论文部分内容阅读
虚拟专用网(Virtual Private Network,以下简称VPhi)是近几年兴起的一种广域网技术,它综合运用了各种网络技术来实现在公共的因特网上提供专用的通信。IPSec是由IETF、提出的一套IP安全标准,它在IP层对数据包进行高强度的加密和认证,从而可以保证VPN通信的完整性和保密性。IKE(Intemet密钥交换)协议是IPSec协议族的核心,负责动态协商和管理安全关联(SecurityAssociation,SA)。
当前VPN网络安全产品发展中面临的一个重要问题是:如何在保持足够安全性的同时提供尽可能高的处理速度?基于IPSec协议族的VPN安全网关是目前广泛应用的VPN解决方案,但目前国内主流的IPSec V.PN网关产品基于IntelX86架构的体系结构由于受CPU处理能力和。PCI总线速度的制约,处理性能和功能不能达到网络安全和网络性能间的统一。针对日益增长的VPN处理性能需求,本文首先对IPSec协议体系进行了阐述和研究,分析了制约VPN处理速度的几个因素,并在此基础上对目前主流的VPN系统的软硬件结构进行了分析比较,提出了基于嵌入式安全处理器硬件平台的千兆线速VPN网关设计方案。使用ASIC芯片完成IPSec数据通道的加密/解密、协议封装、数据转换等处理,实现对数据包的线速加密/解密,并对其中的关键技术进行了详细描述。
本文以国家信息产业部电子基金项目“千兆线速防火墙”为背景,在不影响千兆线速防火墙处理性能的基础上,实现千兆线速IPSec VPN功能模块。实现的嵌入式IPSec VPN原型在性能测试中达到了预期的效果,极大地提高了VPN系统的处理性能。最后在对VPN技术细节分析的基础上分析了未来IPSec VPN的发展方向和下一步预期的研究工作。