主機標識協(xié)議 HIP綜述

1、精選ppt1主機標識協(xié)議主機標識協(xié)議 (HIP)綜述綜述精選ppt2HIP研究背景研究背景 移動網絡中的安全問題之所以一直都沒有得到很好的解決，其根源在于IP地址自身的缺陷：在IP網絡中IP地址即代表主機的身份，又代表主機的地址。現階段IP地址描述了一臺主機在網絡中的物理位置，這個地址信息用于從源端到目的端的路由，但同時IP地址又是網絡中主機的標識。所以當網絡中的主機發(fā)生移動時由于主機的物理位置發(fā)生了變化，網關必須給主機分配新的Ip地址；但是同時如果主機使用新的lP地址，則主機的標識也發(fā)生了變化。正是這樣一個沖突使得移動網絡中的安全問題一直沒有得到徹底解決。 IPV6協(xié)議中規(guī)定的主機在發(fā)生移動

2、后的綁定機制很復雜，這主要是由于主機在發(fā)生移動后，身份隨著IP地址的變化而變化，這樣就存在安全隱患，家鄉(xiāng)代理和通信對端收到的綁定更新可能是其它主機偽造的。這種隱患的根源在于IP協(xié)議中的IP地址既標志著主機在網絡中的位置同時又標識著主機的身份。精選ppt3主機標識協(xié)議主機標識協(xié)議( HIP )概述概述 主機標識協(xié)議引進一個新的加密的命名空間一主機標識符( Host Identifier，HI )，主機標識符全球惟一地標識每臺連接到Internet的主機，其目的是將傳輸層與網絡層分開，提供一個加密的主機標識命名空間，更容易對通信雙方進行認證，從而實現安全的、可信任的網絡系統(tǒng)。主機標識協(xié)議中引進了主

3、機標識符主機標識符(HI)、主機標識標簽、主機標識標簽(HIT) 和局部標識符和局部標識符(LSI)三個新的標識符。 HI是主機地址主機地址Host ID的一般表示方式。HI實質上是一對公私鑰對中的公鑰HI有兩種不同有兩種不同的表示方式可供選擇：Host Identity Tag(HIT，主機身份標簽，主機身份標簽)是HI的128位位表示法，它由HI經hash變換變換而來。HIT因為長度伺定，能在協(xié)議中廣泛使用。每個HIT都應保證是唯一的。由于HIT是128位的，在數量很大時沖突的可能性相對較低。LocalScope Identity(LSI，本地域標識符，本地域標識符)是HI的32位位表示法

4、。LSI使得HIP可以在現有的協(xié)議譬如IPv4中使用。由于LSl只有32位，它有相對較高的沖突風險。因而，LSI必須被隨機地選擇并只在本地本地上下文中使用。精選ppt4HIT的計算方法的計算方法 現在定義了兩種HIT類型l是利用HI進行SHA-1 Hash運算運算（見信息安全P117）的結果生成128位作為HIT。類型2是把HIT把HIT的前前64位用于域名解析，后位用于域名解析，后64位位從從HI進行進行SHA-1 Hash運算的結果中獲得。 現在產生HIT的非對稱密碼算法有DSA和RSA。產生HIT的步驟為： 對公鑰進行編碼。 把編碼的結果進行SHA1 Hash運算。 對于類型對于類型l，

5、把HIT的最高兩位置置01，然后把HI進行SHA-1 Hash運算的結果的后126位作為HIT的后126位；對對于類型于類型2，把HIT的最高兩位置置10，然后把HI進行SHA-l Hash運算的結果的后64位作為HIT的后64位，最后中間最后中間的的62位填入域名信息位填入域名信息。精選ppt5協(xié)議體系結構協(xié)議體系結構 主機標識協(xié)議在傳輸層和網絡層之間插入一個獨立的新的協(xié)議層一主機標識層主機標識層( Host Identity Layer， HIL ) ，主機標識層將原來緊密耦合的傳輸層傳輸層和網絡層網絡層分開 ，I P地址不再扮演主機名稱的角色 ，它只負責數據包的路由轉發(fā)，即僅用作定位符定

6、位符，主機名稱由主機標識符來表示主機名稱由主機標識符來表示。 傳輸層傳輸層不再與網絡層網絡層耦合，主機標識層在邏輯上位于網絡層與傳輸層之間，傳輸層使用作為傳輸層標識符而不是用，由主機標識層完成數據包中的主機標識符和IP地址轉換，網絡層對于傳輸層是屏蔽的，網絡層的任何變化不會影響傳輸層鏈路。在目前的Internet體系結構中，端點和用于路由的位置都綁定到IP地址，而在新的體系結構中，端點綁定到主機標識符上，位置綁定到IP地址上，這樣，IP地址只用于路徑選則精選ppt6 主機標識符和 I P地址之間動態(tài)綁定，動態(tài)綁定的結構使主機能夠動態(tài)地改變它的I P地址而不至于導致正在進行的通信中斷，在主機標識

7、協(xié)議中，用端點來描述端到端的通信中的邏輯參與者，一般情況下，一個物理主機可以擁有多個邏輯端點，對每個端點必須分配獨立的主機標識符。精選ppt7安全連接的建立過程安全連接的建立過程 在基本交換之前，當一個節(jié)點I要發(fā)起對R的HIP連接時，它首先查詢目錄服務，如DNS（域名系統(tǒng)）、 LDAP等，并獲獲取取R對應的地址、對應的地址、H I值和值和HIT，之后才能進行基本交換，之后才能進行基本交換。 基本交換是基于Diffie-Hellman密鑰交換協(xié)議的四次握手密鑰交換協(xié)議的四次握手方式方式?；窘粨Q雙方稱為發(fā)起方和響應方。在基本交換之前，發(fā)起方從地址目錄中取得響應方的IP地址、HI和HIT。之后，發(fā)

8、起方開始基本交換。 為了建立HIP連接，HIP定義了四種類型的報文：I1、R1、12、R2。發(fā)起端向響應端發(fā)送I1，觸發(fā)HIP交換。響應端回復R1報文標志著HIP交換的正式開始。在R1報文中包含一個密碼口令，當R1報文發(fā)送到發(fā)起端時，發(fā)起端必須根據難度系數K得到一個解：同時在發(fā)送給響應端的I2報文中必須帶有這個解。響應端在收到I2報文后驗證這個解的正確性，如果解不正確則丟棄改報文。最后響應端回復R2報文標志著HIP安全連接的建立。精選ppt8精選ppt9 在在HIP安全連接的建立過程安全連接的建立過程中，申請建立中，申請建立HIP安全連接的主安全連接的主機被稱為發(fā)起端，而發(fā)起端的對機被稱為發(fā)起

9、端，而發(fā)起端的對端被稱為響應端。端被稱為響應端。HIP安全連接安全連接建立的過程為建立的過程為 由發(fā)起端向響應端發(fā)出I1請求報文，其中主要是包含了通信雙方的HI，如果不知道目的端，目的HI也可以被置為0。 響應端在收到了I1報文后，就向發(fā)起端發(fā)送R1報文，其中主要包含了響應端的HIT和Cookie口令和響應端進行Diffle-Hellman運算的計算結果。 發(fā)起端在收至Rl報文后就對其中的Cookie口令進行運算求解。如果成功得到符合R1報文中難度系數的解，發(fā)起端就向響應端發(fā)出I2報文。I2報文中包括了進行Diffie-Hellman運算的計算結果，對R1報文中的Cookie口令進行運算求解的

10、結果，IPsec協(xié)議所需的SPI值和被加密的發(fā)起端公鑰。由于此時發(fā)起端已經得到響應端的DH公鑰，所以它可以利用DH的計算結果對自己的HI進行加密，并把加密的結果包含在I2報文中發(fā)送。 響應端在收到了I 2報文后，驗證發(fā)起端得到的解。如果求解正確，發(fā)起端的身份得到驗證，就會利用發(fā)起端的Diffie-Hellman運算結果繼續(xù)。精選ppt10安全連接參數安全連接參數SPI SPI是報文在進行ESP處理時用于尋找報文對應的安全連接的索引。在HIP協(xié)議中ESP SPI有著重要的意義：在SPI對應著HIT。由于在HIP連接建立以后，主機之間進行通行的報文不再帶有H1和HIT。因此在網絡中每個主機內部就要

11、使用一個標號來代替HIT，作為網絡中主機的標識。在正常通信過程中就利用這個標識找到對應的HIT，再用HIT找到對應的安全連接；而ESP SPI就正是具有這種特性。在ESP中主機就是通過SPI來對主機進行標識的，對于要借用IPSecESP來保證通信安全的HIP來說，使用SPI正好可以解決在沒有HIT的通信過程中主機的標識問題。 精選ppt11 每個主機設定自己的Inbound SPI，每一個發(fā)向此主機的報文都必須帶有這個SPI值。這樣主機就可以為不同的主機選擇不同的SPI。而SPI是一個隨機值。通過這樣的方式就可以保證在每個主機內部SPI不會重復。在HIP建立安全連接的過程中，主機內部可以把一個

12、SPI值和一個HIT綁定起來，建立一個SP!到HIT的映射表。主機在收到報文后，就可以利用這個映射關系，找到對應的HIT; 從而找到對應的HIP安全連接。通過這種方法就可以實現在HIP連接建立后，主機之間的報文不再包含HIT和HI。SPI分配圖如下。精選ppt12Host 1、Host 2、Host 3都向Host 4申請建立HIP連接。Host 4分別為這3臺主機分配的SPI為SPI 1、SPI 2、SPI 3。其中Host l、Host 2、Host 3的HIT分別為HIT 1、HIT2、HIT 3。在Host4中建立的SPI、HIT、安全聯(lián)接的綁定如下圖。SPI的計算方法為的計算方法為：

13、在HIT后級聯(lián)32 bits的隨機數，然后對這個隨機數進行SHA-1 Hash運算，把運算結果的高32 bits作為SPl值。精選ppt13HIP解決的問題與安全性解決的問題與安全性 HIP在設計時考慮與現有協(xié)議棧兼容，所以現有的IPv6的應用都可以不加修改地使用。HIT代替代替IPv 6地址地址，而而LSI可以可以在應用中代替在應用中代替IPv4地址地址，HIP能夠保證充分的向后兼容性。另外， HI 的公鑰特性保證了信息傳輸過程中的安全性 ，該協(xié)議的設計充分考慮各種攻擊的可能 , 能夠在很大程度上抵御中間人攻擊中間人攻擊和DoS攻擊攻擊的威脅。 在HIP中使用公私鑰對來表示主機標識符，主機自

14、己把主機標識符相應的私鑰保存起來。前面提到的地址盜用和地址洪泛町以得到解決。當一個主機接受到一個地址更新包時，不是盲目的發(fā)送到新地址，而是進行一次數據包地址可達性測試，根據結果決定是否使用新地址進行數據傳遞，杜絕了對尤辜節(jié)點的地址洪泛攻擊和地址盜用引起的DoS或MITM攻擊。注：DoS是Denial of Service的簡稱，即拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。精選ppt14 在基本交換中，難題的驗證避免了DoS攻擊。難題的級別町由對連接方的信任程度決定。HIP中基本交換建立的ESP安全連接(SAs)，和當前網絡結構中用IPsec建立的同樣安全。但HIP并非要取代IPsec，它和IPsec ESP一起使用會使連接更安全。 由于HIP與IPSec緊密結合，當使用HIP時，在兩個使HIP的主機之間的通信信息由IPSec的ESP來保證安全加密、認證和完整性保