ＩＰＳｅｃＶＰＮ網(wǎng)關(guān)設(shè)計(jì)和實(shí)現(xiàn)

VPN網(wǎng)關(guān)的設(shè)計(jì)目標(biāo)是為了工作在局域網(wǎng)的網(wǎng)關(guān)位置，具有加密和認(rèn)證功能，并由此在互聯(lián)網(wǎng)上構(gòu)建相互信任方之間的安全加密信息傳輸通道，以期達(dá)到專用網(wǎng)絡(luò)的效果，保證通信的安全性、機(jī)密行、可認(rèn)證性和完整性。 （二）設(shè)計(jì)功能 根據(jù)VPN安全體系結(jié)構(gòu)和IPSec規(guī)范，VPN網(wǎng)關(guān)將提供以下安全服務(wù):鑒別、訪問控制、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、數(shù)據(jù)源鑒別、禁止否認(rèn)。為了實(shí)現(xiàn)上述各種安全服務(wù)，按IS07492建議采用以下安全機(jī)制:A、加密機(jī)制；B、訪問控制機(jī)制；C.數(shù)據(jù)完整性機(jī)制；D、交換鑒別機(jī)制；E、數(shù)字簽名機(jī)制路由控制機(jī)制。 （三）體系結(jié)構(gòu) VPN網(wǎng)關(guān)系統(tǒng)的體系結(jié)構(gòu)可抽象為：自主開發(fā)的嵌入式安全操作系統(tǒng)內(nèi)核；網(wǎng)絡(luò)協(xié)議和IPSec協(xié)議層；管理系統(tǒng)層。 （四）VPN網(wǎng)關(guān)的總體設(shè)計(jì)實(shí)現(xiàn)框架 設(shè)計(jì)方案中，在用戶層除提供手工注入SA方式外，還允許IKE動(dòng)態(tài)協(xié)商SA，這由用戶層操作到內(nèi)核的接口Pfkey，Sockets（手工注入SA和利用IKE動(dòng)態(tài)協(xié)商SA的接口及SAD與SAD的接口）實(shí)現(xiàn)；通過一個(gè)IKE守護(hù)進(jìn)程監(jiān)聽動(dòng)態(tài)協(xié)商請(qǐng)求，來進(jìn)行相應(yīng)的協(xié)商處理；由用戶層實(shí)現(xiàn)的策略系統(tǒng)來完成存儲(chǔ)、管理及驗(yàn)證策略；最后，在內(nèi)核完成與用戶的接口、SAD及其管理、IPSec協(xié)議進(jìn)入/外出處理及加密算法的功能，以加快IPSec處理的速度。