(jié)點(diǎn)中包含一個由受信任的頒發(fā)機(jī)構(gòu)簽署的證書時，才能進(jìn)行基于證書認(rèn)證的IPSec通信。如果終結(jié)點(diǎn)不在同一個域中，并且無法獲得證書，則預(yù)共享密鑰是唯一的身份認(rèn)證選擇。

然而，在已有的網(wǎng)絡(luò)安全實(shí)驗(yàn)教材中，IPSec身份認(rèn)證實(shí)驗(yàn)大多數(shù)是通過“預(yù)共享密鑰”的方式來進(jìn)行的[3-4]。因此，這里將設(shè)計兩個更通用的IPSec身份認(rèn)證實(shí)驗(yàn)：“基于證書”和“基于Kerberos協(xié)議”。這些實(shí)驗(yàn)將使學(xué)生綜合理解網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)知識，更好的培養(yǎng)學(xué)生的實(shí)踐工程能力。

另外，傳統(tǒng)的網(wǎng)絡(luò)安全協(xié)議實(shí)驗(yàn)的開展，需要較高的硬件支持（昂貴的硬件防火墻和服務(wù)器）和大量的底層網(wǎng)絡(luò)實(shí)驗(yàn)平臺的建設(shè)。如果從頭做起，是一筆不小的開銷。而基于VMWare虛擬機(jī)[5]來進(jìn)行網(wǎng)絡(luò)安全協(xié)議實(shí)驗(yàn)。

1 IPSec簡介

傳統(tǒng)的IP數(shù)據(jù)包具有不安全性，例如可以修改源地址和目標(biāo)地址；可以查看、修改、刪除數(shù)據(jù)包的內(nèi)容，還可以發(fā)起數(shù)據(jù)包重放攻擊。而 IPSec為IP層提供安全服務(wù)，包括機(jī)密性、完整性、認(rèn)證性和密鑰管理。由于 IPSec獨(dú)立于加密算法，即使加密算法改變了或增加新的算法，也不對其他部分的實(shí)現(xiàn)產(chǎn)生影響。另外，IPSec還可以實(shí)現(xiàn)多種安全策略，這樣就能避免給不使用該體制的系統(tǒng)成不利影響。

2 IPSec身份認(rèn)證的綜合實(shí)驗(yàn)設(shè)計

基于預(yù)共享密鑰的實(shí)驗(yàn)在大多數(shù)網(wǎng)絡(luò)安全協(xié)議的實(shí)驗(yàn)教材中均能找到?；贙erberos或基于證書的IPSec卻很少見到，將設(shè)計這兩個IPSec認(rèn)證實(shí)驗(yàn)。

2.1 實(shí)驗(yàn)環(huán)境和通用步驟

文中實(shí)驗(yàn)環(huán)境如表 1所示，其通用步驟為：①在控制臺 MMC中，添加“IP安全策略”和“IPSec監(jiān)視器”兩個單元，以配置 IP安全策略以及觀察IPSec通信狀態(tài)；②進(jìn)行 IPSec安全策略的通用配置；③通過Ping命令來測試IPSec通信的安全連通性。另外，這三臺計算機(jī)都是VMWare 8上的虛擬機(jī)，其網(wǎng)絡(luò)模式為Host-Only。

表1 IPSec實(shí)驗(yàn)的網(wǎng)絡(luò)和計算機(jī)配置

2.2 Kerberos的IPSec實(shí)驗(yàn)

Kerberos協(xié)議是上個世紀(jì)80年代由MIT開發(fā)的一種分布式網(wǎng)絡(luò)環(huán)境的身份認(rèn)證協(xié)議[6]，它基于對稱密鑰加密技術(shù)。Kerberos要解決的問題是假設(shè)在一個開放的分布式環(huán)境中，工作站的用戶希望訪問分布在網(wǎng)絡(luò)各處的服務(wù)器上的服務(wù)。而服務(wù)器如何來認(rèn)證用戶身份并授權(quán)。

Kerberos是 Windows 2003唯一的身份認(rèn)證機(jī)制，通過 KDC（密鑰分發(fā)中心）來體現(xiàn)。KDC以域?yàn)槠渥饔梅秶?，使用活動目錄（AD）進(jìn)行賬號管理，并向客戶端提供兩個服務(wù)：認(rèn)證服務(wù)（AS）和票證頒發(fā)服務(wù)（TGS）。只要安裝AD和運(yùn)行一個域控制器，Kerberos就會安裝并運(yùn)行。當(dāng)一個用戶嘗試登錄時，系統(tǒng)就使用Kerberos對用戶進(jìn)行身份驗(yàn)證（如圖1所示）。

圖1 Kerberos設(shè)置

本實(shí)驗(yàn)中， 將IP地址為192.168.96.3的計算機(jī)DC設(shè)為域控制器，將 IP地址為 192.168.96.4（CLIENT1）和192.168.96.5（CLIENT2）的計算機(jī)加入該域（如圖2所示），再按圖3的配置進(jìn)行實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果見圖4。

圖2 Active Directory中的計算機(jī)

圖3 IPSec身份驗(yàn)證-Kerberos

圖4 安全關(guān)聯(lián)- Kerberos驗(yàn)證

2.3 證書的IPSec實(shí)驗(yàn)

證書是用于身份驗(yàn)證的經(jīng)過（權(quán)威機(jī)構(gòu)）數(shù)字簽名的聲明（以文件的形式存在）。證書將公鑰與保存對應(yīng)私鑰的實(shí)體綁定在一起，證書一般由可信的權(quán)威第三方CA中心（權(quán)威授權(quán)機(jī)構(gòu)）頒發(fā)， CA 對其頒發(fā)證書進(jìn)行數(shù)字簽名，以保證所頒發(fā)證書的完整性和可鑒別性。CA可以為用戶、計算機(jī)或服務(wù)等各類實(shí)體頒發(fā)證書[7]。

圖5 根CA證書

圖6 CLIENT1證書

圖7 CLIENT2證書

本實(shí)驗(yàn)中，在 IP地址為 192.168.96.3的計算機(jī)（DC）上設(shè)置好證書頒發(fā)機(jī)構(gòu) CA，IP地址為192.168.96.4（CLIENT1）和 192.168.96.5（CLIENT2）的計算機(jī)向 CA申請證書并安裝（如圖 5、圖 6和圖7所示），具體過程參見相應(yīng)資料，這里不在贅述，再按圖8的配置進(jìn)行實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果見圖9。

圖8 IPSec身份驗(yàn)證-證書

圖9 安全關(guān)聯(lián)- 證書

3 結(jié)語

文中設(shè)計了 IPSec身份驗(yàn)證的綜合實(shí)驗(yàn)，它的身份驗(yàn)證方式，既包括簡單的“預(yù)先共享的密鑰”，一般的網(wǎng)絡(luò)安全實(shí)驗(yàn)教材所設(shè)計的 IPSec實(shí)驗(yàn)通常是這種；又包括比較少見的“基于Kerberos”和“證書”，填補(bǔ)了在本科網(wǎng)絡(luò)安全實(shí)驗(yàn)設(shè)計上的一個空白。本實(shí)驗(yàn)除了包括IPSec、證書、Kerberos等，還涉及到Windows平臺上各種安全設(shè)置，如活動目錄、計算機(jī)加入域、防火墻、證書頒發(fā)中心 CA等知識點(diǎn)，這將有助于學(xué)生綜合掌握網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)知識，以及更好的培養(yǎng)學(xué)生的實(shí)踐工程能力。本實(shí)驗(yàn)設(shè)計的另一個特點(diǎn)是，在已有的網(wǎng)絡(luò)實(shí)驗(yàn)平臺的基礎(chǔ)上，充分利用VMWare強(qiáng)大的虛擬功能，既有效的達(dá)到了實(shí)驗(yàn)?zāi)繕?biāo)，又節(jié)約了成本。

[1] 程艷麗,張友純. IP通信網(wǎng)絡(luò)安全攻擊與防范[J]. 信息安全與通信保密, 2010(04)：39-41.

[2] 王乃衛(wèi),鄭慧英. 針對DoS攻擊的IP跟蹤技術(shù)研究[J].信息安全與通信保密, 2012(01)：103-105.

[3] 劉建偉,張衛(wèi)東,劉培順. 網(wǎng)絡(luò)安全實(shí)驗(yàn)教程[M]. 北京：清華大學(xué)出版社,2007.

[4] 王常吉,龍冬陽. 信息與網(wǎng)絡(luò)安全實(shí)驗(yàn)教程[M]. 北京：清華大學(xué)出版社,2007.

[5] 馮陳偉. 利用VMware構(gòu)建虛擬網(wǎng)絡(luò)平臺[J]. 信息系統(tǒng)工程,2009(08)：78-81.

[6] 黃美東. 基于LDAP與Kerberos的認(rèn)證系統(tǒng)研究與設(shè)計——廣東非物質(zhì)文化遺產(chǎn)信息管理系統(tǒng)設(shè)計[J]. 通信技術(shù), 2009,42(05)：197-202.

[7] 劉華春. 基于 PKI的IPSec-VPN的研究與設(shè)計[J]. 通信技術(shù), 2009,42(01)：259-263.