主机标识协议(HIP)综述.pptxVIP

《主机标识协议 (HIP)综述》;HIP研究背景;主机标识协议( HIP )概述;HIT的计算方法;协议体系结构; 主机标识符和 I P地址之间动态绑定，动态绑定的结构使主机能够动态地改变它的I P地址而不至于导致正在进行的通信中断，在主机标识协议中，用端点来描述端到端的通信中的逻辑参与者，一般情况下，一个物理主机可以拥有多个逻辑端点，对每个端点必须分配独立的主机标识符。;安全连接的建立过程; 在HIP安全连接的建立过程中，申请建立HIP安全连接的主机被称为发起端，而发起端的对端被称为响应端。HIP安全连接建立的过程为 ① 由发起端向响应端发出I1请求报文，其中主要是包含了通信双方的HI，如果不知道目的端，目的HI也可以被置为0。 ② 响应端在收到了I1报文后，就向发起端发送R1报文，其中主要包含了响应端的HIT和Cookie口令和响应端进行Diffle-Hellman运算的计算结果。 ③ 发起端在收至Rl报文后就对其中的Cookie口令进行运算求解。如果成功得到符合R1报文中难度系数的解，发起端就向响应端发出I2报文。I2报文中包括了进行Diffie-Hellman运算的计算结果，对R1报文中的Cookie口令进行运算求解的结果，IPsec协议所需的SPI值和被加密的发起端公钥。由于此时发起端已经得到响应端的DH公钥，所以它可以利用DH的计算结果对自己的HI进行加密，并把加密的结果包含在I2报文中发送。 ④ 响应端在收到了I 2报文后，验证发起端得到的解。如果求解正确，发起端的身份得到验证，就会利用发起端的Diffie-Hellman运算结果继续。 ;安全连接参数SPI; 每个主机设定自己的Inbound SPI，每一个发向此主机的报文都必须带有这个SPI值。这样主机就可以为不同的主机选择不同的SPI。而SPI是一个随机值。通过这样的方式就可以保证在每个主机内部SPI不会重复。在HIP建立安全连接的过程中，主机内部可以把一个SPI值和一个HIT绑定起来，建立一个SP!到HIT的映射表。主机在收到报文后，就可以利用这个映射关系，找到对应的HIT; 从而找到对应的HIP安全连接。通过这种方法就可以实现在HIP连接建立后，主机之间的报文不再包含HIT和HI。SPI分配图如下。;Host 1、Host 2、Host 3都向Host 4申请建立HIP连接。Host 4分别为这3台主机分配的SPI为SPI 1、SPI 2、SPI 3。其中Host l、Host 2、Host 3的HIT分别为HIT 1、HIT2、HIT 3。在Host4中建立的SPI、HIT、安全联接的绑定如下图。 ;HIP解决的问题与安全性; 在基本交换中，难题的验证避免了DoS攻击。难题的级别町由对连接方的信任程度决定。HIP中基本交换建立的ESP安全连接(SAs)，和当前网络结构中用IPsec建立的同样安全。但HIP并非要取代IPsec，它和IPsec ESP一起使用会使连接更安全。 由于HIP与IPSec紧密结合，当使用HIP时，在两个使HIP的主机之间的通信信息由IPSec的ESP来保证安全加密、认证和完整性保护。ESP的SA与HIT绑定，不再与IP地址绑定 ,因此IP地址的改变不会中断已建好的安全协商SA。HIP基本交换在初始四个包的交换建立通信双方的密钥材料之后 ,由于HI隐含地体现在SA中 ,接下去传输的数据包就不再需要附加的 HIP负载，也就是说，在HIP基本交换之后，不再需要多余的开销。由此 ,移动与安全问题的结合在 HIP协议的支持下就能够得到比较完善的解决。