移动IP穿越网络防火墙实证研究pdf/txt下载_在线阅读全文

内容简介

　　《移动IP穿越网络防火墙实证研究》共分6个部分，包括：①绪论，简要说明了移动IP的相关概念和工作原理，以及在应用中出现的问题；②移动IP穿越防火墙问题分析；③IPSEC技术应用于移动IP穿越；④移运IP穿越防火墙方案的设计：⑤实现具有IPSEC保护的移动IP穿越防火墙；⑥结论，对前面所讲解的内容进行了总结。

目　　录

1 绪论
1.1 移动IP的出现
1.2 移动IP的特性及实体
1.2.1 移动IP的特性及重要名词
1.2.2 移动IP的实体
1.3 移动IP的工作原理
1.3.1 代理发现
1.3.2 注册
1.3.3 建立隧道
1.3.4 无外地代理的特殊情况
1.4 移动IP应用中出现的问题
1.4.1 三角路由问题
1.4.2 外地代理的平滑切换问题
1.4.3 网络性能问题

1 绪论 
1.1 移动IP的出现 
1.2 移动IP的特性及实体 
1.2.1 移动IP的特性及重要名词 
1.2.2 移动IP的实体 
1.3 移动IP的工作原理 
1.3.1 代理发现 
1.3.2 注册 
1.3.3 建立隧道 
1.3.4 无外地代理的特殊情况 
1.4 移动IP应用中出现的问题 
1.4.1 三角路由问题 
1.4.2 外地代理的平滑切换问题 
1.4.3 网络性能问题 
1.4.4 QoS保障问题 
1.4.5 移动IP中的TCP性能 
1.4.6 移动IP对其他协议的支持 
1.4.7 安全问题 
1.4.8 移动IP穿越防火墙问题


	2 移动IP穿越防火墙问题分析 
2.1 防火墙 
2.1.1 防火墙的基本概念及技术名词 
2.1.2 防火墙的基本原理 
2.1.3 防火墙技术 
2.2 网络安全 
2.2.1 网路安全概述 
2.2.2 两种加密体制 
2.2.3 数字签名 
2.2.4 报文鉴别 
2.2.5 认证中心CA 
2.2.6 完整的数据加解密／身份认证流程 
2.3 移动IP的安全分析 
2.3.1 移动IP的安全威胁和攻击 
2.3.2 移动IP的安全要求 
2.3.3 移动IPv4的安全分析 
2.3.4 移动IPv6的安全分析 
2.4 移动IP的安全解决方案 
2.4.1 安全解决方案的要求 
2.4.2 移动IP协议自身提供的安全机制 
2.4.3 移动虚拟专用网 
2.4.4 定制密钥（PBK，Purpose-BuiltKey） 
2.5 AAA在移动IP中的应用 
2.5.1 AAA的一般模型 
2.5.2 AAA在移动IP中的应用 
2.6 移动IP穿越防火墙问题的引出 
2.6.1 Flooding攻击原理 
2.6.2 对Flooding攻击的防御 
2.6.3 移动IP穿越防火墙的问题 
2.7 移动IP穿越防火墙的解决方案 
2.7.1 反向隧道解决方案 
2.7.2 SKIP解决方案 
2.7.3 基于IPSEC的解决方案


	3 IPSEC技术应用于移动IP穿越防火墙 
3.1 IPSEC基本原理 
3.1.1 AH（验证头） 
3.1.2 ESP（封装安全载荷） 
3.1.3 密钥管理 
3.1.4 安全关联数据库 
3.1.5 安全关联的使用 
3.1.6 IPSEC标准密钥交换-IKE（Intemet密钥交换） 
3.2 移动IP穿越防火墙的安全性分析 
3.2.1 移动IP带来的风险 
…… 
4 移动IP穿越防火墙方案的设计 
5 实现具有IPSEC保护的移动IP穿越防火墙 
6 结论 
参考文献 
附录 常用术语对照表

显示全部信息

在线试读部分章节

　　2.7 移动IP穿越防火墙的解决方案
　　2.7.1 反向隧道解决方案
　　为了解决移动IP穿越防火墙问题，引入了反向隧道的解决方案，这种方案是在考虑外地代理的情况下进行穿越的。移动节点可以使用拓扑正确的隧道数据包连接自己的家乡代理，这为一个移动节点从外地代理和注册的家乡代理那里申请一个隧道提供了一种方式。该规程包括以下部分：
　　（1）代理扩展。外地代理一直在周期性地发送代理广播，它通过在移动代理广播扩展中的T比特表明自己对反向隧道的支持。希望建立反向隧道的移动节点可以从带有T比特置位的代理广播中发现适当的外地代理。
　　（2）注册扩展。希望于自己的家乡代理建立反向隧道的移动节点将注册请求中新定义的T比特置位。外地代理和家乡代理按照正常方式处理该注册请求。如果都不支持反向隧道，他们会拒绝该注册，并在Code域中注明原因。如果外地代理和家乡代理要求采用反向隧道而移动节点却没有申请，那么外地代理或家乡代理也会拒绝该请求并在Code域中注明原因。在外地代理隶属的服务提供商正在进行入口过滤的情况下，外地代理会坚持要求移动节点使用反向隧道。隧道封装工作可以由外地代理完成，也可以由移动节点自己完成。
　　除了T比特外，还定义了一个类型-长度-数据编码的新扩展，以便移动节点使用外地代理转交地址来限定移动节点希望在外地链路上投递数据包的方式。一种方法是直接发送，另外一种方法是使用隧道。
　　（3）反向隧道存在时的选路：如果通过移动IP的注册规程请求并建立了反向隧道，移动节点发出的数据包的选路和以前不再相同。使用配置转交地址的移动节点可以简单地使用隧道将数据包送往自己的家乡代理，使用转交地址作为源地址、家乡代理地址作为目的地址。
　　使用外地代理转交地址的移动节点发送数据包时有两种选择。一种是和以前一样使用外地代理作为缺省路由器。外地代理检查其中的IP源地址，发现其来自申请反向隧道服务的移动节点。这时，外地代理将这些数据包使用隧道送往家乡代理，家乡代理的地址是通过注册过程获得的。这种方法在移动节点上很容易实现，但是它不允许移动节点不让某些数据包使用隧道传送。
　　为了避免失去这种灵活性，使用外地代理转交地址的移动节点还有另外一个选择，即使用所谓"隧道方式投递"（TunnelingStyleofDelivery）。在这种方式中，移动节点将数据包送到外地代理，并建议外地代理先进行隧道拆封，然后再重新封装隧道至家乡代理。移动节点发送不能进行反向隧道传送的数据包时，就将它们在没有封装的情况下送给外地代理。

2.7 移动IP穿越防火墙的解决方案 
　　2.7.1 反向隧道解决方案 
　　为了解决移动IP穿越防火墙问题，引入了反向隧道的解决方案，这种方案是在考虑外地代理的情况下进行穿越的。移动节点可以使用拓扑正确的隧道数据包连接自己的家乡代理，这为一个移动节点从外地代理和注册的家乡代理那里申请一个隧道提供了一种方式。该规程包括以下部分： 
　　（1）代理扩展。外地代理一直在周期性地发送代理广播，它通过在移动代理广播扩展中的T比特表明自己对反向隧道的支持。希望建立反向隧道的移动节点可以从带有T比特置位的代理广播中发现适当的外地代理。 
　　（2）注册扩展。希望于自己的家乡代理建立反向隧道的移动节点将注册请求中新定义的T比特置位。外地代理和家乡代理按照正常方式处理该注册请求。如果都不支持反向隧道，他们会拒绝该注册，并在Code域中注明原因。如果外地代理和家乡代理要求采用反向隧道而移动节点却没有申请，那么外地代理或家乡代理也会拒绝该请求并在Code域中注明原因。在外地代理隶属的服务提供商正在进行入口过滤的情况下，外地代理会坚持要求移动节点使用反向隧道。隧道封装工作可以由外地代理完成，也可以由移动节点自己完成。 
　　除了T比特外，还定义了一个类型-长度-数据编码的新扩展，以便移动节点使用外地代理转交地址来限定移动节点希望在外地链路上投递数据包的方式。一种方法是直接发送，另外一种方法是使用隧道。 
　　（3）反向隧道存在时的选路：如果通过移动IP的注册规程请求并建立了反向隧道，移动节点发出的数据包的选路和以前不再相同。使用配置转交地址的移动节点可以简单地使用隧道将数据包送往自己的家乡代理，使用转交地址作为源地址、家乡代理地址作为目的地址。 
　　使用外地代理转交地址的移动节点发送数据包时有两种选择。一种是和以前一样使用外地代理作为缺省路由器。外地代理检查其中的IP源地址，发现其来自申请反向隧道服务的移动节点。这时，外地代理将这些数据包使用隧道送往家乡代理，家乡代理的地址是通过注册过程获得的。这种方法在移动节点上很容易实现，但是它不允许移动节点不让某些数据包使用隧道传送。 
　　为了避免失去这种灵活性，使用外地代理转交地址的移动节点还有另外一个选择，即使用所谓"隧道方式投递"（TunnelingStyleofDelivery）。在这种方式中，移动节点将数据包送到外地代理，并建议外地代理先进行隧道拆封，然后再重新封装隧道至家乡代理。移动节点发送不能进行反向隧道传送的数据包时，就将它们在没有封装的情况下送给外地代理。 
　　反向隧道解决方法的缺点：这种解决方式尽管可以解决入口过滤问题，但是这种解决方法在穿越防火墙的同时，也欺骗了防火墙，给家乡网络带来了新的危险，而移动IP的安全性不仅要求保证移动节点的安全，同时必须保证家乡网络的安全，但是，这种方式不能够保证移动数据包的安全性，而且这种解决方式并不能够保证家乡网络的安全性，因为可以出现移动节点假冒攻击的问题，更为严重的是移动节点和家乡网络内的成员具有相同的权限，如果没有严格的安全保证机制，攻击者冒充移动节点将给网络带来很大的损害。我们必须实现在解决入口过滤实现穿越的同时，保证移动节点和外地代理的安全性问题。 
　　……

显示全部信息

移动IP穿越网络防火墙实证研究下载

移动IP穿越网络防火墙实证研究

发布书评

相关图书推荐