随着Internet的快速发展,网络安全问题日益突出,VPN为解决这一实际问题提出了一整套解决方案。基于课题的论文目标是实现功能完备的分布式VPN系统原型。 管理模块是其中重要的功能模块。而这其中,安全策略与CA子模块又是最为核心的模块。安全策略库(SPD)中的每个条目都定义了了要保护的是什么通信、怎样保护它以及和谁共享这种保护。对于进入或离开I P堆栈的每个包,都必须检索SPD数据库,调查可能的安全应用。对一个SPD条目来说,它可能定义了下述几种行为:丢弃、绕过以及应用。CA的主要功能是身份认证。首先,必须建立一个大家都信任的根CA,然后由它来负责签发数字证书。当两个用户需要进行VPN通信并且需要验证身份时,就可以向对方出示自己的证书,如果发现双方证书均由同一根CA签发,则认为是可以相互信赖的。本文详细分析了安全策略SPD和PKI CA的技术原理,深入分析了OPENSSL库,并论述了SPD和CA在作者承担的分布式VPN系统中的设计与实现。从冗余性以及查找效率等方面考虑设计出了一个相对完整的SPD系统,可以方便地进行查找、删除、添加、修改等操作。同时,在全面了解CA的框架及深入研究OPENSSL的基础上,灵活运用OPENSSL和实现的函数以及加密算法等,结合本系统的实际情况,设计并实现了一个相对简单的CA系统。该系统可以签发、吊销X509 V3格式的证书,同时可以为用户生成RSA密钥。联调结果显示,作者参与开发的分布式VPN系统已经具备基本的功能,达到了原型所要求的设计目标。