龙源期刊网httpwwwqika
comc
ＩＰＳｅｃＶＰＮ网关设计和实现
作者：曾晶晶来源：《硅谷》2008年第05期
摘要研究一种VPN网关的设计方案，使工作在局域网的网关位置具有加密和认证功能：完成了采用IPSec的VPN网关设计，通过修改Li
ux内核可以实现基于IPSec的VPN网关，加快了处理速度并避免了操作系统本身的不安全性。
关键词VPN网关IPSec协议Li
ux内核中图分类号：TP3文献标识码：A文章编号：1671－7597（2008）0310028－01
一、设计方案
（一）设计目标VPN网关的设计目标是为了工作在局域网的网关位置，具有加密和认证功能，并由此在互联网上构建相互信任方之间的安全加密信息传输通道，以期达到专用网络的效果，保证通信的安全性、机密行、可认证性和完整性。（二）设计功能根据VPN安全体系结构和IPSec规范，VPN网关将提供以下安全服务鉴别、访问控制、数据机密性、数据完整性、数据源鉴别、禁止否认。为了实现上述各种安全服务，按IS07492建议采用以下安全机制A、加密机制；B、访问控制机制；C数据完整性机制；D、交换鉴别机制；E、数字签名机制路由控制机制。（三）体系结构VPN网关系统的体系结构可抽象为：自主开发的嵌入式安全操作系统内核；网络协议和IPSec协议层；管理系统层。（四）VPN网关的总体设计实现框架
f龙源期刊网httpwwwqika
comc
设计方案中，在用户层除提供手工注入SA方式外，还允许IKE动态协商SA，这由用户层操作到内核的接口Pfkey，Sockets（手工注入SA和利用IKE动态协商SA的接口及SAD与SAD的接口）实现；通过一个IKE守护进程监听动态协商请求，来进行相应的协商处理；由用户层实现的策略系统来完成存储、管理及验证策略；最后，在内核完成与用户的接口、SAD及其管理、IPSec协议进入外出处理及加密算法的功能，以加快IPSec处理的速度。
二、路由功能的实现
安全加密路由平台的功能集中于网络部分，这里给出安全加密路由平台网络部分的结构模型。首先进行几点如下说明：
（1）VPN网关的网络层次结构遵循TCPAP协议。（2）网络层除了包含实现网络层功能的基本模块外，还包含转发模块。转发模块用于转发接收到的目的地址不是自己的IP包。（3）加密和解密工作的客体是需要转发的信息，对于安全加密路由平台与其他主机之间的通信信息可以不进行加密。（4）VPN网关采用网络级加密，因此加密和解密在网络层实现。但两者工作在处理数据包的不同阶段。在图2所示的路由功能实现模型，可以将VPN网关处理的包分为三类：①VPN网关接收的r