基于PowerPC的VPN网关设计
摘 要:随着对因特网通信安全性需求的日益增加,VPN安全网关已广泛应用于企事业单位。高安全性、可靠性和高性价比是提高VPN网关竞争力的有力手段。本文根据VPN的基本概念,提出了VPN安全网关设计方案、嵌入式L inux操作系统的构建方法,并简述了硬件加密模块的实现方法。
关键词:虚拟专用网;PowerPC;嵌入式Linux操作系统;IP安全
引言
因特网的迅速普及为企事业、政府、金融机构等部门提供了更为迅捷经济的通信方式,提高了他们的工作和管理效率;但另一方面,日益不安全的网络环境却严重威胁到这些用户的利益。如何保证公网上传输数据的安全,已成为一个迫切需要解决的问题。为此,需开发一种由VPN (Virtual Private Network,简称VPN )安全网关、VPN 客户端和VPN安全管理中心三部份组成的VPN安全系统。
目前,国内大部分VPN 网关在硬件平台上使用基于x86 CPU的商用工控机主板。由于商用工控机是为一般的工业控制而设计的,作为VPN网关使用时,存在功能冗余、成本及可靠性难于控制等问题。因此,有必要自己设计一款性价比较高的硬件平台供VPN网关使用。Motorola通信处理器PowerPC在通信业中使用广泛,并具有良好的性价比,可以满足VPN安全网关的设计需要。另外,安全产品涉及一个国家的主权和敏感的安全信息,作为保证安全极为重要的操作系统和加密算法应该完全为自己掌握。因此,采用具有自主知识产权的操作系统和加密算法尤为重要。而L inux操作系统源代码的开放性及其在网络产品中的优异表现,使得我们可以用其构建具有自主知识产权的VPN安全网关。
VPN概念
什么是VPN
VPN即虚拟专用网,是通过一定的安全机制在公用的网络如因特网中建立起与公网相对独立和封闭的信息通道,以保护企业各子网之间、子网和移动用户之间、移动用户和服务器之间的通信数据的安全。VPN利用公网的资源,让用户拥有同专网相同的安全性,并享受因特网带来的经济实惠和方便迅捷。
VPN如何保护通信安全
不同类型的VPN所采用的协议不同,使用的安全机制也不同。关于VPN的协议比较多,但目前最完善的、安全性最高的应属IPSec协议。它可使用CA数字证书来实现通信双方的身份认证;使用对称加密算法来对数据进行加密,保证数据的安全性;使用单向散列函数对数据计算摘要,并对摘要进行加密来保证数据的完整性。此外,VPN节点之间通信,不可能每次都手工配置密钥,手工方式既不安全也不方便,可以采用因特网自动密钥交换协议来进行密钥的协商,设置每次会话密钥的生命期,在快要结束生命期时,自动协商下一个会话密钥。
当企业虚拟专网建立时,需要在各个子网的出口配置安全网关。安全网关负责对流出数据进行加密和计算校验和,对进入数据进行检验和解密,并实施访问控制。VPN安全网关在其中具有举足轻重的作用。比如,当一台主机与另外一台主机通信时,会首先启动IKE (自动密钥协商)进程协商各种工作参数,包括加密算法、验证算法、密钥长度、密钥值等,并进行双向的身份认证,所有这些成为一个安全关联( Security Association) 。
VPN的使用
VPN安全网关与VPN Client软件配合使用,通过灵活配置隧道策略,不仅可以解决通信的安全问题,还可以解决用户对公司总部网络的访问授权问题。图1 是一个VPN安全系统的典型网络拓扑图。

当网关与Client相连时,远程用户通过因特网访问公司总部时会首先通过VPN安全网关,安全网关会对用户进行身份验证、协商密钥,最终建立安全隧道并实现访问控制。不同的用户可能有着不同的访问权限。例如, Client1作为公司的主管,可以访问服务器A、B、C,而Client2作为普通员工,只能访问服务器A。通过中心管理员为不同的Client配置不同的策略,可以实现用户访问服务器的权限。此种应用适合移动用户接入公司内网。
当网关与网关相连时,通过VPN管理中心或终端方式为需要相互通信的两台网关间配置对应的隧道,位于两台私口后的主机就能通过加密隧道进行通信,防止数据被丢失、篡改并保证数据的完整。
VPN安全网关设计方案概述
VPN系统体系结构
VPN的主要作用是采用加密、认证和网络技术在公共互联网上构建相互信任方之间的安全加密信息传输通道,以期达到专用网络的效果。VPN网关在其中将发挥非常重要的核心作用。
由图1可知,VPN网关工作在本地局域网及与其通信的远程局域网的网关位置,具有加密和认证功能。相互信任的局域网间进行通信时,仍然使用互联网作为中间信道。但是,通过VPN网关的加密功能确保信息在不安全的互联网上流通时是密文形式。这样,即便信息被截取,也无法偷窥或篡改其内容,保证通过互联网连接的局域网间通信的安全性、机密性、可认证性
- 基于PowerPC和嵌入式Linux的VPN网关设计(11-01)
- μC/OS的任务调度实现方法及其在PowerPC上的优化(10-29)
- 基于PowerPC和Linux的VPN网关设计(01-14)
- uCOS-II优先级任务调度在PowerPC上的移植和优化(08-15)
- 全新EDK8.1简化嵌入式设计(06-04)
- ARM DSP X86 POWERPC MIPS FPGA简介(11-11)
- 妤傛ḿ楠囩亸鍕暥瀹搞儳鈻肩敮鍫濆悋閹存劕鐓跨拋顓熸殌缁嬪顨滅憗锟�
閸忋劍鏌熸担宥咁劅娑旂姴鐨犳0鎴滅瑩娑撴氨鐓$拠鍡礉閹绘劕宕岄惍鏂垮絺瀹搞儰缍旈懗钘夊閿涘苯濮幃銊ユ彥闁喐鍨氶梹澶歌礋娴兼ḿ顫呴惃鍕殸妫版垵浼愮粙瀣瑎...
- 娑擃厾楠囩亸鍕暥瀹搞儳鈻肩敮鍫濆悋閹存劕鐓跨拋顓熸殌缁嬪顨滅憗锟�
缁箖鈧拷30婢舵岸妫亸鍕暥閸╃顔勭拠鍓р柤閿涘奔绗撶€硅埖宸跨拠鎾呯礉閸斺晛顒熼崨妯烘彥闁喕鎻崚棰佺娑擃亜鎮庨弽鐓庣殸妫版垵浼愮粙瀣瑎閻ㄥ嫯顩﹀Ч锟�...
- Agilent ADS 閺佹瑥顒熼崺纭咁唲鐠囧墽鈻兼總妤勵棅
娑撴挸顔嶉幒鍫n嚦閿涘苯鍙忛棃銏n唹鐟欘枃DS閸氬嫮顫掗崝鐔诲厴閸滃苯浼愮粙瀣安閻㈩煉绱遍崝鈺傚亶閻€劍娓堕惌顓犳畱閺冨爼妫跨€涳缚绱癆DS...
- HFSS鐎涳缚绡勯崺纭咁唲鐠囧墽鈻兼總妤勵棅
鐠у嫭绻佹稉鎾愁啀閹哄牐顕抽敍灞藉弿闂堛垼顔夐幒鍦欶SS閻ㄥ嫬濮涢懗钘夋嫲鎼存梻鏁ら敍灞藉簻閸斺晜鍋嶉崗銊╂桨缁崵绮洪崷鏉款劅娑旂姵甯夐幓顡嶧SS...
- CST瀵邦喗灏濆銉ょ稊鐎广倕鐓跨拋顓熸殌缁嬪顨滅憗锟�
閺夊孩妲戝ú瀣╁瘜鐠佽绱濋崗銊╂桨鐠佸弶宸緾ST閸氬嫰銆嶉崝鐔诲厴閸滃苯浼愮粙瀣安閻㈩煉绱濋崝鈺傚亶韫囶偊鈧喕鍤滅€涳附甯夐幓顡塖T鐠佹崘顓告惔鏃傛暏...
- 鐏忓嫰顣堕崺铏诡攨閸╃顔勭拠鍓р柤
娑撳洣绗€妤傛ɑ銈奸獮鍐叉勾鐠у嚖绱濇潻娆庣昂鐠囧墽鈻兼稉杞扮稑閸︺劌鐨犳0鎴炲Η閺堫垶顣崺鐔枫亣鐏炴洘瀚甸懘姘剧礉閹垫挷绗呴崸姘杽閻ㄥ嫪绗撴稉姘唨绾偓...
- 瀵邦喗灏濈亸鍕暥濞村鍣洪幙宥勭稊閸╃顔勭拠鍓р柤閸氬牓娉�
鐠愵厺鎷遍崥鍫ユ肠閺囨潙鐤勯幆鐙呯礉缂冩垵鍨庨妴渚€顣剁拫鍙樺崕閵嗕胶銇氬▔銏犳珤閵嗕椒淇婇崣閿嬬爱閿涘本鍨滅憰浣圭壉閺嶉绨块柅锟�...