|
隨著網絡和無線通信技術的發展以及無線數據傳輸能力的提高,無線數據傳輸的應用領域不斷擴展。如圖1所示,用戶的移動設備可以通過CDMA/GPRS公眾無線網絡直接訪問Internet,進而訪問自己的內部網絡,省去了自己組網的費用。由于用戶都希望保障其數據的安全,所以采用VPN技術成為其必然選擇。 1 IPSec簡介 IPSec的目標是為IP提供互操作高質量的基于密碼,學的一整套安全服務,包括訪問控制、無連接完整性、數據源驗證、抗重放攻擊、保密性和有限的流量保密。這些服務都在IP層提供,可以為IP和上層協議提供保護。 IPSec的體系結構在RFC2401中定義。它通過兩個傳輸安全協議——頭部認證(AH)和封裝安全負載(ESP)以及密鑰管理的過程和相關協議來實現其目標。AH提供無連接完整性、數據源驗證和可選的抗重發攻擊服務;ESP可以提供保密性、有限的流量保密、無連接一致性、數據源驗證和抗重發攻擊。AH和ESP都是基于密鑰分配和流量管理的訪問控制的基礎。AH和ESP都有兩種模式:傳輸模式和隧道模式。傳輸模式用于保護主機問通信;而隧道模式將IP封裝到IP隧道里,主要用于保護網關間通信。 IPSec中用戶通過向IPSec提供自己的安全策略(SP)來控制IPSec的使用,包括對哪些傳輸數據進行保護,需要使用哪些安全服務,使用何種加密算法。IPSec中安全關聯(SA)是一個基本概念,它是一個簡單“連接”,使用AH或者ESP為其負載提供安全服務。如果AH和ESP被同時用于提供安全服務,則需要兩個和更多個SA。同時由于SA是單向的,因此如果是雙向保密通信,則每個方向至少需要一個SA。IPSec中有兩個與安全相關的數據庫:安全策略數據庫(SPD)和安全關聯數據庫(SAD)。前者定義了如何處理所有流入和流出IP數據處理的策略,后者包含所有(有效)SA有關的參數。 AH/ESP中所使用的密鑰的分配和SA管理都依賴于一組獨立機制,包括人工和自動兩種方式。IPSec定義了IKE協議用于自動方式下的密鑰分配和SA管理。IKE中密鑰分配和SA管理的過程分成兩個階段:第一階段是密鑰協商雙方建立一個相互信任的、保密的安全通道,用于保護第二階段密鑰協商過程;第二階段完成實際用于IPSec SA的協商。 IPSec數據處理模型如圖2所示。對流入/流出的數據首先確定其安全策略,如果需要安全服務,則要找到其相應的安全關聯,根據安全關聯提供的參數進行AH/ESP處理后完成流入/流出。 2 系統功能 本系統的主要功能是支持CDMA和GPRS兩種方式接入Internet,既可作為VPN服務器,又可作為VPN客戶端。IPSec的密鑰交換支持共享密鑰方式和基于X.509的公開密鑰方式。 3 系統的硬件實現 系統硬件構成如圖3所示。無線接口采用的是Wavecom CDMA/GPRS模塊,基板采用的是FrccscaleColdfire5272。 4 系統的軟件實現 Linux的2.6內核中加入了對IPSec的支持。本系統采用的是基于linux 2.6內核的IPSec-tools,整個系統中IPSec的相關軟件結構如圖4所示。Linux 2.6內核在其網絡協議棧中提供對AH和ESP支持,同時包括SPD的實現和SAD的實現。IPSec-tools包括setkey和racoon兩個應用程序。Setkey實現IPSec中SPD管理和SAD的人工管理,它需要使用IAnux內核支持IPSec用戶管理接口。Racoon是IPSec-tools中IKE的實現,它需要內核支I持PF_KEYv2的接口;同時為了支持基于X.509證書的公開密鑰身份驗證方式,racoon需要使用openssl提供的libcryto加密庫。AH/ESP所使用的加密算法需要內核加密算法庫支持。 4.1 Linux內核 在WWW.kernel.org下載并安裝Linux2.6.12內核,在www.uclinux.org下載其uClinux補丁。打上補丁后,通過make menuconfig進入Linux的內核配置界面,選定如下所有配置: 4.2 Openssl(1ibcrypto.a) 安裝openssl 0.9.7e源代碼后,進入安裝目錄,修改其Configure文件使用m68k-elf-gcc作為編譯器。運行Configure linux-m68k完成配置后,編譯生成libcrypto.a。 4.3 IPSec-tools 依照uClinux中如何加入新的用戶程序的文檔,在uClinux的/user目錄中加入IPSec-tools 0.5.2軟件包。進入IPSec-tools的安裝目錄,并在該目錄下加入一個如下Makefile(在這個Makefile中需要指定內核頭文件和openssl源代碼的安裝目錄): all:build $(MAKE)-C build 編譯生成setkey和racoon兩個應用程序。 5 IPSec-tools的使用 本系統的IPSec同時支持傳輸模式和隧道模式。作為VPN網關時只使用隧道模式。圖5足兩個IPSec網關間通信模型。192.168.1.100和192.168.2.100分別是兩個網關外部接口的IP地址,它們分別保護172.16,1.0/24和172.16.2.O/24兩個內部子網。下面以圖5中外部IP為192.168.0.1的網關為例,介紹IPSec_tools中隧道模式下安全策略和密鑰管理的方法。 5.1 安全策略 IPSec_tools中安全策略的管理由setkey完成。在setkey的配置文件setkey.conf中需要加入流入(in)、流出(out)、轉發(fwd)三條安全策略規則。 5.2 密鑰和SA的管理 (1)人工方式 setkey.conf中SA規則定義IPSec中密鑰和SA人工方式的管理。 (2)自動方式 自動方式的管理由racoon完成。racoon支持多種驗證方式,包括預共享密鑰和X.509證書方式。racoon的配置文件racoon.conf主要包括rernote和sainfo兩大部分,分別對應于IKE交換的第一階段和第二階段。remote部分指定IKE交換第一階段的身份驗證方式和加密、驗證算法等參數。sahffo部分指定第二階段的加密和驗證算法。 預共享密鑰方式下用戶的預共享密鑰保存在文件中,此時racoon.conf的配置如下(其中指定了預共享密鑰所存放的文件): } 在X.509證書方式下,racoon.conf的配置與共享密鑰方式的基本相同,但其指定了證書所在目錄、自己的X.509證書、自己的證書密鑰和CA的證書。有關racoon中證書的生成請參照racoon和openssl的使用手冊。 5.3 運行 在無線網關接入Intemet后,依此運行setkey和racoon。 結語 無線數據傳輸和IPSec的結合使得無線數據傳輸的應用領域進一步擴展。目前本系統已廣泛應用于金融、保險、電力、監控、交通、氣象等行業。在移動網絡許可的條件下,任何采用以太網或串口的設備,如PC機、工控機、ATM機、POS機、視頻服務器等,都可以方便、安全地通過本系統連接到Internet上。 |
