一种基于微内核技术的VPN实现方法.pdf

一种基于微内核技术的VPN实现方法，是利用密码技术、计算机网络技术、隧道封装技术以及专用的VPN协议等，将密钥交换、隧道加密、防火墙、网络配置等多项功能集成在一起，并利用安全的微内核技术，建立专用的硬件路由器操作系统，内核功能单一；算法采用了分组迭代的线性与非线性组合(SP)网络结构，迭代变换的层数为至少8层，层层保护相互制约，又相互分割；建立灵活的组网结构，支持网关、网桥、加密代理三种应用模式；同时，将防火墙与VPN隧道级连使用，极大地加强了VPN内网与外网的访问控制能力，从而，构成一个完整的VPN体系。

1、  一种基于微内核技术的VPN实现方法，是利用加密技术和网络技术来实现，其实施步骤如下：
利用密码技术、计算机网络技术、隧道封装技术、专用的VPN协议，使密钥交换、隧道加密、防火墙、网络配置等多项功能集成在一起，尤其是建立安全的微核技术，使用优化、专用的硬件路由器操作系统，不存在通用操作系统中(windows、unix、linux等)的漏洞，内核功能单一，安全风险小，从而，构成一个完整的VPN体系。

2、  根据权利1要求的方法，其特征在于：
算法采用了分组迭代的线性与非线性组合(SP)网络结构，迭代变换的层数为至少8层，层层保护相互制约，又相互分割。

3、  根据权利1要求的方法，其特征在于：
采用专用的加密系统，含软件加密或硬件加密，占用资源少，与微内核、网卡缓冲区紧密耦合，实现高效率加密传输。

4、  根据权利1要求的方法，其特征在于：
建立防火墙与VPN隧道双重安全体系，防火墙访问控制机制与VPN安全机制级连使用，使安全策略的配置更加灵活，增强了VPN抵御外来入侵的能力。

5、  根据权利1要求的方法，其特征在于：
VPN安全网关使用两种电路级防火墙规则：状态型和非状态型，可以根据数据包的IP地址、端口、子网掩码、协议类型、数据包的流向、会话状态记录表等实现防火墙的各种功能。

6、  根据权利1要求的方法，其特征在于：
使用专用高效的微内核技术，使用36K的微内核结构，软件内核没有通用操作系统的无关进程、内存的动态分配等，网络数据通过微内核结构，转发和调用环节少，所有功能都只提供给VPN应用程序调用，避免了通用操作系统支持通用软硬件调用和驱动带来的重大安全隐患，使得依赖于通用操作系统的黑客无机可乘，有效地提高了VPN的安全性，并有效提高VPN的速度。

7、  根据权利1要求的方法，其特征在于：
采用安全的数字签名与认证方式，认证是专用协议，采用预共享密钥方式，在加密算法的保护下秘密进行，签名长度可达2048比特。

8、  根据权利1要求的方法，其特征在于：
通过隧道管理所有远程VPN网关，对网络中的VPN网关实行集中管理，降低了管理成本，安全有效。

9、  根据权利1要求的方法，其特征在于：
组网灵活，支持网关、网桥、加密代理三种应用模式，使用一机多址(IP地址)、一址多用(网关、网桥、代理)技术，使VPN网关可以适用于目前已知的所有网络拓扑结构。

10、  根据权利1要求的方法，其特征在于：
建立全面的审计与日志功能，在VPN安全网关中，采用标准系统日志(Syslog)日志，进行监控及问题处理；系统按指定的级别记录日志(log)事件或错误信息；VPN网关将系统记录的信息送至控制台屏幕或正在运行系统记录程序的主机，该主机可与VPN网关处在相同的网络上，也可通过隧道运行。

11、  根据权利1要求的方法，其特征在于：
硬件安全保护装置，硬件使用了软件加密、自毁的安全措施，在芯片与外壳连接部位设置多处触发按扭，未经许可恶意开机盖触动芯片将自动销毁密钥及加密程序，保护重要数据不被读出，极大地提高VPN抗系统分析的能力。

一种基于微内核技术的VPN实现方法
技术领域：
本发明涉及信息安全领域，是用密码技术、计算机和网络技术来实现虚拟专用网(VPN)，该技术方法可对虚拟专用网的数据实时进行加解密，保护数据文件的传输安全，适用于政府、企业、军队、银行、证券、保险等单位的各种网络。
背景技术：
目前，国际上VPN产品主要有两种，隧道型VPN和MPLS(Multi ProtocolLabel Switch多协议标签交换协议)型VPN，隧道型VPN一般是由用户自己实施，而MPLS-VPN一般是由网络运营商提供，用户更倾向于采用隧道型VPN，分布在全球的用户通过本地的NSP/ISP(网络服务供应商/英特网服务供应商)接入Internet，取代了传统专用网的长途专线连接，长途拨号连接，以低廉的本地接入费实现了广域网连接；而用户的内部网数据通过封包和加密在Internet上传输，达到私有网络的安全级别，在内部用户看来是一个独立的、使用专用线路连接的网络；国内外生产的隧道型VPN产品种类与品牌很多，大多数都不同程度存在着：功能集成度低，速度慢，价格高，安全性差、抗集团攻击能力不足的弱点，同时，也都存在VPN使用通用操作系统效率低，各种密钥分发管理费用高，系统日常维护难度大等的问题，这些已直接影响隧道型VPN的应用和普及。
发明内容：
本发明是采用密码技术、计算机和网络技术，在INTERNET网络上建立由若干用户组成的私有专网，即虚拟专用网(VPN)，是一种隧道型VPN，采用“微内核”专用操作系统的设计思想，将加密算法、VPN协议、安全功能模块、防火墙机制、管理工具、审计日志功能等主要安全模块集成一体，同时实现硬件驱动的VPN功能模块的自毁功能，来防止VPN系统被“破译者”解剖，提高VPN的安全性能，系统使用软、硬件相结合的方式来实现，具体实现步骤如下：
1、采用微内核技术实现专用高效的操作系统，使用36K的微内核结构，软件内核没有通用操作系统的无关进程、内存的动态分配等，网络数据通过微内核结构，转发和调用环节少，所有功能都只提供给VPN应用程序调用，避免了通用操作系统支持通用软硬件调用和驱动带来的重大安全隐患，使得依赖于通用操作系统的黑客无机可乘，有效地提高了VPN的安全性，并有效提高VPN的速度。
2、VPN加密系统以分组加密算法为核心，算法采用了分组迭代的线性与非线性组合(SP)网络结构，分组长度和密钥长度均为128比特以上，迭代变换的层数为至少8层，每个IP数据包一个密钥，在起点与终点IP地址基础上，建立专用的加密隧道或IPSec标准加密隧道。
3、使用非对称公钥加密技术，运用可达2048位的公钥算法和杂凑函数用于认证和钥匙管理。
4、采用多种密钥体制，其中：
TK称为隧道密钥，长度至少128比特，由网络管理员负责更换，用于身份认证、建立隧道；
NK称为网络密钥，长度是128比特，一网一个，固定不变，用于网络分割；
SK称为会话密钥，长度至少为128比特，通过加密的密钥交换，由双方网关独立生成，生存期由时间策略或流量策略控制；
PK称为包密钥，长度至少128比特，加密内网数据包，每包一个，由大于128比特的随机数发生器生成。
5、VPN的安全网关采用一种IP层(第3层)上专用的隧道协议，内部网数据被封装成IP 17号或99号协议在互联网上传输，协议分为建立隧道阶段和隧道通信阶段。
6、建立遂道阶段，即协商密通信参数、身份认证与密钥交换，通信双方交互发送6个IP包完成此过程，这个过程又分为明通信过程和密通信过程，明通信过程是协商密通信过程所用的密码学参数；密通信过程，即用预共享隧道密钥(TK)加密并进行身份认证；在密钥交换上，双方得出共同的加密包密钥的密钥(SK)。
7、遂道通信阶段，是在这一阶段私用网的数据包被加密传送，对每个包生成一个包密钥(PK)，用包密钥(PK)加密私有网的数据包；而包密钥(PK)本身用SK加密，然后发送到公用网上。
8、建立防火墙与VPN隧道双重安全机制，防火墙访问控制机制与VPN安全机制级连使用，使安全策略的配置更加灵活，增强了VPN抵御外来入侵的能力；VPN安全网关使用两种电路级防火墙规则：状态型和非状态型，状态型包括：单向入站、单向出站、入站代理、出站代理，非状态型的只有包过滤；可以根据数据包的IP地址、端口、子网掩码、协议类型、数据包的流向、会话状态记录表等实现防火墙的各种功能。
9、采用电路级防火墙防护网络免受外来攻击，运用封包过滤技术，采用完全可重组出入代理保护安全制度，安装网络地址翻译(NAT)达到隐藏内部网络的效果；在协议与应用基础上筛选以获更多控制及隧道定义；对未路由地址的支持使之更易分配IP地址并提高了安全保护。
10、采用非状态型防火墙规则，即包过滤技术，使得过滤器按照设定的条件对通过VPN网关的数据流进行过滤，初始会话连接可以由红色子网或黑色子网发起，对通过过滤器的数据包不作任何方式的修改，在会话状态记录表中不保留任何信息，故称为非状态型。
11、VPN网关单向入站方式，单向入站允许来自黑色网络的设备向红色网络的设备发起会话连接，单向入站适用于黑色网络存取可直接路由的红色网络中的服务器，在会话记录表中记忆连接状态，完成方向规则和维护连接。
12、VPN网关单向出站方式，与单向入站相反，单向出站允许来自红色网络的设备向黑色网络的设备发起会话连接，单向出站适用于红色网络存取可直接路由的黑色网络中的服务器，在会话记录表中记忆连接状态，完成方向规则和维护连接。
13、VPN网关入站代理方式，入站代理允许来自黑色网络的设备向红色网络的设备发起会话连接，入站代理适用于黑色网络存取不可直接路由或具有私有IP地址的红色网络中的服务器；黑色网络的数据包首先到达VPN网关的黑色接口，然后，按照NAT规则修改报头信息，路由到红色子网中地服务器；在会话记录表中记忆连接状态，完成方向规则和维护连接，在NAT表中记录对应的IP地址及端口号。
14、VPN出站代理方式，出站代理允许来自红色网络的设备向黑色网络的设备发起会话连接，出站代理适用于不可直接路由或具有私有IP地址的红色网络中的用户访问黑色网络中的服务器；红色网络的数据包首先到达VPN网关的红色接口，然后，按照NAT规则修改报头信息，路由到黑色子网中的服务器；在会话记录表中记忆连接状态，完成方向规则和维护连接，在NAT表中记录对应的IP地址及端口号。
15、采用可堆叠的结构，确保网络的整合与发展，对工作性能无丝毫影响；安全网关堆叠可非常平稳地同时支持几千条通道，可达1Gbps的吞吐量。
16、用直观的管理功能方式，只花几分钟即可安装到绝大多数的网络上并支持无需每日维护的操作；可让管理员在Windons 98/NT计算机上运用直观的管理图形用户界面(GUI)程序，管理多个VPN安全网关；并允许管理员使用信息管理系统库(SNMP)或中央系统记录监控VPN安全网关的所有活动及警报。
17、VPN系统采用灵活的组网方式，支持网关、网桥、加密代理三种应用模式，使用一机多址(IP地址)、一址多用(网关、网桥、代理)技术，使VPN网关可以适用于目前已知的所有网络拓扑结构。
18、硬件拟采用Intel IA架构的嵌入式工控机板卡，工艺成熟，稳定，可靠，适应苛刻的工作环境。
19、在VPN安全网关中，采用标准系统日志(Syslog)，进行监控及问题处理，系统按指定的级别记录日志(log)事件或错误信息，VPN网关将系统记录的信息送至控制台屏幕或正在运行系统记录程序的主机，该主机可与VPN网关处在相同的网络上，也可通过隧道运行。
20、通过隧道管理所有远程VPN网关，对网络中的VPN网关实行集中管理，降低了管理成本，安全有效。
21、审计与日志的主要实现原理是，VPN网关运行一个客户端线程，把事件、或错误信息使用UDP的514号端口发送到指定的本地红色网络的主机或通过隧道传输到远程主机上，该主机运行标准的系统日志(Syslog)守护进程，守护进程把信息记录成文件；同时，VPN网关本身的控制台也可显示系统日志(Syslog)信息。
22、硬件安全保护装置，硬件使用了软件加密、自毁的安全措施，在芯片与外壳连接部位设置多处触发按扭，未经许可恶意开机盖触动芯片将自动销毁密钥及加密程序，保护重要数据不被读出，极大地提高VPN抗系统分析的能力。
图1：VPN实现过程流程图
图2：VPN防火墙结构图
图3：VPN系统加密协议的示意图
以下结合附图说明基于微内核技术的VPN系统实现步骤：
图1：说明VPN实现过程流程：
第一步，预设置参数和网络密钥：预设置通信协议、网络密钥、密钥长度参数等；
第二步，建立加密隧道：协商与交换加密隧道参数，如双方的用户名、协议类型、加密算法、密钥长度、公钥算法的长度、隧道留存期、隧道超时重联、时间戳等；
第三步，身份验证与密钥交换阶段：利用协商的加密算法、预共享密钥、公钥、散列函数、数字签名等实现用户身份认证；在秘密状态下进行密钥交换；
第四步，密钥认证阶段：通过解密共同的加密数据验证双方密钥是否一致；
第五步，加密隧道通信：这一过程涉及数据封装和数据加密两个部分，首先对IP层以上的数据进行封装，再针对每一个IP包生成一个包密钥用于加密IP包数据，并利用密钥交换过程中协商得到的主密钥对包密钥进行加密。
图2、说明了防火墙的实现方法：
定义了红(信任/私有)、黑(不信任/公共)两种网络；相应地，VPN网关的物理接口(两个以太网口、串行口)定义了相应的颜色(红色和黑色)；如果两个接口被赋予了同样的颜色，意味着网关两边的网络性质一样，VPN网关在两个接口间就不能履行任何防火墙功能；否则，VPN网关的防火墙控制两边网络会话链路的建立，一个接口的数据包必须通过防火墙才能到达另一个接口；红色接口是可信任接口，连接红色接口的网络受防火墙保护；可信任的VPN隧道终端可以终结在红色接口而不用通过防火墙规则；黑色是不可信任接口，连接黑色接口的网络不被防火墙保护，为了通过防火墙到达红色接口，所有传输信息必须匹配防火墙的规则；不信任的VPN隧道终端可以终结在黑色接口应用防火墙规则。
图3：说明VPN系统加密协议的运行过程：
第一步，在网络密钥和通道密钥的保护下实施公钥签名认证、密钥交换产生会话密钥；
第二步，随机生成包密钥，图中的PK_A指网关A的包密钥；
第三步，加密网络数据，加密包密钥；
第四步，发送数据；
第五步，对方首先解密包密钥，然后解密数据，并进行真实性与完整性检验。