高性能VPN网关的研究与实现

来源 :华中科技大学 | 被引量 : 0次 | 上传用户:jianrui02
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
随着网络带宽的不断提高,研究和实现1000兆高速、高可用的VPN网关成为当前网络安全的前沿研究热点。本文通过在Linux2.4.18-3核心TCP/IP协议栈的多个关键点上挂接HOOK函数,完成IPSec协议的封装、加密和认证的功能;实现基于隧道模式的VPN网关。并加载硬件加密卡以提高吞吐量等技术来实现上述目的。在百兆环境下利用核心线程驱动加密卡。核心线程特有的调度时机决定了报文处理时的不可剥夺,减少了进程切换。CPU的大部分时间用于网络报文的处理,确保了系统吞吐量。没有时间片概念的SCHED_FIFO调度策略,在系统中存在众多进程时可以被优先调度。在千兆环境下利用中断底半部BH驱动加密卡。网卡软中断NET_RX_SOFTIRQ与加密卡中断BH在Linux系统中的相同优先处理级别,避免了采用核心线程方案时核心线程调度执行时间过少导致的低吞吐量。NET_RX_SOFTIRQ与BH对CPU的竞争使得加密之前和之后的两部分处理都不会成为系统的瓶颈。在网络流量不是很大时,让加密卡优先处理IKE数据,保证IKE及时的协商,并将协商的密钥交给IPSec。在IPSEC模块初始化时,按照设置的最大队列长度预先分配缓冲队列,并在运行期绕过系统的内存管理。增加系统重组队列的内存容量,减少过多报文重组造成的报文丢弃。利用ICMP向源主机发送由于要分片造成的目的不可达消息,减少报文分片。本机外发报文则根据加密规则相应减小MTU。采用多个加密卡并行处理,高速缓存的增加提高了加密卡的并行度。报文按顺序入队列,并且先来先处理,保证报文传送的有序性。通过安全性分析和系统吞吐量测试,证明了这两种方案都是可行的。在两种工作环境下VPN网关都可以达到较高的吞吐量。
其他文献
形式化验证已经成为对系统设计和协议设计进行确认的重要手段,其方法分为两类,一类是以逻辑推理为基础,另一类则以穷尽搜索为基础,穷尽搜索方法统称为模型检验.逻辑推理的不
本文介绍了“公安消防部队管理信息系统(网络版)”的整体设计,详细设计和其中权限管理模块、网络报表模块、网络统计模块的实现。 本系统是根据软件工程的开发标准,分析公安
随着网络技术的发展,越来越多数据正以数据流的形式存在于各种各样的网络系统中,同时以数据流处理为中心的应用也越来越多。因此,针对数据流的查询处理技术在近年来得到了学术界
该文基于理论研究和实际应用间的密切关联性,致力于时态关系代数的基础研究工作,在广泛查阅、深入学习大量已有工作的基础上,建立了一个规范化的基于BCDM的双时态关系代数系
无线网络通常可以分为有中心网络和无中心网络,前者需要固定基础设施的支持,移动主机之间的通信通常借助基站来完成;后者主要是指无线移动ad hoc网络,它不需要固定的基础设施,能够
人工关节置换是现代医疗常见的重要外科手术。通过医学图像对人工关节进行三维重建,可以在手术前帮助医生对关节组织进行直观地分析和定量研究,从而制定精确的医疗计划,选择最匹
WebGIS是GIS技术与互联网技术结合的产物,是目前GIS各应用领域中社会认可程度最高、技术实现也较为完善的部分之一。WebGIS技术应用于电力行业,结合已有的MIS系统,为电力企业信
传统的数据库系统已经不能适应当今的现代应用。近年来,主动数据库的研究发展非常迅速,而且被应用到许多领域,主动数据库已经成为了数掘库研究领域一个前沿的方向。主动数据库应
简单对象访问协议SOAP(Simple Object Access Protocol )在基于网络的分布式应用系统中日益获得青睐。但是必须指出,在SOAP协议中并没有定义标准的访问控制安全规范,不同的SO
随着计算机科学和Internet技术的飞速发展,以及企业自身的需求,如:数据的分布性、系统的可扩展性和平台的异构性等诸多问题,越来越多的企业开始采用Internet协议标准和分布式对象