基于PowerPC的VPN網(wǎng)關設計

　　摘　要:隨著對因特網(wǎng)通信安全性需求的日益增加,VPN安全網(wǎng)關已廣泛應用于企事業(yè)單位。高安全性、可靠性和高性價比是提高VPN網(wǎng)關競爭力的有力手段。本文根據(jù)VPN的基本概念,提出了VPN安全網(wǎng)關設計方案、嵌入式L inux操作系統(tǒng)的構建方法,并簡述了硬件加密模塊的實現(xiàn)方法。

　　關鍵詞：虛擬專用網(wǎng);PowerPC;嵌入式Linux操作系統(tǒng);IP安全

　　引言

　　因特網(wǎng)的迅速普及為企事業(yè)、政府、金融機構等部門提供了更為迅捷經(jīng)濟的通信方式,提高了他們的工作和管理效率;但另一方面,日益不安全的網(wǎng)絡環(huán)境卻嚴重威脅到這些用戶的利益。如何保證公網(wǎng)上傳輸數(shù)據(jù)的安全,已成為一個迫切需要解決的問題。為此,需開發(fā)一種由VPN (Virtual Private Network,簡稱VPN )安全網(wǎng)關、VPN 客戶端和VPN安全管理中心三部份組成的VPN安全系統(tǒng)。

　　目前,國內(nèi)大部分VPN 網(wǎng)關在硬件平臺上使用基于x86 CPU的商用工控機主板。由于商用工控機是為一般的工業(yè)控制而設計的,作為VPN網(wǎng)關使用時,存在功能冗余、成本及可靠性難于控制等問題。因此,有必要自己設計一款性價比較高的硬件平臺供VPN網(wǎng)關使用。Motorola通信處理器PowerPC在通信業(yè)中使用廣泛,并具有良好的性價比,可以滿足VPN安全網(wǎng)關的設計需要。另外,安全產(chǎn)品涉及一個國家的主權和敏感的安全信息,作為保證安全極為重要的操作系統(tǒng)和加密算法應該完全為自己掌握。因此,采用具有自主知識產(chǎn)權的操作系統(tǒng)和加密算法尤為重要。而L inux操作系統(tǒng)源代碼的開放性及其在網(wǎng)絡產(chǎn)品中的優(yōu)異表現(xiàn),使得我們可以用其構建具有自主知識產(chǎn)權的VPN安全網(wǎng)關。

　　VPN概念

　　什么是VPN

　　VPN即虛擬專用網(wǎng),是通過一定的安全機制在公用的網(wǎng)絡如因特網(wǎng)中建立起與公網(wǎng)相對獨立和封閉的信息通道,以保護企業(yè)各子網(wǎng)之間、子網(wǎng)和移動用戶之間、移動用戶和服務器之間的通信數(shù)據(jù)的安全。VPN利用公網(wǎng)的資源,讓用戶擁有同專網(wǎng)相同的安全性,并享受因特網(wǎng)帶來的經(jīng)濟實惠和方便迅捷。

　　VPN如何保護通信安全

　　不同類型的VPN所采用的協(xié)議不同,使用的安全機制也不同。關于VPN的協(xié)議比較多,但目前最完善的、安全性最高的應屬IPSec協(xié)議。它可使用CA數(shù)字證書來實現(xiàn)通信雙方的身份認證;使用對稱加密算法來對數(shù)據(jù)進行加密,保證數(shù)據(jù)的安全性;使用單向散列函數(shù)對數(shù)據(jù)計算摘要,并對摘要進行加密來保證數(shù)據(jù)的完整性。此外,VPN節(jié)點之間通信,不可能每次都手工配置密鑰,手工方式既不安全也不方便,可以采用因特網(wǎng)自動密鑰交換協(xié)議來進行密鑰的協(xié)商,設置每次會話密鑰的生命期,在快要結束生命期時,自動協(xié)商下一個會話密鑰。

　　當企業(yè)虛擬專網(wǎng)建立時,需要在各個子網(wǎng)的出口配置安全網(wǎng)關。安全網(wǎng)關負責對流出數(shù)據(jù)進行加密和計算校驗和,對進入數(shù)據(jù)進行檢驗和解密,并實施訪問控制。VPN安全網(wǎng)關在其中具有舉足輕重的作用。比如,當一臺主機與另外一臺主機通信時,會首先啟動IKE (自動密鑰協(xié)商)進程協(xié)商各種工作參數(shù),包括加密算法、驗證算法、密鑰長度、密鑰值等,并進行雙向的身份認證,所有這些成為一個安全關聯(lián)( Security Association) 。

　　VPN的使用

　　VPN安全網(wǎng)關與VPN Client軟件配合使用,通過靈活配置隧道策略,不僅可以解決通信的安全問題,還可以解決用戶對公司總部網(wǎng)絡的訪問授權問題。圖1 是一個VPN安全系統(tǒng)的典型網(wǎng)絡拓撲圖。

　　當網(wǎng)關與Client相連時,遠程用戶通過因特網(wǎng)訪問公司總部時會首先通過VPN安全網(wǎng)關,安全網(wǎng)關會對用戶進行身份驗證、協(xié)商密鑰,最終建立安全隧道并實現(xiàn)訪問控制。不同的用戶可能有著不同的訪問權限。例如, Client1作為公司的主管,可以訪問服務器A、B、C,而Client2作為普通員工,只能訪問服務器A。通過中心管理員為不同的Client配置不同的策略,可以實現(xiàn)用戶訪問服務器的權限。此種應用適合移動用戶接入公司內(nèi)網(wǎng)。

　　當網(wǎng)關與網(wǎng)關相連時,通過VPN管理中心或終端方式為需要相互通信的兩臺網(wǎng)關間配置對應的隧道,位于兩臺私口后的主機就能通過加密隧道進行通信,防止數(shù)據(jù)被丟失、篡改并保證數(shù)據(jù)的完整。

　　VPN安全網(wǎng)關設計方案概述

　　VPN系統(tǒng)體系結構

　　VPN的主要作用是采用加密、認證和網(wǎng)絡技術在公共互聯(lián)網(wǎng)上構建相互信任方之間的安全加密信息傳輸通道,以期達到專用網(wǎng)絡的效果。VPN網(wǎng)關在其中將發(fā)揮非常重要的核心作用。

　　由圖1可知,VPN網(wǎng)關工作在本地局域網(wǎng)及與其通信的遠程局域網(wǎng)的網(wǎng)關位置,具有加密和認證功能。相互信任的局域網(wǎng)間進行通信時,仍然使用互聯(lián)網(wǎng)作為中間信道。但是,通過VPN網(wǎng)關的加密功能確保信息在不安全的互聯(lián)網(wǎng)上流通時是密文形式。這樣,即便信息被截取,也無法偷窺或篡改其內(nèi)容,保證通過互聯(lián)網(wǎng)連接的局域網(wǎng)間通信的安全性、機密性、可認證性和完整性等安全性能。

　　VPN安全網(wǎng)關的設計目標

　　(1) 完整實現(xiàn)IPSec協(xié)議簇,完全支持VPN的要求。

　　(2) 要建立在具有自主版權的、安全性完全控制在自己手中的內(nèi)核操作系統(tǒng)之上。

　　(3) 要確保自身的安全、協(xié)議的安全和信息通道的安全。采用國密辦批準的加密算法,由硬件實現(xiàn)數(shù)據(jù)加解密。

　　(4) 要具有較高的性價比,滿足低端網(wǎng)絡的要求。明文吞吐率10Mbp s;啟用IPSec協(xié)議,以隧道方式加密傳輸時,吞吐率大于4Mbp s。

　　(5) 設計與實現(xiàn)要采用先進的硬、軟件技術和方法。

　　(6) 盡可能方便管理、靈活配置和界面友好。

　　技術思想

　　(1) 軟件: ①自主開發(fā)的嵌入式安全操作系統(tǒng)內(nèi)核;②由于L inux OS的源代碼的開放性及其在網(wǎng)絡產(chǎn)品中的優(yōu)異表現(xiàn),因而可以用其構建具有自主知識產(chǎn)權的VPN安全網(wǎng)關(采用嵌入式L inux 2. 4. 4 For PowerPC,內(nèi)核根據(jù)需要裁減,并加入相應的硬件驅(qū)動程序,完成對FlashMemory和DOC文件系統(tǒng)的支持) ;③網(wǎng)絡協(xié)議和IPSec協(xié)議層; ④數(shù)據(jù)加/解密算法由采用國密辦批準的硬件加密芯片SSF10B實現(xiàn); ⑤管理系統(tǒng)層需支持手工和通過SMC (安全管理中心)配置IPSec策略。

　　(2) 硬件:根據(jù)設計要求,該VPN網(wǎng)關將用于10Mbp s以太網(wǎng)環(huán)境中,設計采用目前在通信業(yè)中使用較廣的Mo2torola通信處理器PowerPC MPC8xx作為主CPU,選用其中一款性價比較高的控制器MPC855T。在硬件平臺的設計中,本著滿足性能要求,保證高可靠性和高性價比的原則,采用有多種硬件選項的設計,來滿足設計要求。

linux操作系統(tǒng)文章專題：linux操作系統(tǒng)詳解（linux不再難懂）