基于IP的点对点分布式VPN系统

摘要

结合分布式系统的特性,对传统虚拟专用网的概念进行了扩展,提出并建立了分布式虚拟专用网(Distributed VPN)的概念和模型,该模型能够解决传统虚拟专用网系统内部不能防止搭线窃听的问题.对现有VPN系统进行的研究分析结果表明,其在安全性和效率的某些方面不很理想.本文在DVPN的模型基础之上,对分布式虚拟专用网相对于传统VPN的性能改进进行了定量分析.分析结果显示,它可以大幅度提高系统的并行性;改善VPN处理速度和强度,使单个节点存储容量要求从原有的O(n<'2>)下降到O(n);单个节点的存储容量增长线性化;任意DVPN节点可以方便快速地加入和脱离整个系统,并且所有工作对用户透明;拨号用户可以得到完全一致的安全和性能.在PC和工作站平台上对理论设想进行了实现.试验系统的测试结果表明,DVPN系统不仅能够很好地解决LAN共享信道的安全问题,而且克服了传统VPN系统的诸如在网关处理速度缓慢、存储容量巨大等固有缺陷.通过仔细的系统设计,DVPN系统的每个节点处理开销被控制在一个可控范围内,根据理论分析得出的系统设计目标得到了很好的保证.对传统VPN技术深入的研究和比较,综合其优点并克服其缺点提出的DVPN模型明显优于原有系统.系统实现表明DVPN系统显著改善了原有VPN系统的安全性和效率,增加了原有系统的灵活性.

目录

文摘

英文文摘

独创性说明及关于论文使用授权的说明

第一章引言

1.1.研究工作的来源、目的、意义与目标

1.2.VPN的思想

1.3.VPN技术

1.3.1.隧道技术

1.3.2.安全技术

1.4.目前各种VPN产品实现的系统构架

1.5.VPN的优缺点及发展趋势

1.5.1.VPN的优越性

1.5.2.VPN的发展趋势和国内的现状

1.5.3.传统VPN的缺陷

1.6.小结

第二章DVPN模型

2.1.传统LAN-LAN型VPN模型

2.2.DVPN模型

2.2.1.定义

2.2.2.模型

2.3.DVPN的优点和定量分析

2.3.1.DVPN解决了网络内部安全问题

2.3.2.缓解网关处负载

2.3.3.灵活的配置方式

2.4.小结

第三章DVPN系统的实现

3.1.目前的VPN产品简介

3.1.1.国外产品

3.1.2.国内产品

3.2.DVPN系统构架的设计

3.2.1.面向的用户

3.2.2.系统支持环境

3.2.3.产品技术指标

3.2.4.系统的总体构架

3.3.单个安全节点的设计

3.3.1.I PSec实现的问题

3.3.2.系统的单个节点模块组成

3.4.硬件卡的设计

3.4.1.主处理器选择

3.4.2.其他芯片的选择

3.4.3.硬件各模块详细设计

3.5.硬件卡的驱动设计与实现

3.5.1.WDM简介

3.5.2.I PSec卡的驱动实现

3.6.NDI S驱动设计与实现

3.6.1.NDIS简介

3.6.2.Win2K对NDIS的实现

3.6.3.DVPN系统网络数据包截获的实现

3.7.IPSec设计与实现

3.7.1.IPSec简介

3.7.2.DVPN系统的I PSec实现

3.8.密钥管理设计与实现

3.8.1.初始密钥的产生

3.8.2.初始密钥的分发

3.8.3.初始密钥的使用

3.8.4.工作密钥的产生

3.8.5.密钥的存储

3.8.6.使用工作密钥处理加密数据流

3.8.7.工作密钥的更新

3.8.8.认证密钥的更新

3.8.9.密钥的销毁

3.9.Agent和IKE模块

3.10.系统需要完善和改进的地方以及未来的工作

3.10.1.中心节点消除

3.10.2.硬件处理卡配备OS

3.10.3.未来的工作

3.11.小结

第四章系统联调与测试

4.1.测试的环境和工具

4.2.测试内容和结果

4.3.结论

鸣谢

参考文献

附录1 DVPN性能推导

附录2 硬件卡原理图

附录3 IPSec处理流程