基于uClinux的嵌入式无线IPSec VPN网关 03 配置文件, 嵌入式, 无线

samwalton

它们分别保护172．16，1．0／24和172．16．2．O/24两个内部子网。下面以图5中外部IP为192．168．0．1的网关为例，介绍IPSec_tools中隧道模式下安全策略和密钥管理的方法。

　　5．1 安全策略

　　IPSec_tools中安全策略的管理由setkey完成。在setkey的配置文件setkey．conf中需要加入流入(in)、流出(out)、转发(fwd)三条安全策略规则。

　　5.2 密钥和SA的管理

　　(1)人工方式

　　setkey．conf中SA规则定义IPSec中密钥和SA人工方式的管理。

　　(2)自动方式

　　自动方式的管理由racoon完成。racoon支持多种验证方式，包括预共享密钥和X.509证书方式。racoon的配置文件racoon.conf主要包括rernote和sainfo两大部分，分别对应于IKE交换的第一阶段和第二阶段。remote部分指定IKE交换第一阶段的身份验证方式和加密、验证算法等参数。sahffo部分指定第二阶段的加密和验证算法。

　　 预共享密钥方式下用户的预共享密钥保存在文件中，此时racoon．conf的配置如下(其中指定了预共享密钥所存放的文件)：

}
　在X．509证书方式下，racoon．conf的配置与共享密钥方式的基本相同，但其指定了证书所在目录、自己的X．509证书、自己的证书密钥和CA的证书。有关racoon中证书的生成请参照racoon和openssl的使用手册。

　　5.3 运行

　　在无线网关接入Intemet后，依此运行setkey和racoon。

　　结语

　　无线数据传输和IPSec的结合使得无线数据传输的应用领域进一步扩展。目前本系统已广泛应用于金融、保险、电力、监控、交通、气象等行业。在移动网络许可的条件下，任何采用以太网或串口的设备，如PC机、工控机、ATM机、POS机、视频服务器等，都可以方便、安全地通过本系统连接到Internet上。