5. ĐÁNH GIÁChúng tôi đánh giá các lợi thế của phương pháp được đề xuất từ quan điểm của các yêu cầu.Yêu cầu 1: Bảo vệ của VPN cổng từ lưu lượng truy cập độc hạiCác phương pháp được đề nghị bổ sung cho IKE, mà là một giao thức kết thúc để kết thúc, với SIP thực hiện như một người sử dụng mạng lưới giao thức để cho phép điều khiển biên giới phiên dựa trên mạng. Do đó, mạng cung cấp người dùng với một môi trường an toàn nơi mà duy nhất gói cho phiên làm việc thừa nhận đến bên cạnh SIP tín hiệu gói. Người dùng được bảo vệ từ độc hại SIP tín hiệu vì SIP thư được gửi bằng cách mạng của CSCF máy chủ.Hơn nữa, giai đoạn 1 nhập học kiểm soát có hiệu quả làm giảm cuộc tấn công vào chức năng IKE/IPsec. Tuy nhiên, điều này phụ thuộc vào tính xác thực của người gọi ID trong SIP tín hiệu. Vì vậy, có là một yêu cầu rằng NGN đảm bảo tính xác thực của người gọi ID.Một số có thể tranh luận rằng cách tiếp cận theo định hướng phiên này hy sinh những lợi thế của IP, một giao thức connectionless. Chúng tôi thừa nhận rằng kiểm soát dòng chảy gói 5-tuple dựa trên là một gánh nặng trên router và làm giảm khả năng mở rộng của một mạng lưới. Tuy nhiên, chúng ta xem xét rằng lợi thế của mạng an toàn outweighs gánh nặng vì nó tạo ra những cơ hội để tăng số lượng người sử dụng bình thường của một VPN. Hơn nữa, khi mạng không thực hiện điều khiển biên giới phiên dựa trên, các phương pháp được đề xuất cho phép nhà cổng và ESIP máy chủ để thực hiện điều khiển biên giới phiên dựa trên và do đó giúp người dùng loại bỏ lưu lượng truy cập độc hại. Do đó, các phương pháp được đề xuất là vẫn còn hợp lệ ngay cả khi chúng tôi thực hiện một cách tiếp cận thiết kế để ưu tiên điều khiển mạng connectionless.Yêu cầu 2: Tách VPN cổng từ một cạnh tường lửa của routerTrong phương pháp được đề xuất, sự ra đời của SIP mang lại những ưu điểm sau đó cho phép VPN cổng được tách ra từ doanh nghiệp tường lửa.Trước tiên, sự ra đời của SIP cho phép một tường lửa doanh nghiệp để mở và đóng pinholes tự động, công nhận sự thay đổi trạng thái của VPN phiên. Thứ hai, dấu hiệu điểm đến, tức là, VPN cổng, lần đầu tiên thực hiện bằng cách sử dụng SIP URI trong một yêu cầu SIP, do đó, một cửa ngõ VPN không cần một địa chỉ IP toàn cầu. Điều này là thuận lợi trong việc thực hiện IPv4. Thứ ba, một điều khiển two-phase nhập học được thực hiện, cho phép VPN cổng để hạn chế các phiên họp tại SIP tín hiệu trước khi nhận được tin nhắn IKE. Ngược lại, nếu chúng tôi để tách VPN cổng từ một tường lửa doanh nghiệp bằng cách sử dụng phương pháp IKE/IPsec thông thường, một địa chỉ IP toàn cầu nên được gán cho mỗi cổng nối VPN và ánh xạ tới địa chỉ IP địa phương tại các bức tường lửa. Do đó, trong việc thực hiện IPv4, đặt nhiều VPN cổng là khó khăn.Một tính năng của các phương pháp được đề xuất là rằng nó thực hiện một kết thúc để kết thúc xác thực và bảo vệ bằng cách sử dụng IKE và IPsec. Vì vậy, ngay cả khi SIP thư đang bị tổn hại trong một mạng doanh nghiệp, đồng nghiệp VPN có thể phát hiện các cuộc tấn công bằng cách sử dụng xác thực end-to-end.Yêu cầu 3: Đặt phòng của QoSCác phương pháp được đề xuất cho phép mạng để thực hiện quản lý QoS dựa trên phiên làm việc bằng cách công nhận QoS được yêu cầu từ SIP thư.Có thể có một cách tiếp cận khác chẳng hạn như sự ra đời của RSVP để bổ sung cho IKE và IPsec cho QoS tại. Tuy nhiên, chúng tôi muốn tranh luận rằng nếu NGN đã thực hiện quản lý QoS SIP dựa trên VoIP và truyền thông thời gian thực khác, tự nhiên, chúng tôi có thể muốn áp dụng cơ chế tương tự cho phiên làm việc theo định hướng giao tiếp bao gồm cả từ xa VPN.Yêu cầu 4: Bàn tay-trên VPN phiênĐề xuất phương pháp đạt được tay-trên của Hiệp hội bảo mật IPsec (SA) bằng cách cho phép một nhà ga điện thoại di động để thông báo cho thực thể ngang nhau về thay đổi địa chỉ của nó bằng cách sử dụng SIP thông điệp. Các thủ tục bàn tay-về cơ bản đạt được tối ưu hóa tuyến đường bằng cách tránh định tuyến hình tam giác. Chương trình bằng cách sử dụng một NAPT như bản đồ đạt được nhanh chóng trên tay, đó là hiệu quả cho buổi VPN haul dài.Một cách khác là thông qua IP điện thoại di động. Trong điện thoại di động IPv6, VPN đồng nghiệp tiếp tục Hiệp hội an ninh mà không bị ảnh hưởng bởi thay đổi địa chỉ IP [25]. Do đó, cả hai phương pháp tiếp cận là hợp lệ, và họ chia sẻ một số điểm tương đồng. Ví dụ, tuyến đường tối ưu hóa trong điện thoại di động IP là tương đương với thủ tục cập nhật địa chỉ bằng cách sử dụng SIP reINVITE tin nhắn. Ràng buộc Cập Nhật để các đại lý nhà ở điện thoại di động IP là tương tự như thủ tục đăng ký địa chỉ bằng cách sử dụng SIP đăng ký thư. Tuy nhiên, thủ tục SIP đăng ký không ảnh hưởng đến dòng chảy phương tiện truyền thông. Ngoài ra, cả hai phương pháp tiếp cận giới thiệu bản đồ.Trong điều khoản của sự chậm trễ trên tay, điện thoại di động IP có thể thuận lợi do ràng buộc Cập Nhật cho nhà đại lý không cần tái xác thực của một nhà ga điện thoại di động trong điện thoại di động IPv6, trong khi nhâm nhi đăng ký thủ tục liên quan đến việc xác thực. Ngoài ra, theo báo cáo trong [26], chức năng IPv6 điện thoại di động có thể được thực hiện trong hạt nhân, do đó, điện thoại di động IPv6 có khả năng tốt hơn SIP di động khi sử dụng điển hình hiện thực. Tuy nhiên, chúng ta xem xét rằng tiếp tục điều tra bao gồm thí nghiệm nên được thực hiện để đánh giá ý nghĩa của sự khác biệt này. Nếu cả hai phương pháp có thể đáp ứng một khoan dung của sự chậm trễ trên tay, sự khác biệt là không đáng kể.
đang được dịch, vui lòng đợi..