??? 摘 要： 針對IP網(wǎng)絡(luò)存在的可信性問題，分析了目前所使用的TCP/IP" title="TCP/IP">TCP/IP協(xié)議缺陷，研究了一種新的解決方法——HIP協(xié)議。在分析HIP協(xié)議結(jié)構(gòu)的基礎(chǔ)上，給出了一種新的支持IP終端移動的可信網(wǎng)絡(luò)設(shè)計方案，并就方案中安全問題實現(xiàn)進行了討論。
??? 關(guān)鍵詞： HIP協(xié)議? 可信IP移動網(wǎng)絡(luò)" title="移動網(wǎng)絡(luò)">移動網(wǎng)絡(luò)? HIT? IPSEC

?

1 目前網(wǎng)絡(luò)存在的問題
??? 隨著科學技術(shù)的發(fā)展，信息網(wǎng)絡(luò)已成為推動社會進步的巨大動力。經(jīng)濟與社會的發(fā)展要求信息網(wǎng)絡(luò)能在任何地點、任何時間、以任何方式提供安全的信息服務(wù)，但現(xiàn)有信息網(wǎng)絡(luò)存在的問題" title="存在的問題">存在的問題使之距此目標甚遠?？尚判允乾F(xiàn)有網(wǎng)絡(luò)中最令人關(guān)注的問題之一?？尚判灾饕ㄋ膫€方面的內(nèi)容：機密性、認證、完整性、不可抵賴性。但移動環(huán)境則對IP網(wǎng)絡(luò)的可信性帶來了許多新的問題。
??? TCP/IP協(xié)議在二十世紀七八十年代出現(xiàn)時，并沒有考慮移動網(wǎng)絡(luò)和多宿主問題。IP地址一直既擔任標識網(wǎng)絡(luò)通信節(jié)點的功能，又起到了網(wǎng)絡(luò)拓撲定位的作用。前者要求對于一個固定主機，IP地址不能改變；而后者又要求當主機在網(wǎng)絡(luò)中改變位置時，IP地址必須能夠改變。這就造成了目前所使用的IP地址機制不能同時達到兼顧穩(wěn)定性和動態(tài)變化的要求。同時，目前的互聯(lián)網(wǎng)是在TCP/IP協(xié)議的基礎(chǔ)上進行的設(shè)計，它是具有冪律結(jié)構(gòu)的無標度網(wǎng)絡(luò)，正是這種無標度的冪律拓撲結(jié)構(gòu)導致互聯(lián)網(wǎng)對惡意攻擊的抵御能力十分脆弱。互聯(lián)網(wǎng)的“best effort”存儲轉(zhuǎn)發(fā)思想使得網(wǎng)絡(luò)節(jié)點對所要傳輸?shù)臄?shù)據(jù)包的來源不驗證、不審計，導致地址假冒、垃圾信息泛濫、入侵和攻擊行為無法跟蹤，移動環(huán)境下這種情況尤為嚴重。這些都是研究和設(shè)計可信網(wǎng)絡(luò)需要考慮的問題。
??? 基于一種新型網(wǎng)絡(luò)，提供普適可信的移動服務(wù)已經(jīng)成為我國乃至世界各主要國家信息化戰(zhàn)略的核心研究內(nèi)容。2002年，日本NTT提出的下一代網(wǎng)絡(luò)" title="下一代網(wǎng)絡(luò)">下一代網(wǎng)絡(luò)，遵循控制和傳送分離，著重于安全和高帶寬接入的應(yīng)用原則；同年歐盟提出了第六框架計劃——FP6（The Sixth EU Framework Programme），重點研究如何提供具有高安全、高質(zhì)量和高性能的無縫服務(wù)；2005年，韓國提出了下一代網(wǎng)絡(luò)——BcN（Broadband Convergence Network），著重在現(xiàn)有網(wǎng)絡(luò)上加強控制方面的功能，以增強業(yè)務(wù)開發(fā)能力；2005年8月，美國自然科學基金委員會提出“全球網(wǎng)絡(luò)研究環(huán)境”——GENI(Global Environment for Networking Investigations)項目，該項目投資3億美元，擬從根本上重新設(shè)計互聯(lián)網(wǎng)，以解決現(xiàn)有的各種問題，打造一個更適合未來計算機環(huán)境的下一代互聯(lián)網(wǎng)。美國國家科學基金會的官員在一份文件中稱，下一代互聯(lián)網(wǎng)的研究重點是網(wǎng)絡(luò)安全，手機、無線和傳感器網(wǎng)絡(luò)共同組成的普適計算(pervasive computing)環(huán)境，重要基礎(chǔ)設(shè)施控制，以及處理新型服務(wù)的能力?？梢钥闯?，對于未來網(wǎng)絡(luò)目標，已經(jīng)達成研究共識，目的是要設(shè)計一個可信、移動的普適異構(gòu)網(wǎng)絡(luò)。
??? 目前，針對移動可信網(wǎng)絡(luò)的問題，已經(jīng)提出一些解決方法，如流傳輸控制協(xié)議SCTP、移動IP的一些安全擴展協(xié)議等。但在TCP/IP協(xié)議中，由于通信節(jié)點間的連接由一個五元組（協(xié)議、源IP地址、目的IP地址、源端口號、目的端口號）惟一確定，當節(jié)點移動等原因使IP地址變化時，原來的傳輸連接就會發(fā)生變化，數(shù)據(jù)傳輸安全性無法得到滿足。而流傳輸控制協(xié)議SCTP、移動IP協(xié)議等都沒有解決主機標識信息與位置信息在IP地址上的綁定" title="綁定">綁定，因此都沒有真正解決IP移動網(wǎng)絡(luò)中出現(xiàn)的安全問題。
??? 在對目前IP互聯(lián)網(wǎng)絡(luò)問題分析的基礎(chǔ)上，結(jié)合下一代網(wǎng)絡(luò)研究的需求，基于主機標識協(xié)議的思想，本文提出一種新型的IP網(wǎng)絡(luò)移動環(huán)境下的可信架構(gòu)設(shè)計。
2 主機標識協(xié)議
??? 主機標識協(xié)議HIP(Host Identity Protocol)^[1]是由Robert Moskowitz等人于2001年提出的。HIP協(xié)議引入一種新的命名空間——主機標識HI(Host Identity)，它在網(wǎng)絡(luò)中以主機的身份，使IP地址不再同時具有定位和主機標識的功能。它的基本思想是將網(wǎng)絡(luò)節(jié)點的地址分為兩部分：標識與位置。標識部分利用加密的命名空間惟一地命名主機；而位置部分則惟一地定義節(jié)點在網(wǎng)絡(luò)中的拓撲位置。
??? HIP協(xié)議的實現(xiàn)是在網(wǎng)絡(luò)通信模型的網(wǎng)絡(luò)層與傳輸層之間加入主機標識層，用于標識主機，如圖1所示。在引入HIP協(xié)議后，網(wǎng)絡(luò)層仍然采用IP地址交付報文，而上層協(xié)議則使用對作為對等實體的地址。主機標識HI實際上是非對稱密鑰算法中一對公私鑰對的公鑰。應(yīng)用HIP后，每一個HI就可映射為一個或多個、長期或短期的IP地址，用來標記移動節(jié)點在網(wǎng)絡(luò)中的位置。由于非對稱密鑰算法中的公鑰長度并不一致，而且由于IPv6的地址是128bit，所以對標識進行哈希(hash)換算，得到一個128bit的主機標識標簽HIT(Host Identity Tag)，在實際應(yīng)用中使用。這樣,傳輸層和應(yīng)用層就都看不到IP地址，IP地址只是用來尋路，而將HIT當作主機的地址。各層功能的綁定關(guān)系如圖2所示。

?

?

??? 因為IPv6的地址是128bit，所以HIT可以直接用于IPv6。并且，一個HI可以綁定一個或多個IP地址，這種綁定是一種暫時的動態(tài)綁定，實現(xiàn)了主機標識和IP地址間的動態(tài)映射，因此支持移動和多宿主環(huán)境。
3 一種基于HIP的可信IP 終端移動方案
3.1 可信IP終端移動方案
??? 為實現(xiàn)真正的可信移動網(wǎng)絡(luò)，需要重新設(shè)計網(wǎng)絡(luò)體系結(jié)構(gòu)，或在現(xiàn)有IP網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上進行研究設(shè)計，以提供對可信性和移動性的支持。本文是根據(jù)國家科技部973項目《一體化可信網(wǎng)絡(luò)與普適服務(wù)體系基礎(chǔ)研究》所做的網(wǎng)絡(luò)體系結(jié)構(gòu)研究的一部分。為解決傳統(tǒng)網(wǎng)絡(luò)中服務(wù)連接、用戶身份和用戶位置使用同一標識而造成的服務(wù)連接的不穩(wěn)定性和用戶身份的欺騙行為，提出一種新的基于HIP協(xié)議的可信IP移動網(wǎng)絡(luò)設(shè)計方法，從而支持網(wǎng)絡(luò)的移動性和安全性。
??? 本設(shè)計是在現(xiàn)有TCP/IP基礎(chǔ)上，引入主機身份標識，根據(jù)HIP協(xié)議的思想，實現(xiàn)與IP地址的功能性分離。當主機第一次進入網(wǎng)絡(luò)時，被分配一個身份標識HI，唯一地標識通信連接中終端設(shè)備的身份信息。HI具有全局意義，是全球惟一的，HI經(jīng)過hash換算后得到身份標識HIT，被填充在HIP層。將終端主機標識HI和終端位置信息IP地址的映射存儲于集中服務(wù)器RVS中，而采用域名服務(wù)器DNS存儲RVS的IP地址和服務(wù)域名進行綁定。
??? 基于以上定義，移動網(wǎng)絡(luò)的通信過程如圖3所示。

?

?

??? (1)當節(jié)點第一次進入網(wǎng)絡(luò)時，被分配一個終端身份標識HI，并根據(jù)HI向監(jiān)測到終端的RVS-MN進行注冊，將該HI與目前的位置信息——IP地址進行映射綁定，記錄在RVS-MN中。
??? (2)子網(wǎng)A1內(nèi)某終端MN需要與子網(wǎng)A2內(nèi)某終端CN通信時，MN首先根據(jù)自己的HI向自己所綁定的域名服務(wù)器DNS發(fā)起查詢。DNS根據(jù)哈希算法向其他DNS發(fā)出查詢，得到CN所在的DNS。
??? (3)DNS中記錄著CN所在的RVS-CN，查詢RVS-CN找到CN目前的IP地址，并進行具有加密功能的通信的前四次握手過程，建立具有IPSEC保護的通信連接。
??? (4)MN收到呼叫應(yīng)答后，開始數(shù)據(jù)傳輸。在隨后的數(shù)據(jù)傳輸過程中，通信雙方維護的是<源HI、目的HI、源端口、目的端口、協(xié)議>這個五元組，來保證通信連接不中斷。
??? (5)當終端MN移動時，IP地址雖然發(fā)生變化，但HI不變。當MN移動到新的IP地址時，MN通過HI向新的RVS注冊，并更新DNS中關(guān)于域名和RVS IP的映射。這時，CN若要繼續(xù)保持和MN的通信，只要根據(jù)MN的HI，通過查詢DNS和RVS，得到MN所在的新的IP地址，將數(shù)據(jù)路由過去，就可以使通信保持不中斷。
3.2 移動方案中的IPSEC實現(xiàn)
??? 由于HIP本身可以實現(xiàn)認證^[2]，因此在設(shè)計時，主要將IPSEC中的ESP和HIP結(jié)合，利用HIP的協(xié)商機制，協(xié)商出ESP安全聯(lián)盟所用的密鑰，從而實現(xiàn)對數(shù)據(jù)包的加密。
??? 在現(xiàn)在的TCP/IP網(wǎng)絡(luò)中，每層所對應(yīng)的頭部都被包含在一個傳送數(shù)據(jù)包中。而在引入HIP層后，HIP協(xié)議僅在處理HIP層內(nèi)的相關(guān)功能時才發(fā)送包含HIP頭部的報文，在傳送上層數(shù)據(jù)時，可以將IPSEC的SA與 HIT綁定，從而隱含了報文的源端HI和目的端HI，達到后繼報文主機身份認證的目的，從而避免了在報文中增加專門的消息進行主機身份的認證；同時由于IPSEC協(xié)議的SPI參數(shù)可以在主機內(nèi)部惟一確定一個SA，而SA含有對應(yīng)的目的HIT和源HIT的信息。因此在傳送數(shù)據(jù)過程中，并不需要顯式地包含HIP包頭。
??? 本設(shè)計與通常IPSEC實現(xiàn)的不同之處在于通信連接的建立。通信連接的建立是指用戶利用HIP通信時必須先通過HIP交換建立HIP安全聯(lián)盟，也就是IPSEC安全聯(lián)盟。然后通信雙方才能在整個過程中利用HIP報文進行通信。HIP協(xié)議的關(guān)鍵是主機的HIT和主機的IPv6地址之間的映射及HIP報文的處理。因此在實現(xiàn)中最重要的是HIP接口層(SK_HIP)和HIP協(xié)議處理模塊的設(shè)計。
??? 在HIP接口層設(shè)計中， HIT與IP地址之間的映射是關(guān)鍵，因此要定義名為hip_state的數(shù)據(jù)結(jié)構(gòu)，使每一個hip_state結(jié)構(gòu)對應(yīng)一個HIP安全聯(lián)盟，其中要存儲用于建立和維護安全聯(lián)盟的主要信息。hip_state定義如下：
??? Struct hip_state
??? {
??????? Struct list_head??? ?next_hit;
　　? ? Int???????????? ??state;????? /*安全聯(lián)盟的狀態(tài)*/
　　? ? Hit_t??????????? ??hit_source;
　　? ? Hit_t??????????? ??hit_des;
　　? ? Struct list_head??? ?spis_in;
　　? ? Struct list_head??? ?spis_out;
??? Struct in6_addr??? Saaddress;
????? ??……　　? }
??? 上層協(xié)議要把數(shù)據(jù)送到IP層，IP層在處理擴展頭的過程中要把報文送到IPSEC進行處理，因為有HIP層的存在，因此應(yīng)注意對源HIT、目的HIT的處理。具體的IPSEC處理流程如圖4所示。

?

??? 主機標識協(xié)議HIP是IETF組織推薦的一種新協(xié)議，由于其在安全、移動等方面的優(yōu)勢，具有很強的應(yīng)用空間，是研究下一代網(wǎng)絡(luò)時值得借鑒的一種協(xié)議。針對現(xiàn)有網(wǎng)絡(luò)存在的問題，結(jié)合下一代網(wǎng)絡(luò)的需求，基于HIP協(xié)議設(shè)計的新的可信IP移動安全方案，既很好地支持了移動環(huán)境下的數(shù)據(jù)傳輸，又在數(shù)據(jù)傳輸過程中保證了網(wǎng)絡(luò)的可信性。

參考文獻
[1] MOSKOWITZ R. Host identity payload arc-hitecture [EB/OL]. Work in progress, Internet draft, February 2001.http://homebase.httcon sult.com/draft-moskowitz-hiparch-02.txt
[2] ?MOSKOWITZ R. Host identity payload and protocol[EB/OL], Work in progress, Internet draft, November 2001.http://homebase.htt-consult.com/draft-moskowitz-hip-05.txt
[3] ?HENDERSON T. Host mobility for IP networks: A comparison[J]. IEEE Network Magazine,2003,17(6):18-26.
[4]?Hip for BSD implementation. http://www.hip4inter.net/.
[5]?The HIPL Group. Host Identity Protocol for Linux. http://www.gaijin.iki/hipl/