一种基于VPN网关的电原理设计与实现6

一种基于VPN网关的电原理设计与实现6

3　 VPN网关的实现

　　这部分的主要工作是将原有x86平台上的应用软件移植到MPC855T平台上，作为一个VPN网关，应具备两大功能：（1）路由功能：安全加密路由平台介于局域网与边界路由器之间，应具备一定的路由转发功能。（2）IPSec协议族功能：具备IPSec协议标准描述的所有功能。

　　3．1 系统总体框架和工作模式

　　系统总体框架由5个部分组成：（1）硬件层：基于mpc855t平台，提供软件运行环境。（2）Linux内核：嵌入式Linux/ppc-2.4.4。将IPSec实现和防火墙支持编译到内核中。（3）系统服务和工具。（4）管理控制台界面。（5）升级服务。

　　由于本设计使用DOC或Flash Memory作为存储介质，文件系统工作方式宜用Ram Disk方式。在此方式下，系统工作时根文件系统在ram disk上，系统异常掉电不会对真正的文件系统造成破坏。但因为所有的配置信息都在SDRAM中，掉电将会丢失所有配置信息，因此需要以后台进程定期检查配置文件的变动情况，将有变动的文件及时写回DOC/Flash中。

　　3.2 IPSec实现中的硬件加密算法

　　在本文设计的VPN安全网关中，加密算法的安全、高效，是VPN网关安全性和有效性的重要保证。为此在设计中，采用了一种硬件加密模块[4]的方式，使得VPN网关可以在硬件上使用不同的加密算法。在默认配置中，使用国密办批准的分组加密算法芯片SSF10。为了使用硬件加密模块，需要在Linux内核的IPSec实现中添加和修改相应的代码，下面对其简单说明。

　　因IPSec实现在内核中的特殊位置，并且MPC855T的主频较低（80MHz），采用访问设备驱动文件的方式访问硬件SSF10加密模块会造成速率大幅降低，因此，我们采用I/O直接访问硬件SSF10芯片，这样需将模块驱动中的操作分散到IPSec实现的相关部分，替换原来的软件加密算法。同理，可以使用硬件DES/3DES、硬件AES[5]算法和其他的国密办批准的算法，用硬件实现数据加密。对IPSec的一个实现freeswan算法部分进行修改，使其可以实现硬件算法。完成修改后，使用内核make menuconfig命令，选中Networking options->[*]IPSEC:Use SSF10......，重新编译即可使用SSF10硬件算法模块。

　　4 结束语

　　创新点:开发由VPN安全网关、VPN客户端和VPN安全管理中心三部份组成的VPN安全系统。为保证公网上传输数据的安全，设计开发一款VPN安全网关，用于构建上述的VPN安全系统。同PowerPC MPC8xx一样，MPC82xx也是一款集成了微处理器和外围器件控制器的通信处理器，可以用于多种通信设备中。但是MPC82xx具有更高的操作速度：系统内核微处理器支持100-333MHz的处理速度，并具有更强大的网络处理能力，支持3个快速通信控制器（FCCs），4个串行通信控制器（SCCs），2个多通道控制器（MCCs），适合用于100Mbps以太网环境中的网络设备。