引言
隨著網(wǎng)絡(luò)和無(wú)線(xiàn)通信技術(shù)的發(fā)展以及無(wú)線(xiàn)數(shù)據(jù)傳輸能力的提高,無(wú)線(xiàn)數(shù)據(jù)傳輸?shù)膽?yīng)用領(lǐng)域不斷擴(kuò)展,如圖1所示,用戶(hù)的移動(dòng)設(shè)備可以通過(guò)CDMA/GPRS公眾無(wú)線(xiàn)網(wǎng)絡(luò)直接訪(fǎng)問(wèn)Internet,進(jìn)而訪(fǎng)問(wèn)自己的內(nèi)部結(jié)構(gòu),省去了自己組網(wǎng)的費(fèi)用,由于用戶(hù)都希望保障其數(shù)據(jù)的安全,所以采用VPN技術(shù)成為其必然選擇。
1 IPSec簡(jiǎn)介
IPSec的目標(biāo)是為IP提供互操作高質(zhì)量的基于密碼學(xué)的一整套安全服務(wù),包括訪(fǎng)問(wèn)控制、無(wú)連接完整性、數(shù)據(jù)源驗(yàn)證、抗重放攻擊、保密性和有限的流量保密,這些服務(wù)都在IP層提供,可以為IP和上層協(xié)議提供保護(hù)。
IPSec的體系結(jié)構(gòu)在RFC2401中定義,它通過(guò)兩個(gè)傳輸安全協(xié)議——頭部認(rèn)證(AH)和封裝安全負(fù)載(ESP)以及密鑰管理的過(guò)程和相關(guān)協(xié)議來(lái)實(shí)現(xiàn)其目標(biāo),AH提供無(wú)連接完整性、數(shù)據(jù)源驗(yàn)證和可選的抗重發(fā)攻擊服務(wù),ESP可以提供保密性、有限的流量保密、無(wú)連接一致性、數(shù)據(jù)源驗(yàn)證和抗重發(fā)攻擊。AH和ESP都是基于密鑰分配和流量管理的訪(fǎng)問(wèn)控制的基礎(chǔ),AH和ESP都有兩種模式:傳輸模式和隧道模式。傳輸模式用于保護(hù)主機(jī)間通信;而隧道模式將IP隧道里,主要用于保護(hù)網(wǎng)關(guān)間通信。
IPSec中用戶(hù)通道向IPSec提供自己的安全策略(SP)來(lái)控制IPSec的使用,包括對(duì)哪些數(shù)據(jù)進(jìn)行保護(hù),需要使用哪些安全服務(wù),使用何種加密算法,IPSec中安全關(guān)聯(lián)(SA)是一個(gè)基本概念,它是一個(gè)簡(jiǎn)單“連接”,使用AH或者ESP為其負(fù)載提供安全服務(wù),則需要兩個(gè)和更多個(gè)SA,同時(shí)由于SA是單向的,因此如果是雙向保密通信,則每個(gè)方向至少需要一個(gè)SA。IPSec中有兩個(gè)與安全相關(guān)的數(shù)據(jù)庫(kù),安全策略數(shù)據(jù)庫(kù)(SPD)和安全關(guān)聯(lián)數(shù)據(jù)庫(kù)(SAD),前者定義了如何處理所有流入和流出IP數(shù)據(jù)處理的策略,后者包含所有(有效)SA有關(guān)的參數(shù)。
AH/ESP中所使用的密鑰的分配和SA管理都依賴(lài)于一組獨(dú)立機(jī)制,包括人工和自動(dòng)兩種方式,IPSec定義了IKE協(xié)議用于自動(dòng)方式下的密鑰分配和SA管理,IKE中密鑰分配和SA管理的過(guò)程分成兩個(gè)階段,第一階段是密鑰協(xié)商雙方建立一個(gè)相互信任的、保密的安全通道,用戶(hù)保護(hù)第二階段密鑰協(xié)商過(guò)程,第二階段完成實(shí)際用于IPSec SA的協(xié)商。
IPSec的數(shù)據(jù)處理模型如圖2所示,對(duì)流入/流出的數(shù)據(jù)首先確定其安全策略,如果需要安全服務(wù),則要找到其相應(yīng)的安全關(guān)聯(lián),根據(jù)安全關(guān)聯(lián),提供的參數(shù)進(jìn)行AH/ESP處理后完成流入/流出。
2 系統(tǒng)功能
本系統(tǒng)的主要功能是支持CDMA和GPRS兩種方式接入Internet,既可作為VPN服務(wù)器,又可作為VPN客戶(hù)端。IPSec的密鑰交換支持共享密鑰方式和基于X.509的公開(kāi)密鑰方式。
3 系統(tǒng)的硬件實(shí)現(xiàn)
系統(tǒng)硬件構(gòu)成如圖3所示,無(wú)線(xiàn)接口采用的是Wavecom CDMA/GPRS模塊,基板采用的是Freescale Coldfire 5272。
4 系統(tǒng)的軟件實(shí)現(xiàn)
Linux的2.6內(nèi)核中加入了對(duì)IPSec的支持,本系統(tǒng)采用的是基于Linux2.6內(nèi)核的IPSec-tools,整個(gè)系統(tǒng)中IPSec的相關(guān)軟件結(jié)構(gòu)如圖4所示,Linux2.6內(nèi)核在其網(wǎng)絡(luò)協(xié)議棧中提供對(duì)AH和ESP支持,同時(shí)包括SPD的實(shí)現(xiàn)和SAD的實(shí)現(xiàn),IPSec-tools包括setkey和racoon兩個(gè)應(yīng)用程序。Setkey實(shí)現(xiàn)IPSec中SPD管理和SAD的人工管理,它需要使用Linux內(nèi)核支持IPSec用戶(hù)管理接口。Racoon是IPSec-tools中IKE的實(shí)現(xiàn),它需要內(nèi)核支持PF_KEYv2的接口,同時(shí)為了支持基于X.509證書(shū)的公開(kāi)密鑰身份驗(yàn)證方式,racoon需要使用openssl提供的libcryto加密庫(kù)。AH/ESP所使用的加密算法需要內(nèi)核加密算法支持。
4.1 Linux內(nèi)核
在www.kernel.org下載并安裝linux2.6.12內(nèi)核,在www.ucLinux.org下載其uCLinux補(bǔ)丁。打上補(bǔ)丁后,通過(guò)make menuconfig進(jìn)入Linux的內(nèi)核配置界面,選定如下所有配置:
4.2 Openssl(libcrypto.a)
安裝Openssl 0.9.7 e源代碼后,進(jìn)入安裝目錄,修改其Configure文件使用m68k-elf-gcc作為編譯器。運(yùn)行Configure Linux-m68k完成配置后,編譯生成libcrypto.a。
4.3 IPSec-tools
依照ucLinux中任何加入新的用戶(hù)程序的文檔,在ucLinux的/user目錄中加入IPSec-tools0.5.2軟件包。進(jìn)入IPSec-tools的安裝目錄,并在該目錄下加入一個(gè)如下Makefile(在這個(gè)Makefile中需要指定內(nèi)核頭文件和openssl源代碼的安裝目錄):
all:build $(MAKE)-C build
編譯生成setkey和racoon兩個(gè)應(yīng)用程序
5 IPSec-tools的使用
本系統(tǒng)的IPSec同時(shí)支持傳輸模式和隧道模式。作為VPN網(wǎng)關(guān)時(shí)只使用隧道模式。圖5是兩個(gè)IPSec網(wǎng)關(guān)間通信模型。192.168.1.100和192.168.2.100分別是兩個(gè)網(wǎng)關(guān)外部接口的IP地址,它們分別保護(hù)172.16.1.0/24和172.16.2.0/24兩個(gè)內(nèi)部子網(wǎng),下面以圖5中外部IP為192.168.0.1的網(wǎng)關(guān)為例,介紹IPSec-tools中隧道模式下安全策略和密鑰管理的方法。
5.1 安全策略
IPSec-tools中安全策略的管理由Setkey完成。在setkey的配置文件setkey.conf中需要加入流入(in)、流出(out)、轉(zhuǎn)發(fā)(fwd)三條安全策略規(guī)則。
5.2 密鑰和SA的管理
(1)人工方式
Setkey.conf中SA規(guī)則定義IPSev密鑰和SA人工方式的管理。
(2)自動(dòng)方式
自動(dòng)方式的管理由racoon完成,racoon支持多種驗(yàn)證方式,包括預(yù)共享密鑰和X.509證書(shū)方式,racoon的配置文件racoon.conf主要包括Remote和sainfo兩大部分,分別對(duì)應(yīng)于IKE交換的第一階段和第二階段,Remote部分指定IKE交換第一階段的身份驗(yàn)證方式和加密、驗(yàn)證算法等參數(shù),sainfo部分指定第二階段的加密和驗(yàn)證算法。
預(yù)共享密鑰方式下用戶(hù)的預(yù)共享密鑰保存在文件中,此時(shí)racoon.conf的配置如下(其中指定了預(yù)共享密鑰所存放的文件):
在X.509證書(shū)方式下,racoon.conf的配置與共享密鑰方式的基本相同,其指定了證書(shū)所在目錄,自己的X.509的證書(shū)、自己的證書(shū)密鑰和CA的證書(shū)。有關(guān)racoon中證書(shū)的生成請(qǐng)參照racoon和openssl的使用手冊(cè)。
5.3 運(yùn)行
在無(wú)線(xiàn)網(wǎng)關(guān)接入Internet后,依次運(yùn)行setkey和racoon。
結(jié)語(yǔ)
無(wú)線(xiàn)數(shù)據(jù)傳輸和IPSec的結(jié)合使得無(wú)線(xiàn)數(shù)據(jù)傳輸?shù)膽?yīng)用領(lǐng)域進(jìn)一步擴(kuò)展,目前本系統(tǒng)已廣泛應(yīng)用于金融、保險(xiǎn)、電力、監(jiān)控、交通、氣象等行業(yè),在移動(dòng)網(wǎng)絡(luò)許可的條件下,任何采用以太網(wǎng)或串口的設(shè)備,如PC機(jī)、工控機(jī)、ATM機(jī)、POS機(jī)、視頻服務(wù)等,都可以方便、安全地通過(guò)本系統(tǒng)連接到Internet上。
作者:清華大學(xué) 劉宇洪,薛濤,邵貝貝 來(lái)源:《單片機(jī)與嵌入式系統(tǒng)應(yīng)用》