主機標識協(xié)議 (HIP)綜述.ppt

主機標識協(xié)議 HIP 綜述 HIP研究背景 移動網(wǎng)絡中的安全問題之所以一直都沒有得到很好的解決 其根源在于IP地址自身的缺陷 在IP網(wǎng)絡中IP地址即代表主機的身份 又代表主機的地址 現(xiàn)階段IP地址描述了一臺主機在網(wǎng)絡中的物理位置 這個地址信息用于從源端到目的端的路由 但同時IP地址又是網(wǎng)絡中主機的標識 所以當網(wǎng)絡中的主機發(fā)生移動時由于主機的物理位置發(fā)生了變化 網(wǎng)關必須給主機分配新的Ip地址 但是同時如果主機使用新的lP地址 則主機的標識也發(fā)生了變化 正是這樣一個沖突使得移動網(wǎng)絡中的安全問題一直沒有得到徹底解決 IPV6協(xié)議中規(guī)定的主機在發(fā)生移動后的綁定機制很復雜 這主要是由于主機在發(fā)生移動后 身份隨著IP地址的變化而變化 這樣就存在安全隱患 家鄉(xiāng)代理和通信對端收到的綁定更新可能是其它主機偽造的 這種隱患的根源在于IP協(xié)議中的IP地址既標志著主機在網(wǎng)絡中的位置同時又標識著主機的身份 主機標識協(xié)議 HIP 概述 主機標識協(xié)議引進一個新的加密的命名空間一主機標識符 HostIdentifier HI 主機標識符全球惟一地標識每臺連接到Internet的主機 其目的是將傳輸層與網(wǎng)絡層分開 提供一個加密的主機標識命名空間 更容易對通信雙方進行認證 從而實現(xiàn)安全的 可信任的網(wǎng)絡系統(tǒng) 主機標識協(xié)議中引進了主機標識符 HI 主機標識標簽 HIT 和局部標識符 LSI 三個新的標識符 HI是主機地址HostID的一般表示方式 HI實質上是一對公私鑰對中的公鑰HI有兩種不同的表示方式可供選擇 HostIdentityTag HIT 主機身份標簽 是HI的128位表示法 它由HI經(jīng)hash變換而來 HIT因為長度伺定 能在協(xié)議中廣泛使用 每個HIT都應保證是唯一的 由于HIT是128位的 在數(shù)量很大時沖突的可能性相對較低 LocalScopeIdentity LSI 本地域標識符 是HI的32位表示法 LSI使得HIP可以在現(xiàn)有的協(xié)議譬如IPv4中使用 由于LSl只有32位 它有相對較高的沖突風險 因而 LSI必須被隨機地選擇并只在本地上下文中使用 HIT的計算方法 現(xiàn)在定義了兩種HIT 類型l是利用HI進行SHA 1Hash運算 見信息安全P117 的結果生成128位作為HIT 類型2是把HIT把HIT的前64位用于域名解析 后64位從HI進行SHA 1Hash運算的結果中獲得 現(xiàn)在產生HIT的非對稱密碼算法有DSA和RSA 產生HIT的步驟為 對公鑰進行編碼 把編碼的結果進行SHA 1Hash運算 對于類型l 把HIT的最高兩位置01 然后把HI進行SHA 1Hash運算的結果的后126位作為HIT的后126位 對于類型2 把HIT的最高兩位置10 然后把HI進行SHA lHash運算的結果的后64位作為HIT的后64位 最后中間的62位填入域名信息 協(xié)議體系結構 主機標識協(xié)議在傳輸層和網(wǎng)絡層之間插入一個獨立的新的協(xié)議層一主機標識層 HostIdentityLayer HIL 主機標識層將原來緊密耦合的傳輸層和網(wǎng)絡層分開 IP地址不再扮演主機名稱的角色 它只負責數(shù)據(jù)包的路由轉發(fā) 即僅用作定位符 主機名稱由主機標識符來表示 傳輸層不再與網(wǎng)絡層耦合 主機標識層在邏輯上位于網(wǎng)絡層與傳輸層之間 傳輸層使用作為傳輸層標識符而不是用 由主機標識層完成數(shù)據(jù)包中的主機標識符和IP地址轉換 網(wǎng)絡層對于傳輸層是屏蔽的 網(wǎng)絡層的任何變化不會影響傳輸層鏈路 在目前的Internet體系結構中 端點和用于路由的位置都綁定到IP地址 而在新的體系結構中 端點綁定到主機標識符上 位置綁定到IP地址上 這樣 IP地址只用于路徑選則 主機標識符和IP地址之間動態(tài)綁定 動態(tài)綁定的結構使主機能夠動態(tài)地改變它的IP地址而不至于導致正在進行的通信中斷 在主機標識協(xié)議中 用端點來描述端到端的通信中的邏輯參與者 一般情況下 一個物理主機可以擁有多個邏輯端點 對每個端點必須分配獨立的主機標識符 安全連接的建立過程 在基本交換之前 當一個節(jié)點I要發(fā)起對R的HIP連接時 它首先查詢目錄服務 如DNS 域名系統(tǒng) LDAP等 并獲取R對應的地址 HI值和HIT 之后才能進行基本交換 基本交換是基于Diffie Hellman密鑰交換協(xié)議的四次握手方式 基本交換雙方稱為發(fā)起方和響應方 在基本交換之前 發(fā)起方從地址目錄中取得響應方的IP地址 HI和HIT 之后 發(fā)起方開始基本交換 為了建立HIP連接 HIP定義了四種類型的報文 I1 R1 12 R2 發(fā)起端向響應端發(fā)送I1 觸發(fā)HIP交換 響應端回復R1報文標志著HIP交換的正式開始 在R1報文中包含一個密碼口令 當R1報文發(fā)送到發(fā)起端時 發(fā)起端必須根據(jù)難度系數(shù)K得到一個解 同時在發(fā)送給響應端的I2報文中必須帶有這個解 響應端在收到I2報文后驗證這個解的正確性 如果解不正確則丟棄改報文 最后響應端回復R2報文標志著HIP安全連接的建立 在HIP安全連接的建立過程中 申請建立HIP安全連接的主機被稱為發(fā)起端 而發(fā)起端的對端被稱為響應端 HIP安全連接建立的過程為 由發(fā)起端向響應端發(fā)出I1請求報文 其中主要是包含了通信雙方的HI 如果不知道目的端 目的HI也可以被置為0 響應端在收到了I1報文后 就向發(fā)起端發(fā)送R1報文 其中主要包含了響應端的HIT和Cookie口令和響應端進行Diffle Hellman運算的計算結果 發(fā)起端在收至Rl報文后就對其中的Cookie口令進行運算求解 如果成功得到符合R1報文中難度系數(shù)的解 發(fā)起端就向響應端發(fā)出I2報文 I2報文中包括了進行Diffie Hellman運算的計算結果 對R1報文中的Cookie口令進行運算求解的結果 IPsec協(xié)議所需的SPI值和被加密的發(fā)起端公鑰 由于此時發(fā)起端已經(jīng)得到響應端的DH公鑰 所以它可以利用DH的計算結果對自己的HI進行加密 并把加密的結果包含在I2報文中發(fā)送 響應端在收到了I2報文后 驗證發(fā)起端得到的解 如果求解正確 發(fā)起端的身份得到驗證 就會利用發(fā)起端的Diffie Hellman運算結果繼續(xù) 安全連接參數(shù)SPI SPI是報文在進行ESP處理時用于尋找報文對應的安全連接的索引 在HIP協(xié)議中ESPSPI有著重要的意義 在SPI對應著HIT 由于在HIP連接建立以后 主機之間進行通行的報文不再帶有H1和HIT 因此在網(wǎng)絡中每個主機內部就要使用一個標號來代替HIT 作為網(wǎng)絡中主機的標識 在正常通信過程中就利用這個標識找到對應的HIT 再用HIT找到對應的安全連接 而ESPSPI就正是具有這種特性 在ESP中主機就是通過SPI來對主機進行標識的 對于要借用IPSecESP來保證通信安全的HIP來說 使用SPI正好可以解決在沒有HIT的通信過程中主機的標識問題 每個主機設定自己的InboundSPI 每一個發(fā)向此主機的報文都必須帶有這個SPI值 這樣主機就可以為不同的主機選擇不同的SPI 而SPI是一個隨機值 通過這樣的方式就可以保證在每個主機內部SPI不會重復 在HIP建立安全連接的過程中 主機內部可以把一個SPI值和一個HIT綁定起來 建立一個SP 到HIT的映射表 主機在收到報文后 就可以利用這個映射關系 找到對應的HIT 從而找到對應的HIP安全連接 通過這種方法就可以實現(xiàn)在HIP連接建立后 主機之間的報文不再包含HIT和HI SPI分配圖如下 Host1 Host2 Host3都向Host4申請建立HIP連接 Host4分別為這3臺主機分配的SPI為SPI1 SPI2 SPI3 其中Hostl Host2 Host3的HIT分別為HIT1 HIT2 HIT3 在Host4中建立的SPI HIT 安全聯(lián)接的綁定如下圖 SPI的計算方法為 在HIT后級聯(lián)32bits的隨機數(shù) 然后對這個隨機數(shù)進行SHA 1Hash運算 把運算結果的高32bits作為SPl值 HIP解決的問題與安全性 HIP在設計時考慮與現(xiàn)有協(xié)議棧兼容 所以現(xiàn)有的IPv6的應用都可以不加修改地使用 HIT代替IPv6地址 而LSI可以在應用中代替IPv4地址 HIP能夠保證充分的向后兼容性 另外 HI的公鑰特性保證了信息傳輸過程中的安全性 該協(xié)議的設計充分考慮各種攻擊的可能 能夠在很大程度上抵御中間人攻擊和DoS攻擊的威脅 在HIP中使用公私鑰對來表示主機標識符 主機自己把主機標識符相應的私鑰保存起來 前面提到的地址盜用和地址洪泛町以得到解決 當一個主機接受到一個地址更新包時 不是盲目的發(fā)送到新地址 而是進行一次數(shù)據(jù)包地址可達性測試 根據(jù)結果決定是否使用新地址進行數(shù)據(jù)傳遞 杜絕了對尤辜節(jié)點的地址洪泛攻擊和地址盜用引起的DoS或MITM攻擊 注 DoS是DenialofService的簡稱 即拒絕服務 造成DoS的攻擊行為被稱為DoS攻擊 其目的是使計算機或網(wǎng)絡無法提供正常的服務 最常見的DoS攻擊有計算機網(wǎng)絡帶寬攻擊和連通性攻擊 在基本交換中 難題的驗證避免了DoS攻擊 難題的級別町由對連接方的信任程度決定 HIP中基本交換建立的ESP安全連接 SAs 和當前網(wǎng)絡結構中用IPsec建立的同樣安全 但HIP并非要取代IPsec 它和IPsecESP一起使用會使連接更安全 由于HIP與IPSec緊密結合 當使用HIP時 在兩個使HIP的主機之間的通信信息