VPN系统_概要设计说明书资料.pdf

资源描述

《VPN系统_概要设计说明书资料.pdf》由会员分享，可在线阅读，更多相关《VPN系统_概要设计说明书资料.pdf（32页珍藏版）》请在三一文库上搜索。

1、VPN 系统概要设计说明书第 I 页 VPN 系统概要设计说明书 VPN 系统概要设计说明书第 II 页目录 1 引言 . 1 1.1 编写目的 . 1 1.2 读者对象 . 1 1.3 术语与缩略语 . 1 1.4 参考资料 . 2 2 系统概述 . 3 3 设计约束 . 3 4 设计策略 . 5 4.1 扩展策略 . 5 4.2 复用策略 . 5 4.3 折中策略 . 5 5 系统总体结构 . 5 5.1 总体结构设计 . 5 5.2 系统组件结构图 . 6 5.3 总体功能设计 . 7 5.4 VPN 主控功能模块 8 VPN 系统概要设计说明书第 III 页 5.4.1 系统

2、结构 . 8 5.4.2 业务处理流程 . 8 5.4.3 功能设计 . 9 5.4.4 界面设计 10 5.5 VPN 服务器端功能模块 . 14 5.5.1 系统结构 . 14 5.5.2 业务处理流程 . 15 5.5.3 功能设计 . 16 5.6 VPN 客户端功能模块 . 16 5.6.1 系统结构 . 16 5.6.2 业务处理流程 . 16 5.6.3 功能设计 . 17 5.6.4 界面设计 . 17 6 非功能需求设计 20 6.1 性能需求 20 6.2 质量属性要求规定 21 6.3 安全性需求 22 6.3.1 数据安全 . 22 VPN 系统概要设计说明书第 IV

3、页 6.3.2 访问控制 . 22 6.3.3 环境安全 . 22 6.3.4 安全制度 . 23 6.4 可用性需求 23 6.5 可靠性需求 23 7 开发环境的配置 23 7.1 主控端 23 7.2 客户端 24 7.3 服务器端 24 8 运行环境的配置 24 8.1 硬件 24 8.2 软件 24 9 测试环境的配置 25 10 接口说明 . 26 10.1 内部接口 . 26 10.1.1 VPN 主控相关接口 26 10.1.2 VPN 服务器端相关接口 27 10.1.3 VPN 客户端相关接口 28 VPN 系统概要设计说明书第 1 页 1引言 1.1编写目的本文档是

4、以需求规格说明书为基础，对客户端系统的总体设计思路进行完整、全面、正确地讲述，以保障系统设计达到系统需求的要求。本文档旨在为项目开发人员、配置管理人员、客户代表、了解系统的功能而编写，同时通过本文档对客户端系统后续的工作有针对性的进行系统编写详细设计、系统编码开发、测试、实施等各方面的工作。 1.2读者对象本文档的预期读者为用户代表、软件设计人员、开发人员、测试人员等。 1.3术语与缩略语名称解释 VPN VPN 是虚拟专用网的简称，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP （ Internet Service Provider因

5、特网服务提供商）和其它NSP （ Network Service Provider 网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的固定物理链路，而是利用某种公众网的物理链路资源动态组成的。 PPTP协议是由PPTP 论坛开发的点到点的安全隧道协议，PPTP 提供 PPTP 客户机和 PPTP 服务器之间的保密通信。 VPN 系统概要设计说明书第 2 页 IPSec协议 IPSec也是 IETF 支持的标准之一，它和PPTP、L2TP 不同之处在于它是第三层即IP 层的加密。 IP

6、Sec不是某种特殊的加密算法或认证算法，也没有在它的数据结构中指定某种特殊的加密算法或认证算法，它只是一个开放的结构，定义在IP 数据包格式中，不同的加密算法都可以利用IPSec 定义的体系结构在网络数据传输过程中实施。 SOCKS协议 SOCKS 处于OSI 模型的会话层，在SOCKS 协议中，客户程序通常是先连接到防火墙1080 端口，然后由防火墙建立到目的主机的单独会话，这种情况下客户程序对目的主机是不可见的。 SOCKS 的问题在于必须对客户端应用程序做修改，加入对 SOCKS 协议的支持。 SSL协议安全套接字层（Secure Socket L

7、ayer， SSL）属于高层安全机制，广泛应用于Web 浏览程序和Web 服务器程序。在SSL 中，身份认证是基于证书的。服务器方向客户方的认证是必须的，而 SSL 版本 3 中客户方向服务方的认证只是可选项，现在逐渐得到广泛的应用。 1.4参考资料 VPN 系统_需求规格说明书延安 VPN 系统概要设计说明书第 3 页 2系统概述随着互联网数据技术的进步和商务模式的发展，在互联网技术的帮助下提升业务效率已经是必然的选择：利用信息化，加速业务流程；利用互联网，实现随时随地的业务响应。互联网技术已经彻底改变了传统的业务办理模式，借助信息化，相关业务信息实现快速的处理和共享，

8、人员无论在何时何地，只要能连上互联网，就能实现业务的及时处理。与此同时，业务信息网络化另外一方面是带来了安全的威胁：政府以及企业本身的相关数据、政府以及企业的客户数据信息等一旦被泄露，则会带来难以估计的损失，而一旦通讯或存储的信息被篡改，则更会带来难以估计的后果。由此，业务信息化，首先需要解决的是安全问题。虚拟专用网（ VPN）利用的是包括认证、加密、安全检测、权限分配、访问记录等一系列手段来构建安全的业务网络。通过 HTP 技术、动态压缩技术、多线路智能选路技术、不断加入的广域网优化技术将进一步解决恶劣环境下访问速度慢的问题，全面提高远程接入访问的办公效率。随着组织规模的

9、扩大，业务系统也在不断增多，也有越来越多外部人员需要访问内部的应用系统，但是通过广域网访问存在的安全隐患让组织非常害怕这些关键业务数据的泄密，因此需要建立一种安全可靠的远程接入访问机制，针对众多的应用系统提供细致的权限划分、高效的数据加密机制、丰富多样的身份认证手段、全面的单点接入安全检查、完整的日志审计，全面防止内部核心应用系统的数据泄密，保护组织信息安全。 3设计约束 1.界面显示约束在管理界面显示数据时，应默认根据数据生成的时间倒序排序。 2.数据精度约束延安 VPN 系统概要设计说明书第 4 页 1)数据存放时的精度要求数据存放在数据库中的精度与数据入库时数据源的精度相

10、同。这样能够保证原始数据不失真，以便最大限度地满足用户对于数据精度的需求。 2)数据运算时的精度要求数据运算过程中，除非运算模型对数据精度有特定要求，通常保留数据库中数据存放的原始精度。 3)数据展现时的精度要求系统展现数据时，根据业务需要和数据的单位不同而保留不同的小数位数。 3.关键词语约束在业务中，一致的关键词使用风格能显著提高业务的可用性，以下是一些关键词的应用场合：增加（功能）：用于增加一条新数据修改（功能）：用于修改一条数据的值删除（功能）：用于删除一条数据撤销（功能）：用于撤销上一操作提交（按钮）：当用户完成输入后，点击提交按钮完成数据的提交返回（按钮）

11、：当用户由原界面跳转到另一新界面时，点击新界面的返回按钮，跳转回原界。延安 VPN 系统概要设计说明书第 5 页 4设计策略 4.1扩展策略提供规范的数据格式，为以后的功能扩展提供丰富的数据链资源。提供丰富的接口，接口具有很好的扩展性，高度抽象性。降低功能块的耦合率，提高功能模块的复用率。模块可配置性，通过外界配置模块，可以改变模块的功能配置。 4.2复用策略提供功能模块的内聚性，模块之间的耦合性不高，功能尽量单一，提供复用率，便于修改维护。 4.3折中策略对于系统模块的构建，优先保证功能的实现，可使用单一的模式进行维护开发，在实现功能的基础上进行模块的优化，效率的优化等

12、。在维持基础的功能后，进行模块的封装以及功能预留接口等。 5系统总体结构 5.1总体结构设计图 1 所示，是 VPN 总体系统结构图：延安 VPN 系统概要设计说明书第 6 页图 1 系统总体结构图 5.2系统组件结构图图 2 所示，是 VPN 系统组件结构图：延安 VPN 系统概要设计说明书第 7 页图 2 VPN 系统组件结构图 5.3总体功能设计 F-VPN 系统主要分为三大部分，分别为VPN 主控、 VPN 服务器以及 VPN 客户端，下来将会对这三部分的功能做分别描述。 VPN 主控分为申请处理、信息域管理、实例发现、服务管理以及实例接入等五大功能模块，根据实

13、际的业务处理通过VPN 主控添加相应的一级信息域、租户、VPN 实例发现以及相对应的用户并且做好相关的绑定关系后，就可以通过VPN 主控实现：对所有 VPN 服务器的用户管理。对所有 VPN服务器的分布式管理，通过VPN主控可以直观的看到所有VPN服务器的具体情况。可以集中式的通过VPN 主控修改各个 VPN 服务器的配置文件。可以集中式的通过VPN 服务器控制各个VPN 服务器的相关服务。延安 VPN 系统概要设计说明书第 8 页可以直观的通过界面化看到信息域、服务、租户以及用户相互之间的关联关系。 VPN 服务器主要封装了相关VPN 功能的具体实现，包括SSL 加密隧道建

14、立、动态连接客户端、数据加密、动态密钥交换、HMAC 数字签名、公钥加密、链路带宽分配、隧道传输等，通过上述的具体细化功能的支持，可以满足VPN 服务的基本需求。 VPN 客户端目前主要是用户名密码方式的登录，用户通过VPN 客户端正确连接VPN 服务器建立 SSL加密隧道后，可以根据自己权限访问相应的应用。 5.4VPN 主控功能模块 5.4.1系统结构图 3 所示，是 VPN 主控功能结构图：用户名 / 密码登录申请处理信息域管理实例发现实例接入服务管理 VPN主控图 3 VPN 主控功能结构图 5.4.2业务处理流程图 4 所示，是 VPN 主控流程图：延安 VPN 系统

15、概要设计说明书第 9 页用户VPN 系统开始注册申请 VPN 服务向VPN 系统提出使用申请 VPN 系统进行用户注册用户是否注册成功返回可下载VPN 客户端的链接是 VPN 客户端是否下载成功是在用户本机安装VPN 客户端否用户名密码/usb key登录 VPN 服务器进行认证否 VPN 系统进行认证是用户正常使用VPN 服务否图 4 VPN 主控流程图 5.4.3功能设计 VPN 服务化分为创建 VPN 服务和撤销 VPN 服务，创建 VPN 服务意思是如果有用户需要使用 VNP 服务的时候，需要向VPN 服务器提交使用申请，如果VPN 服务

16、器审核通过后，该用户可以通过指定的连接下载VPN 客户端，下载VPN 客户端成功后，该用户就可正常使用 VPN 服务。延安 VPN 系统概要设计说明书第 10 页用户提交 VPN 使用申请，如果VPN 服务器审核通过，则会注明该用户的VPN 服务使用时间，以后每次该用户登录VPN 服务的时候， VPN 服务器都会校验该用户的VPN 使用时间是否到期，如果该用户的VPN 使用时间到期的话，则VPN 服务器会删除该用户的所有信息，即终止了该用户的VPN 使用权限。 5.4.4界面设计 5.4.4.1申请处理图 5 所示，是申请处理界面视图：图 5 申请处理界面视图如图所示，输入

17、租户的基本信息点击添加，就可以正常添加并且添加成功后在界面左侧添加的租户信息会以列表的形式显示，租户的意思为VPN 服务器的管理员。 5.4.4.2信息域管理图 6 所示，是信息域管理界面视图：延安 VPN 系统概要设计说明书第 11 页图 6 信息域管理界面视图如图所示，输入信息域的的正确信息点击添加，就可以正确添加信息域。 5.4.4.3实例发现图 7 所示，是实例发现界面视图：延安 VPN 系统概要设计说明书第 12 页图 7 实例发现界面视图如图所示，实例发现就是可以发现部署的VPN 服务器并且 VPN 服务器的的基本信息在界面的左侧显示出来。 5.4.4.4

18、服务管理图 8 所示，是服务管理界面视图：延安 VPN 系统概要设计说明书第 13 页图 8 服务管理界面视图如图所示，服务管理即为VPN 服务器部署在什么地方，即VPN 服务器的管辖区域。 5.4.4.5实例接入图 9 所示，是实例接入界面视图：延安 VPN 系统概要设计说明书第 14 页图 9 实例接入界面视图如图所示，如果正确绑定了实例、信息域和服务管理之间的关系，则三者之间的关系会以树形列表的形式在界面的左侧显示出来。 5.5VPN 服务器端功能模块 5.5.1系统结构图 10 所示，是 VPN 服务器端结构图： VPN服务器动态连接客户端动态密钥交换数据加密

19、SSL 加密隧道建立图 10 VPN 服务器端结构图延安 VPN 系统概要设计说明书第 15 页 5.5.2业务处理流程图 11 所示，是 VPN 服务器端业务流程图： VPN 服务器VPN 主控开始申请部署 VPN 服务器请求向VPN 主控提出部署申请 (VPN服务器的 IP 地址 ) VPN 主控进行远程部署审核是否通过 VPN 主控进行审核是是否部署成功否 VPN 主控进行远程配置是否是否配置成功 VPN 主控远程启动VPN 服务器相关服务是图 11 VPN 服务器端业务流程图延安 VPN 系统概要设计说明书第 16 页 5.5.3功能设计 VPN 组

20、件化包括 VPN 服务器的远程部署、通过VPN 主控修改 VPN 服务器的配置文件、通过 VPN 主控控制 VPN 服务器的相关服务，因为我们在 VPN 服务器部署了 VPN 实例发现监控服务，如果有 VPN 服务器启动，则该实例发现监控服务就会和VPN 主控通讯，这样在 VPN 主控就会发现所有的VPN 服务器，之后 VPN 主控就会通过远程连接的方式做相应的操作。 5.6VPN 客户端功能模块 5.6.1系统结构图 12 所示，是 VPN 客户端结构图： VPN客户端 VPN服务器相关配置客户端退出客户端连接用户名 /密码登录图 12 VPN 客户端结构图 5.6.2业务处理流程

21、图 13 所示，是 vpn 客户端业务流程图：延安 VPN 系统概要设计说明书第 17 页租户VPN 系统开始输入用户相关信息向VPN 主控提出用户申请 VPN 主控进行用户注册用户是否注数据库保存用户相关信息否是用户登录册成功认证是否成功是用户登录成功图 13 vpn客户端业务流程图 5.6.3功能设计 VPN 的用户管理模块指的是各个分布式的VPN 服务器的用户可以通过VPN 主控的数据库进行集中式的管理，即所有的VPN 服务器都共用 VPN 主控一个数据库，这样VPN 各个租户分别管理各个 VPN 服务器的用户数据，而VPN 超级管理员可以看到所

22、有的用户信息。 5.6.4界面设计 5.6.4.1用户名 / 密码登录图 14 所示，是用户名 /密码登录界面视图：延安 VPN 系统概要设计说明书第 18 页图 14 用户名 /密码登录界面视图如图所示，输入正确的用户名和密码，点击登录，就可以正常登录。 5.6.4.2VPN服务器相关配置下图 15 展示 VPN 服务器相关配置界面视图：延安 VPN 系统概要设计说明书第 19 页图 15 VPN 服务器相关配置界面视图如图所示，VPN 服务器相关配置需要再界面配置正确的VPN 服务器的 IP 地址以及正确的 VPN 服务器端口。 5.6.4.3客户端连接图 16 展示

23、 VPN 客户端连接界面视图：延安 VPN 系统概要设计说明书第 20 页图 16 VPN 客户端连接界面视图如图所示，当断开的时候点击连接，则VPN 客户端就可以再次登录。 5.6.4.4客户端退出图 17 所示，为 VPN 客户端退出界面视图：图 17 VPN 客户端退出界面视图如图所示，点击退出， VPN 客户端就可以正常关闭并且退出。 6非功能需求设计 6.1性能需求支持的操作系统： Windows2000/XP/2003及以上操作系统。用户普通登录、注销响应时间在正常访问量时不超过6000毫秒。应用系统接口响应不超过5000毫秒。延安 VPN 系统概要设计说明书

24、第 21 页 6.2质量属性要求规定 1)对用户重要的属性有效性：系统在工作日期间， 8：0020：00期间的有效性达到98。系统在非工作日期间，有效性达到99.95。灵活性：功能以接口方式提供，可以方便的替换不同功能实现，并提供灵活的部署配置方式，通过修改服务器端配置文件，服务器端、数据库可以分开部署。完整性：只有拥有相应身份的用户才能进入相应的模块。只有拥有系统管理身份的用户才能进入系统管理。可靠性：由软件失效引起的事务失败概率不应超过1%。健壮性：对输入数据进行有效性检查，对各种错误数据输入进行有效处理，避免非法数据和导致的系统异常。可用性：系统终端用户

25、不需培训即可操作登录等相关功能，系统应用管理员、配置管理员可以经过一定时间培训掌握95%以上功能。 2）对开发者重要的属性延安 VPN 系统概要设计说明书第 22 页可维护性：输出的代码、文档达到标准、完备、清晰，使系统维护工作可以顺利、快速展开。正常的维护工作不超过1 天。可重用性：采用良好的架构设计、面向对象技术和第三方开发包，提高从代码复用到对象复用、架构复用良好实现。 6.3安全性需求任何信息系统都必须考虑安全性要求，信息安全是应用系统特别是网络化应用系统成功前提和必要条件。诸多的业务应用系统必然涉及重要的保密信息，因此系统安全性更应该成为本系统建设过程中需要

26、考虑的重要因素。 6.3.1数据安全在各个子系统输入数据时进行数据合法性验证，从而保证数据的完整性和有效性。在各个子系统的服务器上应安装防火墙，杀毒，防篡改等软件，备份关键的数据。除了以上的数据安全保证策略外，还应在数据传输过程中添加非法数据认定，以及在传输过程中进行数据加密等验证手段保证数据的机密、完整、有效和可用。 6.3.2访问控制保证数据共享安全，通过身份认证确定系统访问者是否是合法用户,主要采用登录密码、标识鉴别访问者的身份。 6.3.3环境安全系统部署在机房，应用服务器应安装防火墙，入侵检测，防病毒，防篡改等软件。延安 VPN 系统概要设计说明书第 23 页 6.

27、3.4安全制度为确保系统中重要数据的安全，一般要根据国家法律和有关规定制定，适合客户的数据安全制度，情况如下： 1) 根据数据的保密规定和用途，确定使用人员的存取权限、存取方式和审批手续。 2) 重要数据 (介质 )库，应设专人负责登记保管，未经批准，不得随意挪用重要数据 (介质 )。 6.4可用性需求 1.系统对必须输入的数据有验证提示。 2.系统不应限制非必要性的工作次序，如功能的执行次序或数据输入次序。 3.系统出错时应给出可理解的错误提示，并指示用户应采取的措施。 4.应用系统应该支持在一个业务过程中的所有功能界面都有返回上一个操作的快捷联接。 5.在导致系统数据发生变化的操作执

28、行之前，系统应该弹出提示窗口供用户确认。 6.5可靠性需求 1.系统必须支持连续724 小时不间断地工作。应用软件中的任一构件更新、加载时，在不更新与上下构件的接口的前提下，不影响业务运转和服务。 2.系统必须支持负载均衡能力，支持应用部署在多台服务器上，避免应用系统的单点故障。冗余点在单台设备软硬件故障情况下，要求系统所承载业务仍正常提供且服务质量不劣化。 7开发环境的配置 7.1主控端 1.Jdk1.6 安装和环境变量的配置。延安 VPN 系统概要设计说明书第 24 页 2.Tomcat的安装和设置。 3.MyEclipse 的安装和配置。 7.2客户端 1.Microsoft

29、Visual Studio 2005的安装和配置。 2.InstallShield 2010的安装和配置。 7.3服务器端 1.中间件： tomcat6 。 2.数据库： mysql5.5.23 。 3.MyEclipse 的安装和配置。 8运行环境的配置 8.1硬件机器配置要求如下： (1)CPU：2G 双核。 (2) 内存： 2G （或2G 以上）。 (3) 硬盘空间： 200G （包含 200G ）以上均可。 (4) 显示器： VGA 或更高分辨率，建议分辨率为 1024x768像素。 8.2软件客户端操作系统不限，兼容XP 及以上操作系统。服务器端和控制端使用 Linux 操作系

30、统，如 redchat5.5 。延安 VPN 系统概要设计说明书第 25 页客户端、服务器端、控制端均固定网络环境的IP地址。中间件： tomcat6 。数据库： mysql5.5.23 。 9测试环境的配置硬件环境：服务器配置： CPU:Inter Xeon DP 3.6GHz 内存:3GB 硬盘： 120G 客户机配置： CPU: Intel(R) Pentium(R) Dual E2200 2.20GHz 内存: 2GB 软件环境：服务器配置：服务器操作系统： RHEL 5.5 主控端操作系统： window server 2003 数据库服务器： MySql 6.0

31、应用服务器： tomcat 6.0 客户器配置：操作系统： Windows XP SP3 延安 VPN 系统概要设计说明书第 26 页 10接口说明 10.1内部接口 10.1.1 VPN 主控相关接口 10.1.1.1接口描述 VPN 主控总共分为申请处理、信息域管理、实例发现、服务管理、实例接入等五种类型的接口，总体上满足了VPN 主控的功能需求，实现了申请租户和用户到VPN 实例发现、绑定关系用户登录使用VPN 服务的完整流程。 10.1.1.2接口调用设计首先通过信息域管理和申请处理添加完租户、然后通过服务管理实例发现发现VPN 实例，最后通过实例接入绑定具体的相互之间的关

32、系，一系列的前期工作做完后，就可以通过用户管理添加用户使用VPN 的相关服务。图 18 所示，是 VPN 主控相关接口关系图：图 18 VPN 主控相关接口延安 VPN 系统概要设计说明书第 27 页 10.1.2 VPN 服务器端相关接口 10.1.2.1接口描述 VPN 服务器端总共分为SSL 加密隧道建立、数据加密、动态密钥交换、动态连接客户端等四种类型的接口，通过这四种类型底层接口的支持，可以满足VPN 服务器端实现自身基本功能的需求。 10.1.2.2接口调用设计通过 SSL 加密隧道建立并且提高数据加密的接口实现数据加密的功能，同时提供动态密钥交换的接口，通过数

33、据加密和动态密钥交换的基本接口的底层支持实现动态连接客户端的功能。图 19 所示，是 VPN 服务器端相关接口关系图：图 19VPN 服务器端相关接口延安 VPN 系统概要设计说明书第 28 页 10.1.3 VPN 客户端相关接口 10.1.3.1接口描述 VPN 客户端总共分为服务器端相关配置、用户名/密码登录、客户端连接、客户端退出等四种类型的接口，通过这四种类型接口的底层支持，可以满足用户通过客户端登录建立SSL VPN 加密隧道安全访问相关应用的基本需求。 10.1.3.2接口调用设计通过服务器端相关配置接口设置好VPN 服务器的基本配置，之后通过用户名/密码登录调用客户端连接的相关接口达到用户正常登录的目的；如果用户退出的话，调用客户端退出的相关接口。图 20 所示，是 VPN 客户端相关接口关系图：图 20VPN客户端相关接口

展开阅读全文