基于uClinux的嵌入式無(wú)線(xiàn)IPSec VPN網(wǎng)關(guān)

發(fā)布時(shí)間:2010-7-29 11:20    發(fā)布者:lavida
關(guān)鍵詞: IPSec , uclinux , VPN
隨著(zhù)網(wǎng)絡(luò )和無(wú)線(xiàn)通信技術(shù)的發(fā)展以及無(wú)線(xiàn)數據傳輸能力的提高,無(wú)線(xiàn)數據傳輸的應用領(lǐng)域不斷擴展。如圖1所示,用戶(hù)的移動(dòng)設備可以通過(guò)CDMA/GPRS公眾無(wú)線(xiàn)網(wǎng)絡(luò )直接訪(fǎng)問(wèn)Internet,進(jìn)而訪(fǎng)問(wèn)自己的內部網(wǎng)絡(luò ),省去了自己組網(wǎng)的費用。由于用戶(hù)都希望保障其數據的安全,所以采用VPN技術(shù)成為其必然選擇。  

  
1 IPSec簡(jiǎn)介

IPSec的目標是為IP提供互操作高質(zhì)量的基于密碼,學(xué)的一整套安全服務(wù),包括訪(fǎng)問(wèn)控制、無(wú)連接完整性、數據源驗證、抗重放攻擊、保密性和有限的流量保密。這些服務(wù)都在IP層提供,可以為IP和上層協(xié)議提供保護。

IPSec的體系結構在RFC2401中定義。它通過(guò)兩個(gè)傳輸安全協(xié)議——頭部認證(AH)和封裝安全負載(ESP)以及密鑰管理的過(guò)程和相關(guān)協(xié)議來(lái)實(shí)現其目標。AH提供無(wú)連接完整性、數據源驗證和可選的抗重發(fā)攻擊服務(wù);ESP可以提供保密性、有限的流量保密、無(wú)連接一致性、數據源驗證和抗重發(fā)攻擊。AH和ESP都是基于密鑰分配和流量管理的訪(fǎng)問(wèn)控制的基礎。AH和ESP都有兩種模式:傳輸模式和隧道模式。傳輸模式用于保護主機問(wèn)通信;而隧道模式將IP封裝到IP隧道里,主要用于保護網(wǎng)關(guān)間通信。

IPSec中用戶(hù)通過(guò)向IPSec提供自己的安全策略(SP)來(lái)控制IPSec的使用,包括對哪些傳輸數據進(jìn)行保護,需要使用哪些安全服務(wù),使用何種加密算法。IPSec中安全關(guān)聯(lián)(SA)是一個(gè)基本概念,它是一個(gè)簡(jiǎn)單“連接”,使用AH或者ESP為其負載提供安全服務(wù)。如果AH和ESP被同時(shí)用于提供安全服務(wù),則需要兩個(gè)和更多個(gè)SA。同時(shí)由于SA是單向的,因此如果是雙向保密通信,則每個(gè)方向至少需要一個(gè)SA。IPSec中有兩個(gè)與安全相關(guān)的數據庫:安全策略數據庫(SPD)和安全關(guān)聯(lián)數據庫(SAD)。前者定義了如何處理所有流入和流出IP數據處理的策略,后者包含所有(有效)SA有關(guān)的參數。

AH/ESP中所使用的密鑰的分配和SA管理都依賴(lài)于一組獨立機制,包括人工和自動(dòng)兩種方式。IPSec定義了IKE協(xié)議用于自動(dòng)方式下的密鑰分配和SA管理。IKE中密鑰分配和SA管理的過(guò)程分成兩個(gè)階段:第一階段是密鑰協(xié)商雙方建立一個(gè)相互信任的、保密的安全通道,用于保護第二階段密鑰協(xié)商過(guò)程;第二階段完成實(shí)際用于IPSec SA的協(xié)商。

IPSec數據處理模型如圖2所示。對流入/流出的數據首先確定其安全策略,如果需要安全服務(wù),則要找到其相應的安全關(guān)聯(lián),根據安全關(guān)聯(lián)提供的參數進(jìn)行AH/ESP處理后完成流入/流出。
  
2 系統功能

本系統的主要功能是支持CDMA和GPRS兩種方式接入Internet,既可作為VPN服務(wù)器,又可作為VPN客戶(hù)端。IPSec的密鑰交換支持共享密鑰方式和基于X.509的公開(kāi)密鑰方式。  


  
3 系統的硬件實(shí)現

系統硬件構成如圖3所示。無(wú)線(xiàn)接口采用的是Wavecom CDMA/GPRS模塊,基板采用的是FrccscaleColdfire5272。  


  
4 系統的軟件實(shí)現

Linux的2.6內核中加入了對IPSec的支持。本系統采用的是基于linux 2.6內核的IPSec-tools,整個(gè)系統中IPSec的相關(guān)軟件結構如圖4所示。Linux 2.6內核在其網(wǎng)絡(luò )協(xié)議棧中提供對AH和ESP支持,同時(shí)包括SPD的實(shí)現和SAD的實(shí)現。IPSec-tools包括setkey和racoon兩個(gè)應用程序。Setkey實(shí)現IPSec中SPD管理和SAD的人工管理,它需要使用IAnux內核支持IPSec用戶(hù)管理接口。Racoon是IPSec-tools中IKE的實(shí)現,它需要內核支I持PF_KEYv2的接口;同時(shí)為了支持基于X.509證書(shū)的公開(kāi)密鑰身份驗證方式,racoon需要使用openssl提供的libcryto加密庫。AH/ESP所使用的加密算法需要內核加密算法庫支持。

4.1 Linux內核

在WWW.kernel.org下載并安裝Linux2.6.12內核,在www.uclinux.org下載其uClinux補丁。打上補丁后,通過(guò)make menuconfig進(jìn)入Linux的內核配置界面,選定如下所有配置:  





  
4.2 Openssl(1ibcrypto.a(chǎn))

安裝openssl 0.9.7e源代碼后,進(jìn)入安裝目錄,修改其Configure文件使用m68k-elf-gcc作為編譯器。運行Configure linux-m68k完成配置后,編譯生成libcrypto.a(chǎn)。

4.3 IPSec-tools

依照uClinux中如何加入新的用戶(hù)程序的文檔,在uClinux的/user目錄中加入IPSec-tools 0.5.2軟件包。進(jìn)入IPSec-tools的安裝目錄,并在該目錄下加入一個(gè)如下Makefile(在這個(gè)Makefile中需要指定內核頭文件和openssl源代碼的安裝目錄):

all:build $(MAKE)-C build  


編譯生成setkey和racoon兩個(gè)應用程序。
  
5 IPSec-tools的使用

本系統的IPSec同時(shí)支持傳輸模式和隧道模式。作為VPN網(wǎng)關(guān)時(shí)只使用隧道模式。圖5足兩個(gè)IPSec網(wǎng)關(guān)間通信模型。192.168.1.100和192.168.2.100分別是兩個(gè)網(wǎng)關(guān)外部接口的IP地址,它們分別保護172.16,1.0/24和172.16.2.O/24兩個(gè)內部子網(wǎng)。下面以圖5中外部IP為192.168.0.1的網(wǎng)關(guān)為例,介紹IPSec_tools中隧道模式下安全策略和密鑰管理的方法。  


  
5.1 安全策略

IPSec_tools中安全策略的管理由setkey完成。在setkey的配置文件setkey.conf中需要加入流入(in)、流出(out)、轉發(fā)(fwd)三條安全策略規則。  




5.2 密鑰和SA的管理

(1)人工方式

setkey.conf中SA規則定義IPSec中密鑰和SA人工方式的管理。  



(2)自動(dòng)方式

自動(dòng)方式的管理由racoon完成。racoon支持多種驗證方式,包括預共享密鑰和X.509證書(shū)方式。racoon的配置文件racoon.conf主要包括rernote和sainfo兩大部分,分別對應于IKE交換的第一階段和第二階段。remote部分指定IKE交換第一階段的身份驗證方式和加密、驗證算法等參數。sahffo部分指定第二階段的加密和驗證算法。

預共享密鑰方式下用戶(hù)的預共享密鑰保存在文件中,此時(shí)racoon.conf的配置如下(其中指定了預共享密鑰所存放的文件):  


}  

在X.509證書(shū)方式下,racoon.conf的配置與共享密鑰方式的基本相同,但其指定了證書(shū)所在目錄、自己的X.509證書(shū)、自己的證書(shū)密鑰和CA的證書(shū)。有關(guān)racoon中證書(shū)的生成請參照racoon和openssl的使用手冊。  



5.3 運行

在無(wú)線(xiàn)網(wǎng)關(guān)接入Intemet后,依此運行setkey和racoon。  

結語(yǔ)

無(wú)線(xiàn)數據傳輸和IPSec的結合使得無(wú)線(xiàn)數據傳輸的應用領(lǐng)域進(jìn)一步擴展。目前本系統已廣泛應用于金融、保險、電力、監控、交通、氣象等行業(yè)。在移動(dòng)網(wǎng)絡(luò )許可的條件下,任何采用以太網(wǎng)或串口的設備,如PC機、工控機、ATM機、POS機、視頻服務(wù)器等,都可以方便、安全地通過(guò)本系統連接到Internet上。
本文地址:http://selenalain.com/thread-17727-1-1.html     【打印本頁(yè)】

本站部分文章為轉載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀(guān)點(diǎn)和對其真實(shí)性負責;文章版權歸原作者及原出處所有,如涉及作品內容、版權和其它問(wèn)題,我們將根據著(zhù)作權人的要求,第一時(shí)間更正或刪除。
您需要登錄后才可以發(fā)表評論 登錄 | 立即注冊

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點(diǎn)地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權所有   京ICP備16069177號 | 京公網(wǎng)安備11010502021702
快速回復 返回頂部 返回列表
午夜高清国产拍精品福利|亚洲色精品88色婷婷七月丁香|91久久精品无码一区|99久久国语露脸精品|动漫卡通亚洲综合专区48页