隨著網絡和無線通信技術的發展以及無線數據傳輸能力的提高，無線數據傳輸的應用領域不斷擴展，如圖1所示，用戶的移動設備可以通過CDMA/GPRS公眾無線網絡直接訪問Internet，進而訪問自己的內部結構，省去了自己組網的費用，由于用戶都希望保障其數據的安全，所以采用VPN技術成為其必然選擇。

1IPSec簡介

IPSec的目標是為IP提供互操作高質量的基于密碼學的一整套安全服務，包括訪問控制、無連接完整性、數據源驗證、抗重放攻擊、保密性和有限的流量保密，這些服務都在IP層提供，可以為IP和上層協議提供保護。

IPSec的體系結構在RFC2401中定義，它通過兩個傳輸安全協議——頭部認證（AH）和封裝安全負載（ESP）以及密鑰管理的過程和相關協議來實現其目標，AH提供無連接完整性、數據源驗證和可選的抗重發攻擊服務，ESP可以提供保密性、有限的流量保密、無連接一致性、數據源驗證和抗重發攻擊。AH和ESP都是基于密鑰分配和流量管理的訪問控制的基礎，AH和ESP都有兩種模式：傳輸模式和隧道模式。傳輸模式用于保護主機間通信；而隧道模式將IP隧道里，主要用于保護網關間通信。

IPSec中用戶通道向IPSec提供自己的安全策略（SP）來控制IPSec的使用，包括對哪些數據進行保護，需要使用哪些安全服務，使用何種加密算法，IPSec中安全關聯（SA）是一個基本概念，它是一個簡單“連接”，使用AH或者ESP為其負載提供安全服務，則需要兩個和更多個SA，同時由于SA是單向的，因此如果是雙向保密通信，則每個方向至少需要一個SA。IPSec中有兩個與安全相關的數據庫，安全策略數據庫（SPD）和安全關聯數據庫（SAD），前者定義了如何處理所有流入和流出IP數據處理的策略，后者包含所有（有效）SA有關的參數。

AH/ESP中所使用的密鑰的分配和SA管理都依賴于一組獨立機制，包括人工和自動兩種方式，IPSec定義了IKE協議用于自動方式下的密鑰分配和SA管理，IKE中密鑰分配和SA管理的過程分成兩個階段，第一階段是密鑰協商雙方建立一個相互信任的、保密的安全通道，用戶保護第二階段密鑰協商過程，第二階段完成實際用于IPSecSA的協商。

IPSec的數據處理模型如圖2所示，對流入/流出的數據首先確定其安全策略，如果需要安全服務，則要找到其相應的安全關聯，根據安全關聯，提供的參數進行AH/ESP處理后完成流入/流出。

2系統功能

本系統的主要功能是支持CDMA和GPRS兩種方式接入Internet，既可作為VPN服務器，又可作為VPN客戶端。IPSec的密鑰交換支持共享密鑰方式和基于X.509的公開密鑰方式。

3系統的硬件實現

系統硬件構成如圖3所示，無線接口采用的是WavecomCDMA/GPRS模塊，基板采用的是FreescaleColdfire5272。

4系統的軟件實現

Linux的2.6內核中加入了對IPSec的支持，本系統采用的是基于Linux2.6內核的IPSec-tools，整個系統中IPSec的相關軟件結構如圖4所示，Linux2.6內核在其網絡協議棧中提供對AH和ESP支持，同時包括SPD的實現和SAD的實現，IPSec-tools包括setkey和racoon兩個應用程序。Setkey實現IPSec中SPD管理和SAD的人工管理，它需要使用Linux內核支持IPSec用戶管理接口。Racoon是IPSec-tools中IKE的實現，它需要內核支持PF_KEYv2的接口，同時為了支持基于X.509證書的公開密鑰身份驗證方式，racoon需要使用openssl提供的libcryto加密庫。AH/ESP所使用的加密算法需要內核加密算法支持。

4.1Linux內核

在www.kernel.org下載并安裝linux2.6.12內核，在www.ucLinux.org下載其uCLinux補丁。打上補丁后，通過makemenuconfig進入Linux的內核配置界面，選定如下所有配置：

4.2Openssl（libcrypto.a）

安裝Openssl0.9.7e源代碼后，進入安裝目錄，修改其Configure文件使用m68k-elf-gcc作為編譯器。運行ConfigureLinux-m68k完成配置后，編譯生成libcrypto.a。

4.3IPSec-tools

依照ucLinux中任何加入新的用戶程序的文檔，在ucLinux的/user目錄中加入IPSec-tools0.5.2軟件包。進入IPSec-tools的安裝目錄，并在該目錄下加入一個如下Makefile（在這個Makefile中需要指定內核頭文件和openssl源代碼的安裝目錄）：

all：build＄（MAKE）-Cbuild

編譯生成setkey和racoon兩個應用程序

5IPSec-tools的使用

本系統的IPSec同時支持傳輸模式和隧道模式。作為VPN網關時只使用隧道模式。圖5是兩個IPSec網關間通信模型。192.168.1.100和192.168.2.100分別是兩個網關外部接口的IP地址，它們分別保護172.16.1.0/24和172.16.2.0/24兩個內部子網，下面以圖5中外部IP為192.168.0.1的網關為例，介紹IPSec-tools中隧道模式下安全策略和密鑰管理的方法。

5.1安全策略

IPSec-tools中安全策略的管理由Setkey完成。在setkey的配置文件setkey.conf中需要加入流入（in）、流出（out）、轉發（fwd）三條安全策略規則。

5.2密鑰和SA的管理

（1）人工方式

Setkey.conf中SA規則定義IPSev密鑰和SA人工方式的管理。

（2）自動方式

自動方式的管理由racoon完成，racoon支持多種驗證方式，包括預共享密鑰和X.509證書方式，racoon的配置文件racoon.conf主要包括Remote和sainfo兩大部分，分別對應于IKE交換的第一階段和第二階段，Remote部分指定IKE交換第一階段的身份驗證方式和加密、驗證算法等參數，sainfo部分指定第二階段的加密和驗證算法。

預共享密鑰方式下用戶的預共享密鑰保存在文件中，此時racoon.conf的配置如下（其中指定了預共享密鑰所存放的文件）

【編輯推薦】

1. IPSec VPN在多分支企業中的應用
2. 最簡環境下的IPsec VPN配置舉例
3. GRE隧道與IPsec的結合
4. 站點到站點的SSL VPN：只有當IPsec VPN不可用時