（通信与信息系统专业论文）基于ipsec的vpn网关设计及其在电子政务系统中的应用.pdf

武汉理工大学硕士学位论文 摘要 随着电子政务的不断推进，越来越多机密性、价值连城的重要信息需要在 公开网络上传送。网络受到攻击所造成的损失也就更大，所以对网络传输信息 的安全性需求已十分迫切。寻求一个完整的网络安全解决方案，已经成为各大 网络公司在其系统集成业务中的一个重要成功因素。 虚拟专用网络( v i r t u a lp r i v a t en e t w o r k ，v p n ) 是一种通过对网络数据的封 包和加密传输，在公网上传输私有数据、达到专用网络的安全级别，从而利用 公网构筑专网的组网技术。v p n 的关键是通信安全，而针对计算机网络的安全 协议是提供这种通信安全的核心技术。因特网工程任务组( i e t f ) 于1 9 9 8 年1 1 月 颁布了m 层安全标准i p s e c ( i ps e c u r i t y ) 。其目标是为i p v 4 和i p v 6 提供具有较强 的互操作能力、高质量和基于密码的安全。对数据包进行高强度的安全处理， 提供数据源认证，数据完整性、数据机密性、抗重播等安全服务。 本文以t c p i p 协议体系网络层安全协议i p s e c 为基础，对虚拟专用网络这 一目前流行的信息安全技术进行了深入的研究。结合当今电子政务的应用环境， 设计并实现了基于i p s e c 协议的v p n 网关。 主要研究内容和成果包括： 1 ) 论文针对当今电子政务网络安全的需求，对t c p i p 协议栈网络层安全 协议i p s e c 进行了深入研究，最终选择了i p s e c 作为v p n 网关的实现协议。 2 ) 论文针对i p s e c 协议及网关到网关应用环境的特点，提出了i p s e c 设计 方案。其中包括了i p s e c 处理模块、密钥交换模块、内网穿透模块、密钥安全管 理模块的详细设计。并为数据包的加密与解密设计了良好的接口函数，给出了 网关实现所需用到的数据结构。 3 ) 论文针对安全、高效、稳定的v p n 网关使用要求。选择了i n t e l 公司i x p 4 2 5 系列c p u ，以及s s x 3 1 作为加密算法芯片，并且最终给出了嵌入式方案的具体 实现细节。 关键词：v p n ( v i r t u a lp r i v a t en e t w o r k ) ，i p s e c ，加密，解密 武汉理工大学硕士学位论文 a bs t r a c t w i t ht h ed e v e l o p m e n to fe - g o v e r n m e n t ，m o r ea n dm o r ec o n f i d e n t i a la n d e x t r e m e l yv a l u a b l ei n f o r m a t i o ni st r a n s f e r r e dp u b l i co nt h ei n t e m e t t h el o s sc a u s e d b yt h ea t t a c kt ot h ei n t e r n e ti sh e a v i e r t h e r e f o r e ，t h er e q u i r e m e n tt ot h es e c u r i t yo f i n t e r n e ti s p r e s s i n g s e e k i n gf o rac o m p l e t en e t w o r ks o l u t i o nh a sb e c o m ea l l i m p o r t a n tf a c t o ri ns y s t e mi n t e g r a t i o ns e r v i c ef o re v e r yn e t w o r ke n t e r p r i s e v i r t u a lp r i v a t en e t w o r k ( v p n ) i sac o n s t r u c t i n gn e t w o r kt e c h n o l o g yw h i c h ，i n o r d e rt oo b t a i nt h es e c u r i t yl e v e lo fp r i v a t en e t w o r k s ，t r a n s f e rp r i v a t ed a t a g r a mo n p u b l i cn e t w o r kb ye n c a p s u l a t i o na n de n c r y p t i o no fn e t w o r kd a t a k e yo ft h ev p ni s t h es e c u r i t yo fc o m m u n i c a t i o n , a n ds e c u r i t yp r o t o c o lt oc o m p u t e rn e t w o r ki st h ec o r e t e c h n o l o g yw h i c hs u p p l i e st h ec o m m u n i c a t i o ns e c u r i t y i n t e m e te n g i n e e r i n gt a s k f o r c e ( i e t f ) p r o v i d e dt h ei ps e c u r i t yg u a r a n t e ef o rt r a n s f e r r i n gs e n s i t i v ei n f o r m a t i o n i na nu n p r o t e c t e dn e t w o r ki nn o v ，1 9 9 8 i p s e cp r o v i d e st h e s es e c u r i t ys e r v i c e sa tt h e i pl a y e r i tp r o t e c t sa n da u t h e n t i c a t e si pp a c k e t st r a n s f e r r i n gb e t w e e ni p s e cd e v i c e s i p s e cd o e st h es a f eh a n d l i n go fh i g h - i n t e n s i t yo nt h ep a c k e t si nt h ei p l a y e r , a n d p r o v i d e sv e r i f i c a t i o no f d a t as o u r c e ，c o n n e c t i o n l e s sd a t ai n t e g r i t y , d a t ac o n f i d e n t i a l i t y , a n t i - r e p l a ya n do t h e rs e c u r i t ys e r v i c e s t h i sp a p e ra i m sa tf u r t h e rr e s e a r c ho nv i r t u a lp r i v a t en e t w o r k ( v p n ) a p o p u l a r s e c u r i t yt e c h n i q u eb a s e do nt h ei ps e c u r i t yp r o t o c o la r c h i t e c t u r e ( i p s e c ) o ft c p i p p r o t o c o ls y s t e m b a s e do np r e s e n te g o v e r n m e n t ，a ni p s e c - b a s e dv p ng a t e w a yi s d e s i g n e da n di m p l e m e n t e d t h ef o l l o w i n gr e s e a r c hc o n t e n ta n da c h i e v e m e n ta r ei n c l u d e d ： 1 ) t h i sp a p e rm a k eai n d e p t hs t u d yo nt h et c p i pp r o t o c o ls t a c kn e t w o r kl a y e r s e c u r i t yp r o t o c o li p s e e ，a n df i n a l l yc o n f i r m st h ei p s e cm o d ea st h ei m p l e m e n t a t i o n p r o t o c o lo fv p ng a t e w a yt os a t i s f yt h es e c u r i t yd e m a n d si n t h ee - g o v e r n m e n t n e t w o r k 2 ) t h i sp a p e rp u tf o r w a r da ni p s e c b a s e dd e s i g np r o p o s a li nc o n n e c t i o n 、i t h i p s e cp r o t o c o la n dt h ee n v i r o n m e n tf e a t u r eo fg a t e w a y - t o g a t e w a y , i n c l u d i n gi p s e c p r o c e s s i n gm o d u l e ，k e ye x c h a n g em o d u l e ，n a tm o d u l e ，k e ys e c u r i t ym a n a g e m e n t 武汉理工大学硕士学位论文 m o d u l e a n dd e s i g nh i 曲一p e r f o r m a n c ei n t e r f a c e f u n c t i o nf o r e n c r y p t i o n & d i s e n c r y p t i o no fd a t ap a c k e t ，p r o v i d i n gd a t as 仃l j c t u r ef o ri m p l e m e n t a t i o no fg a t e w a y 3 ) t of u l f i lt h ed e m a n do fs e c u r e ，h i 曲一p e r f o r m a n c e ，s t a b l ev p ng a t e w a y , t h i s p a p e rc h o o s ei x p 4 2 5s e r i e sc p u f r o mi n t e l ，s s x 31a se n c r y p t i o na l g o r i t h mi ca n d p o s et h ed e t a i lo fi m p l e m e n t a t i o no f e m b e d d e dp r o p o s a l k e yw o r d s ：v p n ，i p s e c ，e n c r y p t i o n ，d i s e n c r y p t i o n i i i 独创性声明 本人声明，所呈交的论文是本人在导师指导下进行的研究工作及 取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得 武汉理工大学或其他教育机构的学位或证书而使用过的材料。与我一 同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说 明并表示了谢意。 签名：王科日期： z 叫啤钥胭 学位论文使用授权书 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即 学校有权保留并向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅。本人授权武汉理工大学可以将本学位论文的 全部内容编入有关数据库进行检索，可以采用影印、缩印或其他复制 手段保存或汇编本学位论文。同时授权经武汉理工大学认可的国家有 关机构或论文数据库使用或收录本学位论文，并向社会公众提供信息 服务。 研究生( 签名) ：土计导师( 签名) 一彳卿 期2 d 7 啤凋7 7 日 武汉理工大学硕士学位论文 第1 章绪论 1 1 论文研究的目的和意义 随着i n t e m e t 网的广泛应用，计算机网络在政府工作中得到广泛的应用，并 渗透到政府工作的各个方面，电子政务工程在全国乃至世界范围内得到推广。 整个国民经济的信息化步伐加快，各级政府部门逐渐认识到信息化对于政务公 开，建立服务型政府，完善政府智能，提高政府办事效率的重要性，计算机已 成为政府工作中不可或缺的重要组成部分【l 】。互联网的开放性在带给政府各部门 之间信息资源共享便利的同时，也产生了一系列的网络安全问题，政府网站被 黑客攻击甚至瘫痪，人事、财政等机要信息被窃取、篡改，服务系统拒绝服务 等等网络安全受到侵犯的事件时有发生。随着网络应用范围的不断扩大，使政 府部门对网络依赖的程度也不断增大；同时，网络的攻击方式和手法层出不穷， 技术不断进步，对网络的破坏造成的损失会比以往任何时候都大，并且无法估 计。电子政务网络面临的最主要安全问题包括两方面：一是数据包在网络上传 输时会受到黑客的非法修改；二是来自外部网络对政府内部网络的非法访问和 攻击。这些安全问题已经威胁到了公众利益，其本身对于互联网的深入发展也 是一种挑鲥引。基于这种情况，我们必须寻找一种能够较好地解决互联网安全问 题的技术或方法。 v i r t u a lp r i v a t en e t w o r k ，虚拟专用网络v p n ，它是虚拟出来的部门内部专线， 这一特性正好为安全问题提供了一个良好的解决方案：一种将专网的安全性与 公网的经济性、便捷性相融合的有效方案。我们以v p n 的系统构建为研究对象， 旨在更好的理解这种方案的特性，提升其安全性，无论是从市场还是研究两个 方面来说，都十分有意义和价值1 3 】。 1 2 国内外研究的现状及动态 很早以来，以c i s c o n e t s c i 砸e n 为代表的国外产品，以防火墙产品的形 式，开始在国内进行大量的宣传和推广。现在随着i n t e m e t 的发展和v p n 技术 的发展，很多部门在选择v p n 产品的时候，往往会先考虑这些品牌，而不了解 武汉理工大学硕士学位论文 其中的细节。这些产品并没有按照相关的法律法规销售和备案，也不是遵循相 关政策要求来开发。 目前v p n 在国内的发展十分迅速，这个市场已经不再是国外产品所独有的 领域，早在几年前就在国内有从事专门的v p n 产品开发的厂商，而且因为国内 v p n 产品对市场的充分了解和不断的切合用户具体的需求，已经有越来越多的 政府部门开始使用国产v p n 作为一种首选的组网方案，用户涉及政府、医疗、 交通、电力等行业1 4 j 。 现在主流v p n 产品的核心协议都是基于i p s e e 来实现的。分析现在v p n 市 场如此火爆的原因，可以大概归纳如下： 一随着信息技术的发展，网络技术也逐渐成熟，宽带网络在社会范围内的 广泛运用，是v p n 市场高速发展的直接原因：传统的拨号网络不能适应市场消 费者的需求，国内几大网络运营商为了能够适应客户的要求，抢占新的市场， 纷纷扩大投资，推出以a d s l 为主的低成本宽带接入方案。网络速度的提升以 及资费的降低，致使互联网的迅速普及，也为v p n 市场的高速发展打开了大门 【5 1 o 一国民经济的快速发展导致联网需求日益增多：各级政府部门为了提高办 事效率需要扩展不同地域的机构，各级政府为了达到信息化建设的要求，需要 具备快速的数据的收集、分析和整理能力，人事、财务软件的普及也要求联网 需求成了一种基础业务。 现代政府部门业务高速发展要求传统互联网改革：长期以来，d d n 专线、 m o d e m 对拨、i s d n 专线还有各种专线技术一直是很多政府用户的联网首选方 案。但是这些方案运行成本高，实施和维护复杂、带宽低，这些缺陷不能够适 应政府业务高速发展的要求1 6 1 。而v p n 技术由于只要i n t e m e t 即可实现联网，而 且可以方便实现快速部署而开始受到众多用户的青睐； _ 移动办公和s o h o 办公的需求增多也是v p n 技术热火朝天的原因之一： 商务旅行和移动办公的增多，v p n 技术以便于移动和对线路的无依赖性而受到 越来越多的现代办公族的推崇。 总之，v p n 技术由于市场的不断需求和技术的日趋成熟，加上国内专业厂 家的不断开发和推广，已经成了很多政府部门实现电子政务系统首选的联网方 案【7 1 。 2 武汉理工大学硕士学位论文 1 3 论文主要内容及结构 本文针对虚拟专用网络在网络安全领域中所占据的巨大市场空间，以及国 内外对该领域的研究现状，提出了一种普遍适用于电子政务领域的高能效、高 安全性的v p n 网关解决方案。并利用一个在安全策略已知的情况下，利用v p n 网关实现安全隧道的实例，证明了该解决方案在实际应用中工作良好，性能稳 定。 本文结构组织如下： 第1 章，为本文的绪论，讲述课题研究目的和意义，国内外研究现状及动 态。 第2 章，首先介绍了v p n 网络的基本概念、自身特点，然后对i p s e c 协议 体系结构、工作原理及重要组成部分进行全面的分析。 第3 章，给出了基于i p s e c 的v p n 网关的软硬件设计方案，并对主要功能 模块进行了设计。 第4 章，分析了基于i p s e c 的v p n 网关封装解封装模块的实现细节，并对 此解决方案进行了系统测试。 第5 章，论文给出了基于i p s e c 协议的v p n 网关在电子政务系统中的应用 案例。 第6 章，对全文进行总结，并指出今后进一步的工作。 3 武汉理工大学硕士学位论文 第2 章虚拟专用网络及i p s e c 协议 2 1 虚拟专用网络的概念 虚拟专用网络( v i r t u a lp r i v a t en e t w o r k ) 是一种通过对网络数据的封装和加 密，在公网上传输私有数据、达到私有网络的安全级别，从而利用公网构筑部 门专网的组网技术。“虚拟”表明在其构成上与实际的网络不同，但对用户来说， 在功能上则与实际的专用网络非常相似【8 】。 虚拟专用网络实现了内网信息在公网上的安全传递，其意义十分巨大，就 好比在巨大的广域网中为用户专门设置了一条专线。对于用户而言，公网扮演 的角色就是“虚拟专用” 9 1 。虚拟专用网络技术使得网络对每个使用者也是专用 的。由于具有以上特征，越来越多的单位在构建或使用自己的内部网络时，都 使用了这样的v p n 虚拟专用网设备如接入服务器、广域网上的路由器或v p n 专用设备等在公用的w a n 上实现专用网的服务，这样不再需要租用长途专线去 建立私有通信网络，就向用户提供了一般网络的服务，这使v p n 技术迅速发展， 应用也更加广泛【l o l 。 2 2 虚拟专用网络的特点 与传统专线网络相比，v p n 具有以下优点： 1 ) 极大地降低了网络基础设施的建设与维护成本。v p n 可以取代以前网络 互连所需的专线；以实际使用线路的情况计费，避免了采用专线时的浪费；无 需单独用于专线网络的调制解调器、终端适配器、远程服务器等硬件设备【l j 】。 2 ) 扩展了内部网络的覆盖面。由于建立在公网之上，v p n 可享用公网的广 覆盖、传输速率高等许多优越性【1 2 1 。 3 ) 可靠的传输性、安全性。在公共互联网上，部分线路出问题时，数据可 重新选路；而专线网络一旦出现故障，则会导致用户的网络瘫痪，而且在改变 网络结构、构架时，v p n 比专线网络要方便得多【1 3 】。但v p n 在增加它的功能时， 也会降低网络的效率，是性能受到影响，我们要扬长避短。 4 武汉理工大学硕士学位论文 2 3i p s e c 安全协议 1 9 9 8 年1 1 月i e t f 公布的“i n t e m e t 协议安全性( i p s e c ) ”是一种开放标准的 框架结构，通过使用加密的安全服务以确保在i n t e m e t 协议( i p ) 网络上进行保 密而安全的通讯，为网络安全提供一个长期、稳定的基础【1 4 】。i p s e c 能够为i p v 4 和i p v 6 提供较强互操作能力，基于密码的、更加安全的保障功能【l5 1 。i p s e c 不 仅可以使用现今的密码学算法，同时也能够适应未来新的更加先进的密码算法， 这主要是得益于它的开放性l l6 。i p s e c 能够为互联网提供基本安全保障，同时还 能够为创建安全的虚拟专用网络提供灵活的手段，可谓意义非凡。 2 3 1i p s e c 安全体系结构 r f c 2 4 0 1 规定了i p s e c 的基本结构，他用认证头( a h ，a u t h e n t i c a t i o nh e a d ) 来实现数据完整性；用封装安全载荷( e s p ，e n c a p s u l a t i o ns e c u r i t yp a y l o a d ) 来 实现数据的机密性，同时对数据的传输规定了两种模式：传输模式和隧道模式 1 1 。丌。前者在i p 头和t c p 头之间嵌入一个新的i p s e c 头( a h 头或e s p 头) ，而 后者，将整个i p 包封装到另一个i p 包里加以保护，同时在内部、外部i p 头之 间嵌入一个新的i p s e c 头两种i p 头可以同时工作于传输模式和隧道模式【l 引。各 种应用程序可以享用i p 层提供的安全服务和密钥管理，而不必设计和实现自己 的安全机制，因此减少了密钥协商的开销，也降低了产生安全漏洞的可能性【1 9 1 。 i p s e c 安全体系结构如图所示： 图2 1i p s e c 体系结构 i p s e c 体系结构：包含了一般的概念、安全需求。 安全协议：认证头a h 和封装安全载荷e s p 验证头：定义了a h 认证处理 的相关包格式和处理规则 5 武汉理工大学硕士学位论文 加密算法：描述了各种加密算法如何应用于e s p 验证算法：描述各种身份验证算法如何应用于a h 和e s p 中 解释域：密钥协商协议彼此相关各部分的标识符及参数 密钥管理：手动地、自动地密钥交换( i k e ) 策略：决定两个实体之间能否通信，以及如何进行通信【2 0 】。策略主要由三 部分组成：s a 、s a d 、s p d 。s a ( 安全关联) 表示了策略实施的具体细节，包 括源目的地址、应用协议所用算法密钥长度。 2 3 2i p s e c 工作原理 i p s e c 的工作原理是通过查询s p d 来决定对接收到的m 数据包的处理，处理 方法包括：丢弃、绕过、i p s e c 处理。其处理模块包括对流入数据包和流出数据 包2 类处理流程【2 。输入、输出处理都需要开辟一个缓冲区以便暂时存储口包。 输出处理：i p s e c 进程接收到一个流出口包后，首先将其存入缓冲区，i p s e c 引擎从网络层和传输层包头内提取 选择符， 由策略引擎依据选择符查询s p d 数据库，确定应为该p 包提供哪些安全服务， 查询结果可能是丢弃、绕过或应用3 种情况【2 2 】。 输入处理比输出处理要简单，这是因为在输入处理中是对包头进行验证， 因而，比在输出处理中构建包头要简单。i p s e c 进程收到一个输入i p 数据包之后， 首先将其存入缓冲区，然后i p s e c 引擎判断有误i p s e c 头【2 3 1 。若无，则丢弃该包； 否则从a h 和e s p 头中摘录出s p i ，从i p 头取出目的p 地址以及协议。利用 选择符查询s a d 表，若未查到s a ，返回空值，并记录 出错，丢弃该包，若返回了s a ，则交由i p s e c 协议处理模块处理，此时由i p s e c 协议处理模块完成a h 或e s p 头的解封装处理幽】。 图2 - 2i p s e e 工作原理图 6 武汉理工大学硕士学位论文 i p s e c 允许安全服务提供的粒度可以由系统或网络的用户和管理员进行控制 【2 5 1 。例如：一个组织的安全策略可能规定必须用a h 和e s p 保护来自特定子网 的数据流，并且应该对该数据流采用a e s ( 高级加密标准) 进行加刮2 6 1 。另一 方面，策略可能规定只用e s p 保护另一个站点的数据流，并且应该对数据流提 供带有3 个不同密钥的3 d e s 算法进行加密。通过使用s a ，i p s e c 能够区分不 同的数据流提供的安全服纠z 刀。 2 3 3 安全关联( s a ) 简单来说，一个s a 是一个单向的“连接”，它对通过这个连接的流量提供指 定的安全服务。它的内容包括对这个连接的描述信息，以及保障这次连接的安 全信息【2 舯。s a 由3 部分内容唯一标识： ( s a i d ) 。 概念上而言，这里的“目的地址”可以是单播地址、广播地址或者多播地址， 但当前的i p s e cs a 管理机制只为单播s a 做了定义【2 9 1 ；协议类型指的是安全协 议的类型，现在的i p s e e 标准里有两种可选的协议：a h 和e s p ；s p i ( s e c u r i t y p a r a m e t e ri n d e x ) 是安全参数索引，在上面两个参数相同时，唯一标识一个s a l 3 0 。 根据i p s e c 的工作方式，s a 也有两种，一类是传输模式( t r a n s p o r tm o d e ) 的s a ， 一类是隧道模式( t u n n e lm o d e ) 的s a 。 因此一个s a 的主要内容有： 1 ) 唯一标志索引： 2 ) 类型：t r a n s p o r t 或者t u n n e l 3 ) 所提供的安全服务的描述，主要包括： 加密算法、密钥； 认证算法、密钥； 抗重放攻击。 s a 是单向的，通信的两个方向上各需要一个s a ，而且每一个a h 或e s p 都需要一个s a t 3 。在实际的安全通信中，不同协议，不同类型的s a 可以组合 使用来对i p 流量进行保护，这种多个s a 的组合称之为安全关联束( s a b u n d l e ) 。 2 3 4 安全策略( s p ) 安全策略决定了为一个包提供的安全服务。对所有i p s e c 实现方案来说，这 些策略都会保存在一个数据库中，这个数据库名为安全策略数据库( s p d ) 。根 7 武汉理工大学硕士学位论文 据“选择符”对该数据库进行检索，库内包含了为一个d 包提供安全服务的有关 信息【3 2 】。 i p 包的外出和进入处理都要以安全策略为准。在进入和外出的包处理过程 中，需查阅s p d ，以判断为这个包提供的安全服务有哪些。为了提供对非对称 策略的支持( 即在2 个主机之间，分别为进入和外出的数据包提供不同的安全 服务) ，可为进入和外出的数据包分别维持不同的s p d 。然而，密钥管理协议总 是协商的双向s a l 3 3 1 。在实际的应用中，隧道和嵌套处理大多数都是对称的。 对外出通信而言，在s a d b 中进行s a 检索的结果是一个指针，指向s a 或 s a 簇( 前提是已建立了s a ) 。s a 或s a 簇要根据策略的要求按指定的顺序依次 对外出包进行处理。假如s a 尚未建立，就会调用密钥管理协议来建立数据包。 对进入通信来说，首先要对包进行安全处理。然后，根据选择符对s p d 拘束库 进行检索，证实对包采取的策略1 3 4 1 。 安全策略要求策略管理能够增添、修改和删除管理。由于s p d 保存在内核， 所以对一个具体的i p s e c 实施方案而言， 进行操纵。至于s p d 的具体管理方式， 门定义一套统一的标准。 2 4 本章小结 它应提供一个恰当的接口，以便对s p d 则由实施方案来决定，而且并未为此专 本章首先虚拟专用网络的概念及特点，然后介绍了i p s e c 安全协议体系及 i p s e c 工作原理相关内容，分析了i p s e c 体系中各模块相关功能。最后，对i p s e c 中的两个重要概念：安全关联和安全策略进行了分析。 8 武汉理工大学硕士学位论文 第3 章基于i p s e c 的v p n 网关设计方案 由于省、厅、处、科各级政府机关所处地域分散，加之在偏远山区、农村 政府专用网络并为铺设，各单位之间没有互联互通的内部专线网络。致使数据 和信息交流不畅通。因此，依托公网构建一个安全、便捷、低成本的专用网络， 使个机关之间数据互通、资源共享，是解决这一问题的有效途径。 本章针对电子政务网络安全需求，以口安全协议体系i p s e c 为基础，面向 网关到网关的v p n 应用环境，针对i p s e c 协议的特点提出一个i p s e e 协议实现 的思路，并对该思路的实现方法进行了研究，设计了一种基于i p s e c 协议的v p n 网关。 3 1v p n 网关设计方案 i p s e c 的实现方案有很多种，尽管具体的实现要取决于特定的平台，但是， 无论哪一种方案，其基本设计原则都是相同的，本节所提出的方案与平台无关。 图3 - 1i p s e c 实现结构图 i p s e c 协议组件：即a h 或e s p 。用于处理包头，在使用该协议之前要与s p d 和s a d 进行交互，以便决定为数据包提供哪些安全保障。其功能是根据用户的 s p d ，对流出的i p 分组进行封装或对流出的i p 分组进行解封装处理，以实现对 数据的加密和认证。包括对外出数据包的处理、进入数据包的处理以及与i p 层 和t c p 层的接口。 9 武汉理工大学硕士学位论文 s p d 和s a d 组件：s p d 定义了对从主机或安全网关流出流入i p 数据流的 处理策略；s a d 则定义了每一个s a 相关的参数。 i k e 协议组件：是一个用户级进程，完成对s a 的协商、动态建立，并负责 s a d 的维护，为i p s e c 的a h 和e s p 协议提供密钥交换管理协议和安全关联管 理。功能包括实现i k e 间的交互以及同s a d 和s p d 的接口。 策略管理：位于内核中，管理s p d 和s a d ，对数据包( 要进行i p s e c 处理 的数据报或数据包的统称) 的安全保障起决定作用。功能包括s p d 和s a d 的管 理( 记录的增加、删除、修改、刷新和查询) 以及提供同i p s e e 协议引擎和i k e 的接口。 据r f c 2 4 0 1 ，i p s e e 的实施方案分为三类：“与操作系统集成”、“堆栈中的 块”b i t s ( b u m p i n - t h e s t a c k ) 、“线缆中的块”b i t w ( b u m p i n t h e w i r e ) 。 “与操作系统集成”方案，通过在t c p i p 协议栈中直接嵌入i p s e c 安全协议 实现的其安全功能，这往往需要修改实现i p 的代码。此方案同时适用于主机和 安全网关。由于在现代的互联网络中，t c p i p 己经扮演着基础设施的角色，修 改i p 代码并不是一种现实的做法。 “堆栈中的块”b i t s 方案，通过在i p 层和底层之间“插入”一层i p s e c 来实现 其安全功能。此方案多在主机上采用。 “线缆中的块”b i t w 方案，可以看成是将一个具有多个网络接口的固件连接 在网络上，未经安全处理的数据包从一个网络接口流入，经过安全处理的数据从 另一个网络接口流出，解密的过程则相反。此方案同时适用于主机和网关。 为了实现应用于电子政务网络的高安全性，高实时性要求领域的v p n 网 关，我们选择b i t w 硬件实施方案，将计算量大的加解密操作在硬件中完成， 这样既确保了安全性，又保证了网关实时处理的性能。其网络拓扑结构如下 图： l o 武汉理工大学硕士学位论文 图3 - 2 v p n 网络拓扑结构 3 2 虚拟专用网络的硬件平台 在高速数据流高层细化处理背景下，网络处理器技术成为下一代网络的核 心技术。其特点是：针对数据分组处理，采用优化体系结构、专用指令集和专 用硬件单元，满足高速数据分组线速处理的要求；具有软件编程能力，能够迅 速实现新的标准、服务、应用，满足网络业务复杂多变需求，灵活性好；设备 具有软件升级能力，满足用户设备硬件投资保护需求。 英特尔公司推出全新的i x p 4 x x 系列网络处理器，以满足小型家庭办公 ( s o h o ) 以及中小企业市场( s m e ) 对有线及无线应用的需求。本节首先介绍了 网络处理器的概念，以网络设备核心部件更新为标志，论述了网络设备体系 结构的三个发展阶段。然后介绍了i m e l x s c a l e 架构，最后介绍i x p 4 2 5 的硬件 结构。 武汉理工大学硕士学位论文 3 2 1i x p 4 2 5 n p 处理器 在综合比较a r c a a r m t o s h i b a 等系列c p u 之后，经过多方测试，选择i n t e l i x p 4 2 5 系列作为主处理器。因为该c p u 专门为网络传输设计，其内置的两个网 络接口在吞吐能力上接近线速，考虑到v p n 产品主要是网络应用，所以选择了 n p 处理器。 i x p 4 2 5 n p 网络处理器是i n t e l 公司为了满足嵌入式网络处理器的需求而设 计的高集成度、高性能产品，因此基于i x p 4 2 5 开发的产品首先具有体积小、灵 活等特点。它拥有两个独立的、工业标准1 0 1 0 0 m b p s m i i ( m e d i ai n d e p e n d e n t i n t e r f a c e ) 接口，两个m 1 1 分别与以太网n p e a 和以太网n p eb 相关联，并且依 据i e e e 8 0 2 3 标准来处理物理层和协议层的数据通信【3 5 1 。 图3 3i x p 内部结构框图 i x p 4 2 5 n p 还具有广泛的l a n 和w a n 功能，通过多个集成接口，并提供了 全面的宽带和l a n 接入解决方案。其m i n i p c i 接口为用户提供了灵活性，可以 直接连接到8 0 2 1 l x 芯片、p c m c i a 控制器、以太网m a c 等设备。i x p 4 2 5 还具 有两个高速串行接口，可以作为直接连接t l 、e l 或工业标准s l i c 的高速端口1 3 4 】。 i x p 4 2 5 主要硬件功能模块： 1 2 武汉理工大学硕士学位论文 ( 1 ) i n t e l x s e a l e 核 i n t e l x s c a l e 核基于a r m v 5 t e 的指令集结构，是h l t e l 公司的s t r o n g a r m 的 升级产品。它具有高性能，低功耗和高集成，可以工作在不同频率( 2 6 6 m h z 、 4 0 0 m h z 和5 3 3 m h z ) 的显著特点。基于i n t e l x s c a l e 核的处理器可用于手机、p a d 、 网络存储设备、路由器等1 3 引。 i n t e l x s c a l e 核可实现a m r v s 的整数指令集，但是不实现浮点指令的硬件支 持；同时支持1 6 位t h u m b 指令集和a r m v e s d s p 扩充。后向兼容些a r m 产 品，为了满足i x p 4 2 5 处理器特定的硬件特性和充分展现性能的提高，a r m 产 品中的操作系统可能需要一定的修改。i n t e l x s c a l e 内核采用带有一个增强型存储 器管道的超级流水线r i s c 处理器架构，处理速度是i n t e l s t r o n g a r m 的两倍。 ( 2 ) 网络处理引擎( n p e ) i x p 4 2 5 包含3 个n p e ，每个n p e 是一个内嵌硬件协处理器的专用处理器， 比标准的r i c s 处理器能提供更好的性能。作为硬件多线程处理器引擎，n p e 可 以分担i n t e l x s c a l e 核的处理负荷。n p e 具有并行的自包含指令存储和数据存储， 不同n p e 支持不同的外围电路，以太网n p ea b 支持m h 接口，广域网音频 n e p 支持u t o p i a 2 接c i 和两个h s s 接口p 7 1 。n p e 运行的工作频率是1 3 3 m h z 。 ( 3 ) 内部总线 内部总线主要分为三类：北a h b 、南a h b 和a b p 。北a h b 是一个可由广 域网音频n p e 、以太网n p e a b 控制的1 3 3m h z ，3 2 位总线。北a h b 的对象 可以是s d r a m 或者a h b a h b 桥，n e p 可以通过a h b a h b 桥对外围设备和 南a h b 上的内部对象进行访问【3 引。从北a h b 到南a h b 的有关n p e 的数据传 输主要针对队列管理器。当进行写操作时，到a h b 儿蝴b 桥的传输可以被 p o s t e d ，当读操作时，可以被“s p l i f ，这样北a h b 的控制权可以交给另外的北 a h b 的控制台，也能获得最高的效率。到a h b a h b 桥的数据流量相对于北a h b 上的n p e s 与s d r a m 之间的数据流量是小且稀少的。 ( 4 ) h a b 队列管理器 a h b 队列管理器( a q m ) 为i x p 4 2 5 内部的多个区段提供队列管理功能，在一 个集成的s k b s r 规里保存队列为环行缓存，同时可实现每个队列的指针和状态 标识。a q m 管理6 4 个独立的队列，每个队列的缓存大小和入口地址可进行配 置，状态标识维持不变。a q m 的接口包含一个连接到n p e s 和i n t e l x s c a l e 核的 a h b 接口，一个标识总线接口，一个逻辑选择n e p 条件的事件总线和两个工 i n t e l x s c a l e 核的中断【3 9 1 。a h b 接口实现a q m 的配置和提供队列、队列状态以 武汉理工大学硕士学位论文 及s r a m 的接入。队列o 3 1 ，每个队列的队列状态通过标识总线传递给n p e s 。 队列3 2 、6 3 ，复合的队列状态通过事件总线传递给n p e s 。两个中断一个给队列 o 、3 l ，另一个则给队列3 2 、6 3 ，这样可实现i n t e l x s c a l e 核的状态中断。实现 到相关的队列访问寄存器地址的a h b 读写接入可进行队列的读写。 3 2 2i p s e c 协议处理芯片s s x 3 1 主要特点： 1 ) 支持i p s e ce s p 和a h 协议， 重放功能 2 ) 支持i p s e ce s p 和a h 协议， 据包 可一次处理a h + e s p 绑定数据包，实现反 可以一次处理完成a h + e s p 绑定模式的数 3 ) 加密解密单元支持算法：国家通用商密算法s c b 2 4 ) 支持的加密模式：e c b 、c b c 5 ) h a s h 运算单元支持算法：h m a c s h a 1 6 ) 带有第三方加密和h a s h 算法接口，用户可以灵活使用自己的算法 7 ) 支持多种i k e 算法加速：r s a 运算、d s a 签名和验证、d h 密钥产生 和协商 8 ) 支持i p s e c 传输和隧道模式 9 ) 支持i p v 4 和i p v 6 协议 1 0 ) 支持反重放功能 1 1 ) 支持数据包的流量统计和时间统计 1 2 ) 保证数据包进出的顺序相同 3 2 3 核心板设计 根据我们开发产品的需要以及能够更好地熟悉i x p 4 2 5 的各个功能模块和硬 件设计方法，我们设计了基于i x p 4 2 5 的核心开发板，可以对其进行扩展来满足 更深入的学习和更广泛的应用。 图3 - 4 是硬件设计框图，包含各个模块，它们以i x p 4 2 5 为中心实现不同的 功能。 1 ) 串口：使用u a r t 接口，用于连接宿主机和p c i 插卡，提供串行字符终 端的调试功能； 2 ) 内存：容量为2 5 6 m 字节，使用s d r a m 接口，作为系统主存储器，用 1 4 武汉理工大学硕士学位论文 来存储系统及用户数据、以及程序堆栈等； 3 ) f l a s h ：使用扩展总线接口( e x p a n s i o nb u s ) ，用来存储系统启动代 码( b o o t l o a d c r ) 、内核映像、用户应用程序； 4 ) 以太网接口0 1 ：使用m i i 接口外接p h y 芯片及r j 4 5 接口，为系统提 以太网接入的物理通道，通过该接口系统可以1 0 m 或者l o o m b p s 速率入以太网； 5 ) p c i 接口：实现与计算机p c i 插槽的物理及电气连接并实现p c i 通信； 6 ) j 1 a g 接口：用于调试和烧入b o o t l o a d e r ； 7 ) 复位电路：完成系统的上电复位和手动复位，