当前位置:首页 > 嵌入式 > 嵌入式软件
[导读]基于uClinux的嵌入式无线IPSec VPN网关

摘要  介绍一种基于uClinux的嵌入式无线IPSec VPN网关的实现方法。它采用Linux2.6内核上的IPSec标准实现,具有较低的成本和强大的功能;同时有很强的扩展性,可以适应下一带网络IPv6的需求。
关键词 无线网关 IPSec VPN uCLinux Coldfire

引 言
    随着网络和无线通信技术的发展以及无线数据传输能力的提高,无线数据传输的应用领域不断扩展。如图1所示,用户的移动设备可以通过CDMA/GPRS公众无线网络直接访问Internet,进而访问自己的内部网络,省去了自己组网的费用。由于用户都希望保障其数据的安全,所以采用VPN技术成为其必然选择。

1 IPSec简介
    IPSec的目标是为IP提供互操作高质量的基于密码,学的一整套安全服务,包括访问控制、无连接完整性、数据源验证、抗重放攻击、保密性和有限的流量保密。这些服务都在IP层提供,可以为IP和上层协议提供保护。

    IPSec的体系结构在RFC2401中定义。它通过两个传输安全协议——头部认证(AH)和封装安全负载(ESP)以及密钥管理的过程和相关协议来实现其目标。AH提供无连接完整性、数据源验证和可选的抗重发攻击服务;ESP可以提供保密性、有限的流量保密、无连接一致性、数据源验证和抗重发攻击。AH和ESP都是基于密钥分配和流量管理的访问控制的基础。AH和ESP都有两种模式:传输模式和隧道模式。传输模式用于保护主机问通信;而隧道模式将IP封装到IP隧道里,主要用于保护网关间通信。

    IPSec中用户通过向IPSec提供自己的安全策略(SP)来控制IPSec的使用,包括对哪些传输数据进行保护,需要使用哪些安全服务,使用何种加密算法。IPSec中安全关联(SA)是一个基本概念,它是一个简单“连接”,使用AH或者ESP为其负载提供安全服务。如果AH和ESP被同时用于提供安全服务,则需要两个和更多个SA。同时由于SA是单向的,因此如果是双向保密通信,则每个方向至少需要一个SA。IPSec中有两个与安全相关的数据库:安全策略数据库(SPD)和安全关联数据库(SAD)。前者定义了如何处理所有流入和流出IP数据处理的策略,后者包含所有(有效)SA有关的参数。

    AH/ESP中所使用的密钥的分配和SA管理都依赖于一组独立机制,包括人工和自动两种方式。IPSec定义了IKE协议用于自动方式下的密钥分配和SA管理。IKE中密钥分配和SA管理的过程分成两个阶段:第一阶段是密钥协商双方建立一个相互信任的、保密的安全通道,用于保护第二阶段密钥协商过程;第二阶段完成实际用于IPSec SA的协商。

    IPSec数据处理模型如图2所示。对流入/流出的数据首先确定其安全策略,如果需要安全服务,则要找到其相应的安全关联,根据安全关联提供的参数进行AH/ESP处理后完成流入/流出。

2 系统功能
   
本系统的主要功能是支持CDMA和GPRS两种方式接入Internet,既可作为VPN服务器,又可作为VPN客户端。IPSec的密钥交换支持共享密钥方式和基于X.509的公开密钥方式。


3 系统的硬件实现
   
系统硬件构成如图3所示。无线接口采用的是Wavecom CDMA/GPRS模块,基板采用的是FrccscaleColdfire5272。


4 系统的软件实现
    Linux的2.6内核中加入了对IPSec的支持。本系统采用的是基于linux 2.6内核的IPSec-tools,整个系统中IPSec的相关软件结构如图4所示。Linux 2.6内核在其网络协议栈中提供对AH和ESP支持,同时包括SPD的实现和SAD的实现。IPSec-tools包括setkey和racoon两个应用程序。Setkey实现IPSec中SPD管理和SAD的人工管理,它需要使用IAnux内核支持IPSec用户管理接口。Racoon是IPSec-tools中IKE的实现,它需要内核支I持PF_KEYv2的接口;同时为了支持基于X.509证书的公开密钥身份验证方式,racoon需要使用openssl提供的libcryto加密库。AH/ESP所使用的加密算法需要内核加密算法库支持。

4.1 Linux内核

    在WWW.kernel.org下载并安装Linux2.6.12内核,在www.uclinux.org下载其uClinux补丁。打上补丁后,通过make menuconfig进入Linux的内核配置界面,选定如下所有配置:


   

4.2 Openssl(1ibcrypto.a)
    安装openssl 0.9.7e源代码后,进入安装目录,修改其Configure文件使用m68k-elf-gcc作为编译器。运行Configure linux-m68k完成配置后,编译生成libcrypto.a。

4.3 IPSec-tools

    依照uClinux中如何加入新的用户程序的文档,在uClinux的/user目录中加入IPSec-tools 0.5.2软件包。进入IPSec-tools的安装目录,并在该目录下加入一个如下Makefile(在这个Makefile中需要指定内核头文件和openssl源代码的安装目录):
    all:build $(MAKE)-C build

   
    编译生成setkey和racoon两个应用程序。

5 IPSec-tools的使用
   
本系统的IPSec同时支持传输模式和隧道模式。作为VPN网关时只使用隧道模式。图5足两个IPSec网关间通信模型。192.168.1.100和192.168.2.100分别是两个网关外部接口的IP地址,它们分别保护172.16,1.0/24和172.16.2.O/24两个内部子网。下面以图5中外部IP为192.168.0.1的网关为例,介绍IPSec_tools中隧道模式下安全策略和密钥管理的方法。

5.1 安全策略
    IPSec_tools中安全策略的管理由setkey完成。在setkey的配置文件setkey.conf中需要加入流入(in)、流出(out)、转发(fwd)三条安全策略规则。

   

5.2 密钥和SA的管理
(1)人工方式

    setkey.conf中SA规则定义IPSec中密钥和SA人工方式的管理。

   

(2)自动方式

    自动方式的管理由racoon完成。racoon支持多种验证方式,包括预共享密钥和X.509证书方式。racoon的配置文件racoon.conf主要包括rernote和sainfo两大部分,分别对应于IKE交换的第一阶段和第二阶段。remote部分指定IKE交换第一阶段的身份验证方式和加密、验证算法等参数。sahffo部分指定第二阶段的加密和验证算法。

    预共享密钥方式下用户的预共享密钥保存在文件中,此时racoon.conf的配置如下(其中指定了预共享密钥所存放的文件):

   
}

    在X.509证书方式下,racoon.conf的配置与共享密钥方式的基本相同,但其指定了证书所在目录、自己的X.509证书、自己的证书密钥和CA的证书。有关racoon中证书的生成请参照racoon和openssl的使用手册。

   
5.3 运行
    在无线网关接入Intemet后,依此运行setkey和racoon。


结语
   
无线数据传输和IPSec的结合使得无线数据传输的应用领域进一步扩展。目前本系统已广泛应用于金融、保险、电力、监控、交通、气象等行业。在移动网络许可的条件下,任何采用以太网或串口的设备,如PC机、工控机、ATM机、POS机、视频服务器等,都可以方便、安全地通过本系统连接到Internet上。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭