基于國密標準的IPSec VPN服務器的內(nèi)核系統(tǒng)設計與實現(xiàn).pdf

1、互聯(lián)網(wǎng)技術發(fā)展日新月異，它給人們生活帶來方便的同時，伴隨而來的安全問題也不容忽視?；诿艽a學技術在公共網(wǎng)絡建立的虛擬私有網(wǎng)絡（VPN）已經(jīng)成為目前保障網(wǎng)絡安全的重要手段之一，而IPSec協(xié)議作為Internet工程任務組（IETF）提出的一項Internet協(xié)議安全工程，主要負責網(wǎng)絡層協(xié)議的安全，因其具有部署方便和強大的安全性，逐漸成為組建高性能VPN的首選方案。因此，IPSec VPN技術得到迅速推廣，與其相關的產(chǎn)品已經(jīng)在網(wǎng)絡安全方面

2、發(fā)揮著重要的作用。但是，由于IPSec協(xié)議密碼算法的公開性、主要技術實現(xiàn)掌握在國外組織機構等問題，導致基于國際標準的IPSec VPN技術不適用于我國國情。
　　本文的目的就是設計和實現(xiàn)一款基于國家密碼管理局標準的IPSec VPN服務器的內(nèi)核系統(tǒng)，主要是基于國家密碼管理局制定的《IPSec VPN技術規(guī)范》的相關標準。在深入研究IPSec內(nèi)核的實現(xiàn)架構基礎上，對IPSec的內(nèi)核層進行改造和優(yōu)化，最終實現(xiàn)一個穩(wěn)定的、部署方便的、符

3、合國家密碼管理局標準的IPSec VPN服務器內(nèi)核架構系統(tǒng)。本文的主要研究工作有：
　　1.拓展IPSec協(xié)議的密碼算法，向內(nèi)核加密框架注冊符合國家密碼管理局標準的對稱加密算法SM4和哈希算法SM3，以異步塊的調(diào)用方式供IPSec VPN服務器使用，可為通信實體間提供保密性和完整性的保障。
　　2.優(yōu)化IPSec內(nèi)核調(diào)用外部密碼算法的方式，分別設計了基于請求隊列和生產(chǎn)者-消費者模式的調(diào)用框架，并經(jīng)過實際測試，數(shù)據(jù)平均傳輸速率

4、在TCP單向的情況下可達到400Mbps，與普通調(diào)用方式比較，效率提升30％。
　　3.修改IPSec協(xié)商數(shù)據(jù)包格式，使IPSec數(shù)據(jù)包能穿越NAT網(wǎng)絡，最終使系統(tǒng)能在NAT網(wǎng)絡上部署應用。
　　4.對IPSec內(nèi)核的IPv6網(wǎng)絡模塊進行優(yōu)化和裁剪，使本系統(tǒng)支持IPv6網(wǎng)絡。
　　綜上所述，本文實現(xiàn)了《IPSec VPN技術規(guī)范》相關的性能需求，并在原有內(nèi)核調(diào)用加密卡框架的基礎上增加一個新框架，使系統(tǒng)性能有較大的提升。