（计算机软件与理论专业论文）np架构嵌入式vpn网关设计与实现.pdf

摘要 摘要 对于网络安全设备而言，性能和成本一直是矛盾的两个方面。高性能网络设备 大都采用了a s i c 技术来保证网络设备的高吞吐率；而面向中、小企业机构的网络设 备只能采用成本较低的c p u 架构，系统性能相对较低。 n p ( n e t w o r kp r o c e s s o r ) 的出现，使得构筑高性能和低成本的网络设备成为可 能。n p 技术具有高性能、扩展灵活、低成本，开发短周期等优势。本文基于i n t e l i x p 4 2 x 处理器，将n p 技术引入了v p n ( v i r u t a lp r i r a t en e t w o r k ) 网关实现中，实 现了一套基于n p 架构的v p n 网关。 本文首先对v p n 和i p s e c 协议进行了介绍，包括对v p n 的基本概念、i p s e c 协议 的关键技术研究；其次对i n t e li x p 4 2 x 平台进行了分析，包括对n p 技术在网络安 全设备中的优势、软件实现体系结构( a c c e s sl i h r a r y ) 及其安全模块i x c r y p t o a c c 进行了详细研究；再次实现于l i n o x 内核中的v p n 网关，包括嵌入式系统研究、i p s e c 核心模块实现、核心异步加密实现等，并增加了在复杂网络环境下的些功能( 如 n a t 穿越等) ；最后给出了具有代表性的v p n 网关在测试中的数据。 本文的研究是对网络安全技术、嵌入式系统、n p 技术的融合；研究方法对于n p 技术在其他平台的应用有很大的借鉴作用；本文技术的应用为广大用户提供了高性 价比v p n 网关，且具有很大经济价值。 关键词：虚拟专用网i p s e cn p 技术嵌入式系统l i n u x 内核 1 1 n p 架构嵌入式v p n 阿关设计与实现 a b s t r a c t t h ep e r f o r m a n c ea n dc o s to fn e t w o r kf a c i l i t i e sa l w a y sc o n f l i c tw i t he a c ho t h e r t h ec o r en e t w o r kf a c i l i t i e so f t e nu s ea s i ct e c h n o l o g y 的p r o v i d et h eh i g hp e r f o r m a n c e b u tt h el o w e n df a c i l i t i e sh a v et ou s et h el o wc o s tc p ua r c h i t e c t u r e ，w h i c hp e r f o r mn o t s o w e l l n p ( n e t w o r kp r o c e s s o r ) t e c h n o l o g yh a sg r e a ti m p a c t o nn e t w o r ks e c u r i t yf a c i l i t i e s n p t e c h n o l o g y h a st h ea d v a n t a g eo f h i g hp e r f o r m a n c e ，e x t e n s i b l e ，l o wc o s t ，s h o r tc y c l e ， e t c t h i sa r t i c l ed e s c r i b e st h ed e s i g na n di m p l e m e n t a t i o no fan pa r c h i t e c t u r ev p n ( v i r t u a lp r i v a t en e t w o r k ) g a t e w a y f i r s t ，t h ek e yt e c h n o l o g i e so fv p n w i l lb ed i s c u s s e d ，e s p e c i a l l yt h ei p s e cp r o t o c 0 1 t h e nw ew i l ls t u d yi n t e n s i v e l yi x c r y p t o a c cm o d u l eo fi n t e li x p 4 2 x a n dt h e nt h e i m p l e m e n t a t i o n o ft h i sg a t e w a yw i l lb cg i v e no u t a tl a s t ，w ew i l ll i s tt e s td a t ao fs e v e r a l t y p i c a lv p ng a t e w a y s t h et e c h n o l o g i e sd e s c r i b e di nt h i sa r t i c l ew e r es y n t h e s e so fn e t w o r ks e c u r i t y e m b e d d e d s y s t e m a n dn pt e c h n o l o g y t h e s ei d e a sc a l lb eu s e di n t oo t h e rn p a r c h i t e c t u r ep l a t f o r m ，s o m er e l a t i v et e c l m o l c l g i e sh a v ea l r e a d yb e e np u ti n t op r o d u c t i o n ， w h i c h g i v e sa sg r e a tc o n v e n i e n c ea n de c o n o m y v a l u e k e y w o r d s ：v p n i p s e en p t e c h n o l o g y e m b e d d e d s y s t e m l i n u xk e r n e l 百， 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：缢吞幽5 刚胡埘。加 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文：学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文 在解密后遵守此规定) 本人签名 导师签名 邀叁塑l i ? 嗷 日期! ! 竺：垫 日期丛：! i ：】d 第一章绪论 第一章绪论 i 1 网络安全现状 随着科学技术的迅猛发展，信息技术已经成为人类社会的支柱产业，由此带动 了计算机网络的快速发展和普遍应用。网络一方面给人们带来了前所未有的便利， 另一方面给信息安全带来了巨大的威胁。自上个世纪末以来，“网络安全”这四个字 己引起了各方面专家的高度重视，信息网络安全问题日益成为人们关注的焦点。黑 客的攻击、电脑病毒的爆发常造成信息的泄密、丢失、网络的瘫痪，给蓬勃发展的 网络经济带来了极大的威胁。 美国前总统克林顿在签发保护信息系统国家计划的总统咨文中陈述道：“在 不到一代人的时间里，信息革命以及电脑进入了社会的每一领域，这一现象改变了 国家的经济运行和安全运作乃至人们的日常生活方式，然而，这种荚好的新的代也 带有它自身的风险。所有电脑驱动的系统都很容易受到侵犯和破坏。对重要的经济 部门或政府机构的计算机进行任何有计划的攻击都可能产生灾难性的后果，这种危 险是客观存在的。过去敌对力量和恐怖主义分子毫无例外地使用炸弹和子弹，现在 他们可以把手提电脑变成有效武器，造成非常巨大的危害。如果人们想要继续享受 信息时代的种种好处，继续使国家安全和经济繁荣得到保障，就必须保护计算机控 制系统，使它们免受攻击。” 在各领域的计算机犯罪和网络侵权方面，无论是数量、手段，还是性质、规模， 已经到了令人咋舌的地步。据有关方面统计，目前美国每年由于网络安全问题而遭 受的经济损失超过1 7 0 亿美元，德国、英国也均在数十亿美元以上，法国为1 0 0 亿 法郎，日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜 上，计算机犯罪已名列榜首。2 0 0 3 年，c s i f b i 调查所接触的5 2 4 个组织中，有5 6 遇到电脑安全事件，其中3 8 遇到l 5 起、1 6 以上遇到l l 起以上。因与互联网连 接而成为频繁攻击点的组织连续3 年不断增加；遭受拒绝服务攻击( d o s ) 则从2 0 0 0 年的2 7 上升到2 0 0 3 年的4 2 。调查显示，5 2 1 个接受调查的组织中9 6 有网站，其 中3 0 提供电子商务服务，这些网站在2 0 0 3 年1 年中有2 0 发现未经许可入侵或误 用网站现象。更令人不安的是，有3 3 的组织说他们不知道自己的网站是否受到损 害。据统计，全球平均每2 0 s 就发生1 次网上入侵事件，黑客一旦找到系统的薄弱 环节，所有用户均会遭殃。 目前，我国网络安全问题日益突出的主要标志是： n p 架构嵌入式v p n 网关设计与实现 计算机病毒：计算机系统遭受病毒感染和破坏的情况相当严重，呈现出异常活 跃的态势。据2 0 0 1 年调查，我国约7 3 的计算机用户曾感染病毒，2 0 0 3 年上 半年升至8 3 。其中，感染3 次以上的用户高达5 9 ，而且病毒的破坏性较大， 披病毒破坏全部数据的占1 4 ，破坏部分数据的占5 7 。 黑客活动：黑客已对互联网的安全构成严重威胁。网络信息系统具有致命的脆 弱性、易受攻击性和开放性，从国内情况来看，目前我国9 5 与互联网相联的 网络管理中心都遭受过境内外黑客的攻击或侵入，其中银行、金融和证券机构 是黑客攻击的重点。 信息基础设施薄弱。面对信息安全的严峻形势，我国的网络安全系统在预测、 反应、防范和恢复能力方面存在许多薄弱环节。据英国简氏战略报告和其 它网络组织对各国信息防护能力的评估，我国被列入防护能力最低的国家之 一，不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩 国之后。近年来，国内与网络有关的各类违法行为以每年3 0 的速度递增。 1 2网络安全主流解决方案 网络安全中应用最广泛的产品首推部署在网络边界上的安全网关 ( s e c u r i t yg a t e w a y ) 。安全网关通常包括，但不仅限于，防火墙、v p n ( 虚拟号用 网) 网关、n i d s ( 网络入侵检测系统) 和安全路由器等。一些基于高层网络协议的 交换机和内容过滤设备，也都在一定程度上扮演着安全网关的角色。 1 2 1 安全网关的发展 最初的安全网关一般是由附加在边界路由器上的简单a c l ( 进出控制表) 构 成。当时的a c l 大多只是在3 层网络协议( 网络层，n e t w o r kl a y e r ) 上根据来源 地址和目的地址对途经边界网关的数据包加以转发或丢弃的处理，从而构成了网 络数据包过滤防火墙，在一定程度上保护不同网络区域或网段 ( n e t w o r ks e g m e n t ) 之间连接的安全性。经历了上个世纪9 0 年代初一些厂家的应 用代理防火墙尝试之后，第一代作为独立产品的安全网关当属以c h e c k p o i n t 公司 相关产品为代表的第一代防火墙。 第一代安全网关是以分立式为特征的软件防火墙产品。这一代产品在网包过 滤防火墙的基础上，引入了在4 层网络协议( t r a n s p o r tl a y e r ) 上通过状态检查 增强安全性、提高吞吐率的状态检测防火墙技术，但在形态上还大多是单独安装 在服务器上的软件产品。 到了上个世纪9 0 年代中，以n e t s c r e e n 为代表的硬件安全网关厂家崛起，并 在9 0 年代末逐渐形成了第二代安全网关在市场上的相对优势。这一代产品的特征 是集成了防火墙、v p n 网关和一些防攻击功能，并以a s i c ( 专用芯片) 为这几部分 第一章绪论 的技术实现基础，从而大大提高了安全网关的吞吐能力，适应了当时局域网环境 从十兆( 1 0m b p s ) 向百兆( 1 0 0m b p s ) 迅速升级，千兆( 1g b p s ) 需求开始形成规 模的市场发展态势。 1 2 2 安全网关的发展趋势 随着网络带宽的迅速增加和网络应用的日益丰富，安全网关的产业竞争也像 奥林匹克竞赛一样面临着更高更快的挑战：市场呼唤着功能更高更强、性能更快 更稳的安全网关产品。一方面，病毒、垃圾网络信息以及混合式攻击成为网络安 全最为突出的问题，以隐匿内容等方式出现的网络攻击模式也越来越复杂；另一 方面，随着网络流量的增加和安全检查负荷的加重，安全网关始终是高速网络中 的瓶颈，滞后于高端路由器、交换机的性能水平。 针对日益增长的性能和功能需求，产业界在硬件和软件上不断有所突破。从 市场和技术上，大概可以分为两个方向：一是安全网关集成更多的功能，我们称 其为“胖”；二是强调性能上的突破，我们称其为“瘦”【1 1 。“胖”型安全网关 主要的方展方向是面向百兆的低端市场，大多数是以g n u l i f l u x 为平台，因为目 前c p u 的处理能力已经大大超过网络数据包处理的需求，完全可以利用其空闲时 间进行更多应用代理、内容过滤等网络和数据处理。“瘦”型安全网关主要的方 展方向是指万兆( 1 0o b p s ) 或近万兆带宽的高端产品，它们主要还会是综合应用 c p u 、n p e ( 网络处理器) 、a s i c 以及各种加密和协议分析芯片，构成高速可靠的安 全计算平台。因此，目前网关的发展趋势基本上还是第二代安全网关向更高带宽 的延伸。 1 2 3n p 技术应用前景 n p 技术的采用实现了c p u 的业务控制和n p 的数据转发这两个层面的分离，能 够使c p u 专注于它所擅长的方面。将c p u 从烦琐的业务控制流程里分离出来，从 而能够保证网络更好的安全策略管理。 现在操作系统基本上也是多系统，虽然在安全保证问题上表现良好，但是它 在可扩展性和性能上的提高是存在瓶颈的。c p u 对于业务的控制和网络数据的转发 引擎处理分离以后可以降低对操作系统的要求。c p u 可以做非常复杂的安全控制， 即使我们处理策略不是最优化的，功能还需要持续增加，但是由于网络数据处理 引擎能够保证数据的快速转发，c p u 载荷会大为降低，n p 技术最大的优势就是它 在系统整体性能上表现优异。n p 技术采用了以后能够实现网络安全数据转发和过 滤的全线速，但在安全领域涉及到安全的过滤、) j d 解密、处理时性能会有所下降， 从系统的整体表现而言，还是要大大优于c p u 架构的网关。 4 n p 架构嵌入式v p n 网关设计与实现 1 3 本文的研究内容和意义 对于网络安全产品而言，性能和成本是矛盾的两个方面。大多数高端安全网 关虽然性能良好，但价格令众多用户望而生畏，这对在i n t e r n e t 上构建更广泛的 网络安全基础设施极为不利。如何在成本提高不大的情况下，充分挖掘现有硬件 电路设计的优势，大幅度提升低端安全网关的性能，构建物美价廉的网络安全设 备，是提高i n t e r n e t 安全性的重要课题。 i n t e l 公司适时的推出了i x p 系列的低端产品i x p 4 2 x 系列，这是一款面向低 端的网络处理器。该系列产品将通用网络设备所需基础功能实现于三个n p 协处理 器中。在网络安全方面，其在n p e 中实现了i p s e c 协议。 采用i n t e li x p 4 2 x 构建v p n 网关，在i p s e c 实现模式上，摆脱了所有工作都 由c p u 完成的c p u 框架，将占用资源较大核心业务( 加解密计算等) 抽象出来， 由忡完成，c p u 负责系统调度和其他应用的实现，这将大大提高系统的整体性能。 本文正是基于i n t e li x p 4 2 x 平台，设计构建了基于n p 方式的嵌入式v p n 网 关。主要作了以下几方面的研究工作： 第一章，介绍了本文研究的背景和主要内容。 第二章，对v p n 技术和i p s e c 协议进行研究，分析i p s e c 协议及i k e 的实施。 第三章，论述了n p 架构网络安全产品的优势，对i n t e li x p 4 2 5 进行了介绍，并 详细分析a c c e s sl i b r a r y 及其安全模块i x c r y p t o a c c 。 第四章，给出了v p n 网关系统的设计思路，并对n p 方式下i p s e c 协议的实现进 行了详细介绍。 第五章，对几款典型v p n 网关进行了性能测试，并分析了测试结果。 第六章，结束语。 本文的研究工作对网络安全技术、嵌入式技术和n p 技术的三种技术融合。提 出一种面向低端的n p 架构的v p n 网关实现，实现了安全网关的“胖”与“瘦” 的结合，大大提升了v p n 网关的性能。 本文的思路可以应用于其他网络设备的软件设计上。将n p 技术融合于嵌入式 系统之中是一个必然的趋势，但这同时给软件开发人员带来了新的挑战。提取出 n p 架构下软件开发的共性和特性，缩短软件开发的风险和周期，本文的思路有一 定参考价值。 本文所设计的网关在测试中基本达到了预期的效果，其性能都远远超过了同 等价格的其他c p u 架构产品，具有很强的市场竞争力。该产品为用户构建自己的 v p n 节省了大笔成本，具有很大经济价值。 第二章v p n 技术及i p s e c 协议 第二章v p n 技术及i p s e c 协议 2 1v p n 技术概论 v p n ( v i r t u a lp r i v a t en e t w o r k ) 。即虚拟专用网。它是在i n t e r n e t 网络中 建立一条虚拟的专用通道，让两个远距离的网络客户能在一个专用的网络通道中 相互传递资料而不会被外界干扰或窃听，从而保证了资料的安全，却不必支付高 昂的专线费用。客户只需连入所在地的i s p ，就完全可以通过i s p 骨干网，在 i n t e r n e t 公网上把您遍布全球的企业内部网络连接起来。 2 1 1v p n 基本概念 所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用i n t e r n e t 公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最 符合自己需求的网络【3 】。 按照企业以前的组网方案，企业与其子公司之间要拉一根专线，而每年却需 为这根专线支付昂贵的专线费，如若改用v p n 方案，利用i n t e r n e t 组建私有网， 将大笔的专线费用缩减为少量的市话费用和i n t e r n e t 费，无疑是非常有吸引力的， 如果愿意，企业甚至可以不必建立自己的广域网维护系统，而将这一繁重的任务 交由专业的i s p 来完成。 2 1 2v p n 的基本技术 图2 - iv p n 和虚拟隧道模型 目前，v p n 的实现主要采用四项技术：隧道技术、加解密技术、密钥管理技术、 使用者与设备身份认证技术“1 。 n p 架构嵌入式v p n 网关设计与实现 一个v p n 和“虚拟隧道”模型的实例如图2 一l 所示： 隧道技术( t u n n e l i n g ) ：类似于点对点技术，它在公用网络上建立一条数 据通道( 隧道) ，让数据包通过这条隧道传输。隧道是由隧道协议形成的， 分为第二、三层隧道协议。 加解密技术( e n c r y p t i o n d e c r y p t i o n ) ：这是比较成熟的技术。 密钥管理技术( k e ym a n a g e m e n t ) ：主要任务就是如何在公网上安全传输密 钥而不被窃取。 使用者与设备身份认证技术( a u t h e n t i c a t i o n ) ：正确分辨哪些设备是与本 身相关且需要相互流通，并且让非法用户无法进入系统。 2 1 3 v p n 发展动态 针对不同的用户，v p n 有三种解决方案，它们分别是远程访问虚拟专用网 ( a c c e s sv p n ) 、企业内部虚拟专用网( i n t r a n e tv p n ) 和扩展的企业内部虚拟专 用网( e x t r a n e tv p n ) ，以及基于s s l 协议的s s lv p n 。这三种类型的v p n 分别 与传统的远程访问网络、企业内部的i n t r a n e t 以及企业网和相关合作伙伴的企业网 所构成的e x t r a n e t 、基于浏览器方式网络相对应。 2 1 4 v p n 在我国的需求分析 随着i n t e r n e t 在我国的普及和我国网络建设步伐的加快，v p n 在国内有着广 泛的应用前景。主要有以下几个领域急需v p n 设备： 银行网络：虽然银行内部之间的网络大都通过专线连接，没有直接连入 i n t e r n e t 。但网络的覆盖地域广、上网机器多、网上传输的数据敏感度高， 极易受到窃听、篡改以及内部人员的攻击。 银证联网：当用户用银行的帐号炒股时，帐号和口令全部暴露于网络之中， 需要加密处理。 网上交易：网上购物给人们的生活带来了极大的便利，但安全问题却实为 勘忧。 政府上网：各地的政府机构大多是通过因特网联接的，在网上传送政府的 机密文件时，需要采用v p n 来加强保护。 企业内部互连：企业在全国各地驻有分支机构或办事处时，大多是都过租 用长途专线来传递企业的机密信息，这种方式的成本费用相当高，可以利 用v p n 解决方案来降低成本。 第二章v p n 技术及i p s e e 协议 2 2i p s e c 协议研究 2 2 1i p s e c 协议概述 1 9 9 4 年，i n t e m e t 体系结构委员会( i a b ) 就网络安全问题提交了一个名为 ( i n t e m e t 体系结构的安全( r f c l 6 3 6 ) 的报告。报告指出，多方面一致认为i n t e m e t 需要更多更好的安全，并就安全机制的关键领域达成共识，其中包括必须防止未 经授权访问网络基础设施；必须对网络通信业务流进行控制；必须使用加密和验 证机制，保护终端用户间的通信。 i a b 的报告提出后，其下属机构i e t f ( i n t e m e t 工程任务组) 立即组织人员进 行研究，并于1 9 9 5 年8 月公布了r f c l 8 2 5 等i p 安全标准的系列文档：经过三年 多的修订，i e t f 于1 9 9 8 年1 1 月公布了以r f c 2 4 0 1 为代表的新标准。 设计i p s e c 是为了给i p v 4 和i p v 6 数据报提供高质量的、可互操作的，基于密 码学的安全性。i p s e c 在网络层提供这些服务，是通过使用密码协议和安全机制的 联合实现的。i p s e c 能够让系统选择所需的安全协议，选择所希望的与已选择的安 全协议一起使用密码算法，同时生成为提供这些请求的服务所必需的密钥并将它 们放在合适的位置。 i p s e c 提供的安全服务包括对网络单元的访问控制，数据源认证，提供用于无 连接服务的协议( 如u d p ) 的无连接完整性，重放数据包的检测和拒绝，使用加 密来提供保密性和有限的数据流保密性。由于i p s e c 服务是在网络层，任何上层协 议，如t c p 、u d p 、i c m p 、i g m p ，或者任何应用层协议都可以使用这些服务。 2 2 2 i p s e c 体系结构 i p s e c 规范中包含大量的文档。其中最重要的是在1 9 9 8 年1 1 月发布的一系 列规范，它们是r f c 2 4 0 1 、2 4 0 2 、2 4 0 6 、2 4 0 8 。另外，其他许多标准也已经陆续 公布。 n p 架构嵌入式v p n 网关设计与实现 图2 - 2i p s e c 安全体系结构 如图2 2 ，i p s e c 安全体系结构包括了以下几个方面： i p s e c 体系结构：包含了一般的概念、安全需求。 封装安全载荷( e s p ) ：定义- j e s p 加密及认证处理的相关包格式和处理规 则。 验证头( a h ) ：定义了a h 认证处理的相关包格式和处理规则。 加密算法：描述各种加密算法如何用于e s p 中。 验证算法：描述各种身份验证算法如何用于a h 和e s p 中。 密钥管理( i k e ) ：密钥管理的一组方案，其中i k e 是默认的密钥自动交换协 议。 解释域：密钥协商协议彼此相关各部分的标识符及参数。 策略：决定两个实体之间能否通信，以及如何进行通信。 其中，策略部分是唯一尚未成为标准的组件。策略是i p s e c 体系结构的重要组 成部分，他决定了两个实体间是否能够通信，以及对该通信应该实施什么样的保 护。策略的核心问题是策略的表示和实施。“表示”负责策略的定义、存储和获 取，“实施”也就是策略在实际通信中的应用。 2 2 3 i p s e c 的两种模式 i p s e c 既可用来保护一个完整的i p 载荷，又可保护一个i p 载荷的上层协议， 这两个方砸的保护分别由i p s e c 的两种模式传输模式和隧道模式柬实现。传 输模式保护的是上层协议，而隧道模式保护的是整个i p 包f2 1 。 在传输模式中，i p 头和上层协议之间插入一个特殊的i p s e c 头，如图2 6 所 示。 在隧道模式中，整个i p 数据包被封装在另一个i p 数据报内，并在外部i p 头 和内部i p 头之间插入一个i p s e c 头，如图2 - 3 所示。隧道模式的内部头由通讯主 机所创建，而外部头由提供安全服务的设备所创建。 原始的i p 包ji p 头jt c p 头l数据j i11一一一 簇爹麓受臣! 工至晒保护的包l _ 上l j _ j 鬟雾嚣蓄受 ! 三! 二至至三! 二三至二 二二至三三口保护的包l l - _ _ j - j 图2 - 3 传输模式和隧道模式下受i p s e c 保护的包的格式 第二章v p n 技术及i p s e c 协议1 2 2 4i p s e c 的关键技术 2 2 4 1 密码学 密码学是研究数据的加密、解密以及认证的学科。有两种基本的加密数据的 方法：一种是使用对称密钥：另一种是使用非对称密钥。前者就是所谓的对称密 码学，后者即公钥密码学。对称密码系统使用相同的密钥来对数据加密和解密； 而公钥密码系统则使用一个密钥加密，而使用另一个密钥解密。本节分别介绍一 种典型的对称密码学算法d e s 和一种典型的公钥密码学算法r s a 。 2 2 4 2 验证头a h 验证头协议为i p 提供数据完整性、数据源身份验证和抗重播服务等功能，但 并不保证数据的机密性。1 。受传输模式a h 保护的i p 报文格式如图2 4 所示： 071 52 33 i p 头 下一个头载荷长度保留 a h 头 安全参数索引( s p i ) 上层协议头 l 序列号 数据 验证数据 图2 4 受传输模式a h 保护的的数据包 a h 输出处理：初始化序列号值，索引s a ，从s a 中取出s p i 值填入a h 中 的s p i 字段，填充其它字段，验证数据字段被置为0 ：利用从s a 中得到的验 证算法和参数，对整个i p 报文计算“完整性检查值( i c v ) ”，并将i c v 值复制 到a h 的验证数据字段：将a h 头插入到i p 报文的适当位置，并将i p 报文发出 去。 a h 输入处理：利用 索引对应s a ，获得相应的验 证算法和算法参数；进行序列号检查；保存a h 头的验证数据字段中的i c v 值， 然后将该字段清0 ，重新计算整个i p 文的摘要，并同保存下来的i c y 值进行 比较。 封装完全载荷协议为i p 提供机密性、数据源验证、抗重播以及数据完整 性等安全服务。e s p 头可插在i p 头与上层协议头之间或者用它封装整个i p 数 据报然后再在外部添加一个自己构建的i p 头，这两种模式可分别用来保护传 输层数据或整个i p 数据报 4 l o n p 架构嵌入式v p n 网关设计与实现 2 2 4 3封装安全载荷e s p i p 头 j s p i 序列号 初始化向量 l i 传输层协议头 1 已 加 数据 密 上b 充项i i 耍充项长度b 一个头 1 验证数据 i p 头 j s p i 序列号 初始化向量 i l f i p 头 1 翕 传输层协议头 密 数据 b 充项b 充项氏度i t - + 头 验证数据 传输筷式下受e s p 保护的一个i p 包隧道模式下受e s p 保护的一个i p 包 图2 5e s p 保护的i p 包 传输模式和隧道模式下受e s p 保护的i p 包格式如图2 5 所示。 e s p 输出处理：检索s a ，获取相应的加密器和验证器；构造e s p 头，若是传 输模式，将e s p 头插入到i p 包的适当位置，若是隧道模式，将e s p 头附加在i p 包前，并另外构造一个i p 包，添加在e s p 头前：调用加密算法，对包进行加密处 理，调用验证算法，对包进行验证；重新计算e s p 前面的i p 头的校验和。 e s p 输入处理：首先检索s a ：其次检查序列号：根据认证值对进行包进行验 证；对数据包进行解密：恢复原来的i p 包，将它转送上层或转发向内部网络。 e s p 提供机密性和完整性保护，但这两项服务的作用范围并不完全相同。e s p 头有几个字段不能加密，如：s p i 、序列号、初始化向量，验证数据。 2 2 4 4a h 和e s p 的综合应用 鉴别和加密这两种i p 安全机制可以综合运用，以提供可靠性更高的网络服务。 在r f c 文档中提供了两种综合方案可供选择。 ii p ha he s p h i 内部i p 报文或i p 报文的传输段 e t _ i i 盘女l l ：# r 丑 。 先加密，后鉴别。 图2 - 6 先加密、后鉴别的报文格式 第二章v p n 技术及 p s e c 协议 在这种情况下，首先对当前i p 报文进行e s p 处理( 可以是传输模式，也可是隧道模 式) ：然后对加密后的新i p 报文做a h 处理。最后的报文格式如图2 6 所示： 先鉴别，后加密。 这种方案只适用于e s p 的隧道模式，首先对内部i p 报文进行a h 处理；然后 对新的i p 报文进行隧道模式的e s p 处理。最后的报文格式如图2 7 所示 i li p he s p - hi p - ha h传输数据段e t 一i i # 目m l d 士 2 2 5s a 的定义 图2 7 先鉴别、后加密的报文格式 安全关联( s e c u r i t ya s s o c i a t i o n ) 是i p s e c 协议族中最为重要的概念之一。它 表示两个应用i p s e c 实体( 主机、路由器) 问的一个单向逻辑连接，决定保护什么、 如何保护以及谁来保护通信数据。 s a 是个单向的“连接”，是安全策略的具体化和实例化。它提供了保护通 信的具体细节。s a 可用一个三元组 来标识。其中， 目的地址表示通信的终点，s p i ( s e c u r i t y p a r a r n c t c ri n d e x ) 表示s a 的序号，安全 协议表示i p s c c 所提供的a h 或e s p 协议。 s a 可用i k e 自动协商或手工设置，其有效性根据序号和生存期等来判断，所 规定的安全服务通过使用a i i 和e s p 得以体现。由于s a 的单向性，两个i p s c c 实 体间的s a 成对出现，分别用于各自的进入和外出处理。 2 2 6 s a 的模式 由于i p s e c 协议可以分为隧道模式和传输模式，所以s a 也可定义为两种模式： 传输模式s a 和隧道模式s a 。传输模式s a 用于两台主机间。在i p v 4 中，传输模 式下的i p s e c 头紧接着i p 头之后，在上层协议( t c p 或u d p 等) 之前，如：r i p 头 i p s e c 头】【上层协议( 如t c p 或u d p ) 1 。 隧道模式s a 用于安全网关间以及安全网关同主机间。也就是说，只要通信两 端中有一个是安全网关，则对该通信的保护就必须使用隧道模式s a 。这样的要求 是为了避免在处理i p s e c 包的分片和重组的过程中可能出现的问题。 主机之间通信的保护即可使用传输模式s a ，也可使用隧道模式s a 。对于隧道 模式s a ，外部i p 头指明了通信另一方i p s e c 实施点( 主机或网关) 的目的地，内 部i p 头是数据包的最终目的地( 不一定是i p s e c 实旌点) 。i p s e c 头插在内外两 个i p 头之间，如：【外部i p 头 i p s e c 头】 内部i p 头 上层协议( 女i ：i t c p 或u d p ) 1 。 n p 架构嵌入式v p n 网关设计与实现 另外，s a 中如果应用不同的安全协议，所受保护数据报的内容范围也有所不 同。对于e s p ，传输模式s a 提供的安全服务只保护上层协议，而对i p 头和扩展头 不提供保护。 隧道模式s a 对外部头并不提供保护。而对于a h ，传输模式s a 提供的安全 服务还可以对i p 头、扩展头和某些选项的部分内容进行保护【3 】o 隧道模式s a 可 以对其外部头的一部分提供保护。 s a 的建立和维护可由手动进行，也可由i k e 动态地进行。最终安全服务的 具体实施是通过使用a h 和e s p 协议。a h 和e s p 使用各自的s a 。由于s a 的单 向性，两台主机或两个安全网关间的s a 成对出现，分别用于各自的进入和外出处 理。 第三章i x p 4 2 xa c c e s sl i b r a r y 研究 第三章i x p 4 2 x a c c e s sl i b r a r y 研究 安全产品的发展方向是向高端和低端两个方向发展，而目前仍占据市场主流 的p c 架构的网关( 如工控机系列的产品) 将逐步被嵌入式的产品所替代。随着硬 件技术的不断进步，以前认为的嵌入式低端产品无论是从性能还是从功能上，都 会赶上或者超过目前的c p u 架构的网关，面成本却大大降低。 3 1n p 技术的应用 3 1 1c p u 为中心体系结构的缺点 网络设备技术和路由交换技术经过了二十多年的发展，起初由于网络带宽小， 设备都是以c p u 的处理为中心的体协结构，随着网络带宽的技术的升级发展到a s 【c 和n p 体系结构。而安全网络产品，直到前几年才有了快速发展，但对于大多数网 络安全设备而言，在计算机架构方面还停留在以c p u 集中处理为主的技术酚段。 以c p u 为核心的架构广泛的应用于网络安全领域中，对于网络应用而言，这 种系统架构一直面临着很大的压力。首先是它的设计思路，c p u 架构的系统多是以 多媒体、事务处理为主的应用，它的浮点运算能力很强，在进程的调度、应用程 序的傈护以及多媒体处理方面具有很大的优势。 但是，它也存在致命的弱点，所有的数据到c p u 这里只有一条通路，并且不 能区别所有业务的优先等级。在传统以i p 传送或者是仅提供连通网络的情况下没 有大阀题。但是在多业务情况下，如果不能够区分业务等级，就意味着网络在正 常情况下运行是良好的，但是在网络的负荷提高或者是遭遇攻击的情况下，所有 的关键业务会被网络攻击所淹没。 3 1 2 n p 架构的优势 n p ( 网络处理器) 是一种可编程器件，它特定的应用于通信领域的各种任务， 比如包处理、协议分析、路由查找、声音数据的汇聚、防火墙、q o s 等。 n p 技术的采用实现了c p u 的业务控制和n p 的数据转发两个层面的分离，能够 使c p u 专注于它所擅长的方面。将c p u 从烦琐的业务控制流程里分离出柬，从而 能够保证网络更好的安全策略管理。 c p u 对于业务的控制和网络数据的转发引擎处理分离以后，可以降低对操作系 统的要求。c p u 可以做非常复杂的安全控制，即使我们处理策略不是最优化的，功 能还需要持续增加，但是由于网络数据处理引擎能够保证数据的快速转发，c p u 载 1 4 n p 架构嵌入式v p n 网关设计与实现 荷会大大降低。n p 技术最大的优势在于它的系统整体性能上表现优异，n p 技术采 用了以后能够实现网络安全数据转发和过滤的全线速，但在安全领域涉及到安全 的过滤、n 解密、处理时性能会有所下降。从系统的整体表现而言，还是要大大 优于c p u 架构的网关。 3 2i n t e li x p 4 2 5 处理器简介 为满足家庭和企业对宽带接入服务和网络安全领域日益增长的需求，设备制 造商必须开发出大量的提供多种业务的新型网络产品。i n t e li x p 4 2 x 系列产品就是 针对这样的应用环境而设计的，该产品是高度集成的网络处理器，支持多种w a n 和l a n 技术，为客户提供多种应用的通用构架。这些处理器提供了很好的网络性 能和丰富的接口，方便设备制造商增加各种的软件来支持网络应用扣l 。 3 2 1i x p 4 2 5c o r e 简介 i n t e li x p 4 2 5 处理器使用i n t e lx s c a l e 作为核心，并且集成三个网络处理器引擎 ( n p e ，n e t w o r kp r o c e s s o re n g i n e ) ，这种分布式处理架构使之能很好的满足下一 代宽带应用的需求。i n t e lx s c a l e 核心和三个n p e 都以并行方式执行指令流【9 1 。 i n t e lx s c a l e 核心可与a r m * v s t t h u m b 指令集和v s ed s p 扩展完全兼容。基 于i n t e l 0 1 8 微米工艺技术的i n t e lx s c a l e 核心是具备业界领先的高m i p s 低功耗 的产品，为用户添加各种产品功能提供了充分的空间l ”。 3 2 2 网络处理引擎( n p e ) 三个n p e 是专门针对网络应用而设计的，每个n p e 协处理器都可用来加速某 一特定网络任务，其功能包括：i p 头检查和修改、数据包过滤、数据包错误检查、 校验和计算、插入和删除标记、p d u 分割和组合以及加密 8 1 口n p e 架构包括a l u 、 自带的内部数据存储、各种i 0 接口以及硬件加速引擎( 也称为n p e 协处理器) 。 i n t e l i x p 4 2 5 网络处理器在n p e 软件库中设计了快速路径( f a s tp a t h ) ，为 宽带应用提供很好的性能。快速路径设计在不通过i n t e lx s c a l e 核心的情况下， 将不检查的i p 数据包直接从入口端n p e ( 通常是带有x d s lw a n 端口的w a n v o i c e n p e ) 传递到出口端n p e ( 通常是带有以太网l a n 端口的以太网n p ea 或b ) 。由于 大多数i p 数据包从w a n 传递到以太网l a n ，因此通过不必将数据包路由经过中心 处理器，将这些数据流分离到i n t e i x p 4 2 5 中的n p e 中，这样就可以大大提高处 理能力一j 。 另外t 网络处理器还将两个l o l o ob a s e - t 以太网m a c 与m i i r m i 接m ，f 1 ：i f d 步令双工操作集成。i n t e li x p 4 2 5 网络处理器还为安全性应用提供了硬件加迷。 第三章i x p 4 2 x a c c e s sl i b r a r y 研究旦 这些芯片在硬件中实现了d e s 和3 d e s 数据加密算法以及在v f ) n 应用中常见的s 1 a l 和m d 5 算法。通过扩展总线接口可以获得与d s p 芯片和洲存的直接连接。通过集 成更多功能，i n t e l 将减少芯片总数和宽带应用的成本。 3 3i x p 4 2 x 系列的软件体系的结构 本文侧重于软件系统设汁，在这艰将不再迷步讨论硬件- 的框架结构以 f 将洋细讨沦从软件开发角度而占的体系结构。 3 3 1i x p 4 2 xc s r 简介 i x f ) 4 2 xc s r ，即 x p 4 2 xc u s t o m e rs o f t wo , r er e 】e a s o 是1n t e l 公珂针列lx p 4 2 x 系列处理器发布的软件，它为软件人员提供n p e 的软件软件川：发接门。软件玎发 人员不需要更加深入的了解n p e 的工作原理和微码的设计， l 需要利用i x p , t 2 xc s r 所