主機標識協(xié)議(HIP)綜述

1、主機標識協(xié)議主機標識協(xié)議 (HIP)綜述綜述HIP研究背景研究背景 移動網(wǎng)絡(luò)中的安全問題之所以一直都沒有得到很好的解決，其根源在于IP地址自身的缺陷：在IP網(wǎng)絡(luò)中IP地址即代表主機的身份，又代表主機的地址。現(xiàn)階段IP地址描述了一臺主機在網(wǎng)絡(luò)中的物理位置，這個地址信息用于從源端到目的端的路由，但同時IP地址又是網(wǎng)絡(luò)中主機的標識。所以當網(wǎng)絡(luò)中的主機發(fā)生移動時由于主機的物理位置發(fā)生了變化，網(wǎng)關(guān)必須給主機分配新的Ip地址；但是同時如果主機使用新的lP地址，則主機的標識也發(fā)生了變化。正是這樣一個沖突使得移動網(wǎng)絡(luò)中的安全問題一直沒有得到徹底解決。 IPV6協(xié)議中規(guī)定的主機在發(fā)生移動后的綁定機制很復雜，這主

2、要是由于主機在發(fā)生移動后，身份隨著IP地址的變化而變化，這樣就存在安全隱患，家鄉(xiāng)代理和通信對端收到的綁定更新可能是其它主機偽造的。這種隱患的根源在于IP協(xié)議中的IP地址既標志著主機在網(wǎng)絡(luò)中的位置同時又標識著主機的身份。主機主機標識協(xié)議標識協(xié)議( HIP )概述概述 主機標識協(xié)議引進一個新的加密的命名空間一主機標識符( Host Identifier，HI )，主機標識符全球惟一地標識每臺連接到Internet的主機，其目的是將傳輸層與網(wǎng)絡(luò)層分開，提供一個加密的主機標識命名空間，更容易對通信雙方進行認證，從而實現(xiàn)安全的、可信任的網(wǎng)絡(luò)系統(tǒng)。主機標識協(xié)議中引進了主機標識符主機標識符(HI)、主機標識

3、標簽、主機標識標簽(HIT) 和局部標識符和局部標識符(LSI)三個新的標識符。 HI是主機地址主機地址Host ID的一般表示方式。HI實質(zhì)上是一對公私鑰對中的公鑰HI有兩種不同有兩種不同的表示方式可供選擇：Host Identity Tag(HIT，主機身份標簽，主機身份標簽)是HI的128位位表示法，它由HI經(jīng)hash變換變換而來。HIT因為長度伺定，能在協(xié)議中廣泛使用。每個HIT都應(yīng)保證是唯一的。由于HIT是128位的，在數(shù)量很大時沖突的可能性相對較低。LocalScope Identity(LSI，本地域標識符，本地域標識符)是HI的32位位表示法。LSI使得HIP可以在現(xiàn)有的協(xié)議譬

4、如IPv4中使用。由于LSl只有32位，它有相對較高的沖突風險。因而，LSI必須被隨機地選擇并只在本地本地上下文中使用。HIT的計算方法的計算方法 現(xiàn)在定義了兩種HIT 類型l是利用HI進行SHA-1 Hash運算運算（見信息安全P117）的結(jié)果生成128位作為HIT。 類型2是把HIT把HIT的前前64位用于域名解析，后位用于域名解析，后64位從位從HI進行進行SHA-1 Hash運算的結(jié)果中獲得。 現(xiàn)在產(chǎn)生HIT的非對稱密碼算法有DSA和RSA。產(chǎn)生HIT的步驟為： 對公鑰進行編碼。 把編碼的結(jié)果進行SHA1 Hash運算。 對于類型對于類型l，把HIT的最高兩位置置01，然后把HI進行S

5、HA-1 Hash運算的結(jié)果的后126位作為HIT的后126位；對于類型對于類型2，把HIT的最高兩位置置10，然后把HI進行SHA-l Hash運算的結(jié)果的后64位作為HIT的后64位，最后中間的最后中間的62位填入域名位填入域名信息信息。協(xié)議協(xié)議體系結(jié)構(gòu)體系結(jié)構(gòu) 主機標識協(xié)議在傳輸層和網(wǎng)絡(luò)層之間插入一個獨立的新的協(xié)議層一主機標識層主機標識層( Host Identity Layer， HIL ) ，主機標識層將原來緊密耦合的傳輸層傳輸層和網(wǎng)絡(luò)層網(wǎng)絡(luò)層分開 ，I P地址不再扮演主機名稱的角色 ，它只負責數(shù)據(jù)包的路由轉(zhuǎn)發(fā)，即僅用作定位符定位符，主機名稱由主機標識符來表示主機名稱由主機標識符來表

6、示。 傳輸傳輸層層不再與網(wǎng)絡(luò)層網(wǎng)絡(luò)層耦合，主機標識層在邏輯上位于網(wǎng)絡(luò)層與傳輸層之間，傳輸層使用作為傳輸層標識符而不是用，由主機標識層完成數(shù)據(jù)包中的主機標識符和IP地址轉(zhuǎn)換，網(wǎng)絡(luò)層對于傳輸層是屏蔽的，網(wǎng)絡(luò)層的任何變化不會影響傳輸層鏈路。在目前的Internet體系結(jié)構(gòu)中，端點和用于路由的位置都綁定到IP地址，而在新的體系結(jié)構(gòu)中，端點綁定到主機標識符上，位置綁定到IP地址上，這樣，IP地址只用于路徑選則 主機標識符和 I P地址之間動態(tài)綁定，動態(tài)綁定的結(jié)構(gòu)使主機能夠動態(tài)地改變它的I P地址而不至于導致正在進行的通信中斷，在主機標識協(xié)議中，用端點來描述端到端的通信中的邏輯參與者，一般情況下，一個物理

7、主機可以擁有多個邏輯端點，對每個端點必須分配獨立的主機標識符。安全連接的建立過程安全連接的建立過程 在基本交換之前，當一個節(jié)點I要發(fā)起對R的HIP連接時，它首先查詢目錄服務(wù)，如DNS（域名系統(tǒng)）、 LDAP等，并獲獲取取R對應(yīng)的地址、對應(yīng)的地址、H I值和值和HIT，之后才能進行基本交換，之后才能進行基本交換。 基本交換是基于Diffie-Hellman密鑰交換協(xié)議的四次握手密鑰交換協(xié)議的四次握手方式方式?；窘粨Q雙方稱為發(fā)起方和響應(yīng)方。在基本交換之前，發(fā)起方從地址目錄中取得響應(yīng)方的IP地址、HI和HIT。之后，發(fā)起方開始基本交換。 為了建立HIP連接，HIP定義了四種類型的報文：I1、R1、

8、12、R2。發(fā)起端向響應(yīng)端發(fā)送I1，觸發(fā)HIP交換。響應(yīng)端回復R1報文標志著HIP交換的正式開始。在R1報文中包含一個密碼口令，當R1報文發(fā)送到發(fā)起端時，發(fā)起端必須根據(jù)難度系數(shù)K得到一個解：同時在發(fā)送給響應(yīng)端的I2報文中必須帶有這個解。響應(yīng)端在收到I2報文后驗證這個解的正確性，如果解不正確則丟棄改報文。最后響應(yīng)端回復R2報文標志著HIP安全連接的建立。 在在HIP安全連接的建立過程中，申請建立安全連接的建立過程中，申請建立HIP安全連接的安全連接的主機被稱為發(fā)起端，而發(fā)起端的對端被稱為響應(yīng)端。主機被稱為發(fā)起端，而發(fā)起端的對端被稱為響應(yīng)端。HIP安安全連接建立的過程為全連接建立的過程為 由發(fā)起端

9、向響應(yīng)端發(fā)出I1請求報文，其中主要是包含了通信雙方的HI，如果不知道目的端，目的HI也可以被置為0。 響應(yīng)端在收到了I1報文后，就向發(fā)起端發(fā)送R1報文，其中主要包含了響應(yīng)端的HIT和Cookie口令和響應(yīng)端進行Diffle-Hellman運算的計算結(jié)果。 發(fā)起端在收至Rl報文后就對其中的Cookie口令進行運算求解。如果成功得到符合R1報文中難度系數(shù)的解，發(fā)起端就向響應(yīng)端發(fā)出I2報文。I2報文中包括了進行Diffie-Hellman運算的計算結(jié)果，對R1報文中的Cookie口令進行運算求解的結(jié)果，IPsec協(xié)議所需的SPI值和被加密的發(fā)起端公鑰。由于此時發(fā)起端已經(jīng)得到響應(yīng)端的DH公鑰，所以它可

10、以利用DH的計算結(jié)果對自己的HI進行加密，并把加密的結(jié)果包含在I2報文中發(fā)送。 響應(yīng)端在收到了I 2報文后，驗證發(fā)起端得到的解。如果求解正確，發(fā)起端的身份得到驗證，就會利用發(fā)起端的Diffie-Hellman運算結(jié)果繼續(xù)。安全連接參數(shù)安全連接參數(shù)SPI SPI是報文在進行ESP處理時用于尋找報文對應(yīng)的安全連接的索引。在HIP協(xié)議中ESP SPI有著重要的意義：在SPI對應(yīng)著HIT。由于在HIP連接建立以后，主機之間進行通行的報文不再帶有H1和HIT。因此在網(wǎng)絡(luò)中每個主機內(nèi)部就要使用一個標號來代替HIT，作為網(wǎng)絡(luò)中主機的標識。在正常通信過程中就利用這個標識找到對應(yīng)的HIT，再用HIT找到對應(yīng)的安

11、全連接；而ESP SPI就正是具有這種特性。在ESP中主機就是通過SPI來對主機進行標識的，對于要借用IPSecESP來保證通信安全的HIP來說，使用SPI正好可以解決在沒有HIT的通信過程中主機的標識問題。 每個主機設(shè)定自己的Inbound SPI，每一個發(fā)向此主機的報文都必須帶有這個SPI值。這樣主機就可以為不同的主機選擇不同的SPI。而SPI是一個隨機值。通過這樣的方式就可以保證在每個主機內(nèi)部SPI不會重復。在HIP建立安全連接的過程中，主機內(nèi)部可以把一個SPI值和一個HIT綁定起來，建立一個SP!到HIT的映射表。主機在收到報文后，就可以利用這個映射關(guān)系，找到對應(yīng)的HIT; 從而找到對

12、應(yīng)的HIP安全連接。通過這種方法就可以實現(xiàn)在HIP連接建立后，主機之間的報文不再包含HIT和HI。SPI分配圖如下。Host 1、Host 2、Host 3都向Host 4申請建立HIP連接。Host 4分別為這3臺主機分配的SPI為SPI 1、SPI 2、SPI 3。其中Host l、Host 2、Host 3的HIT分別為HIT 1、HIT2、HIT 3。在Host4中建立的SPI、HIT、安全聯(lián)接的綁定如下圖。SPI的計算方法為的計算方法為：在HIT后級聯(lián)32 bits的隨機數(shù)，然后對這個隨機數(shù)進行SHA-1 Hash運算，把運算結(jié)果的高32 bits作為SPl值。HIP解決的問題與安全

13、性解決的問題與安全性 HIP在設(shè)計時考慮與現(xiàn)有協(xié)議棧兼容，所以現(xiàn)有的IPv6的應(yīng)用都可以不加修改地使用。HIT代替代替IPv 6地址地址，而而LSI可以可以在應(yīng)用中代替在應(yīng)用中代替IPv4地址地址，HIP能夠保證充分的向后兼容性。另外， HI 的公鑰特性保證了信息傳輸過程中的安全性 ，該協(xié)議的設(shè)計充分考慮各種攻擊的可能 , 能夠在很大程度上抵御中間人攻擊中間人攻擊和DoS攻擊攻擊的威脅。 在HIP中使用公私鑰對來表示主機標識符，主機自己把主機標識符相應(yīng)的私鑰保存起來。前面提到的地址盜用和地址洪泛町以得到解決。當一個主機接受到一個地址更新包時，不是盲目的發(fā)送到新地址，而是進行一次數(shù)據(jù)包地址可達性

14、測試，根據(jù)結(jié)果決定是否使用新地址進行數(shù)據(jù)傳遞，杜絕了對尤辜節(jié)點的地址洪泛攻擊和地址盜用引起的DoS或MITM攻擊。 注：DoS是Denial of Service的簡稱，即拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。 在基本交換中，難題的驗證避免了DoS攻擊。難題的級別町由對連接方的信任程度決定。HIP中基本交換建立的ESP安全連接(SAs)，和當前網(wǎng)絡(luò)結(jié)構(gòu)中用IPsec建立的同樣安全。但HIP并非要取代IPsec，它和IPsec ESP一起使用會使連接更安全。 由于HIP與IPSec緊密結(jié)合，當使用HIP時，在兩個使HIP的主