楊浩淼， 張文科， 蔣 磊

（①電子科技大學(xué) 計(jì)算機(jī)學(xué)院，四川 成都611731；②衛(wèi)士通信息產(chǎn)業(yè)股份有限公司，四川 成都610041；③四川省人民政府社會(huì)發(fā)展研究中心，四川 成都610091）

0 引言

早期TCP/IP協(xié)議存在種種安全問(wèn)題，為此IETF設(shè)計(jì)了一套提供 Internet安全通信的協(xié)議，稱(chēng)之為IPsec協(xié)議[1-2]。該協(xié)議在IP層提供安全服務(wù)，包括機(jī)密性、完整性以及認(rèn)證性。它既可以和IPv4聯(lián)合使用，也可以和IPv6聯(lián)合使用，是互聯(lián)網(wǎng)的基礎(chǔ)安全協(xié)議。因此, 了解和應(yīng)用 IPSec 協(xié)議也必將成為網(wǎng)絡(luò)安全課程中的重要內(nèi)容。探討如何開(kāi)展 IPSec實(shí)驗(yàn), 對(duì)提高學(xué)生計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)踐操作能力具有現(xiàn)實(shí)的指導(dǎo)意義?？紤]到Windows平臺(tái)應(yīng)用的普及，這里將在Windows 2003平臺(tái)下設(shè)計(jì)IPSec實(shí)驗(yàn)。

在建立 IPSec安全通道之前，對(duì)等體之間需要相互認(rèn)證以確定身份。Windows 2003 IPSec 支持3種身份認(rèn)證：Kerberos、證書(shū)和預(yù)共享密鑰。只有當(dāng)兩個(gè)終結(jié)點(diǎn)（計(jì)算機(jī)）都位于同一個(gè) Windows 2003域時(shí)，Kerberos 身份認(rèn)證才有效。這種類(lèi)型的身份認(rèn)證是首選方法。如果計(jì)算機(jī)位于不同的域中，或者至少有一臺(tái)計(jì)算機(jī)不在某個(gè)域中，則必須使用證書(shū)或預(yù)共享密鑰。只有當(dāng)每個(gè)終結(jié)點(diǎn)中包含一個(gè)由受信任的頒發(fā)機(jī)構(gòu)簽署的證書(shū)時(shí)，才能進(jìn)行基于證書(shū)認(rèn)證的IPSec通信。如果終結(jié)點(diǎn)不在同一個(gè)域中，并且無(wú)法獲得證書(shū)，則預(yù)共享密鑰是唯一的身份認(rèn)證選擇。

然而，在已有的網(wǎng)絡(luò)安全實(shí)驗(yàn)教材中，IPSec身份認(rèn)證實(shí)驗(yàn)大多數(shù)是通過(guò)“預(yù)共享密鑰”的方式來(lái)進(jìn)行的[3-4]。因此，這里將設(shè)計(jì)兩個(gè)更通用的IPSec身份認(rèn)證實(shí)驗(yàn)：“基于證書(shū)”和“基于Kerberos協(xié)議”。這些實(shí)驗(yàn)將使學(xué)生綜合理解網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)知識(shí)，更好的培養(yǎng)學(xué)生的實(shí)踐工程能力。

另外，傳統(tǒng)的網(wǎng)絡(luò)安全協(xié)議實(shí)驗(yàn)的開(kāi)展，需要較高的硬件支持（昂貴的硬件防火墻和服務(wù)器）和大量的底層網(wǎng)絡(luò)實(shí)驗(yàn)平臺(tái)的建設(shè)。如果從頭做起，是一筆不小的開(kāi)銷(xiāo)。而基于VMWare虛擬機(jī)[5]來(lái)進(jìn)行網(wǎng)絡(luò)安全協(xié)議實(shí)驗(yàn)。

1 IPSec簡(jiǎn)介

傳統(tǒng)的IP數(shù)據(jù)包具有不安全性，例如可以修改源地址和目標(biāo)地址；可以查看、修改、刪除數(shù)據(jù)包的內(nèi)容，還可以發(fā)起數(shù)據(jù)包重放攻擊。而 IPSec為IP層提供安全服務(wù)，包括機(jī)密性、完整性、認(rèn)證性和密鑰管理。由于 IPSec獨(dú)立于加密算法，即使加密算法改變了或增加新的算法，也不對(duì)其他部分的實(shí)現(xiàn)產(chǎn)生影響。另外，IPSec還可以實(shí)現(xiàn)多種安全策略，這樣就能避免給不使用該體制的系統(tǒng)成不利影響。

2 IPSec身份認(rèn)證的綜合實(shí)驗(yàn)設(shè)計(jì)

基于預(yù)共享密鑰的實(shí)驗(yàn)在大多數(shù)網(wǎng)絡(luò)安全協(xié)議的實(shí)驗(yàn)教材中均能找到?；贙erberos或基于證書(shū)的IPSec卻很少見(jiàn)到，將設(shè)計(jì)這兩個(gè)IPSec認(rèn)證實(shí)驗(yàn)。

2.1 實(shí)驗(yàn)環(huán)境和通用步驟

文中實(shí)驗(yàn)環(huán)境如表 1所示，其通用步驟為：①在控制臺(tái) MMC中，添加“IP安全策略”和“IPSec監(jiān)視器”兩個(gè)單元，以配置 IP安全策略以及觀察IPSec通信狀態(tài)；②進(jìn)行 IPSec安全策略的通用配置；③通過(guò)Ping命令來(lái)測(cè)試IPSec通信的安全連通性。另外，這三臺(tái)計(jì)算機(jī)都是VMWare 8上的虛擬機(jī)，其網(wǎng)絡(luò)模式為Host-Only。

表1 IPSec實(shí)驗(yàn)的網(wǎng)絡(luò)和計(jì)算機(jī)配置

2.2 Kerberos的IPSec實(shí)驗(yàn)

Kerberos協(xié)議是上個(gè)世紀(jì)80年代由MIT開(kāi)發(fā)的一種分布式網(wǎng)絡(luò)環(huán)境的身份認(rèn)證協(xié)議[6]，它基于對(duì)稱(chēng)密鑰加密技術(shù)。Kerberos要解決的問(wèn)題是假設(shè)在一個(gè)開(kāi)放的分布式環(huán)境中，工作站的用戶(hù)希望訪(fǎng)問(wèn)分布在網(wǎng)絡(luò)各處的服務(wù)器上的服務(wù)。而服務(wù)器如何來(lái)認(rèn)證用戶(hù)身份并授權(quán)。

Kerberos是 Windows 2003唯一的身份認(rèn)證機(jī)制，通過(guò) KDC（密鑰分發(fā)中心）來(lái)體現(xiàn)。KDC以域?yàn)槠渥饔梅秶?，使用活?dòng)目錄（AD）進(jìn)行賬號(hào)管理，并向客戶(hù)端提供兩個(gè)服務(wù)：認(rèn)證服務(wù)（AS）和票證頒發(fā)服務(wù)（TGS）。只要安裝AD和運(yùn)行一個(gè)域控制器，Kerberos就會(huì)安裝并運(yùn)行。當(dāng)一個(gè)用戶(hù)嘗試登錄時(shí)，系統(tǒng)就使用Kerberos對(duì)用戶(hù)進(jìn)行身份驗(yàn)證（如圖1所示）。

圖1 Kerberos設(shè)置

本實(shí)驗(yàn)中， 將IP地址為192.168.96.3的計(jì)算機(jī)DC設(shè)為域控制器，將 IP地址為 192.168.96.4（CLIENT1）和192.168.96.5（CLIENT2）的計(jì)算機(jī)加入該域（如圖2所示），再按圖3的配置進(jìn)行實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果見(jiàn)圖4。

圖2 Active Directory中的計(jì)算機(jī)

圖3 IPSec身份驗(yàn)證-Kerberos

圖4 安全關(guān)聯(lián)- Kerberos驗(yàn)證

2.3 證書(shū)的IPSec實(shí)驗(yàn)

證書(shū)是用于身份驗(yàn)證的經(jīng)過(guò)（權(quán)威機(jī)構(gòu)）數(shù)字簽名的聲明（以文件的形式存在）。證書(shū)將公鑰與保存對(duì)應(yīng)私鑰的實(shí)體綁定在一起，證書(shū)一般由可信的權(quán)威第三方CA中心（權(quán)威授權(quán)機(jī)構(gòu)）頒發(fā)， CA 對(duì)其頒發(fā)證書(shū)進(jìn)行數(shù)字簽名，以保證所頒發(fā)證書(shū)的完整性和可鑒別性。CA可以為用戶(hù)、計(jì)算機(jī)或服務(wù)等各類(lèi)實(shí)體頒發(fā)證書(shū)[7]。

圖5 根CA證書(shū)

圖6 CLIENT1證書(shū)

圖7 CLIENT2證書(shū)

本實(shí)驗(yàn)中，在 IP地址為 192.168.96.3的計(jì)算機(jī)（DC）上設(shè)置好證書(shū)頒發(fā)機(jī)構(gòu) CA，IP地址為192.168.96.4（CLIENT1）和 192.168.96.5（CLIENT2）的計(jì)算機(jī)向 CA申請(qǐng)證書(shū)并安裝（如圖 5、圖 6和圖7所示），具體過(guò)程參見(jiàn)相應(yīng)資料，這里不在贅述，再按圖8的配置進(jìn)行實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果見(jiàn)圖9。

圖8 IPSec身份驗(yàn)證-證書(shū)

圖9 安全關(guān)聯(lián)- 證書(shū)

3 結(jié)語(yǔ)

文中設(shè)計(jì)了 IPSec身份驗(yàn)證的綜合實(shí)驗(yàn)，它的身份驗(yàn)證方式，既包括簡(jiǎn)單的“預(yù)先共享的密鑰”，一般的網(wǎng)絡(luò)安全實(shí)驗(yàn)教材所設(shè)計(jì)的 IPSec實(shí)驗(yàn)通常是這種；又包括比較少見(jiàn)的“基于Kerberos”和“證書(shū)”，填補(bǔ)了在本科網(wǎng)絡(luò)安全實(shí)驗(yàn)設(shè)計(jì)上的一個(gè)空白。本實(shí)驗(yàn)除了包括IPSec、證書(shū)、Kerberos等，還涉及到Windows平臺(tái)上各種安全設(shè)置，如活動(dòng)目錄、計(jì)算機(jī)加入域、防火墻、證書(shū)頒發(fā)中心 CA等知識(shí)點(diǎn)，這將有助于學(xué)生綜合掌握網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)知識(shí)，以及更好的培養(yǎng)學(xué)生的實(shí)踐工程能力。本實(shí)驗(yàn)設(shè)計(jì)的另一個(gè)特點(diǎn)是，在已有的網(wǎng)絡(luò)實(shí)驗(yàn)平臺(tái)的基礎(chǔ)上，充分利用VMWare強(qiáng)大的虛擬功能，既有效的達(dá)到了實(shí)驗(yàn)?zāi)繕?biāo)，又節(jié)約了成本。

[1] 程艷麗,張友純. IP通信網(wǎng)絡(luò)安全攻擊與防范[J]. 信息安全與通信保密, 2010(04)：39-41.

[2] 王乃衛(wèi),鄭慧英. 針對(duì)DoS攻擊的IP跟蹤技術(shù)研究[J].信息安全與通信保密, 2012(01)：103-105.

[3] 劉建偉,張衛(wèi)東,劉培順. 網(wǎng)絡(luò)安全實(shí)驗(yàn)教程[M]. 北京：清華大學(xué)出版社,2007.

[4] 王常吉,龍冬陽(yáng). 信息與網(wǎng)絡(luò)安全實(shí)驗(yàn)教程[M]. 北京：清華大學(xué)出版社,2007.

[5] 馮陳偉. 利用VMware構(gòu)建虛擬網(wǎng)絡(luò)平臺(tái)[J]. 信息系統(tǒng)工程,2009(08)：78-81.

[6] 黃美東. 基于LDAP與Kerberos的認(rèn)證系統(tǒng)研究與設(shè)計(jì)——廣東非物質(zhì)文化遺產(chǎn)信息管理系統(tǒng)設(shè)計(jì)[J]. 通信技術(shù), 2009,42(05)：197-202.

[7] 劉華春. 基于 PKI的IPSec-VPN的研究與設(shè)計(jì)[J]. 通信技術(shù), 2009,42(01)：259-263.