VPN系统概要设计说明书.docx

1、VPN系统概要设计说明书VPN系统概要设计说明书引言编写目的本文档是以需求规格说明书为基础，对客户端系统的总体设计思路进行完整、全面、正确地讲述，以保障系统设计达到系统需求的要求。本文档旨在为项目开发人员、配置管理人员、客户代表、了解系统的功能而编写，同时通过本文档对客户端系统后续的工作有针对性的进行系统编写详细设计、系统编码开发、测试、实施等各方面的工作。读者对象本文档的预期读者为用户代表、软件设计人员、开发人员、测试人员等。术语与缩略语名称解 释VPNVPN是虚拟专用网的简称，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet Servic

2、e Provider因特网服务提供商）和其它NSP（Network Service Provider网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的固定物理链路，而是利用某种公众网的物理链路资源动态组成的。PPTP协议是由PPTP论坛开发的点到点的安全隧道协议，PPTP 提供PPTP 客户机和PPTP服务器之间的保密通信。IPSec协议IPSec也是IETF 支持的标准之一，它和PPTP、L2TP不同之处在于它是第三层即IP层的加密。IPSec不是某种特殊的加密算法或认证算法，也没有在它的数据结构中指定某种特殊的加密

3、算法或认证算法，它只是一个开放的结构，定义在IP数据包格式中，不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。SOCKS协议SOCKS 处于OSI 模型的会话层，在SOCKS 协议中，客户程序通常是先连接到防火墙1080端口，然后由防火墙建立到目的主机的单独会话，这种情况下客户程序对目的主机是不可见的。SOCKS 的问题在于必须对客户端应用程序做修改，加入对SOCKS协议的支持。SSL协议安全套接字层（Secure Socket Layer，SSL）属于高层安全机制，广泛应用于Web 浏览程序和Web 服务器程序。在SSL中，身份认证是基于证书的。服务器方向客户方的认

4、证是必须的，而SSL 版本3 中客户方向服务方的认证只是可选项，现在逐渐得到广泛的应用。参考资料VPN系统_需求规格说明书系统概述随着互联网数据技术的进步和商务模式的发展，在互联网技术的帮助下提升业务效率已经是必然的选择：利用信息化，加速业务流程；利用互联网，实现随时随地的业务响应。互联网技术已经彻底改变了传统的业务办理模式，借助信息化，相关业务信息实现快速的处理和共享，人员无论在何时何地，只要能连上互联网，就能实现业务的及时处理。与此同时，业务信息网络化另外一方面是带来了安全的威胁：政府以及企业本身的相关数据、政府以及企业的客户数据信息等一旦被泄露，则会带来难以估计的损失，而一旦通讯或存储的

5、信息被篡改，则更会带来难以估计的后果。由此，业务信息化，首先需要解决的是安全问题。虚拟专用网（VPN）利用的是包括认证、加密、安全检测、权限分配、访问记录等一系列手段来构建安全的业务网络。通过HTP技术、动态压缩技术、多线路智能选路技术、不断加入的广域网优化技术将进一步解决恶劣环境下访问速度慢的问题，全面提高远程接入访问的办公效率。随着组织规模的扩大，业务系统也在不断增多，也有越来越多外部人员需要访问内部的应用系统，但是通过广域网访问存在的安全隐患让组织非常害怕这些关键业务数据的泄密，因此需要建立一种安全可靠的远程接入访问机制，针对众多的应用系统提供细致的权限划分、高效的数据加密机制、丰富多样

6、的身份认证手段、全面的单点接入安全检查、完整的日志审计，全面防止内部核心应用系统的数据泄密，保护组织信息安全。设计约束1. 界面显示约束在管理界面显示数据时，应默认根据数据生成的时间倒序排序。2. 数据精度约束1) 数据存放时的精度要求数据存放在数据库中的精度与数据入库时数据源的精度相同。这样能够保证原始数据不失真，以便最大限度地满足用户对于数据精度的需求。2) 数据运算时的精度要求数据运算过程中，除非运算模型对数据精度有特定要求，通常保留数据库中数据存放的原始精度。3) 数据展现时的精度要求系统展现数据时，根据业务需要和数据的单位不同而保留不同的小数位数。3. 关键词语约束在业务中，一致的关

7、键词使用风格能显著提高业务的可用性，以下是一些关键词的应用场合：增加（功能）：用于增加一条新数据修改（功能）：用于修改一条数据的值删除（功能）：用于删除一条数据撤销（功能）：用于撤销上一操作提交（按钮）：当用户完成输入后，点击提交按钮完成数据的提交返回（按钮）：当用户由原界面跳转到另一新界面时，点击新界面的返回按钮，跳转回原界。设计策略扩展策略 提供规范的数据格式，为以后的功能扩展提供丰富的数据链资源。 提供丰富的接口，接口具有很好的扩展性，高度抽象性。降低功能块的耦合率，提高功能模块的复用率。 模块可配置性，通过外界配置模块，可以改变模块的功能配置。复用策略 提供功能模块的内聚性，模块之间的

8、耦合性不高，功能尽量单一，提供复用率，便于修改维护。折中策略 对于系统模块的构建，优先保证功能的实现，可使用单一的模式进行维护开发，在实现功能的基础上进行模块的优化，效率的优化等。 在维持基础的功能后，进行模块的封装以及功能预留接口等。系统总体结构总体结构设计图1所示，是VPN总体系统结构图：图 1系统总体结构图系统组件结构图图2所示，是VPN系统组件结构图：图 2 VPN系统组件结构图总体功能设计F-VPN系统主要分为三大部分，分别为VPN主控、VPN服务器以及VPN客户端，下来将会对这三部分的功能做分别描述。VPN主控分为申请处理、信息域管理、实例发现、服务管理以及实例接入等五大功能模块，

9、根据实际的业务处理通过VPN主控添加相应的一级信息域、租户、VPN实例发现以及相对应的用户并且做好相关的绑定关系后，就可以通过VPN主控实现： 对所有VPN服务器的用户管理。 对所有VPN服务器的分布式管理，通过VPN主控可以直观的看到所有VPN服务器的具体情况。 可以集中式的通过VPN主控修改各个VPN服务器的配置文件。 可以集中式的通过VPN服务器控制各个VPN服务器的相关服务。 可以直观的通过界面化看到信息域、服务、租户以及用户相互之间的关联关系。VPN服务器主要封装了相关VPN功能的具体实现，包括SSL加密隧道建立、动态连接客户端、数据加密、动态密钥交换、HMAC数字签名、公钥加密、链

10、路带宽分配、隧道传输等， 通过上述的具体细化功能的支持，可以满足VPN服务的基本需求。VPN客户端目前主要是用户名密码方式的登录，用户通过VPN客户端正确连接VPN服务器建立SSL加密隧道后，可以根据自己权限访问相应的应用。VPN主控功能模块系统结构图3所示，是VPN主控功能结构图：图 3 VPN主控功能结构图业务处理流程图4所示，是VPN主控流程图：图 4 VPN主控流程图功能设计VPN服务化分为创建VPN服务和撤销VPN服务，创建VPN服务意思是如果有用户需要使用VNP服务的时候，需要向VPN服务器提交使用申请，如果VPN服务器审核通过后，该用户可以通过指定的连接下载VPN客户端，下载VP

11、N客户端成功后，该用户就可正常使用VPN 服务。用户提交VPN使用申请，如果VPN服务器审核通过，则会注明该用户的VPN服务使用时间，以后每次该用户登录VPN服务的时候，VPN服务器都会校验该用户的VPN使用时间是否到期，如果该用户的VPN使用时间到期的话，则VPN服务器会删除该用户的所有信息，即终止了该用户的VPN使用权限。界面设计申请处理图5所示，是申请处理界面视图：图 5 申请处理界面视图如图所示，输入租户的基本信息点击添加，就可以正常添加并且添加成功后在界面左侧添加的租户信息会以列表的形式显示，租户的意思为VPN服务器的管理员。信息域管理图6所示，是信息域管理界面视图：图 6 信息域管

12、理界面视图如图所示，输入信息域的的正确信息点击添加，就可以正确添加信息域。实例发现图7所示，是实例发现界面视图：图 7 实例发现界面视图如图所示，实例发现就是可以发现部署的VPN服务器并且VPN服务器的的基本信息在界面的左侧显示出来。服务管理图8所示，是服务管理界面视图：图 8 服务管理界面视图如图所示，服务管理即为VPN服务器部署在什么地方，即VPN服务器的管辖区域。实例接入图9所示，是实例接入界面视图：图 9 实例接入界面视图如图所示，如果正确绑定了实例、信息域和服务管理之间的关系，则三者之间的关系会以树形列表的形式在界面的左侧显示出来。VPN服务器端功能模块系统结构图10所示，是VPN服

13、务器端结构图：图 10 VPN服务器端结构图业务处理流程图11所示，是VPN服务器端业务流程图：图 11 VPN服务器端业务流程图功能设计VPN组件化包括VPN服务器的远程部署、通过VPN主控修改VPN服务器的配置文件、通过VPN主控控制VPN服务器的相关服务，因为我们在VPN服务器部署了VPN实例发现监控服务，如果有VPN服务器启动，则该实例发现监控服务就会和VPN主控通讯，这样在VPN主控就会发现所有的VPN服务器，之后VPN主控就会通过远程连接的方式做相应的操作。VPN客户端功能模块系统结构图12所示，是VPN客户端结构图：图 12 VPN客户端结构图业务处理流程图13所示，是vpn客户

14、端业务流程图：图 13 vpn客户端业务流程图功能设计VPN的用户管理模块指的是各个分布式的VPN服务器的用户可以通过VPN主控的数据库进行集中式的管理，即所有的VPN服务器都共用VPN主控一个数据库，这样VPN各个租户分别管理各个VPN服务器的用户数据，而VPN超级管理员可以看到所有的用户信息。界面设计用户名/密码登录图14所示，是用户名/密码登录界面视图：图 14 用户名/密码登录界面视图如图所示，输入正确的用户名和密码，点击登录，就可以正常登录。VPN服务器相关配置下图15展示VPN服务器相关配置界面视图：图 15 VPN服务器相关配置界面视图如图所示，VPN服务器相关配置需要再界面配置

15、正确的VPN服务器的IP地址以及正确的VPN服务器端口。客户端连接图16展示VPN客户端连接界面视图：图 16 VPN客户端连接界面视图如图所示，当断开的时候点击连接，则VPN客户端就可以再次登录。客户端退出图17所示，为VPN客户端退出界面视图：图 17 VPN客户端退出界面视图如图所示，点击退出，VPN客户端就可以正常关闭并且退出。非功能需求设计性能需求 支持的操作系统：Windows2000/XP/2003及以上操作系统。 用户普通登录、注销响应时间在正常访问量时不超过6000毫秒。 应用系统接口响应不超过5000毫秒。质量属性要求规定1)对用户重要的属性有效性： 系统在工作日期间，8：0020：00期间的有效性达到98。 系统在非工作日期间，有效性达到99.95。灵活性：功能以接口方式提供，可以方便的替换不同功能实现，并提供灵活的部署配置方式，通过修改服务器端配置文件，服务器端、数据库可以分开部署。完整性： 只有拥有相应身份的