防火墻中IPSEC VPN模塊的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、虛擬專用網(wǎng)（Virtual Private Network）是一種以公用網(wǎng)絡(luò)，尤其是Internet為基礎(chǔ)，綜合運(yùn)用隧道封裝、認(rèn)證、加密、訪問控制等多種網(wǎng)絡(luò)安全技術(shù)，為企業(yè)總部、分支機(jī)構(gòu)、合作伙伴及遠(yuǎn)程和移動(dòng)辦公人員提供安全的網(wǎng)絡(luò)互通和資源共享的技術(shù)。其中，IPSec是IETF制定的一個(gè)IP層安全框架協(xié)議，屬于網(wǎng)絡(luò)層VPN技術(shù)，它通過在IP層上實(shí)現(xiàn)加密和認(rèn)證等多種安全技術(shù)，極大地提高了TCP/IP協(xié)議的安全性。使用IPSec技術(shù)可以在通

2、信的實(shí)體之間建立一個(gè)安全的數(shù)據(jù)傳輸通道，保證通信數(shù)據(jù)的私有性、完整性、真實(shí)性和防重放攻擊，提高了敏感信息傳輸?shù)陌踩浴?br>　　 論文的主要工作包括，介紹虛擬專用網(wǎng)的技術(shù)背景及國(guó)內(nèi)外發(fā)展現(xiàn)狀；研究防火墻的發(fā)展演進(jìn)并引出模塊所依托硬件平臺(tái)HSU分布式架構(gòu)防火墻的介紹及基本流程分析；分析整理IPSEC理論體系，主要包括安全體系結(jié)構(gòu)，兩種安全協(xié)議和密鑰自協(xié)商協(xié)議；基于網(wǎng)絡(luò)安全設(shè)備對(duì)IPSEC VPN模塊進(jìn)行設(shè)計(jì)與實(shí)現(xiàn)。
　　 本文

3、的核心是完成了一個(gè)IPSEC VPN模塊的設(shè)計(jì)和實(shí)現(xiàn)，該模塊是在分布式架構(gòu)防火墻的平臺(tái)下實(shí)現(xiàn)的，是防火墻安全性能的一個(gè)核心部分。模塊軟件基于分布式結(jié)構(gòu)，模塊主要業(yè)務(wù)在業(yè)務(wù)板進(jìn)行處理，主控板進(jìn)行配置管理與信息下發(fā)，接口板進(jìn)行數(shù)據(jù)包分發(fā)。業(yè)務(wù)板32個(gè)硬線程根據(jù)模塊軟件功能分配為四種，主控板進(jìn)行相關(guān)命令配置，IPSEC命令通過業(yè)務(wù)板的配置線程轉(zhuǎn)到管理線程中，業(yè)務(wù)線程負(fù)責(zé)包轉(zhuǎn)發(fā)，配置線程負(fù)責(zé)配置管理，老化線程負(fù)責(zé)定時(shí)器運(yùn)行和密鑰的更新。

4、　　 論文中將會(huì)對(duì)模塊需求進(jìn)行具體分析，給出模塊軟件分布式總體結(jié)構(gòu)，業(yè)務(wù)處理流程，在系統(tǒng)中對(duì)其他模塊的接口，及配置管理命令行的設(shè)計(jì)。并根據(jù)IPSEC安全體系框架對(duì)模塊核心內(nèi)容進(jìn)行實(shí)現(xiàn)。
　　 實(shí)際應(yīng)用中，使用IPSec軟件進(jìn)行加密/解密運(yùn)算會(huì)占用大量的CPU資源，影響整機(jī)性能。為解決這一問題，業(yè)務(wù)板本身集成了SAE（Security Accelerate Engine）加密引擎，以硬件方式完成數(shù)據(jù)的加/解密運(yùn)算，消除了軟件處理