日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

移動(dòng)IP的多層次位置管理及路由優(yōu)化( 三 )

云知道


VPN能夠提供數(shù)據(jù)加密(保證通過公共網(wǎng)傳輸?shù)男畔⒅挥泻戏ㄓ脩舨拍茏x懂)、信息認(rèn)證(保證信息的完整性與合法性)和身份認(rèn)證(保證通信雙方是真實(shí)的身份)三方面的功能來保證網(wǎng)絡(luò)數(shù)據(jù)的安全可靠傳輸 。移動(dòng)用戶通過構(gòu)建遠(yuǎn)程訪問VPN而實(shí)現(xiàn)與企業(yè)之間的安全通信 。
3.1 IPSec協(xié)議
鏈路層安全協(xié)議IPSec是實(shí)現(xiàn)遠(yuǎn)程訪問VPN的常用協(xié)議 。IPSec協(xié)議主要包括認(rèn)證頭AH(Authentication Header)、ISAKMP(Internet Security Association and Key Management Protocol)和安全封裝載荷ESP(Encapsulating Security Payload)三個(gè)子協(xié)議 。它適合于向IPv6遷移,并對所有鏈路層上的數(shù)據(jù)提供安全保護(hù)和透明服務(wù) 。
兩個(gè)IPSec系統(tǒng)通過兩個(gè)安全關(guān)聯(lián)(SA)實(shí)現(xiàn)雙向邏輯連接 。一個(gè)單向SA可用一個(gè)三元組唯一地表示:〈Security Parameter Index,IP Destination Address,Security Protocol〉即〈安全參數(shù)索引SPI,目的IP地址,安全協(xié)議〉 。
其中安全參數(shù)索引是一個(gè)32bit數(shù),用于標(biāo)示具有相同IP地址和相同安全協(xié)議的SA 。SPI被放置在安全協(xié)議(AH或ESP)的頭部中 。SPI由SA的創(chuàng)建者定義,表示了發(fā)方加密數(shù)據(jù)包時(shí)所采用的加密算法和加密密鑰 。目的IP地址是普通主機(jī)IP地址 。安全協(xié)議可以AH或ESP 。AH或ESP采用的模式?jīng)Q定了SA的使用模式:傳輸模式或通道模式 。
安全關(guān)聯(lián)和交換密鑰的建立使用IPSec協(xié)議ISAKMP/Oakley子協(xié)議 。首先,建立ISAKMP安全關(guān)聯(lián)以使用公鑰算法來認(rèn)證遠(yuǎn)程主機(jī)的永久標(biāo)識(ISAKMP答應(yīng)遠(yuǎn)程訪問主機(jī)用一個(gè)永久標(biāo)識(名字E-mail地址而不是動(dòng)態(tài)分配的IP地址)來標(biāo)識自己) 。其次,建立協(xié)議安全關(guān)聯(lián)以協(xié)商多個(gè)安全關(guān)聯(lián),其中每一個(gè)安全關(guān)聯(lián)有自己的密鑰原料(它們的SPI不同) 。協(xié)商好多個(gè)安全關(guān)聯(lián)后,發(fā)送方就可以決定用哪一種SA來保護(hù)一個(gè)給定的數(shù)據(jù)報(bào)文 。無論所收到的報(bào)文是由所協(xié)商的哪一個(gè)SA保護(hù),接收方都必須能夠處理 。
第一階段的協(xié)商采用的是大計(jì)算量的公鑰(D-H公鑰算法)密碼操作,而第二階段用的是計(jì)算量較少的對稱密碼操作 。而第一階段只在撥號連接初始化時(shí)使用一次,從而在保證安全通信的前提下最大限度地減小了計(jì)算開支 。
3.2 優(yōu)化路由的遠(yuǎn)程訪問VPN
利用遠(yuǎn)程訪問VPN,即遠(yuǎn)程主機(jī)(MN)使用PPP撥入一個(gè)ISP,再使用IPSec協(xié)議通過因特網(wǎng)訪問一個(gè)受防火墻(FW)保護(hù)的內(nèi)部網(wǎng)的服務(wù)器(CN),從而建立遠(yuǎn)程用戶到公司內(nèi)部網(wǎng)的安全連接 。
通常情況下,傳輸模式用在一個(gè)連接的兩個(gè)端點(diǎn)之間,而使用通道模式的兩臺機(jī)器之間至少有一臺是網(wǎng)關(guān) 。因而遠(yuǎn)程訪問VPN的一個(gè)典型配置是MN和FW之間使用通道模式的AH,而MN和CN之間使用傳輸模式的ESP 。這種配置同時(shí)也基于IPSec協(xié)議組合使用中的一個(gè)實(shí)用原則,即在收到一個(gè)有兩種協(xié)議頭部的報(bào)文時(shí),IPSec應(yīng)當(dāng)是先認(rèn)證后解密 。從而發(fā)送方對他發(fā)出的數(shù)據(jù)應(yīng)當(dāng)先作ESP處理,再作AH處理 。這種組合方式如下所示:
在傳統(tǒng)IP下,當(dāng)MN作為被叫時(shí),主叫方CN發(fā)往MN的數(shù)據(jù)分組必須先路由給MN的HA,再由HA隧道給MN 。這種三角路由機(jī)制不但增加了無線網(wǎng)絡(luò)開銷,而且當(dāng)MN越區(qū)切換較頻繁時(shí)必將導(dǎo)致較大的切換時(shí)延和較多的分組丟失,無法保證實(shí)時(shí)業(yè)務(wù)的QoS性能 。通過構(gòu)建遠(yuǎn)程訪問VPN,采用IPSec協(xié)議組合的通道模式,建立遠(yuǎn)程用戶到公司內(nèi)部網(wǎng)的服務(wù)器的直達(dá)的安全路由 。結(jié)合位置猜測機(jī)制,可降低切換時(shí)延及丟包率,從而滿足移動(dòng)用戶對實(shí)時(shí)業(yè)務(wù)的需求 。
4 結(jié)束語
傳統(tǒng)移動(dòng)IP產(chǎn)生的注冊時(shí)延、切換時(shí)延及丟包,不能保證業(yè)務(wù)的QoS性能 。本文提出的多層次位置治理方法利用局部注冊及移動(dòng)猜測治理,降低了時(shí)延及丟包率,并有利于優(yōu)化路由,從而取得很好的QoS保證,能滿足實(shí)時(shí)業(yè)務(wù)的需求 。

推薦閱讀