主機(jī)標(biāo)識協(xié)議 (HIP)綜述.pptx

主機(jī)標(biāo)識協(xié)議 HIP 綜述 HIP研究背景 移動網(wǎng)絡(luò)中的安全問題之所以一直都沒有得到很好的解決 其根源在于IP地址自身的缺陷 在IP網(wǎng)絡(luò)中IP地址即代表主機(jī)的身份 又代表主機(jī)的地址 現(xiàn)階段IP地址描述了一臺主機(jī)在網(wǎng)絡(luò)中的物理位置 這個(gè)地址信息用于從源端到目的端的路由 但同時(shí)IP地址又是網(wǎng)絡(luò)中主機(jī)的標(biāo)識 所以當(dāng)網(wǎng)絡(luò)中的主機(jī)發(fā)生移動時(shí)由于主機(jī)的物理位置發(fā)生了變化 網(wǎng)關(guān)必須給主機(jī)分配新的Ip地址 但是同時(shí)如果主機(jī)使用新的lP地址 則主機(jī)的標(biāo)識也發(fā)生了變化 正是這樣一個(gè)沖突使得移動網(wǎng)絡(luò)中的安全問題一直沒有得到徹底解決 IPV6協(xié)議中規(guī)定的主機(jī)在發(fā)生移動后的綁定機(jī)制很復(fù)雜 這主要是由于主機(jī)在發(fā)生移動后 身份隨著IP地址的變化而變化 這樣就存在安全隱患 家鄉(xiāng)代理和通信對端收到的綁定更新可能是其它主機(jī)偽造的 這種隱患的根源在于IP協(xié)議中的IP地址既標(biāo)志著主機(jī)在網(wǎng)絡(luò)中的位置同時(shí)又標(biāo)識著主機(jī)的身份 主機(jī)標(biāo)識協(xié)議 HIP 概述 主機(jī)標(biāo)識協(xié)議引進(jìn)一個(gè)新的加密的命名空間一主機(jī)標(biāo)識符 HostIdentifier HI 主機(jī)標(biāo)識符全球惟一地標(biāo)識每臺連接到Internet的主機(jī) 其目的是將傳輸層與網(wǎng)絡(luò)層分開 提供一個(gè)加密的主機(jī)標(biāo)識命名空間 更容易對通信雙方進(jìn)行認(rèn)證 從而實(shí)現(xiàn)安全的 可信任的網(wǎng)絡(luò)系統(tǒng) 主機(jī)標(biāo)識協(xié)議中引進(jìn)了主機(jī)標(biāo)識符 HI 主機(jī)標(biāo)識標(biāo)簽 HIT 和局部標(biāo)識符 LSI 三個(gè)新的標(biāo)識符 HI是主機(jī)地址HostID的一般表示方式 HI實(shí)質(zhì)上是一對公私鑰對中的公鑰HI有兩種不同的表示方式可供選擇 HostIdentityTag HIT 主機(jī)身份標(biāo)簽 是HI的128位表示法 它由HI經(jīng)hash變換而來 HIT因?yàn)殚L度伺定 能在協(xié)議中廣泛使用 每個(gè)HIT都應(yīng)保證是唯一的 由于HIT是128位的 在數(shù)量很大時(shí)沖突的可能性相對較低 LocalScopeIdentity LSI 本地域標(biāo)識符 是HI的32位表示法 LSI使得HIP可以在現(xiàn)有的協(xié)議譬如IPv4中使用 由于LSl只有32位 它有相對較高的沖突風(fēng)險(xiǎn) 因而 LSI必須被隨機(jī)地選擇并只在本地上下文中使用 HIT的計(jì)算方法 現(xiàn)在定義了兩種HIT 類型l是利用HI進(jìn)行SHA 1Hash運(yùn)算 見信息安全P117 的結(jié)果生成128位作為HIT 類型2是把HIT把HIT的前64位用于域名解析 后64位從HI進(jìn)行SHA 1Hash運(yùn)算的結(jié)果中獲得 現(xiàn)在產(chǎn)生HIT的非對稱密碼算法有DSA和RSA 產(chǎn)生HIT的步驟為 對公鑰進(jìn)行編碼 把編碼的結(jié)果進(jìn)行SHA 1Hash運(yùn)算 對于類型l 把HIT的最高兩位置01 然后把HI進(jìn)行SHA 1Hash運(yùn)算的結(jié)果的后126位作為HIT的后126位 對于類型2 把HIT的最高兩位置10 然后把HI進(jìn)行SHA lHash運(yùn)算的結(jié)果的后64位作為HIT的后64位 最后中間的62位填入域名信息 協(xié)議體系結(jié)構(gòu) 主機(jī)標(biāo)識協(xié)議在傳輸層和網(wǎng)絡(luò)層之間插入一個(gè)獨(dú)立的新的協(xié)議層一主機(jī)標(biāo)識層 HostIdentityLayer HIL 主機(jī)標(biāo)識層將原來緊密耦合的傳輸層和網(wǎng)絡(luò)層分開 IP地址不再扮演主機(jī)名稱的角色 它只負(fù)責(zé)數(shù)據(jù)包的路由轉(zhuǎn)發(fā) 即僅用作定位符 主機(jī)名稱由主機(jī)標(biāo)識符來表示 傳輸層不再與網(wǎng)絡(luò)層耦合 主機(jī)標(biāo)識層在邏輯上位于網(wǎng)絡(luò)層與傳輸層之間 傳輸層使用作為傳輸層標(biāo)識符而不是用 由主機(jī)標(biāo)識層完成數(shù)據(jù)包中的主機(jī)標(biāo)識符和IP地址轉(zhuǎn)換 網(wǎng)絡(luò)層對于傳輸層是屏蔽的 網(wǎng)絡(luò)層的任何變化不會影響傳輸層鏈路 在目前的Internet體系結(jié)構(gòu)中 端點(diǎn)和用于路由的位置都綁定到IP地址 而在新的體系結(jié)構(gòu)中 端點(diǎn)綁定到主機(jī)標(biāo)識符上 位置綁定到IP地址上 這樣 IP地址只用于路徑選則 主機(jī)標(biāo)識符和IP地址之間動態(tài)綁定 動態(tài)綁定的結(jié)構(gòu)使主機(jī)能夠動態(tài)地改變它的IP地址而不至于導(dǎo)致正在進(jìn)行的通信中斷 在主機(jī)標(biāo)識協(xié)議中 用端點(diǎn)來描述端到端的通信中的邏輯參與者 一般情況下 一個(gè)物理主機(jī)可以擁有多個(gè)邏輯端點(diǎn) 對每個(gè)端點(diǎn)必須分配獨(dú)立的主機(jī)標(biāo)識符 安全連接的建立過程 在基本交換之前 當(dāng)一個(gè)節(jié)點(diǎn)I要發(fā)起對R的HIP連接時(shí) 它首先查詢目錄服務(wù) 如DNS 域名系統(tǒng) LDAP等 并獲取R對應(yīng)的地址 HI值和HIT 之后才能進(jìn)行基本交換 基本交換是基于Diffie Hellman密鑰交換協(xié)議的四次握手方式 基本交換雙方稱為發(fā)起方和響應(yīng)方 在基本交換之前 發(fā)起方從地址目錄中取得響應(yīng)方的IP地址 HI和HIT 之后 發(fā)起方開始基本交換 為了建立HIP連接 HIP定義了四種類型的報(bào)文 I1 R1 12 R2 發(fā)起端向響應(yīng)端發(fā)送I1 觸發(fā)HIP交換 響應(yīng)端回復(fù)R1報(bào)文標(biāo)志著HIP交換的正式開始 在R1報(bào)文中包含一個(gè)密碼口令 當(dāng)R1報(bào)文發(fā)送到發(fā)起端時(shí) 發(fā)起端必須根據(jù)難度系數(shù)K得到一個(gè)解 同時(shí)在發(fā)送給響應(yīng)端的I2報(bào)文中必須帶有這個(gè)解 響應(yīng)端在收到I2報(bào)文后驗(yàn)證這個(gè)解的正確性 如果解不正確則丟棄改報(bào)文 最后響應(yīng)端回復(fù)R2報(bào)文標(biāo)志著HIP安全連接的建立 在HIP安全連接的建立過程中 申請建立HIP安全連接的主機(jī)被稱為發(fā)起端 而發(fā)起端的對端被稱為響應(yīng)端 HIP安全連接建立的過程為 由發(fā)起端向響應(yīng)端發(fā)出I1請求報(bào)文 其中主要是包含了通信雙方的HI 如果不知道目的端 目的HI也可以被置為0 響應(yīng)端在收到了I1報(bào)文后 就向發(fā)起端發(fā)送R1報(bào)文 其中主要包含了響應(yīng)端的HIT和Cookie口令和響應(yīng)端進(jìn)行Diffle Hellman運(yùn)算的計(jì)算結(jié)果 發(fā)起端在收至Rl報(bào)文后就對其中的Cookie口令進(jìn)行運(yùn)算求解 如果成功得到符合R1報(bào)文中難度系數(shù)的解 發(fā)起端就向響應(yīng)端發(fā)出I2報(bào)文 I2報(bào)文中包括了進(jìn)行Diffie Hellman運(yùn)算的計(jì)算結(jié)果 對R1報(bào)文中的Cookie口令進(jìn)行運(yùn)算求解的結(jié)果 IPsec協(xié)議所需的SPI值和被加密的發(fā)起端公鑰 由于此時(shí)發(fā)起端已經(jīng)得到響應(yīng)端的DH公鑰 所以它可以利用DH的計(jì)算結(jié)果對自己的HI進(jìn)行加密 并把加密的結(jié)果包含在I2報(bào)文中發(fā)送 響應(yīng)端在收到了I2報(bào)文后 驗(yàn)證發(fā)起端得到的解 如果求解正確 發(fā)起端的身份得到驗(yàn)證 就會利用發(fā)起端的Diffie Hellman運(yùn)算結(jié)果繼續(xù) 安全連接參數(shù)SPI SPI是報(bào)文在進(jìn)行ESP處理時(shí)用于尋找報(bào)文對應(yīng)的安全連接的索引 在HIP協(xié)議中ESPSPI有著重要的意義 在SPI對應(yīng)著HIT 由于在HIP連接建立以后 主機(jī)之間進(jìn)行通行的報(bào)文不再帶有H1和HIT 因此在網(wǎng)絡(luò)中每個(gè)主機(jī)內(nèi)部就要使用一個(gè)標(biāo)號來代替HIT 作為網(wǎng)絡(luò)中主機(jī)的標(biāo)識 在正常通信過程中就利用這個(gè)標(biāo)識找到對應(yīng)的HIT 再用HIT找到對應(yīng)的安全連接 而ESPSPI就正是具有這種特性 在ESP中主機(jī)就是通過SPI來對主機(jī)進(jìn)行標(biāo)識的 對于要借用IPSecESP來保證通信安全的HIP來說 使用SPI正好可以解決在沒有HIT的通信過程中主機(jī)的標(biāo)識問題 每個(gè)主機(jī)設(shè)定自己的InboundSPI 每一個(gè)發(fā)向此主機(jī)的報(bào)文都必須帶有這個(gè)SPI值 這樣主機(jī)就可以為不同的主機(jī)選擇不同的SPI 而SPI是一個(gè)隨機(jī)值 通過這樣的方式就可以保證在每個(gè)主機(jī)內(nèi)部SPI不會重復(fù) 在HIP建立安全連接的過程中 主機(jī)內(nèi)部可以把一個(gè)SPI值和一個(gè)HIT綁定起來 建立一個(gè)SP 到HIT的映射表 主機(jī)在收到報(bào)文后 就可以利用這個(gè)映射關(guān)系 找到對應(yīng)的HIT 從而找到對應(yīng)的HIP安全連接 通過這種方法就可以實(shí)現(xiàn)在HIP連接建立后 主機(jī)之間的報(bào)文不再包含HIT和HI SPI分配圖如下 Host1 Host2 Host3都向Host4申請建立HIP連接 Host4分別為這3臺主機(jī)分配的SPI為SPI1 SPI2 SPI3 其中Hostl Host2 Host3的HIT分別為HIT1 HIT2 HIT3 在Host4中建立的SPI HIT 安全聯(lián)接的綁定如下圖 SPI的計(jì)算方法為 在HIT后級聯(lián)32bits的隨機(jī)數(shù) 然后對這個(gè)隨機(jī)數(shù)進(jìn)行SHA 1Hash運(yùn)算 把運(yùn)算結(jié)果的高32bits作為SPl值 HIP解決的問題與安全性 HIP在設(shè)計(jì)時(shí)考慮與現(xiàn)有協(xié)議棧兼容 所以現(xiàn)有的IPv6的應(yīng)用都可以不加修改地使用 HIT代替IPv6地址 而LSI可以在應(yīng)用中代替IPv4地址 HIP能夠保證充分的向后兼容性 另外 HI的公鑰特性保證了信息傳輸過程中的安全性 該協(xié)議的設(shè)計(jì)充分考慮各種攻擊的可能 能夠在很大程度上抵御中間人攻擊和DoS攻擊的威脅 在HIP中使用公私鑰對來表示主機(jī)標(biāo)識符 主機(jī)自己把主機(jī)標(biāo)識符相應(yīng)的私鑰保存起來 前面提到的地址盜用和地址洪泛町以得到解決 當(dāng)一個(gè)主機(jī)接受到一個(gè)地址更新包時(shí) 不是盲目的發(fā)送到新地址 而是進(jìn)行一次數(shù)據(jù)包地址可達(dá)性測試 根據(jù)結(jié)果決定是否使用新地址進(jìn)行數(shù)據(jù)傳遞 杜絕了對尤辜節(jié)點(diǎn)的地址洪泛攻擊和地址盜用引起的DoS或MITM攻擊 注 DoS是DenialofService的簡稱 即拒絕服務(wù) 造成DoS的攻擊行為被稱為DoS攻擊 其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù) 最常見的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊 在基本交換中 難題的驗(yàn)證避免了DoS攻擊 難題的級別町由對連接方的信任程度決定 HIP中基本交換建立的ESP安全連接 SAs 和當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)中用IPsec建立的同樣安全 但HIP并非要取代IPsec 它和IPsecESP一起使用會使連接更安全 由于HIP與IPSec緊密結(jié)合 當(dāng)使用HIP時(shí) 在兩個(gè)使HIP的主機(jī)之間的通信信息