作者:清華大學 劉宇洪����,薛濤,邵貝貝
隨著網絡和無線通信技術的發展以及無線數據傳輸能力的提高����,無線數據傳輸的應用領域不斷擴展,如圖1所示,用戶的移動設備可以通過CDMA/GPRS公眾無線網絡直接訪問Internet���,進而訪問自己的內部結構���,省去了自己組網的費用,由于用戶都希望保障其數據的安全�����,所以采用VPN技術成為其必然選擇��。
1 ipSec簡介
IPSec的目標是為IP提供互操作高質量的基于密碼學的一整套安全服務���,包括訪問控制�����、無連接完整性�����、數據源驗證、抗重放攻擊�、保密性和有限的流量保密,這些服務都在IP層提供���,可以為IP和上層協議提供保護��。
IPSec的體系結構在RFC2401中定義�����,它通過兩個傳輸安全協議——頭部認證(AH)和封裝安全負載(ESP)以及密鑰治理的過程和相關協議來實現其目標��,AH提供無連接完整性��、數據源驗證和可選的抗重發攻擊服務�����,ESP可以提供保密性�����、有限的流量保密�、無連接一致性、數據源驗證和抗重發攻擊�。AH和ESP都是基于密鑰分配和流量治理的訪問控制的基礎,AH和ESP都有兩種模式:傳輸模式和隧道模式��。傳輸模式用于保護主機間通信;而隧道模式將IP隧道里�,主要用于保護網關間通信。
IPSec中用戶通道向IPSec提供自己的安全策略(SP)來控制IPSec的使用��,包括對哪些數據進行保護���,需要使用哪些安全服務��,使用何種加密算法���,IPSec中安全關聯(SA)是一個基本概念,它是一個簡單“連接”����,使用AH或者ESP為其負載提供安全服務,則需要兩個和更多個SA�,同時由于SA是單向的,因此假如是雙向保密通信�,則每個方向至少需要一個SA。IPSec中有兩個與安全相關的數據庫�����,安全策略數據庫(SPD)和安全關聯數據庫(SAD)����,前者定義了如何處理所有流入和流出IP數據處理的策略,后者包含所有(有效)SA有關的參數���。
AH/ESP中所使用的密鑰的分配和SA治理都依靠于一組獨立機制����,包括人工和自動兩種方式����,IPSec定義了IKE協議用于自動方式下的密鑰分配和SA治理,IKE中密鑰分配和SA治理的過程分成兩個階段�,第一階段是密鑰協商雙方建立一個相互信任的、保密的安全通道����,用戶保護第二階段密鑰協商過程,第二階段完成實際用于IPSecSA的協商�����。
IPSec的數據處理模型如圖2所示,對流入/流出的數據首先確定其安全策略�,假如需要安全服務,則要找到其相應的安全關聯����,根據安全關聯,提供的參數進行AH/ESP處理后完成流入/流出����。
2 系統功能
本系統的主要功能是支持CDMA和GPRS兩種方式接入Internet,既可作為VPN服務器����,又可作為VPN客戶端。IPSec的密鑰交換支持共享密鑰方式和基于X.509的公開密鑰方式�。
3 系統的硬件實現
系統硬件構成如圖3所示,無線接口采用的是WavecomCDMA/GPRS模塊�,基板采用的是FreesCAleColdfire5272。
4 系統的軟件實現
linux的2.6內核中加入了對IPSec的支持���,本系統采用的是基于Linux2.6內核的IPSec-tools�����,整個系統中IPSec的相關軟件結構如圖4所示���,Linux2.6內核在其網絡協議棧中提供對AH和ESP支持,同時包括SPD的實現和SAD的實現�����,IPSec-tools包括setkey和racoon兩個應用程序。Setkey實現IPSec中SPD治理和SAD的人工治理�����,它需要使用Linux內核支持IPSec用戶治理接口�����。Racoon是IPSec-tools中IKE的實現�����,它需要內核支持PF_KEYv2的接口�����,同時為了支持基于X.509證書的公開密鑰身份驗證方式����,racoon需要使用openssl提供的libcryto加密庫��。AH/ESP所使用的加密算法需要內核加密算法支持�。
4.1Linux內核
在www.kernel.org下載并安裝linux2.6.12內核���,在www.UCLinux.org下載其uCLinux補丁。打上補丁后�,通過makemenuconfig進入Linux的內核配置界面,選定如下所有配置:
4.2Openssl(libcrypto.a)
安裝Openssl0.9.7e源代碼后���,進入安裝目錄�����,修改其Configure文件使用m68k-elf-gcc作為編譯器����。運行ConfigureLinux-m68k完成配置后���,編譯生成libcrypto.a���。
4.3IPSec-tools
依照ucLinux中任何加入新的用戶程序的文檔,在ucLinux的/user目錄中加入IPSec-tools0.5.2軟件包����。進入IPSec-tools的安裝目錄,并在該目錄下加入一個如下Makefile(在這個Makefile中需要指定內核頭文件和openssl源代碼的安裝目錄):
all:build$(MAKE)-Cbuild
編譯生成setkey和racoon兩個應用程序
5 IPSec-tools的使用
本系統的IPSec同時支持傳輸模式和隧道模式��。作為VPN網關時只使用隧道模式。圖5是兩個IPSec網關間通信模型����。192.168.1.100和192.168.2.100分別是兩個網關外部接口的IP地址,它們分別保護172.16.1.0/24和172.16.2.0/24兩個內部子網�����,下面以圖5中外部IP為192.168.0.1的網關為例�����,介紹IPSec-tools中隧道模式下安全策略和密鑰治理的方法����。
5.1安全策略
IPSec-tools中安全策略的治理由Setkey完成�����。在setkey的配置文件setkey.conf中需要加入流入(in)�����、流出(out)�����、轉發(fwd)三條安全策略規則。
5.2密鑰和SA的治理
(1)人工方式
Setkey.conf中SA規則定義IPSev密鑰和SA人工方式的治理���。
(2)自動方式
自動方式的治理由racoon完成��,racoon支持多種驗證方式�����,包括預共享密鑰和X.509證書方式�,racoon的配置文件racoon.conf主要包括Remote和sainfo兩大部分�����,分別對應于IKE交換的第一階段和第二階段��,Remote部分指定IKE交換第一階段的身份驗證方式和加密���、驗證算法等參數�,sainfo部分指定第二階段的加密和驗證算法�。
預共享密鑰方式下用戶的預共享密鑰保存在文件中,此時racoon.conf的配置如下(其中指定了預共享密鑰所存放的文件):
在X.509證書方式下,racoon.conf的配置與共享密鑰方式的基本相同��,其指定了證書所在目錄�,自己的X.509的證書、自己的證書密鑰和CA的證書����。有關racoon中證書的生成請參照racoon和openssl的使用手冊。
5.3運行
在無線網關接入Internet后����,依次運行setkey和racoon。
結語
無線數據傳輸和IPSec的結合使得無線數據傳輸的應用領域進一步擴展����,目前本系統已廣泛應用于金融����、保險、電力�����、監控�、交通、氣象等行業,在移動網絡許可的條件下����,任何采用以太網或串口的設備,如PC機�、工控機、ATM機�、POS機、視頻服務等�,都可以方便、安全地通過本系統連接到Internet上�。
