基于PowerPC和嵌入式Linux的VPN網(wǎng)關(guān)設計

引言

因特網(wǎng)的迅速普及為企事業(yè)、政府、金融機構等部門(mén)提供了更為迅捷經(jīng)濟的通信方式,提高了他們的工作和管理效率;但另一方面,日益不安全的網(wǎng)絡(luò )環(huán)境卻嚴重威脅到這些用戶(hù)的利益。如何保證公網(wǎng)上傳輸數據的安全,已成為一個(gè)迫切需要解決的問(wèn)題。為此,需開(kāi)發(fā)一種由VPN (Virtual Private Network,簡(jiǎn)稱(chēng)VPN )安全網(wǎng)關(guān)、VPN 客戶(hù)端和VPN安全管理中心三部份組成的VPN安全系統。

目前,國內大部分VPN 網(wǎng)關(guān)在硬件平臺上使用基于x86 CPU的商用工控機主板。由于商用工控機是為一般的工業(yè)控制而設計的,作為VPN網(wǎng)關(guān)使用時(shí),存在功能冗余、成本及可靠性難于控制等問(wèn)題。因此,有必要自己設計一款性?xún)r(jià)比較高的硬件平臺供VPN網(wǎng)關(guān)使用。Motorola通信處理器PowerPC在通信業(yè)中使用廣泛,并具有良好的性?xún)r(jià)比,可以滿(mǎn)足VPN安全網(wǎng)關(guān)的設計需要。另外,安全產(chǎn)品涉及一個(gè)國家的主權和敏感的安全信息,作為保證安全極為重要的操作系統和加密算法應該完全為自己掌握。因此,采用具有自主知識產(chǎn)權的操作系統和加密算法尤為重要。而L inux操作系統源代碼的開(kāi)放性及其在網(wǎng)絡(luò )產(chǎn)品中的優(yōu)異表現,使得我們可以用其構建具有自主知識產(chǎn)權的VPN安全網(wǎng)關(guān)。

VPN概念

什么是VPN

VPN即虛擬專(zhuān)用網(wǎng),是通過(guò)一定的安全機制在公用的網(wǎng)絡(luò )如因特網(wǎng)中建立起與公網(wǎng)相對獨立和封閉的信息通道,以保護企業(yè)各子網(wǎng)之間、子網(wǎng)和移動(dòng)用戶(hù)之間、移動(dòng)用戶(hù)和服務(wù)器之間的通信數據的安全。VPN利用公網(wǎng)的資源,讓用戶(hù)擁有同專(zhuān)網(wǎng)相同的安全性,并享受因特網(wǎng)帶來(lái)的經(jīng)濟實(shí)惠和方便迅捷。

VPN如何保護通信安全

不同類(lèi)型的VPN所采用的協(xié)議不同,使用的安全機制也不同。關(guān)于VPN的協(xié)議比較多,但目前最完善的、安全性最高的應屬I(mǎi)PSec協(xié)議。它可使用CA 數字證書(shū)來(lái)實(shí)現通信雙方的身份認證;使用對稱(chēng)加密算法來(lái)對數據進(jìn)行加密,保證數據的安全性;使用單向散列函數對數據計算摘要,并對摘要進(jìn)行加密來(lái)保證數據的完整性。此外,VPN節點(diǎn)之間通信,不可能每次都手工配置密鑰,手工方式既不安全也不方便,可以采用因特網(wǎng)自動(dòng)密鑰交換協(xié)議來(lái)進(jìn)行密鑰的協(xié)商,設置每次會(huì )話(huà)密鑰的生命期,在快要結束生命期時(shí),自動(dòng)協(xié)商下一個(gè)會(huì )話(huà)密鑰。

當企業(yè)虛擬專(zhuān)網(wǎng)建立時(shí),需要在各個(gè)子網(wǎng)的出口配置安全網(wǎng)關(guān)。安全網(wǎng)關(guān)負責對流出數據進(jìn)行加密和計算校驗和,對進(jìn)入數據進(jìn)行檢驗和解密,并實(shí)施訪(fǎng)問(wèn)控制。VPN安全網(wǎng)關(guān)在其中具有舉足輕重的作用。比如,當一臺主機與另外一臺主機通信時(shí),會(huì )首先啟動(dòng)IKE (自動(dòng)密鑰協(xié)商)進(jìn)程協(xié)商各種工作參數,包括加密算法、驗證算法、密鑰長(cháng)度、密鑰值等,并進(jìn)行雙向的身份認證,所有這些成為一個(gè)安全關(guān)聯(lián)( Security Association) 。

VPN的使用

VPN安全網(wǎng)關(guān)與VPN Client軟件配合使用,通過(guò)靈活配置隧道策略,不僅可以解決通信的安全問(wèn)題,還可以解決用戶(hù)對公司總部網(wǎng)絡(luò )的訪(fǎng)問(wèn)授權問(wèn)題。圖1 是一個(gè)VPN安全系統的典型網(wǎng)絡(luò )拓撲圖。



當網(wǎng)關(guān)與網(wǎng)關(guān)相連時(shí),通過(guò)VPN管理中心或終端方式為需要相互通信的兩臺網(wǎng)關(guān)間配置對應的隧道,位于兩臺私口后的主機就能通過(guò)加密隧道進(jìn)行通信,防止數據被丟失、篡改并保證數據的完整。