基于STiP模型安全主机标识及认证协议.docVIP

基于STiP模型安全主机标识及认证协议 　　【 摘 要 】 为了构建自主可控、安全可信的互联网环境，我们提出了一种安全可信的网络互联协议（STiP）模型。本文详细介绍了STiP模型的层次结构，然后定义了基于STiP模型的报文头格式。此外，设计了终端主机接入协议和映射解析协议，用于终端主机接入的注册，以及在终端主机通信过程中映射信息的更新、查询和响应。 　　【 关键词 】 可信网络；网络安全；命名与寻址；互联网协议；认证协议 　　【 Abstract 】 In order to build a secure and reliable internet environment with controllability， we proposed a secure and trusted internet protocol， which is called STiP. In this paper， the network model and the structure of the protocol is described in detail. After that， the definition of the packet header format is introduced. In addition， the host access protocol is designed for the registration of the STiP based network and the mapping resolution protocol is designed for the updating， querying and response of mapping information during the communication of the hosts. 　　【 Keywords 】 trusted network； network security； naming and addressing； internet protocol； authentication protocol 　　1 引言 　　TCP/IP?f议不具备地址真实性鉴别等内在的安全机制，导致攻击源头和攻击者身份难以追查[8]。目前基于加密认证的技术主要有IPSec和SPM。IPSec是一种端到端的解决方案，大规模部署依赖于全局PKI[12]；SPM是一个自治系统到自治系统的解决方案，每一对互相通信的自治系统拥有一对单独的临时密钥做地址验证[12]。采用以上两种方法，IP源地址真实性的检查只能在目的主机或者目的自治系统内实现[12]。解决包括地址安全在内的网络命名安全问题[9]，构建安全可信的互联网环境，已成为亟待解决的重要课题。 　　数字签名已被证明是解决身份认证问题最有效的方法。在基于证书的公钥密码体制下，公钥数字签名技术需依赖公钥基础设施（PKI）颁发的CA证书绑定实体身份和公钥，以保证实体公钥的真实性。但是，PKI通过引入可信第三方CA，由此带来证书的管理、存储和计算上的代价[9]。目前，自认证的地址安全方案主要有CGA[6]、HIP[4]、XIA[5]、MobilityFirst[7]和NDN[10]，但是这些方案也无法在脱离PKI的情况下实现同时绑定主机标识、路由标识和公钥三者的关系。另外，许多自认证方案需要传输公钥信息，增加了网络开销。实体鉴别所需的公钥数量随着接入网络的终端数量不断地增长，高效的密钥管理、网络实体间的公钥传输、以及公钥的真实性等问题关系到安全可信网络能否落地。 　　在对终端可信接入方面，主要有微软的网络访问保护NAP架构、思科的网络访问控制NAC架构和可信计算组织的TNC架构[13]，这些可信接入方法，一般只检查终端的可信性，没有考虑接入协议本身安全性和网络报文的可信性。在路由安全方面，已有的研究表明BGP协议缺乏一个安全可信的路由认证机制，也即BGP无法对传播路由信息的真实性和完整性进行验证[11]。 　　在网络体系结构方面，目前IP网络中的PI（Provider Independent）地址的大量使用、多家乡以及流量工程的广泛部署造成路由表规模膨胀，以至于当前高端硬件的发展速度已无法满足核心路由表的处理要求，引起路由的可扩展性问题[3]。学术界专门针对这一问题探讨并达成共识，认为造成这一问题的根本原因是IP地址语义过载[3]。当终端主机需要移动时，IP地址作为地址定位符必须改变，但此时主机的身份并未变化[1]。因此，解决这一问题的根本方法就是要实现身份与位置的分离。目前，采用身份标识与地址定位分离的架构己成为未来网络体系结构设计的共识[3]。 　　作为未来安全可信网络的基础研究，STiP[1]模型