5. EVALUATIONWe evaluate advantages of the proposed method from the vi dịch - 5. EVALUATIONWe evaluate advantages of the proposed method from the vi Việt làm thế nào để nói

5. EVALUATIONWe evaluate advantages

5. EVALUATION

We evaluate advantages of the proposed method from the viewpoint of the requirements.


Requirement 1: Protection of VPN gateways from malicious traffic

The proposed method complements IKE, which is an end-to-end protocol, with SIP implemented as a user-to-network protocol to enable session-based border control by the network. Hence, the network provides users with a safe environment where only packets for admitted sessions arrive besides SIP signaling packets. A user is protected from malicious SIP signaling because SIP messages are delivered by way of the network’s CSCF server.

Furthermore, phase 1 admission control effectively reduces attacks on IKE/IPsec functions. However, this depends on the authenticity of caller ID in SIP signaling. Therefore, there is a requirement that NGN assure the authenticity of caller ID.

Some may argue that this session-oriented approach sacrifices the advantages of the IP, a connectionless protocol. We admit that five-tuple-based packet-flow control is a burden on routers and degrades the scalability of a network. However, we consider that the advantage of network safety outweighs the burden because it creates opportunities to increase the number of ordinary users of a VPN. Furthermore, when the network does not perform session-based border control, the proposed method enables home gateways and ESIP servers to perform session-based border control and thus helps users eliminate malicious traffic. Hence, the proposed method is still valid even when we take a design approach to favor connectionless network control.


Requirement 2: Separation of VPN gateways from an edge firewall router

In the proposed method, the introduction of SIP yields the following advantages that allow VPN gateways to be separated from enterprise firewalls.

First, the introduction of SIP enables an enterprise firewall to open and close pinholes dynamically, recognizing the state change of VPN sessions. Second, the indication of destination, i.e., VPN gateway, is first carried out using a SIP-URI in a SIP request, so a VPN gateway does not need a global IP address. This is advantageous in an IPv4 implementation. Third, a two-phase admission control is achieved, enabling VPN gateways to restrict incoming sessions at SIP signaling before receiving IKE messages. By contrast, if we were to separate VPN gateways from an enterprise firewall using the conventional IKE/IPsec method, a global IP address should be assigned to each VPN gateway and mapped to its local IP address at the firewall. Hence, in an IPv4 implementation, placing many VPN gateways is difficult.

Another feature of the proposed method is that it performs an end-to-end authentication and protection using IKE and IPsec. Therefore, even if SIP messages are compromised in an enterprise network, the VPN peers can detect such attacks using the end-to-end authentication.


Requirement 3: Reservation of QoS

The proposed method enables the network to perform session-based QoS management by recognizing the requested QoS from SIP messages.

There may be an alternative approach such as the introduction of RSVP to complement IKE and IPsec for QoS reservation. However, we would like to argue that if the NGN were to implement SIP-based QoS management for VoIP and other real-time communication, naturally, we may want to apply the same mechanism to other session-oriented communication including remote VPN.


Requirement 4: Hand-over of VPN session

The proposed method achieves the hand-over of IPsec security association (SA) by enabling a mobile terminal to notify its peer entity about its address change using SIP messages. The basic hand-over procedure achieves route optimization by avoiding triangular routing. The scheme using a NAPT as a MAP achieves fast hand-over, which is effective for a long-haul VPN session.

One alternative is to adopt the mobile IP. In mobile IPv6, VPN peers continue security associations without being affected by the change of IP address[25]. Hence, both approaches are valid, and they share some similarities. For example, route optimization in mobile IP is equivalent to the address update procedure using SIP reINVITE messages. Binding update to the home agent in mobile IP is similar to the address registration procedure using SIP REGISTER messages. However, the SIP REGISTER procedure does not affect media flows. In addition, both approaches introduce MAPs.

In terms of hand-over delay, mobile IP may be advantageous because binding update to home agent does not need re-authentication of a mobile terminal in mobile IPv6, while the SIP REGISTER procedure involves authentication. In addition, as reported in [26], the mobile IPv6 function can be implemented in the kernel, so mobile IPv6 is likely to outperform SIP mobility when using typical implementations. However, we consider that further investigation including experiments should be conducted to evaluate the significance of this difference. If both approaches could satisfy a tolerance of hand-over delay, the difference is negligible.

0/5000
Từ: -
Sang: -
Kết quả (Việt) 1: [Sao chép]
Sao chép!
5. ĐÁNH GIÁChúng tôi đánh giá các lợi thế của phương pháp được đề xuất từ quan điểm của các yêu cầu.Yêu cầu 1: Bảo vệ của VPN cổng từ lưu lượng truy cập độc hạiCác phương pháp được đề nghị bổ sung cho IKE, mà là một giao thức kết thúc để kết thúc, với SIP thực hiện như một người sử dụng mạng lưới giao thức để cho phép điều khiển biên giới phiên dựa trên mạng. Do đó, mạng cung cấp người dùng với một môi trường an toàn nơi mà duy nhất gói cho phiên làm việc thừa nhận đến bên cạnh SIP tín hiệu gói. Người dùng được bảo vệ từ độc hại SIP tín hiệu vì SIP thư được gửi bằng cách mạng của CSCF máy chủ.Hơn nữa, giai đoạn 1 nhập học kiểm soát có hiệu quả làm giảm cuộc tấn công vào chức năng IKE/IPsec. Tuy nhiên, điều này phụ thuộc vào tính xác thực của người gọi ID trong SIP tín hiệu. Vì vậy, có là một yêu cầu rằng NGN đảm bảo tính xác thực của người gọi ID.Một số có thể tranh luận rằng cách tiếp cận theo định hướng phiên này hy sinh những lợi thế của IP, một giao thức connectionless. Chúng tôi thừa nhận rằng kiểm soát dòng chảy gói 5-tuple dựa trên là một gánh nặng trên router và làm giảm khả năng mở rộng của một mạng lưới. Tuy nhiên, chúng ta xem xét rằng lợi thế của mạng an toàn outweighs gánh nặng vì nó tạo ra những cơ hội để tăng số lượng người sử dụng bình thường của một VPN. Hơn nữa, khi mạng không thực hiện điều khiển biên giới phiên dựa trên, các phương pháp được đề xuất cho phép nhà cổng và ESIP máy chủ để thực hiện điều khiển biên giới phiên dựa trên và do đó giúp người dùng loại bỏ lưu lượng truy cập độc hại. Do đó, các phương pháp được đề xuất là vẫn còn hợp lệ ngay cả khi chúng tôi thực hiện một cách tiếp cận thiết kế để ưu tiên điều khiển mạng connectionless.Yêu cầu 2: Tách VPN cổng từ một cạnh tường lửa của routerTrong phương pháp được đề xuất, sự ra đời của SIP mang lại những ưu điểm sau đó cho phép VPN cổng được tách ra từ doanh nghiệp tường lửa.Trước tiên, sự ra đời của SIP cho phép một tường lửa doanh nghiệp để mở và đóng pinholes tự động, công nhận sự thay đổi trạng thái của VPN phiên. Thứ hai, dấu hiệu điểm đến, tức là, VPN cổng, lần đầu tiên thực hiện bằng cách sử dụng SIP URI trong một yêu cầu SIP, do đó, một cửa ngõ VPN không cần một địa chỉ IP toàn cầu. Điều này là thuận lợi trong việc thực hiện IPv4. Thứ ba, một điều khiển two-phase nhập học được thực hiện, cho phép VPN cổng để hạn chế các phiên họp tại SIP tín hiệu trước khi nhận được tin nhắn IKE. Ngược lại, nếu chúng tôi để tách VPN cổng từ một tường lửa doanh nghiệp bằng cách sử dụng phương pháp IKE/IPsec thông thường, một địa chỉ IP toàn cầu nên được gán cho mỗi cổng nối VPN và ánh xạ tới địa chỉ IP địa phương tại các bức tường lửa. Do đó, trong việc thực hiện IPv4, đặt nhiều VPN cổng là khó khăn.Một tính năng của các phương pháp được đề xuất là rằng nó thực hiện một kết thúc để kết thúc xác thực và bảo vệ bằng cách sử dụng IKE và IPsec. Vì vậy, ngay cả khi SIP thư đang bị tổn hại trong một mạng doanh nghiệp, đồng nghiệp VPN có thể phát hiện các cuộc tấn công bằng cách sử dụng xác thực end-to-end.Yêu cầu 3: Đặt phòng của QoSCác phương pháp được đề xuất cho phép mạng để thực hiện quản lý QoS dựa trên phiên làm việc bằng cách công nhận QoS được yêu cầu từ SIP thư.Có thể có một cách tiếp cận khác chẳng hạn như sự ra đời của RSVP để bổ sung cho IKE và IPsec cho QoS tại. Tuy nhiên, chúng tôi muốn tranh luận rằng nếu NGN đã thực hiện quản lý QoS SIP dựa trên VoIP và truyền thông thời gian thực khác, tự nhiên, chúng tôi có thể muốn áp dụng cơ chế tương tự cho phiên làm việc theo định hướng giao tiếp bao gồm cả từ xa VPN.Yêu cầu 4: Bàn tay-trên VPN phiênĐề xuất phương pháp đạt được tay-trên của Hiệp hội bảo mật IPsec (SA) bằng cách cho phép một nhà ga điện thoại di động để thông báo cho thực thể ngang nhau về thay đổi địa chỉ của nó bằng cách sử dụng SIP thông điệp. Các thủ tục bàn tay-về cơ bản đạt được tối ưu hóa tuyến đường bằng cách tránh định tuyến hình tam giác. Chương trình bằng cách sử dụng một NAPT như bản đồ đạt được nhanh chóng trên tay, đó là hiệu quả cho buổi VPN haul dài.Một cách khác là thông qua IP điện thoại di động. Trong điện thoại di động IPv6, VPN đồng nghiệp tiếp tục Hiệp hội an ninh mà không bị ảnh hưởng bởi thay đổi địa chỉ IP [25]. Do đó, cả hai phương pháp tiếp cận là hợp lệ, và họ chia sẻ một số điểm tương đồng. Ví dụ, tuyến đường tối ưu hóa trong điện thoại di động IP là tương đương với thủ tục cập nhật địa chỉ bằng cách sử dụng SIP reINVITE tin nhắn. Ràng buộc Cập Nhật để các đại lý nhà ở điện thoại di động IP là tương tự như thủ tục đăng ký địa chỉ bằng cách sử dụng SIP đăng ký thư. Tuy nhiên, thủ tục SIP đăng ký không ảnh hưởng đến dòng chảy phương tiện truyền thông. Ngoài ra, cả hai phương pháp tiếp cận giới thiệu bản đồ.Trong điều khoản của sự chậm trễ trên tay, điện thoại di động IP có thể thuận lợi do ràng buộc Cập Nhật cho nhà đại lý không cần tái xác thực của một nhà ga điện thoại di động trong điện thoại di động IPv6, trong khi nhâm nhi đăng ký thủ tục liên quan đến việc xác thực. Ngoài ra, theo báo cáo trong [26], chức năng IPv6 điện thoại di động có thể được thực hiện trong hạt nhân, do đó, điện thoại di động IPv6 có khả năng tốt hơn SIP di động khi sử dụng điển hình hiện thực. Tuy nhiên, chúng ta xem xét rằng tiếp tục điều tra bao gồm thí nghiệm nên được thực hiện để đánh giá ý nghĩa của sự khác biệt này. Nếu cả hai phương pháp có thể đáp ứng một khoan dung của sự chậm trễ trên tay, sự khác biệt là không đáng kể.
đang được dịch, vui lòng đợi..
Kết quả (Việt) 2:[Sao chép]
Sao chép!
5 ĐÁNH GIÁ Chúng tôi đánh giá ưu điểm của phương pháp đề xuất từ quan điểm của các yêu cầu. Yêu cầu 1: Bảo vệ các cổng VPN từ lưu lượng truy cập độc hại Phương pháp đề xuất bổ sung IKE, đó là một giao thức end-to-end, với SIP thực hiện như một user- giao thức mạng để cho phép kiểm soát biên giới dựa trên phiên bởi mạng. Do đó, mạng lưới cung cấp cho người dùng với một môi trường an toàn, nơi chỉ có các gói cho các phiên thừa nhận đến bên cạnh các gói tin báo hiệu SIP. Một người sử dụng được bảo vệ khỏi tín hiệu SIP độc hại vì tin SIP được phân phối bằng cách CSCF máy chủ của mạng lưới. Hơn nữa, giai đoạn 1 kiểm soát nhập học hiệu quả làm giảm các cuộc tấn công vào các chức năng IKE / IPsec. Tuy nhiên, điều này phụ thuộc vào tính xác thực của người gọi trong báo hiệu SIP. Do đó, một yêu cầu mà NGN đảm bảo tính xác thực của người gọi. Một số có thể tranh luận rằng phương pháp tiếp cận phiên theo định hướng này hy sinh những lợi thế của địa chỉ IP, một giao thức kết nối. Chúng tôi thừa nhận rằng năm tuple dựa trên gói kiểm soát dòng chảy là một gánh nặng cho các bộ định tuyến và làm giảm khả năng mở rộng của một mạng. Tuy nhiên, chúng tôi cho rằng lợi thế của mạng lưới an toàn hơn so với những gánh nặng bởi vì nó tạo ra cơ hội để tăng số lượng người dùng thông thường của một VPN. Hơn nữa, khi mạng không thực hiện kiểm soát biên giới dựa trên phiên, phương pháp đề xuất cho phép các cổng nhà và máy chủ ESIP để thực hiện kiểm soát biên giới dựa trên phiên và do đó giúp người dùng loại bỏ các lưu lượng truy cập độc hại. Do đó, phương pháp được đề xuất là vẫn có hiệu lực ngay cả khi chúng ta có một cách tiếp cận thiết kế để ưu tiên kiểm soát mạng lưới kết nối. Yêu cầu 2: Tách VPN cổng từ một bộ định tuyến tường lửa cạnh Trong phương pháp đề xuất, sự ra đời của SIP mang lại những ưu điểm sau cho phép các cổng VPN được tách ra từ bức tường lửa doanh nghiệp. Thứ nhất, sự ra đời của SIP cho phép một tường lửa doanh nghiệp để mở và đóng lỗ kim tự động, ghi nhận thay đổi trạng thái của phiên VPN. Thứ hai, các dấu hiệu của điểm đến, tức là, VPN gateway, lần đầu tiên được thực hiện bằng cách sử dụng SIP-URI trong một yêu cầu SIP, do đó, một cổng VPN không cần một địa chỉ IP toàn cầu. Đây là thuận lợi trong việc thực hiện IPv4. Thứ ba, kiểm soát nhập học hai giai đoạn được thực hiện, cho phép các cổng VPN để hạn chế đến vào buổi báo hiệu SIP trước khi nhận được tin nhắn IKE. Ngược lại, nếu chúng ta cổng VPN riêng biệt từ một tường lửa doanh nghiệp sử dụng phương pháp IKE / IPsec thông thường, một địa chỉ IP toàn cầu nên được gán cho mỗi cổng VPN và ánh xạ tới địa chỉ IP địa phương tại các bức tường lửa. Do đó, trong việc thực hiện IPv4, đặt nhiều cổng VPN là khó khăn. Một tính năng của phương pháp đề xuất là nó thực hiện một xác thực end-to-end và bảo vệ sử dụng IKE và IPsec. Vì vậy, ngay cả khi các tin nhắn SIP đang bị tổn hại trong một mạng doanh nghiệp, các đồng nghiệp VPN có thể phát hiện các cuộc tấn công bằng cách sử dụng xác thực end-to-end. Yêu cầu 3: Đặt QoS Phương pháp đề xuất cho phép các mạng để thực hiện quản lý QoS dựa trên phiên bằng cách công nhận QoS được yêu cầu từ các tin nhắn SIP. Có thể có một cách tiếp cận khác như sự ra đời của RSVP để bổ sung cho IKE và IPsec để đặt phòng QoS. Tuy nhiên, chúng tôi muốn nói rằng nếu NGN đã thực hiện quản lý QoS dựa trên SIP cho VoIP và truyền thông thời gian thực khác, một cách tự nhiên, chúng ta có thể muốn áp dụng cơ chế tương tự để truyền thông phiên hướng khác bao gồm VPN từ xa. Yêu cầu 4 : Bàn giao phiên VPN Phương pháp đề xuất đạt được bàn giao của hiệp hội bảo mật IPsec (SA) bằng cách cho phép một thiết bị đầu cuối di động để thông báo cho tổ chức đồng đẳng của nó về sự thay đổi địa chỉ của nó sử dụng tin nhắn SIP. Thủ tục bàn giao cơ bản đạt được tối ưu hóa đường bằng cách tránh định tuyến tam giác. Chương trình sử dụng một NAPT là một MAP đạt được nhanh chóng bàn giao, đó là hiệu quả cho một đường dài VPN phiên. Một cách khác là thông qua IP di động. Trong IPv6 di động, đồng nghiệp tiếp tục VPN hiệp hội bảo mật mà không bị ảnh hưởng bởi sự thay đổi địa chỉ IP [25]. Do đó, cả hai cách trên đều đúng, và họ chia sẻ một số điểm tương đồng. Ví dụ, tối ưu hóa tuyến đường trong IP di động là tương đương với các thủ tục cập nhật địa chỉ sử dụng tin nhắn SIP Mời lại. Ràng buộc cập nhật cho các đại lý nhà ở IP di động cũng tương tự như thủ tục đăng ký địa chỉ sử dụng tin nhắn SIP ĐĂNG KÝ. Tuy nhiên, các thủ tục SIP REGISTER không ảnh hưởng đến dòng phương tiện truyền thông. Ngoài ra, cả hai phương pháp giới thiệu bản đồ. Về bàn giao chậm trễ, điện thoại di động chỉ IP có thể được thuận lợi bởi vì ràng buộc cập nhật cho đại lý nhà không cần phải tái xác thực của một thiết bị đầu cuối di động trong điện thoại di động IPv6, trong khi các thủ tục liên quan đến việc thẩm định SIP ĐĂNG KÝ. Ngoài ra, theo báo cáo trong [26], chức năng IPv6 di động có thể được thực hiện trong hạt nhân, do đó điện thoại di động IPv6 có khả năng tốt hơn khi sử dụng di động SIP triển khai điển hình. Tuy nhiên, chúng tôi cho rằng tiếp tục điều tra bao gồm các thí nghiệm cần được tiến hành để đánh giá tầm quan trọng của sự khác biệt này. Nếu cả hai phương pháp có thể đáp ứng khả năng chịu đựng của bàn giao chậm trễ, sự khác biệt là không đáng kể.





































đang được dịch, vui lòng đợi..
 
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.

Copyright ©2024 I Love Translation. All reserved.

E-mail: