论文部分内容阅读
摘 要:安全性和主机移动是Internet研究的热题。HIP是一个能够用简单方式解决主机动、多宿主和安全的新协议,本文详细介绍了HIP协议相关概念及其体系结构、实体与相应标识符的绑定、协议数据包结构和HIP基本交换过程,阐述了HIP对主机移动和多宿主的解决方法、安全性问题等问题。
关键词:主机标识符;体系结构;基本技术
中图分类号:TP393.04文献标识码:A
Technology Realization and its Application of Host Identity Protocol(HIP)
QIN Zhen-hui
(China TieTong Henan Branch,Henan Zhengzhou 450000)
Key words: HIP;technology realization;application
随着信息时代的发展,TCP/IP正面临着越来越多的挑战,随着移动通讯网络更加紧密地与IP网络融合在一起,TCP/IP只考虑静态环境而设计的弊端日益显现,它无法支持通信过程中的IP地址的动态变化。主机移动和主机宿主引发了新的安全问题:地址盗用和地址洪泛。本文详细介绍了主机标识协议的体系结构及主机移动、多宿主及安全的解决方案。
1 主动移动、多宿主研究现状
流控制传输协议(SCTP)像TCP一样可靠并提供了多流机制和多宿等新的特点。它可以无差错、无重复的进行数据传输,实现网络级容错。但其代价较高,性能并不是很好。它依赖于IPv6,允许移动设备在维护其IP地址和传输层连接的同时改变连接到网络的位置。MIPv6并没有解决多宿主问题,且易收到拒绝服务攻击,其目标是对应用程序提供透明服务,因此,协议的实现和控制更复杂。
在主机移动和多宿主方面还有很多解决方法,本文研究的主机标识协议能够安全且简单地解决主机移动和多宿主问题,对拒绝服务攻击和中间人攻击有很强的抵抗力。
2 主机移动、多宿主研究现况
流控制协议(SCTP)是IETF提出的标准传输协议,它最终有可能取代TCP以及UDP。它的多宿主特性支持主机移动而不需特殊的路由代理,还可以无差错、无重复的进行数据传输,通过支持多宿主实现网络级容错。但是它解决问题的代价较高,在无线网络中性能并不是很好。
移动IPv6(MIPv6)是一个由IETF建议的解决移动问题的网络层协议标准,它依赖于IPv6,允许设备改变连接到网络的位置,但是并没有解决多宿主问题。IPv6和IPv4之间传输数据会有很多问题,因此协议的实现和控制更复杂。
在主机移动和多宿主方面还有很多解决方法,但是都不能够很好的对主机移动、多宿主问题以及安全问题同时加以解决,本文研究的主机标识协议能够安全且简单的解决这些问题,对拒绝服务攻击和中间人攻击有很强的抵抗力。
3 主机标识协议(HIP)
3.1概述
主机标识协议引进一个新的加密的命名空间一主机标识符(HI),目的是将传输层与网络层分开,为Internet提供一个安全的主机移动和多宿主的方法,更易对通信双方进行认证而实现安全的可信任的网络系统。
主机标识协议中引进了主机标识符(HI)、主机标识标签(HIT)和局部标识符(LSI)。每个主机可以有多个HI,用不对称加密算法中公/私密钥对的公钥来表示。HIT是对主机标识符的某种哈希变化。为了和现有的IPv4兼容并能在一个局部系统中使用主机标识符,协议定义了LSI。
3.2协议体系结构和基本交换过程
3.2.1协议体系结构
主机标识协议在传输层和网络层之间插入一个独立的新的协议层-主机标识层(Host Identity Layer, HIL)。 引入主机标识协议层后,传输层不再与网络层耦合。主机标识符和IP地址之间动态绑定,使主机能够动态地改变它的IP地址而不至于导致正在进行的通讯中断。
3.2.2包结构与基本交换过程
HIP协议用扩展头部来表示协议头部,用封装安全载荷(ESP)进行封装,在两台主机之间建立端到端的IPSec ESP安全关联(SA)来增强数据安全性。
HIP协议的基本交换是一个加密的四次握手过程,发起通信的主机叫发起方,另一端应答的主机叫应答方。四次握手建立安全关联以后,双方开始双向数据传输。
3.3标识协议的安全性
3.3.1HIP安全性
在HIP中使用公/私钥对来表示主机标识符,主机自己把主机标识符相应的私钥保存起来。前面提到的地址盗用和地址洪泛可以得到解决。当一个主机接受到一个地址更新包时,不是盲目的发送到新地址,而是进行一次数据包地址可达性测试,根据结果决定是否使用新地址进行数据传递,杜绝了对无辜节点的地址洪泛攻击和地址盗用引起的DoS或MITM攻击。
3.3.2ESP保护
HIP基本交换结束后,通信双方创建一个IPSec ESP安全关联,数据通信是由ESP封装的安全通信过程。通信双方的HIP四次握手过程中通过使用SPI参数来交换相应的参数创建IPSee安全上下文,并通过此参数对流入或流出的数据包找到合适的安全关联。两个端点 在创建安全上下文时是用HI进行通信,并且对流入和流出数据分别创建安全关联。
3.4主机移动和多宿主
协议引进定位符的概念来解决主机移动和多宿主问题。主机可以通过任意一个定位符来发送和接收数据,当定位符发生改变时通知相应主机自己定位符的改变情况以保持通信的连续性。主机标识符、安全关联的SPI及IP地址之间的转换关系由主机标识协议来负责。通过主机标识协议能够同时解决主机移动和多宿主问题。
4 主机标识协议需要解决的问题
主机标识协议用一种简单的方式同时解决了主机移动、多宿主和安全问题,但是针对核心的变动,在实际应用时会引发许多问题。一是所有主机都需要重新部署支持HIP,另一个问题是它不支持组播。
关键词:主机标识符;体系结构;基本技术
中图分类号:TP393.04文献标识码:A
Technology Realization and its Application of Host Identity Protocol(HIP)
QIN Zhen-hui
(China TieTong Henan Branch,Henan Zhengzhou 450000)
Key words: HIP;technology realization;application
随着信息时代的发展,TCP/IP正面临着越来越多的挑战,随着移动通讯网络更加紧密地与IP网络融合在一起,TCP/IP只考虑静态环境而设计的弊端日益显现,它无法支持通信过程中的IP地址的动态变化。主机移动和主机宿主引发了新的安全问题:地址盗用和地址洪泛。本文详细介绍了主机标识协议的体系结构及主机移动、多宿主及安全的解决方案。
1 主动移动、多宿主研究现状
流控制传输协议(SCTP)像TCP一样可靠并提供了多流机制和多宿等新的特点。它可以无差错、无重复的进行数据传输,实现网络级容错。但其代价较高,性能并不是很好。它依赖于IPv6,允许移动设备在维护其IP地址和传输层连接的同时改变连接到网络的位置。MIPv6并没有解决多宿主问题,且易收到拒绝服务攻击,其目标是对应用程序提供透明服务,因此,协议的实现和控制更复杂。
在主机移动和多宿主方面还有很多解决方法,本文研究的主机标识协议能够安全且简单地解决主机移动和多宿主问题,对拒绝服务攻击和中间人攻击有很强的抵抗力。
2 主机移动、多宿主研究现况
流控制协议(SCTP)是IETF提出的标准传输协议,它最终有可能取代TCP以及UDP。它的多宿主特性支持主机移动而不需特殊的路由代理,还可以无差错、无重复的进行数据传输,通过支持多宿主实现网络级容错。但是它解决问题的代价较高,在无线网络中性能并不是很好。
移动IPv6(MIPv6)是一个由IETF建议的解决移动问题的网络层协议标准,它依赖于IPv6,允许设备改变连接到网络的位置,但是并没有解决多宿主问题。IPv6和IPv4之间传输数据会有很多问题,因此协议的实现和控制更复杂。
在主机移动和多宿主方面还有很多解决方法,但是都不能够很好的对主机移动、多宿主问题以及安全问题同时加以解决,本文研究的主机标识协议能够安全且简单的解决这些问题,对拒绝服务攻击和中间人攻击有很强的抵抗力。
3 主机标识协议(HIP)
3.1概述
主机标识协议引进一个新的加密的命名空间一主机标识符(HI),目的是将传输层与网络层分开,为Internet提供一个安全的主机移动和多宿主的方法,更易对通信双方进行认证而实现安全的可信任的网络系统。
主机标识协议中引进了主机标识符(HI)、主机标识标签(HIT)和局部标识符(LSI)。每个主机可以有多个HI,用不对称加密算法中公/私密钥对的公钥来表示。HIT是对主机标识符的某种哈希变化。为了和现有的IPv4兼容并能在一个局部系统中使用主机标识符,协议定义了LSI。
3.2协议体系结构和基本交换过程
3.2.1协议体系结构
主机标识协议在传输层和网络层之间插入一个独立的新的协议层-主机标识层(Host Identity Layer, HIL)。 引入主机标识协议层后,传输层不再与网络层耦合。主机标识符和IP地址之间动态绑定,使主机能够动态地改变它的IP地址而不至于导致正在进行的通讯中断。
3.2.2包结构与基本交换过程
HIP协议用扩展头部来表示协议头部,用封装安全载荷(ESP)进行封装,在两台主机之间建立端到端的IPSec ESP安全关联(SA)来增强数据安全性。
HIP协议的基本交换是一个加密的四次握手过程,发起通信的主机叫发起方,另一端应答的主机叫应答方。四次握手建立安全关联以后,双方开始双向数据传输。
3.3标识协议的安全性
3.3.1HIP安全性
在HIP中使用公/私钥对来表示主机标识符,主机自己把主机标识符相应的私钥保存起来。前面提到的地址盗用和地址洪泛可以得到解决。当一个主机接受到一个地址更新包时,不是盲目的发送到新地址,而是进行一次数据包地址可达性测试,根据结果决定是否使用新地址进行数据传递,杜绝了对无辜节点的地址洪泛攻击和地址盗用引起的DoS或MITM攻击。
3.3.2ESP保护
HIP基本交换结束后,通信双方创建一个IPSec ESP安全关联,数据通信是由ESP封装的安全通信过程。通信双方的HIP四次握手过程中通过使用SPI参数来交换相应的参数创建IPSee安全上下文,并通过此参数对流入或流出的数据包找到合适的安全关联。两个端点 在创建安全上下文时是用HI进行通信,并且对流入和流出数据分别创建安全关联。
3.4主机移动和多宿主
协议引进定位符的概念来解决主机移动和多宿主问题。主机可以通过任意一个定位符来发送和接收数据,当定位符发生改变时通知相应主机自己定位符的改变情况以保持通信的连续性。主机标识符、安全关联的SPI及IP地址之间的转换关系由主机标识协议来负责。通过主机标识协议能够同时解决主机移动和多宿主问题。
4 主机标识协议需要解决的问题
主机标识协议用一种简单的方式同时解决了主机移动、多宿主和安全问题,但是针对核心的变动,在实际应用时会引发许多问题。一是所有主机都需要重新部署支持HIP,另一个问题是它不支持组播。