基于PowerPC和嵌入式Linux的VPN網(wǎng)關(guān)設(shè)計(jì)
加入技術(shù)交流群
VPN安全網(wǎng)關(guān)設(shè)計(jì)方案概述
VPN系統(tǒng)體系結(jié)構(gòu)
VPN的主要作用是采用加密、認(rèn)證和網(wǎng)絡(luò)技術(shù)在公共互聯(lián)網(wǎng)上構(gòu)建相互信任方之間的安全加密信息傳輸通道,以期達(dá)到專(zhuān)用網(wǎng)絡(luò)的效果。VPN網(wǎng)關(guān)在其中將發(fā)揮非常重要的核心作用。
由圖1可知,VPN網(wǎng)關(guān)工作在本地局域網(wǎng)及與其通信的遠(yuǎn)程局域網(wǎng)的網(wǎng)關(guān)位置,具有加密和認(rèn)證功能。相互信任的局域網(wǎng)間進(jìn)行通信時(shí),仍然使用互聯(lián)網(wǎng)作為中間信道。但是,通過(guò)VPN網(wǎng)關(guān)的加密功能確保信息在不安全的互聯(lián)網(wǎng)上流通時(shí)是密文形式。這樣,即便信息被截取,也無(wú)法偷窺或篡改其內(nèi)容,保證通過(guò)互聯(lián)網(wǎng)連接的局域網(wǎng)間通信的安全性、機(jī)密性、可認(rèn)證性和完整性等安全性能。
VPN安全網(wǎng)關(guān)的設(shè)計(jì)目標(biāo)
(1) 完整實(shí)現(xiàn)IPSec協(xié)議簇,完全支持VPN的要求。
(2) 要建立在具有自主版權(quán)的、安全性完全控制在自己手中的內(nèi)核操作系統(tǒng)之上。
(3) 要確保自身的安全、協(xié)議的安全和信息通道的安全。采用國(guó)密辦批準(zhǔn)的加密算法,由硬件實(shí)現(xiàn)數(shù)據(jù)加解密。
(4) 要具有較高的性價(jià)比,滿足低端網(wǎng)絡(luò)的要求。明文吞吐率10Mbp s;啟用IPSec協(xié)議,以隧道方式加密傳輸時(shí),吞吐率大于4Mbp s。
(5) 設(shè)計(jì)與實(shí)現(xiàn)要采用先進(jìn)的硬、軟件技術(shù)和方法。
(6) 盡可能方便管理、靈活配置和界面友好。
技術(shù)思想
(1) 軟件: ①自主開(kāi)發(fā)的嵌入式安全操作系統(tǒng)內(nèi)核;②由于L inux OS的源代碼的開(kāi)放性及其在網(wǎng)絡(luò)產(chǎn)品中的優(yōu)異表現(xiàn),因而可以用其構(gòu)建具有自主知識(shí)產(chǎn)權(quán)的VPN安全網(wǎng)關(guān)(采用嵌入式L inux 2. 4. 4 For PowerPC,內(nèi)核根據(jù)需要裁減,并加入相應(yīng)的硬件驅(qū)動(dòng)程序,完成對(duì)FlashMemory和DOC文件系統(tǒng)的支持) ;③網(wǎng)絡(luò)協(xié)議和IPSec協(xié)議層; ④數(shù)據(jù)加/解密算法由采用國(guó)密辦批準(zhǔn)的硬件加密芯片SSF10B實(shí)現(xiàn); ⑤管理系統(tǒng)層需支持手工和通過(guò)SMC (安全管理中心)配置IPSec策略。
(2) 硬件:根據(jù)設(shè)計(jì)要求,該VPN網(wǎng)關(guān)將用于10Mbp s以太網(wǎng)環(huán)境中,設(shè)計(jì)采用目前在通信業(yè)中使用較廣的Mo2torola通信處理器PowerPC MPC8xx作為主CPU,選用其中一款性價(jià)比較高的控制器MPC855T。在硬件平臺(tái)的設(shè)計(jì)中,本著滿足性能要求,保證高可靠性和高性價(jià)比的原則,采用有多種硬件選項(xiàng)的設(shè)計(jì),來(lái)滿足設(shè)計(jì)要求。嵌入式L inux操作系統(tǒng)的構(gòu)建
通常的嵌入式系統(tǒng)開(kāi)發(fā)大致可以分為硬件設(shè)計(jì)、裝載或引導(dǎo)嵌入式系統(tǒng)、在嵌入式系統(tǒng)上建立開(kāi)發(fā)平臺(tái)以及開(kāi)發(fā)應(yīng)用等四個(gè)步驟。
利用ppcboot引導(dǎo)
ppcboot是德國(guó)Denk軟件工程中心開(kāi)發(fā)的引導(dǎo)程序,我們?cè)谘芯块_(kāi)發(fā)中使用了其中的ppcboot-1. 1. 5作為開(kāi)發(fā)藍(lán)本,對(duì)其代碼進(jìn)行了修改,以滿足硬件設(shè)計(jì)的要求。
ppcboot源碼樹(shù)的目錄結(jié)構(gòu)
CHANGELOG / /記錄歷次版本升級(jí)時(shí)的修改內(nèi)容
COPYING
CRED ITS
MAKEALL
Makefile / /制作文件
README / /必讀的文件
System. map / /當(dāng)編譯連接完成后,所生成的ppcboot二進(jìn)
/ /制中所有函數(shù)、數(shù)據(jù)的地址信息
board / /各種與板子硬件關(guān)聯(lián)的. c模塊
common / /一些通用ppcboot命令集的. c模塊
config. mk linux操作系統(tǒng)文章專(zhuān)題:linux操作系統(tǒng)詳解(linux不再難懂)
評(píng)論