<var id="fnfpo"><source id="fnfpo"></source></var>

<rp id="fnfpo"></rp>

<em id="fnfpo"><object id="fnfpo"><input id="fnfpo"></input></object></em><em id="fnfpo"><acronym id="fnfpo"></acronym></em>

<th id="fnfpo"><track id="fnfpo"></track></th>

<progress id="fnfpo"><track id="fnfpo"></track></progress>

<tbody id="fnfpo"><pre id="fnfpo"></pre></tbody>

x

x

基于uClinux的嵌入式無線IPSec VPN網關

發布時間：2010-7-29 11:20 發布者：lavida

關鍵詞： IPSec , uclinux , VPN

隨著網絡和無線通信技術的發展以及無線數據傳輸能力的提高，無線數據傳輸的應用領域不斷擴展。如圖1所示，用戶的移動設備可以通過CDMA／GPRS公眾無線網絡直接訪問Internet，進而訪問自己的內部網絡，省去了自己組網的費用。由于用戶都希望保障其數據的安全，所以采用VPN技術成為其必然選擇。


1 IPSec簡介

IPSec的目標是為IP提供互操作高質量的基于密碼，學的一整套安全服務，包括訪問控制、無連接完整性、數據源驗證、抗重放攻擊、保密性和有限的流量保密。這些服務都在IP層提供，可以為IP和上層協議提供保護。

IPSec的體系結構在RFC2401中定義。它通過兩個傳輸安全協議——頭部認證(AH)和封裝安全負載(ESP)以及密鑰管理的過程和相關協議來實現其目標。AH提供無連接完整性、數據源驗證和可選的抗重發攻擊服務；ESP可以提供保密性、有限的流量保密、無連接一致性、數據源驗證和抗重發攻擊。AH和ESP都是基于密鑰分配和流量管理的訪問控制的基礎。AH和ESP都有兩種模式：傳輸模式和隧道模式。傳輸模式用于保護主機問通信；而隧道模式將IP封裝到IP隧道里，主要用于保護網關間通信。

IPSec中用戶通過向IPSec提供自己的安全策略(SP)來控制IPSec的使用，包括對哪些傳輸數據進行保護，需要使用哪些安全服務，使用何種加密算法。IPSec中安全關聯(SA)是一個基本概念，它是一個簡單“連接”，使用AH或者ESP為其負載提供安全服務。如果AH和ESP被同時用于提供安全服務，則需要兩個和更多個SA。同時由于SA是單向的，因此如果是雙向保密通信，則每個方向至少需要一個SA。IPSec中有兩個與安全相關的數據庫：安全策略數據庫(SPD)和安全關聯數據庫(SAD)。前者定義了如何處理所有流入和流出IP數據處理的策略，后者包含所有(有效)SA有關的參數。

AH／ESP中所使用的密鑰的分配和SA管理都依賴于一組獨立機制，包括人工和自動兩種方式。IPSec定義了IKE協議用于自動方式下的密鑰分配和SA管理。IKE中密鑰分配和SA管理的過程分成兩個階段：第一階段是密鑰協商雙方建立一個相互信任的、保密的安全通道，用于保護第二階段密鑰協商過程；第二階段完成實際用于IPSec SA的協商。

IPSec數據處理模型如圖2所示。對流入／流出的數據首先確定其安全策略，如果需要安全服務，則要找到其相應的安全關聯，根據安全關聯提供的參數進行AH／ESP處理后完成流入／流出。

2 系統功能

本系統的主要功能是支持CDMA和GPRS兩種方式接入Internet，既可作為VPN服務器，又可作為VPN客戶端。IPSec的密鑰交換支持共享密鑰方式和基于X．509的公開密鑰方式。


3 系統的硬件實現

系統硬件構成如圖3所示。無線接口采用的是Wavecom CDMA／GPRS模塊，基板采用的是FrccscaleColdfire5272。


4 系統的軟件實現

Linux的2．6內核中加入了對IPSec的支持。本系統采用的是基于linux 2．6內核的IPSec-tools，整個系統中IPSec的相關軟件結構如圖4所示。Linux 2．6內核在其網絡協議棧中提供對AH和ESP支持，同時包括SPD的實現和SAD的實現。IPSec-tools包括setkey和racoon兩個應用程序。Setkey實現IPSec中SPD管理和SAD的人工管理，它需要使用IAnux內核支持IPSec用戶管理接口。Racoon是IPSec-tools中IKE的實現，它需要內核支I持PF_KEYv2的接口；同時為了支持基于X．509證書的公開密鑰身份驗證方式，racoon需要使用openssl提供的libcryto加密庫。AH／ESP所使用的加密算法需要內核加密算法庫支持。

4．1 Linux內核

在WWW．kernel．org下載并安裝Linux2．6．12內核，在www．uclinux．org下載其uClinux補丁。打上補丁后，通過make menuconfig進入Linux的內核配置界面，選定如下所有配置：


4．2 Openssl(1ibcrypto．a)

安裝openssl 0．9．7e源代碼后，進入安裝目錄，修改其Configure文件使用m68k-elf-gcc作為編譯器。運行Configure linux-m68k完成配置后，編譯生成libcrypto．a。

4.3 IPSec-tools

依照uClinux中如何加入新的用戶程序的文檔，在uClinux的／user目錄中加入IPSec-tools 0．5．2軟件包。進入IPSec-tools的安裝目錄，并在該目錄下加入一個如下Makefile(在這個Makefile中需要指定內核頭文件和openssl源代碼的安裝目錄)：

all：build $(MAKE)-C build

編譯生成setkey和racoon兩個應用程序。

5 IPSec-tools的使用

本系統的IPSec同時支持傳輸模式和隧道模式。作為VPN網關時只使用隧道模式。圖5足兩個IPSec網關間通信模型。192．168．1．100和192．168．2．100分別是兩個網關外部接口的IP地址，它們分別保護172．16，1．0／24和172．16．2．O/24兩個內部子網。下面以圖5中外部IP為192．168．0．1的網關為例，介紹IPSec_tools中隧道模式下安全策略和密鑰管理的方法。


5．1 安全策略

IPSec_tools中安全策略的管理由setkey完成。在setkey的配置文件setkey．conf中需要加入流入(in)、流出(out)、轉發(fwd)三條安全策略規則。

5.2 密鑰和SA的管理

(1)人工方式

setkey．conf中SA規則定義IPSec中密鑰和SA人工方式的管理。

(2)自動方式

自動方式的管理由racoon完成。racoon支持多種驗證方式，包括預共享密鑰和X.509證書方式。racoon的配置文件racoon.conf主要包括rernote和sainfo兩大部分，分別對應于IKE交換的第一階段和第二階段。remote部分指定IKE交換第一階段的身份驗證方式和加密、驗證算法等參數。sahffo部分指定第二階段的加密和驗證算法。

預共享密鑰方式下用戶的預共享密鑰保存在文件中，此時racoon．conf的配置如下(其中指定了預共享密鑰所存放的文件)：

}

在X．509證書方式下，racoon．conf的配置與共享密鑰方式的基本相同，但其指定了證書所在目錄、自己的X．509證書、自己的證書密鑰和CA的證書。有關racoon中證書的生成請參照racoon和openssl的使用手冊。

5.3 運行

在無線網關接入Intemet后，依此運行setkey和racoon。

結語

無線數據傳輸和IPSec的結合使得無線數據傳輸的應用領域進一步擴展。目前本系統已廣泛應用于金融、保險、電力、監控、交通、氣象等行業。在移動網絡許可的條件下，任何采用以太網或串口的設備，如PC機、工控機、ATM機、POS機、視頻服務器等，都可以方便、安全地通過本系統連接到Internet上。

本文地址：http://www.portaltwn.com/thread-17727-1-1.html 【打印本頁】

本站部分文章為轉載或網友發布，目的在于傳遞和分享信息，并不代表本網贊同其觀點和對其真實性負責；文章版權歸原作者及原出處所有，如涉及作品內容、版權和其它問題，我們將根據著作權人的要求，第一時間更正或刪除。

相關文章

網友評論

貿澤電子有獎問答視頻，答對領10元微信紅包

廠商推薦

關于我們 - 服務條款 - 使用指南 - 站點地圖 - 友情鏈接 - 聯系我們
電子工程網 © 版權所有京ICP備16069177號 | 京公網安備11010502021702

快速回復 返回頂部 返回列表

精品一区二区三区自拍图片区_国产成人亚洲精品_亚洲Va欧美va国产综合888_久久亚洲国产精品五月天婷