防火墻中IPSEC VPN模塊的設計與實現(xiàn).pdf

1、虛擬專用網（Virtual Private Network）是一種以公用網絡，尤其是Internet為基礎，綜合運用隧道封裝、認證、加密、訪問控制等多種網絡安全技術，為企業(yè)總部、分支機構、合作伙伴及遠程和移動辦公人員提供安全的網絡互通和資源共享的技術。其中，IPSec是IETF制定的一個IP層安全框架協(xié)議，屬于網絡層VPN技術，它通過在IP層上實現(xiàn)加密和認證等多種安全技術，極大地提高了TCP/IP協(xié)議的安全性。使用IPSec技術可以在通

2、信的實體之間建立一個安全的數(shù)據傳輸通道，保證通信數(shù)據的私有性、完整性、真實性和防重放攻擊，提高了敏感信息傳輸?shù)陌踩浴?br>　　 論文的主要工作包括，介紹虛擬專用網的技術背景及國內外發(fā)展現(xiàn)狀；研究防火墻的發(fā)展演進并引出模塊所依托硬件平臺HSU分布式架構防火墻的介紹及基本流程分析；分析整理IPSEC理論體系，主要包括安全體系結構，兩種安全協(xié)議和密鑰自協(xié)商協(xié)議；基于網絡安全設備對IPSEC VPN模塊進行設計與實現(xiàn)。
　　 本文

3、的核心是完成了一個IPSEC VPN模塊的設計和實現(xiàn)，該模塊是在分布式架構防火墻的平臺下實現(xiàn)的，是防火墻安全性能的一個核心部分。模塊軟件基于分布式結構，模塊主要業(yè)務在業(yè)務板進行處理，主控板進行配置管理與信息下發(fā)，接口板進行數(shù)據包分發(fā)。業(yè)務板32個硬線程根據模塊軟件功能分配為四種，主控板進行相關命令配置，IPSEC命令通過業(yè)務板的配置線程轉到管理線程中，業(yè)務線程負責包轉發(fā)，配置線程負責配置管理，老化線程負責定時器運行和密鑰的更新。

4、　　 論文中將會對模塊需求進行具體分析，給出模塊軟件分布式總體結構，業(yè)務處理流程，在系統(tǒng)中對其他模塊的接口，及配置管理命令行的設計。并根據IPSEC安全體系框架對模塊核心內容進行實現(xiàn)。
　　 實際應用中，使用IPSec軟件進行加密/解密運算會占用大量的CPU資源，影響整機性能。為解決這一問題，業(yè)務板本身集成了SAE（Security Accelerate Engine）加密引擎，以硬件方式完成數(shù)據的加/解密運算，消除了軟件處理