VPN能够提供数据加密(保证通过公共网传输的信息只有合法用户才能读懂)、信息认证(保证信息的完整性与合法性)和身份认证(保证通信双方是真实的身份)三方面的功能来保证网络数据的安全可靠传输 。移动用户通过构建远程访问VPN而实现与企业之间的安全通信 。
3.1 IPSec协议
链路层安全协议IPSec是实现远程访问VPN的常用协议 。IPSec协议主要包括认证头AH(Authentication Header)、ISAKMP(Internet Security Association and Key Management Protocol)和安全封装载荷ESP(Encapsulating Security Payload)三个子协议 。它适合于向IPv6迁移,并对所有链路层上的数据提供安全保护和透明服务 。
两个IPSec系统通过两个安全关联(SA)实现双向逻辑连接 。一个单向SA可用一个三元组唯一地表示:〈Security Parameter Index,IP Destination Address,Security Protocol〉即〈安全参数索引SPI,目的IP地址,安全协议〉 。
其中安全参数索引是一个32bit数,用于标示具有相同IP地址和相同安全协议的SA 。SPI被放置在安全协议(AH或ESP)的头部中 。SPI由SA的创建者定义,表示了发方加密数据包时所采用的加密算法和加密密钥 。目的IP地址是普通主机IP地址 。安全协议可以AH或ESP 。AH或ESP采用的模式决定了SA的使用模式:传输模式或通道模式 。
安全关联和交换密钥的建立使用IPSec协议ISAKMP/Oakley子协议 。首先,建立ISAKMP安全关联以使用公钥算法来认证远程主机的永久标识(ISAKMP答应远程访问主机用一个永久标识(名字E-mail地址而不是动态分配的IP地址)来标识自己) 。其次,建立协议安全关联以协商多个安全关联,其中每一个安全关联有自己的密钥原料(它们的SPI不同) 。协商好多个安全关联后,发送方就可以决定用哪一种SA来保护一个给定的数据报文 。无论所收到的报文是由所协商的哪一个SA保护,接收方都必须能够处理 。
第一阶段的协商采用的是大计算量的公钥(D-H公钥算法)密码操作,而第二阶段用的是计算量较少的对称密码操作 。而第一阶段只在拨号连接初始化时使用一次,从而在保证安全通信的前提下最大限度地减小了计算开支 。
3.2 优化路由的远程访问VPN
利用远程访问VPN,即远程主机(MN)使用PPP拨入一个ISP,再使用IPSec协议通过因特网访问一个受防火墙(FW)保护的内部网的服务器(CN),从而建立远程用户到公司内部网的安全连接 。
通常情况下,传输模式用在一个连接的两个端点之间,而使用通道模式的两台机器之间至少有一台是网关 。因而远程访问VPN的一个典型配置是MN和FW之间使用通道模式的AH,而MN和CN之间使用传输模式的ESP 。这种配置同时也基于IPSec协议组合使用中的一个实用原则,即在收到一个有两种协议头部的报文时,IPSec应当是先认证后解密 。从而发送方对他发出的数据应当先作ESP处理,再作AH处理 。这种组合方式如下所示:
在传统IP下,当MN作为被叫时,主叫方CN发往MN的数据分组必须先路由给MN的HA,再由HA隧道给MN 。这种三角路由机制不但增加了无线网络开销,而且当MN越区切换较频繁时必将导致较大的切换时延和较多的分组丢失,无法保证实时业务的QoS性能 。通过构建远程访问VPN,采用IPSec协议组合的通道模式,建立远程用户到公司内部网的服务器的直达的安全路由 。结合位置猜测机制,可降低切换时延及丢包率,从而满足移动用户对实时业务的需求 。
4 结束语
传统移动IP产生的注册时延、切换时延及丢包,不能保证业务的QoS性能 。本文提出的多层次位置治理方法利用局部注册及移动猜测治理,降低了时延及丢包率,并有利于优化路由,从而取得很好的QoS保证,能满足实时业务的需求 。
推荐阅读
- 读书手抄报内容 读书手抄报的内容
- 槐花蜜的功效与作用槐花蜜的禁忌人群
- oppo reno2回忆相册在哪
- 伞兵的战术价值如何
- 使用感觉
- 地球五带是哪五带?
- 祲组词祲的组词祲字怎么组词
- N91到手,它真的让我很失望 准备买的朋友请三思
- 破壁松花粉的功效与作用 破壁松花粉的食用禁忌
- 皮蛋的做法怎么做好吃