基于PowerPC和嵌入式Linux的VPN網關設計
加入技術交流群
目標文件系統列表如表1所示。
所有配置文件、可執行文件、庫文件的位置均符合L inux操作系統的慣例。
IPSec實現中的硬件加密算法
在VPN安全網關中,加密算法的安全、高效,是VPN網關安全性和有效性的重要保證。為此,在設計中采用了一種硬件加密模塊的方式,使得我們的VPN網關可以在硬件上使用不同的加密算法。在我們的默認配置中,使用國密辦批準的分組加密算法芯片SSF10。
為了使用硬件加密模塊,需要在L inux內核的IPSec實現中添加和修改相應的代碼,下面對其簡單說明。由于IPSec實現在內核中的特殊位置,并且MPC855T的主頻較低 (80MHz) ,采用訪問設備驅動文件的方式訪問硬件SSF10加密模塊會造成速率大幅降低。因此,我們采用I/O直接訪問硬件SSF10芯片。這需要將模塊驅動中的操作分散到IPSec實現的相關部分,替換原來的軟件加密算法。同理,可以使用硬件DES/3DES、硬件AES算法和其他國密辦批準的算法,用硬件實現數據加密。對IPSec的一個實現freeswan算法部分進行修改,使其可以實現硬件算法。與硬件加密算法有關的文件如下:
freeswan-1. 94 /klip s/net/ ip sec /Config. in;
freeswan-1. 94 / libdes/des_enc. c;
freeswan-1. 94 /klip s/net/ ip sec / ip sec_sa. h;
freeswan-1. 94 /klip s/net/ ip sec / ip sec_tunnel. c;
freeswan-1. 94 /klip s/net/ ip sec / ssf10. h;
freeswan-1. 94 /klip s/net/ ip sec / ip sec_init. c;
freeswan-1. 94 /klip s/net/ ip sec /pfkey_v2_parser. c;
freeswan-1. 94 /klip s/net/ ip sec_rcv. c。
完成修改后, 使用內核make menuconfig 命令, 選中Networking op tions→[* ] IPSEC: Use SSF10..,重新編譯即可使用SSF10硬件算法模塊。
結束語
為了滿足VPN安全網關設計的目標,本文在基于Motorola PowerPC和嵌入式L inux的VPN網關設計中使用Motorola通信處理器PowerPC、采用L inux和加密算法,構建出了具有自主知識產權的VPN安全網關。理論分析表明,本文提出的VPN安全網關設計方案、嵌入式L inux操作系統的構建方法以及硬件加密模塊的實現方法能夠滿足10Mbp s的網絡環境中提供虛擬專用網的安全服務。但是,由于其定位在低端,不適合在100Mbp s的網絡環境中使用。如果要在100Mbp s的環境中使用VPN網關,就要考慮使用基于PowerPCMPC82xx的硬件平臺本文引用地址:http://www.104case.com/article/151291.htm linux操作系統文章專題:linux操作系統詳解(linux不再難懂)
評論