一種基于PowerPC和Linux的VPN網(wǎng)關(guān)設(shè)計-設(shè)計應(yīng)用

精品文檔-下載后可編輯一種基于PowerPC和Linux的VPN網(wǎng)關(guān)設(shè)計-設(shè)計應(yīng)用目前，國內(nèi)大部分VPN網(wǎng)關(guān)在硬件平臺上使用基于x86CPU的商用工控機(jī)主板。由于商用工控機(jī)是為一般的工業(yè)控制而設(shè)計的，作為VPN網(wǎng)關(guān)使用時，存在功能冗余、成本及可靠性難于控制等問題VPN網(wǎng)關(guān)為防火墻+VPN軟硬件一體化的產(chǎn)品。VPN是虛擬專用隧道網(wǎng)絡(luò)的意思，通過vpn技術(shù)可以實現(xiàn)不同的網(wǎng)絡(luò)互聯(lián)，構(gòu)成一個網(wǎng)絡(luò)，是總部與分支機(jī)構(gòu)網(wǎng)絡(luò)互通的形式。VPN網(wǎng)關(guān)支持adsl線路，免租專線、即插即用；支持pptp協(xié)議、ssl協(xié)議；可以實現(xiàn)點對點、點對網(wǎng)、網(wǎng)對網(wǎng)等多種互通形式。

VPN概念

什么是VPN

VPN英文全稱是"VirtualPrivateNetwork",翻譯過來就是"虛擬專用網(wǎng)絡(luò)".vpn被定義為通過一個公用網(wǎng)絡(luò)建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定隧道。使用這條隧道可以對數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。VPN主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份技術(shù)。

VPN如何保護(hù)通信安全

不同類型的VPN所采用的協(xié)議不同，使用的安全機(jī)制也不同。它可使用CA數(shù)字證書來實現(xiàn)通信雙方的身份；使用對稱加密算法來對數(shù)據(jù)進(jìn)行加密，保證數(shù)據(jù)的安全性；使用單向散列函數(shù)對數(shù)據(jù)計算摘要，并對摘要進(jìn)行加密來保證數(shù)據(jù)的完整性。此外，VPN節(jié)點之間通信，不可能每次都手工配置密鑰，手工方式既不安全也不方便，可以采用因特網(wǎng)自動密鑰交換協(xié)議來進(jìn)行密鑰的協(xié)商，設(shè)置每次會話密鑰的生命期。

當(dāng)企業(yè)虛擬專網(wǎng)建立時，需要在各個子網(wǎng)的出口配置安全網(wǎng)關(guān)。安全網(wǎng)關(guān)負(fù)責(zé)對流出數(shù)據(jù)進(jìn)行加密和計算校驗和，對進(jìn)入數(shù)據(jù)進(jìn)行檢驗和解密，并實施訪問控制。

VPN的使用

VPN安全網(wǎng)關(guān)與VPNClient軟件配合使用，通過靈活配置隧道策略，不僅可以解決通信的安全問題，還可以解決用戶對公司總部網(wǎng)絡(luò)的訪問授權(quán)問題。圖1是一個VPN安全系統(tǒng)的典型網(wǎng)絡(luò)拓?fù)鋱D。

當(dāng)網(wǎng)關(guān)與網(wǎng)關(guān)相連時，通過VPN管理中心或終端方式為需要相互通信的兩臺網(wǎng)關(guān)間配置對應(yīng)的隧道，位于兩臺私口后的主機(jī)就能通過加密隧道進(jìn)行通信，防止數(shù)據(jù)被丟失、篡改并保證數(shù)據(jù)的完整。

VPN安全網(wǎng)關(guān)設(shè)計方案概述

VPN系統(tǒng)體系結(jié)構(gòu)

VPN的主要作用是采用加密、和網(wǎng)絡(luò)技術(shù)在公共互聯(lián)網(wǎng)上構(gòu)建相互信任方之間的安全加密信息傳輸通道，以期達(dá)到專用網(wǎng)絡(luò)的效果。VPN網(wǎng)關(guān)在其中將發(fā)揮非常重要的作用。

由圖1可知，VPN網(wǎng)關(guān)工作在本地局域網(wǎng)及與其通信的遠(yuǎn)程局域網(wǎng)的網(wǎng)關(guān)位置，具有加密和功能。相互信任的局域網(wǎng)間進(jìn)行通信時，仍然使用互聯(lián)網(wǎng)作為中間信道。但是，通過VPN網(wǎng)關(guān)的加密功能確保信息在不安全的互聯(lián)網(wǎng)上流通時是密文形式。即便信息被截取，也無法偷窺或篡改其內(nèi)容，保證通過互聯(lián)網(wǎng)連接的局域網(wǎng)間通信的安全性、機(jī)密性、可性和完整性等安全性能。

VPN安全網(wǎng)關(guān)的設(shè)計目標(biāo)

（1）完整實現(xiàn)IPSec協(xié)議簇，完全支持VPN的要求。

（2）要建立在具有自主版權(quán)的、安全性完全控制在自己手中的內(nèi)核操作系統(tǒng)之上。

（3）要確保自身的安全、協(xié)議的安全和信息通道的安全。采用國密辦批準(zhǔn)的加密算法，由硬件實現(xiàn)數(shù)據(jù)加解密。

（4）要具有較高的性價比，滿足低端網(wǎng)絡(luò)的要求。明文吞吐率10Mbps;啟用IPSec協(xié)議，以隧道方式加密傳輸時，吞吐率大于4Mbps.

（5）設(shè)計與實現(xiàn)要采用先進(jìn)的硬、軟件技術(shù)和方法。

（6）盡可能方便管理、靈活配置和界面友好。

技術(shù)思想

（1）軟件：①自主開發(fā)的嵌入式安全操作系統(tǒng)內(nèi)核；②由于LinuxOS的源代碼的開放性及其在網(wǎng)絡(luò)產(chǎn)品中的優(yōu)異表現(xiàn)，因而可以用其構(gòu)建具有自主知識產(chǎn)權(quán)的VPN安全網(wǎng)關(guān);③網(wǎng)絡(luò)協(xié)議和IPSec協(xié)議層；④數(shù)據(jù)加/解密算法由采用國密辦批準(zhǔn)的硬件加密芯片SSF10B實現(xiàn)；⑤管理系統(tǒng)層需支持手工和通過SMC配置IPSec策略。

（2）硬件：根據(jù)設(shè)計要求，該VPN網(wǎng)關(guān)將用于10Mbps以太網(wǎng)環(huán)境中，設(shè)計采用目前在通信業(yè)中使用較廣的Mo2torola通信處理器PowerPCMPC8xx作為主CPU,選用其中一款性價比較高的控制器MPC855T.在硬件平臺的設(shè)計中，本著滿足性能要求，保證高可靠性和高性價比的原則，嵌入式Linux操作系統(tǒng)的構(gòu)建通常的嵌入式系統(tǒng)開發(fā)大致可以分為硬件設(shè)計、裝載或引導(dǎo)嵌入式系統(tǒng)、在嵌入式系統(tǒng)上建立開發(fā)平臺以及開發(fā)應(yīng)用等四個步驟。

利用ppcboot引導(dǎo)

ppcboot源碼樹的目錄結(jié)構(gòu)

CHANGELOG//記錄歷次版本升級時的修改內(nèi)容

COPYING

CREDITS

MAKEALL

Makefile//制作文件

README//必讀的文件

System.map//當(dāng)編譯連接完成后，所生成的ppcboot二進(jìn)

//制中所有函數(shù)、數(shù)據(jù)的地址信息

board//各種與板子硬件關(guān)聯(lián)的。c模塊

common//一些通用ppcboot命令集的。c模塊

config.mk

cpu//與MPC8xx硬件關(guān)聯(lián)的系統(tǒng)初始化。c代碼

disk//磁盤分區(qū)支持

doc//技術(shù)文檔目錄

examples//一些簡單的、無需操作系統(tǒng)的應(yīng)用程序

fs//ppcboot中對文件系統(tǒng)的支持

include//頭文件

net//網(wǎng)絡(luò)協(xié)議支持

ppcPowerPC//處理器運行時環(huán)境支持

ppcboot//elf32格式的ppcboot二進(jìn)制執(zhí)行文件

ppcboot.bin//raw二進(jìn)制格式的ppcboot執(zhí)行文件

ppcboot.map//s2record格式的ppcboot執(zhí)行文件

rtc//實時時鐘支持

tools//與ppcboot相關(guān)的一些工具軟件ppcboot的特點

經(jīng)修改后，ppcboot-1.1.5具有如下特性：（1）支持bootm,直接從flash引導(dǎo)Linux,并提供軟件工具集，可構(gòu)建出終燒結(jié)用的影像；（2）支持從doc或flashmemory引導(dǎo)Linux,并提供工具集，可構(gòu)建出終燒結(jié)用的影像；（3）板上flash/doc讀、寫、擦除功能；（4）支持串行口kermit協(xié)議代碼或數(shù)據(jù)；（5）支持scc1以太網(wǎng)口啟動tftp下傳數(shù)據(jù)：如內(nèi)核、ramdisk、autoscript等影像；（6）支持串行口srecord代碼或數(shù)據(jù)；（7）支持autoscript;（8）提供板上內(nèi)存讀寫，格式化顯示，可進(jìn)行簡單測試。

當(dāng)完成ppcboot-1.1.5的改寫后，對其進(jìn)行編譯，得到二進(jìn)制的ppcboot.bin代碼，然后將其燒錄在板上的BOOTEPROM中。

建立Linux開發(fā)平臺

修改和編譯嵌入式Linux內(nèi)核

Linux內(nèi)核有自己的結(jié)構(gòu)體系，進(jìn)程管理、內(nèi)存管理和文件系統(tǒng)是其基本的三個子系統(tǒng)。圖2為Linux內(nèi)核的結(jié)構(gòu)。圖中虛線框中部分可以看成是Linux內(nèi)核的單內(nèi)核結(jié)構(gòu)，因此修改內(nèi)核必須注意各子系統(tǒng)間的協(xié)調(diào)。

Linux開發(fā)平臺使用內(nèi)核版本為2.4.4的PowerPC嵌入式Linux操作系統(tǒng)作為VPN網(wǎng)關(guān)的基本軟件平臺。為了支持硬件平臺，需要對內(nèi)核進(jìn)行修改，并增加相應(yīng)設(shè)備的驅(qū)動程序。

（1）驅(qū)動程序列表

DOC驅(qū)動程序源碼：/home/sjw01/linux/drivers/mtd/devices/doc2000.c;

以太網(wǎng)驅(qū)動程序源碼：/home/sjw01/linux/arch/ppc/8xx_io/enet_scc1.cfec.c;

RTC驅(qū)動程序源碼：/home/sjw01/linux/drivers/unis_rtc/rtc8xx.hrtc8xx.csetrtc8xx.cMkaefilesetrtc8xx;

串口驅(qū)動程序源碼：/home/sjw01/linux/arch/ppc/8xx_io/uart.c;

flashmemory驅(qū)動程序源碼：/home/sjw01/linux/drivers/mtd/maps/unis.c.

（2）交叉編譯環(huán)境

使用hardhatCDK2.0作為開發(fā)工具，需將下面的路徑加入用戶環(huán)境變量$PATH中：/opt/hardhat/devkit/ppc/8xx/bin;#exportPATH=$PATH:/opt/hardhat/devkit/ppc/8xx/bin或編輯".bash_profile"文件的PATH行。構(gòu)建目標(biāo)文件系統(tǒng)配置DOC或FlashMemory中的文件系統(tǒng)是件很講究的事情，主要是因為DOC/Flash容量有限，在保證正常功能的前提下，要盡可能地少占用資源。

總體上，文件分成如下幾類：（1）共享庫類：這類文件必不可少。（2）Linux/GNU系統(tǒng)實用工具：盡量用busybox、tinylogin代替，能減則減。（3）配置文件：多出現(xiàn)在/etc下，不太占地方，但要注意協(xié)調(diào)關(guān)系。（4）用戶應(yīng)用程序：編譯時盡量使用動態(tài)連接，編譯后strip一下，放到固定位置。

目標(biāo)文件系統(tǒng)列表如表1所示。

所有配置文件、可執(zhí)行文件、庫文件的位置均符合Linux操作系統(tǒng)的慣例。

IPSec實現(xiàn)中的硬件加密算法

IPSec是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過使用加密的安全服務(wù)以確保在Internet協(xié)議（IP）網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊。Microsoftreg;Windowsreg;2000、WindowsXP和WindowsServer2022家族實施IPSec是基于"Internet工程任務(wù)組IPSec工作組開發(fā)的標(biāo)準(zhǔn)。

在VPN安全網(wǎng)關(guān)中，加密算法的安全、高效，是VPN網(wǎng)關(guān)安全性和有效性的重要保證。為此，在設(shè)計中采用了一種硬件加密模塊的方式，使得我們的VPN網(wǎng)關(guān)可以在硬件上使用不同的加密算法。在我們的默認(rèn)配置中，使用國密辦批準(zhǔn)的分組加密算法芯片SSF10.

為了使用硬件加密模塊，需要在Linux內(nèi)核的IPSec實現(xiàn)中添加和修改相應(yīng)的代碼，下面對其簡單說明。由于IPSec實現(xiàn)在內(nèi)核中的特殊位置，并且MPC855T的主頻較低（80MHz）,采用訪問設(shè)備驅(qū)動文件的方式訪問硬件SSF10加密模塊會造成速率大幅降低。因此，我們采用I/O直接訪問硬件SSF10芯片，同理，可以使用硬件DES/3DES、硬件AES算法和其他國密辦批準(zhǔn)的算法，用硬件實現(xiàn)數(shù)據(jù)加密。與硬件加密算法有關(guān)的文件如下：

freeswan-1.94/klips/net/ipsec/Config.in;

freeswan-1.94/libdes/des_enc.c;

freeswan-1.94/klips/net/ipsec/ipsec_sa.h;

freeswan-1.94/klips/net/ipsec/ipsec_tunnel.c;

freeswan-1.94/klips/net/ipsec/ssf10.h;

freeswan-1.94/klips/net/ipsec/ipsec_init.c;

freeswan-1.94/klips/net/ipsec/pfkey_v2_parser.c;

freeswan-1.94/klips/net/ipsec_rcv.c.

完成修改后，使用內(nèi)核makemenuconfig命令，選中Networkingoptions→[*]IP