目前，國內(nèi)大部分VPN 網(wǎng)關(guān)在硬件平臺上使用基于x86 CPU的商用工控機主板。由于商用工控機是為一般的工業(yè)控制而設(shè)計的，作為VPN網(wǎng)關(guān)使用時，存在功能冗余、成本及可靠性難于控制等問題。因此，有必要自己設(shè)計一款性價比較高的硬件平臺供VPN網(wǎng)關(guān)使用。Motorola通信處理器PowerPC在通信業(yè)中使用廣泛，并具有良好的性價比，可以滿足VPN安全網(wǎng)關(guān)的設(shè)計需要。另外，安全產(chǎn)品涉及一個國家的主權(quán)和敏感的安全信息，作為保證安全極為重要的操作系統(tǒng)和加密算法應(yīng)該完全為自己掌握。因此，采用具有自主知識產(chǎn)權(quán)的操作系統(tǒng)和加密算法尤為重要。而L inux操作系統(tǒng)源代碼的開放性及其在網(wǎng)絡(luò)產(chǎn)品中的優(yōu)異表現(xiàn)，使得我們可以用其構(gòu)建具有自主知識產(chǎn)權(quán)的VPN安全網(wǎng)關(guān)。
　　VPN概念
　　什么是VPN
　　VPN即虛擬專用網(wǎng)，是通過一定的安全機制在公用的網(wǎng)絡(luò)如因特網(wǎng)中建立起與公網(wǎng)相對獨立和封閉的信息通道，以保護企業(yè)各子網(wǎng)之間、子網(wǎng)和移動用戶之間、移動用戶和服務(wù)器之間的通信數(shù)據(jù)的安全。VPN利用公網(wǎng)的資源，讓用戶擁有同專網(wǎng)相同的安全性，并享受因特網(wǎng)帶來的經(jīng)濟實惠和方便迅捷。
　　VPN如何保護通信安全
　　不同類型的VPN所采用的協(xié)議不同，使用的安全機制也不同。關(guān)于VPN的協(xié)議比較多，但目前最完善的、安全性最高的應(yīng)屬IPSec協(xié)議。它可使用CA 數(shù)字證書來實現(xiàn)通信雙方的身份認證;使用對稱加密算法來對數(shù)據(jù)進行加密，保證數(shù)據(jù)的安全性;使用單向散列函數(shù)對數(shù)據(jù)計算摘要，并對摘要進行加密來保證數(shù)據(jù)的完整性。此外，VPN節(jié)點之間通信，不可能每次都手工配置密鑰，手工方式既不安全也不方便，可以采用因特網(wǎng)自動密鑰交換協(xié)議來進行密鑰的協(xié)商，設(shè)置每次會話密鑰的生命期，在快要結(jié)束生命期時，自動協(xié)商下一個會話密鑰。
　　當企業(yè)虛擬專網(wǎng)建立時，需要在各個子網(wǎng)的出口配置安全網(wǎng)關(guān)。安全網(wǎng)關(guān)負責對流出數(shù)據(jù)進行加密和計算校驗和，對進入數(shù)據(jù)進行檢驗和解密，并實施訪問控制。VPN安全網(wǎng)關(guān)在其中具有舉足輕重的作用。比如，當一臺主機與另外一臺主機通信時，會首先啟動IKE （自動密鑰協(xié)商）進程協(xié)商各種工作參數(shù)，包括加密算法、驗證算法、密鑰長度、密鑰值等，并進行雙向的身份認證，所有這些成為一個安全關(guān)聯(lián)（ Security Association） 。
　　VPN的使用
　　VPN安全網(wǎng)關(guān)與VPN Client軟件配合使用，通過靈活配置隧道策略，不僅可以解決通信的安全問題，還可以解決用戶對公司總部網(wǎng)絡(luò)的訪問授權(quán)問題。圖1 是一個VPN安全系統(tǒng)的典型網(wǎng)絡(luò)拓撲圖。
　　
　　當網(wǎng)關(guān)與網(wǎng)關(guān)相連時，通過VPN管理中心或終端方式為需要相互通信的兩臺網(wǎng)關(guān)間配置對應(yīng)的隧道，位于兩臺私口后的主機就能通過加密隧道進行通信，防止數(shù)據(jù)被丟失、篡改并保證數(shù)據(jù)的完整。
　　VPN安全網(wǎng)關(guān)設(shè)計方案概述
　　VPN系統(tǒng)體系結(jié)構(gòu)
　　VPN的主要作用是采用加密、認證和網(wǎng)絡(luò)技術(shù)在公共互聯(lián)網(wǎng)上構(gòu)建相互信任方之間的安全加密信息傳輸通道，以期達到專用網(wǎng)絡(luò)的效果。VPN網(wǎng)關(guān)在其中將發(fā)揮非常重要的核心作用。
　　由圖1可知，VPN網(wǎng)關(guān)工作在本地局域網(wǎng)及與其通信的遠程局域網(wǎng)的網(wǎng)關(guān)位置，具有加密和認證功能。相互信任的局域網(wǎng)間進行通信時，仍然使用互聯(lián)網(wǎng)作為中間信道。但是，通過VPN網(wǎng)關(guān)的加密功能確保信息在不安全的互聯(lián)網(wǎng)上流通時是密文形式。這樣，即便信息被截取，也無法偷窺或篡改其內(nèi)容，保證通過互聯(lián)網(wǎng)連接的局域網(wǎng)間通信的安全性、機密性、可認證性和完整性等安全性能。
　　VPN安全網(wǎng)關(guān)的設(shè)計目標
　　（1） 完整實現(xiàn)IPSec協(xié)議簇，完全支持VPN的要求。
　?。?） 要建立在具有自主版權(quán)的、安全性完全控制在自己手中的內(nèi)核操作系統(tǒng)之上。
　　（3） 要確保自身的安全、協(xié)議的安全和信息通道的安全。采用國密辦批準的加密算法，由硬件實現(xiàn)數(shù)據(jù)加解密。
　?。?） 要具有較高的性價比，滿足低端網(wǎng)絡(luò)的要求。明文吞吐率10Mbp s;啟用IPSec協(xié)議，以隧道方式加密傳輸時，吞吐率大于4Mbp s。
　?。?） 設(shè)計與實現(xiàn)要采用先進的硬、軟件技術(shù)和方法。
　?。?） 盡可能方便管理、靈活配置和界面友好。
　　技術(shù)思想
　　（1） 軟件： ①自主開發(fā)的嵌入式安全操作系統(tǒng)內(nèi)核;②由于L inux OS的源代碼的開放性及其在網(wǎng)絡(luò)產(chǎn)品中的優(yōu)異表現(xiàn)，因而可以用其構(gòu)建具有自主知識產(chǎn)權(quán)的VPN安全網(wǎng)關(guān)（采用嵌入式L inux 2. 4. 4 For PowerPC，內(nèi)核根據(jù)需要裁減，并加入相應(yīng)的硬件驅(qū)動程序，完成對FlashMemory和DOC文件系統(tǒng)的支持） ;③網(wǎng)絡(luò)協(xié)議和IPSec協(xié)議層; ④數(shù)據(jù)加/解密算法由采用國密辦批準的硬件加密芯片SSF10B實現(xiàn); ⑤管理系統(tǒng)層需支持手工和通過SMC （安全管理中心）配置IPSec策略。
　　（2） 硬件：根據(jù)設(shè)計要求，該VPN網(wǎng)關(guān)將用于10Mbp s以太網(wǎng)環(huán)境中，設(shè)計采用目前在通信業(yè)中使用較廣的Mo2torola通信處理器PowerPC MPC8xx作為主CPU，選用其中一款性價比較高的控制器MPC855T。在硬件平臺的設(shè)計中，本著滿足性能要求，保證高可靠性和高性價比的原則，采用有多種硬件選項的設(shè)計，來滿足設(shè)計要求。嵌入式L inux操作系統(tǒng)的構(gòu)建
　　通常的嵌入式系統(tǒng)開發(fā)大致可以分為硬件設(shè)計、裝載或引導(dǎo)嵌入式系統(tǒng)、在嵌入式系統(tǒng)上建立開發(fā)平臺以及開發(fā)應(yīng)用等四個步驟。