基于VMWare的IPSec綜合實驗設計*

楊浩淼， 張文科， 蔣 磊

（①電子科技大學 計算機學院，四川 成都611731；②衛(wèi)士通信息產業(yè)股份有限公司，四川 成都610041；③四川省人民政府社會發(fā)展研究中心，四川 成都610091）

0 引言

早期TCP/IP協(xié)議存在種種安全問題，為此IETF設計了一套提供 Internet安全通信的協(xié)議，稱之為IPsec協(xié)議[1-2]。該協(xié)議在IP層提供安全服務，包括機密性、完整性以及認證性。它既可以和IPv4聯合使用，也可以和IPv6聯合使用，是互聯網的基礎安全協(xié)議。因此, 了解和應用 IPSec 協(xié)議也必將成為網絡安全課程中的重要內容。探討如何開展 IPSec實驗, 對提高學生計算機網絡安全實踐操作能力具有現實的指導意義。考慮到Windows平臺應用的普及，這里將在Windows 2003平臺下設計IPSec實驗。

在建立 IPSec安全通道之前，對等體之間需要相互認證以確定身份。Windows 2003 IPSec 支持3種身份認證：Kerberos、證書和預共享密鑰。只有當兩個終結點（計算機）都位于同一個 Windows 2003域時，Kerberos 身份認證才有效。這種類型的身份認證是首選方法。如果計算機位于不同的域中，或者至少有一臺計算機不在某個域中，則必須使用證書或預共享密鑰。只有當每個終結點中包含一個由受信任的頒發(fā)機構簽署的證書時，才能進行基于證書認證的IPSec通信。如果終結點不在同一個域中，并且無法獲得證書，則預共享密鑰是唯一的身份認證選擇。

然而，在已有的網絡安全實驗教材中，IPSec身份認證實驗大多數是通過“預共享密鑰”的方式來進行的[3-4]。因此，這里將設計兩個更通用的IPSec身份認證實驗：“基于證書”和“基于Kerberos協(xié)議”。這些實驗將使學生綜合理解網絡安全協(xié)議的基礎知識，更好的培養(yǎng)學生的實踐工程能力。

另外，傳統(tǒng)的網絡安全協(xié)議實驗的開展，需要較高的硬件支持（昂貴的硬件防火墻和服務器）和大量的底層網絡實驗平臺的建設。如果從頭做起，是一筆不小的開銷。而基于VMWare虛擬機[5]來進行網絡安全協(xié)議實驗。

1 IPSec簡介

傳統(tǒng)的IP數據包具有不安全性，例如可以修改源地址和目標地址；可以查看、修改、刪除數據包的內容，還可以發(fā)起數據包重放攻擊。而 IPSec為IP層提供安全服務，包括機密性、完整性、認證性和密鑰管理。由于 IPSec獨立于加密算法，即使加密算法改變了或增加新的算法，也不對其他部分的實現產生影響。另外，IPSec還可以實現多種安全策略，這樣就能避免給不使用該體制的系統(tǒng)成不利影響。

2 IPSec身份認證的綜合實驗設計

基于預共享密鑰的實驗在大多數網絡安全協(xié)議的實驗教材中均能找到。基于Kerberos或基于證書的IPSec卻很少見到，將設計這兩個IPSec認證實驗。

2.1 實驗環(huán)境和通用步驟

文中實驗環(huán)境如表 1所示，其通用步驟為：①在控制臺 MMC中，添加“IP安全策略”和“IPSec監(jiān)視器”兩個單元，以配置 IP安全策略以及觀察IPSec通信狀態(tài)；②進行 IPSec安全策略的通用配置；③通過Ping命令來測試IPSec通信的安全連通性。另外，這三臺計算機都是VMWare 8上的虛擬機，其網絡模式為Host-Only。

表1 IPSec實驗的網絡和計算機配置

2.2 Kerberos的IPSec實驗

Kerberos協(xié)議是上個世紀80年代由MIT開發(fā)的一種分布式網絡環(huán)境的身份認證協(xié)議[6]，它基于對稱密鑰加密技術。Kerberos要解決的問題是假設在一個開放的分布式環(huán)境中，工作站的用戶希望訪問分布在網絡各處的服務器上的服務。而服務器如何來認證用戶身份并授權。

Kerberos是 Windows 2003唯一的身份認證機制，通過 KDC（密鑰分發(fā)中心）來體現。KDC以域為其作用范圍，使用活動目錄（AD）進行賬號管理，并向客戶端提供兩個服務：認證服務（AS）和票證頒發(fā)服務（TGS）。只要安裝AD和運行一個域控制器，Kerberos就會安裝并運行。當一個用戶嘗試登錄時，系統(tǒng)就使用Kerberos對用戶進行身份驗證（如圖1所示）。

圖1 Kerberos設置

本實驗中， 將IP地址為192.168.96.3的計算機DC設為域控制器，將 IP地址為 192.168.96.4（CLIENT1）和192.168.96.5（CLIENT2）的計算機加入該域（如圖2所示），再按圖3的配置進行實驗，實驗結果見圖4。

圖2 Active Directory中的計算機

圖3 IPSec身份驗證-Kerberos

圖4 安全關聯- Kerberos驗證

2.3 證書的IPSec實驗

證書是用于身份驗證的經過（權威機構）數字簽名的聲明（以文件的形式存在）。證書將公鑰與保存對應私鑰的實體綁定在一起，證書一般由可信的權威第三方CA中心（權威授權機構）頒發(fā)， CA 對其頒發(fā)證書進行數字簽名，以保證所頒發(fā)證書的完整性和可鑒別性。CA可以為用戶、計算機或服務等各類實體頒發(fā)證書[7]。

圖5 根CA證書

圖6 CLIENT1證書

圖7 CLIENT2證書

本實驗中，在 IP地址為 192.168.96.3的計算機（DC）上設置好證書頒發(fā)機構 CA，IP地址為192.168.96.4（CLIENT1）和 192.168.96.5（CLIENT2）的計算機向 CA申請證書并安裝（如圖 5、圖 6和圖7所示），具體過程參見相應資料，這里不在贅述，再按圖8的配置進行實驗，實驗結果見圖9。

圖8 IPSec身份驗證-證書

圖9 安全關聯- 證書

3 結語

文中設計了 IPSec身份驗證的綜合實驗，它的身份驗證方式，既包括簡單的“預先共享的密鑰”，一般的網絡安全實驗教材所設計的 IPSec實驗通常是這種；又包括比較少見的“基于Kerberos”和“證書”，填補了在本科網絡安全實驗設計上的一個空白。本實驗除了包括IPSec、證書、Kerberos等，還涉及到Windows平臺上各種安全設置，如活動目錄、計算機加入域、防火墻、證書頒發(fā)中心 CA等知識點，這將有助于學生綜合掌握網絡安全協(xié)議的基礎知識，以及更好的培養(yǎng)學生的實踐工程能力。本實驗設計的另一個特點是，在已有的網絡實驗平臺的基礎上，充分利用VMWare強大的虛擬功能，既有效的達到了實驗目標，又節(jié)約了成本。

[1] 程艷麗,張友純. IP通信網絡安全攻擊與防范[J]. 信息安全與通信保密, 2010(04)：39-41.

[2] 王乃衛(wèi),鄭慧英. 針對DoS攻擊的IP跟蹤技術研究[J].信息安全與通信保密, 2012(01)：103-105.

[3] 劉建偉,張衛(wèi)東,劉培順. 網絡安全實驗教程[M]. 北京：清華大學出版社,2007.

[4] 王常吉,龍冬陽. 信息與網絡安全實驗教程[M]. 北京：清華大學出版社,2007.

[5] 馮陳偉. 利用VMware構建虛擬網絡平臺[J]. 信息系統(tǒng)工程,2009(08)：78-81.

[6] 黃美東. 基于LDAP與Kerberos的認證系統(tǒng)研究與設計——廣東非物質文化遺產信息管理系統(tǒng)設計[J]. 通信技術, 2009,42(05)：197-202.

[7] 劉華春. 基于 PKI的IPSec-VPN的研究與設計[J]. 通信技術, 2009,42(01)：259-263.