摘要： 介紹一種基于uClinux的嵌入式無(wú)線IPSec VPN網(wǎng)關(guān)的實(shí)現(xiàn)方法。它采用Linux2．6內(nèi)核上的IPSec標(biāo)準(zhǔn)實(shí)現(xiàn)，具有較低的成本和強(qiáng)大的功能；同時(shí)有很強(qiáng)的擴(kuò)展性，可以適應(yīng)下一帶網(wǎng)絡(luò)IPv6的需求。 關(guān)鍵詞： 無(wú)線網(wǎng)關(guān) IPSec VPN uCLinux Coldfire 引 言 隨著網(wǎng)絡(luò)和無(wú)線通信技術(shù)的發(fā)展以及無(wú)線數(shù)據(jù)傳輸能力的提高，無(wú)線數(shù)據(jù)傳輸?shù)膽?yīng)用領(lǐng)域不斷擴(kuò)展。如圖1所示，用戶的移動(dòng)設(shè)備可以通過(guò)CDMA／GPRS公眾無(wú)線網(wǎng)絡(luò)直接訪問(wèn)Internet，進(jìn)而訪問(wèn)自己的內(nèi)部網(wǎng)絡(luò)，省去了自己組網(wǎng)的費(fèi)用。由于用戶都希望保障其數(shù)據(jù)的安全，所以采用VPN技術(shù)成為其必然選擇。 1 IPSec簡(jiǎn)介 IPSec的目標(biāo)是為IP提供互操作高質(zhì)量的基于密碼，學(xué)的一整套安全服務(wù)，包括訪問(wèn)控制、無(wú)連接完整性、數(shù)據(jù)源驗(yàn)證、抗重放攻擊、保密性和有限的流量保密。這些服務(wù)都在IP層提供，可以為IP和上層協(xié)議提供保護(hù)。 IPSec的體系結(jié)構(gòu)在RFC2401中定義。它通過(guò)兩個(gè)傳輸安全協(xié)議——頭部認(rèn)證（AH）和封裝安全負(fù)載（ESP）以及密鑰管理的過(guò)程和相關(guān)協(xié)議來(lái)實(shí)現(xiàn)其目標(biāo)。AH提供無(wú)連接完整性、數(shù)據(jù)源驗(yàn)證和可選的抗重發(fā)攻擊服務(wù)；ESP可以提供保密性、有限的流量保密、無(wú)連接一致性、數(shù)據(jù)源驗(yàn)證和抗重發(fā)攻擊。AH和ESP都是基于密鑰分配和流量管理的訪問(wèn)控制的基礎(chǔ)。AH和ESP都有兩種模式：傳輸模式和隧道模式。傳輸模式用于保護(hù)主機(jī)問(wèn)通信；而隧道模式將IP封裝到IP隧道里，主要用于保護(hù)網(wǎng)關(guān)間通信。 IPSec中用戶通過(guò)向IPSec提供自己的安全策略（SP）來(lái)控制IPSec的使用，包括對(duì)哪些傳輸數(shù)據(jù)進(jìn)行保護(hù)，需要使用哪些安全服務(wù)，使用何種加密算法。IPSec中安全關(guān)聯(lián)（SA）是一個(gè)基本概念，它是一個(gè)簡(jiǎn)單“連接”，使用AH或者ESP為其負(fù)載提供安全服務(wù)。如果AH和ESP被同時(shí)用于提供安全服務(wù)，則需要兩個(gè)和更多個(gè)SA。同時(shí)由于SA是單向的，因此如果是雙向保密通信，則每個(gè)方向至少需要一個(gè)SA。IPSec中有兩個(gè)與安全相關(guān)的數(shù)據(jù)庫(kù)：安全策略數(shù)據(jù)庫(kù)（SPD）和安全關(guān)聯(lián)數(shù)據(jù)庫(kù)（SAD）。前者定義了如何處理所有流入和流出IP數(shù)據(jù)處理的策略，后者包含所有（有效）SA有關(guān)的參數(shù)。 AH／ESP中所使用的密鑰的分配和SA管理都依賴于一組獨(dú)立機(jī)制，包括人工和自動(dòng)兩種方式。IPSec定義了IKE協(xié)議用于自動(dòng)方式下的密鑰分配和SA管理。IKE中密鑰分配和SA管理的過(guò)程分成兩個(gè)階段：第一階段是密鑰協(xié)商雙方建立一個(gè)相互信任的、保密的安全通道，用于保護(hù)第二階段密鑰協(xié)商過(guò)程；第二階段完成實(shí)際用于IPSec SA的協(xié)商。 IPSec數(shù)據(jù)處理模型如圖2所示。對(duì)流入／流出的數(shù)據(jù)首先確定其安全策略，如果需要安全服務(wù)，則要找到其相應(yīng)的安全關(guān)聯(lián)，根據(jù)安全關(guān)聯(lián)提供的參數(shù)進(jìn)行AH／ESP處理后完成流入／流出。 2 系統(tǒng)功能 本系統(tǒng)的主要功能是支持CDMA和GPRS兩種方式接入Internet，既可作為VPN服務(wù)器，又可作為VPN客戶端。IPSec的密鑰交換支持共享密鑰方式和基于X．509的公開(kāi)密鑰方式。 3 系統(tǒng)的硬件實(shí)現(xiàn) 系統(tǒng)硬件構(gòu)成如圖3所示。無(wú)線接口采用的是Wavecom CDMA／GPRS模塊，基板采用的是FrccscaleColdfire5272。 4 系統(tǒng)的軟件實(shí)現(xiàn) Linux的2．6內(nèi)核中加入了對(duì)IPSec的支持。本系統(tǒng)采用的是基于linux 2．6內(nèi)核的IPSec-tools，整個(gè)系統(tǒng)中IPSec的相關(guān)軟件結(jié)構(gòu)如圖4所示。Linux 2．6內(nèi)核在其網(wǎng)絡(luò)協(xié)議棧中提供對(duì)AH和ESP支持，同時(shí)包括SPD的實(shí)現(xiàn)和SAD的實(shí)現(xiàn)。IPSec-tools包括setkey和racoon兩個(gè)應(yīng)用程序。Setkey實(shí)現(xiàn)IPSec中SPD管理和SAD的人工管理，它需要使用IAnux內(nèi)核支持IPSec用戶管理接口。Racoon是IPSec-tools中IKE的實(shí)現(xiàn)，它需要內(nèi)核支I持PF_KEYv2的接口；同時(shí)為了支持基于X．509證書(shū)的公開(kāi)密鑰身份驗(yàn)證方式，racoon需要使用openssl提供的libcryto加密庫(kù)。AH／ESP所使用的加密算法需要內(nèi)核加密算法庫(kù)支持。 4．1 Linux內(nèi)核 在WWW．kernel．org下載并安裝Linux2．6．12內(nèi)核，在www．uclinux．org下載其uClinux補(bǔ)丁。打上補(bǔ)丁后，通過(guò)make menuconfig進(jìn)入Linux的內(nèi)核配置界面，選定如下所有配置： 4．2 Openssl（1ibcrypto．a(chǎn)） 安裝openssl 0．9．7e源代碼后，進(jìn)入安裝目錄，修改其Configure文件使用m68k-elf-gcc作為編譯器。運(yùn)行Configure linux-m68k完成配置后，編譯生成libcrypto．a(chǎn)。 4.3 IPSec-tools 依照uClinux中如何加入新的用戶程序的文檔，在uClinux的／user目錄中加入IPSec-tools 0．5．2軟件包。進(jìn)入IPSec-tools的安裝目錄，并在該目錄下加入一個(gè)如下Makefile（在這個(gè)Makefile中需要指定內(nèi)核頭文件和openssl源代碼的安裝目錄）： all：build $（MAKE）-C build 5 IPSec-tools的使用 本系統(tǒng)的IPSec同時(shí)支持傳輸模式和隧道模式。作為VPN網(wǎng)關(guān)時(shí)只使用隧道模式。圖5足兩個(gè)IPSec網(wǎng)關(guān)間通信模型。192．168．1．100和192．168．2．100分別是兩個(gè)網(wǎng)關(guān)外部接口的IP地址，它們分別保護(hù)172．16，1．0／24和172．16．2．O/24兩個(gè)內(nèi)部子網(wǎng)。下面以圖5中外部IP為192．168．0．1的網(wǎng)關(guān)為例，介紹IPSec_tools中隧道模式下安全策略和密鑰管理的方法。 5．1 安全策略 IPSec_tools中安全策略的管理由setkey完成。在setkey的配置文件setkey．conf中需要加入流入（in）、流出（out）、轉(zhuǎn)發(fā)（fwd）三條安全策略規(guī)則。 5.2 密鑰和SA的管理 （1）人工方式 setkey．conf中SA規(guī)則定義IPSec中密鑰和SA人工方式的管理。 2）自動(dòng)方式 自動(dòng)方式的管理由racoon完成。racoon支持多種驗(yàn)證方式，包括預(yù)共享密鑰和X.509證書(shū)方式。racoon的配置文件racoon.conf主要包括rernote和sainfo兩大部分，分別對(duì)應(yīng)于IKE交換的第一階段和第二階段。remote部分指定IKE交換第一階段的身份驗(yàn)證方式和加密、驗(yàn)證算法等參數(shù)。sahffo部分指定第二階段的加密和驗(yàn)證算法。 預(yù)共享密鑰方式下用戶的預(yù)共享密鑰保存在文件中，此時(shí)racoon．conf的配置如下（其中指定了預(yù)共享密鑰所存放的文件）： 在X．509證書(shū)方式下，racoon．conf的配置與共享密鑰方式的基本相同，但其指定了證書(shū)所在目錄、自己的X．509證書(shū)、自己的證書(shū)密鑰和CA的證書(shū)。有關(guān)racoon中證書(shū)的生成請(qǐng)參照racoon和openssl的使用手冊(cè)。 5.3 運(yùn)行 在無(wú)線網(wǎng)關(guān)接入Intemet后，依此運(yùn)行setkey和racoon。 6 結(jié)語(yǔ) 無(wú)線數(shù)據(jù)傳輸和IPSec的結(jié)合使得無(wú)線數(shù)據(jù)傳輸?shù)膽?yīng)用領(lǐng)域進(jìn)一步擴(kuò)展。目前本系統(tǒng)已廣泛應(yīng)用于金融、保險(xiǎn)、電力、監(jiān)控、交通、氣象等行業(yè)。在移動(dòng)網(wǎng)絡(luò)許可的條件下，任何采用以太網(wǎng)或串口的設(shè)備，如PC機(jī)、工控機(jī)、ATM機(jī)、POS機(jī)、視頻服務(wù)器等，都可以方便、安全地通過(guò)本系統(tǒng)連接到Internet上。