??? 摘 要： 針對(duì)IP網(wǎng)絡(luò)存在的可信性問題，分析了目前所使用的TCP/IP" title="TCP/IP">TCP/IP協(xié)議缺陷，研究了一種新的解決方法——HIP協(xié)議。在分析HIP協(xié)議結(jié)構(gòu)的基礎(chǔ)上，給出了一種新的支持IP終端移動(dòng)的可信網(wǎng)絡(luò)設(shè)計(jì)方案，并就方案中安全問題實(shí)現(xiàn)進(jìn)行了討論。
??? 關(guān)鍵詞： HIP協(xié)議? 可信IP移動(dòng)網(wǎng)絡(luò)" title="移動(dòng)網(wǎng)絡(luò)">移動(dòng)網(wǎng)絡(luò)? HIT? IPSEC

?

1 目前網(wǎng)絡(luò)存在的問題
??? 隨著科學(xué)技術(shù)的發(fā)展，信息網(wǎng)絡(luò)已成為推動(dòng)社會(huì)進(jìn)步的巨大動(dòng)力。經(jīng)濟(jì)與社會(huì)的發(fā)展要求信息網(wǎng)絡(luò)能在任何地點(diǎn)、任何時(shí)間、以任何方式提供安全的信息服務(wù)，但現(xiàn)有信息網(wǎng)絡(luò)存在的問題" title="存在的問題">存在的問題使之距此目標(biāo)甚遠(yuǎn)?？尚判允乾F(xiàn)有網(wǎng)絡(luò)中最令人關(guān)注的問題之一。可信性主要包括四個(gè)方面的內(nèi)容：機(jī)密性、認(rèn)證、完整性、不可抵賴性。但移動(dòng)環(huán)境則對(duì)IP網(wǎng)絡(luò)的可信性帶來了許多新的問題。
??? TCP/IP協(xié)議在二十世紀(jì)七八十年代出現(xiàn)時(shí)，并沒有考慮移動(dòng)網(wǎng)絡(luò)和多宿主問題。IP地址一直既擔(dān)任標(biāo)識(shí)網(wǎng)絡(luò)通信節(jié)點(diǎn)的功能，又起到了網(wǎng)絡(luò)拓?fù)涠ㄎ坏淖饔?。前者要求?duì)于一個(gè)固定主機(jī)，IP地址不能改變；而后者又要求當(dāng)主機(jī)在網(wǎng)絡(luò)中改變位置時(shí)，IP地址必須能夠改變。這就造成了目前所使用的IP地址機(jī)制不能同時(shí)達(dá)到兼顧穩(wěn)定性和動(dòng)態(tài)變化的要求。同時(shí)，目前的互聯(lián)網(wǎng)是在TCP/IP協(xié)議的基礎(chǔ)上進(jìn)行的設(shè)計(jì)，它是具有冪律結(jié)構(gòu)的無標(biāo)度網(wǎng)絡(luò)，正是這種無標(biāo)度的冪律拓?fù)浣Y(jié)構(gòu)導(dǎo)致互聯(lián)網(wǎng)對(duì)惡意攻擊的抵御能力十分脆弱。互聯(lián)網(wǎng)的“best effort”存儲(chǔ)轉(zhuǎn)發(fā)思想使得網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)所要傳輸?shù)臄?shù)據(jù)包的來源不驗(yàn)證、不審計(jì)，導(dǎo)致地址假冒、垃圾信息泛濫、入侵和攻擊行為無法跟蹤，移動(dòng)環(huán)境下這種情況尤為嚴(yán)重。這些都是研究和設(shè)計(jì)可信網(wǎng)絡(luò)需要考慮的問題。
??? 基于一種新型網(wǎng)絡(luò)，提供普適可信的移動(dòng)服務(wù)已經(jīng)成為我國(guó)乃至世界各主要國(guó)家信息化戰(zhàn)略的核心研究?jī)?nèi)容。2002年，日本NTT提出的下一代網(wǎng)絡(luò)" title="下一代網(wǎng)絡(luò)">下一代網(wǎng)絡(luò)，遵循控制和傳送分離，著重于安全和高帶寬接入的應(yīng)用原則；同年歐盟提出了第六框架計(jì)劃——FP6（The Sixth EU Framework Programme），重點(diǎn)研究如何提供具有高安全、高質(zhì)量和高性能的無縫服務(wù)；2005年，韓國(guó)提出了下一代網(wǎng)絡(luò)——BcN（Broadband Convergence Network），著重在現(xiàn)有網(wǎng)絡(luò)上加強(qiáng)控制方面的功能，以增強(qiáng)業(yè)務(wù)開發(fā)能力；2005年8月，美國(guó)自然科學(xué)基金委員會(huì)提出“全球網(wǎng)絡(luò)研究環(huán)境”——GENI(Global Environment for Networking Investigations)項(xiàng)目，該項(xiàng)目投資3億美元，擬從根本上重新設(shè)計(jì)互聯(lián)網(wǎng)，以解決現(xiàn)有的各種問題，打造一個(gè)更適合未來計(jì)算機(jī)環(huán)境的下一代互聯(lián)網(wǎng)。美國(guó)國(guó)家科學(xué)基金會(huì)的官員在一份文件中稱，下一代互聯(lián)網(wǎng)的研究重點(diǎn)是網(wǎng)絡(luò)安全，手機(jī)、無線和傳感器網(wǎng)絡(luò)共同組成的普適計(jì)算(pervasive computing)環(huán)境，重要基礎(chǔ)設(shè)施控制，以及處理新型服務(wù)的能力?？梢钥闯?，對(duì)于未來網(wǎng)絡(luò)目標(biāo)，已經(jīng)達(dá)成研究共識(shí)，目的是要設(shè)計(jì)一個(gè)可信、移動(dòng)的普適異構(gòu)網(wǎng)絡(luò)。
??? 目前，針對(duì)移動(dòng)可信網(wǎng)絡(luò)的問題，已經(jīng)提出一些解決方法，如流傳輸控制協(xié)議SCTP、移動(dòng)IP的一些安全擴(kuò)展協(xié)議等。但在TCP/IP協(xié)議中，由于通信節(jié)點(diǎn)間的連接由一個(gè)五元組（協(xié)議、源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)）惟一確定，當(dāng)節(jié)點(diǎn)移動(dòng)等原因使IP地址變化時(shí)，原來的傳輸連接就會(huì)發(fā)生變化，數(shù)據(jù)傳輸安全性無法得到滿足。而流傳輸控制協(xié)議SCTP、移動(dòng)IP協(xié)議等都沒有解決主機(jī)標(biāo)識(shí)信息與位置信息在IP地址上的綁定" title="綁定">綁定，因此都沒有真正解決IP移動(dòng)網(wǎng)絡(luò)中出現(xiàn)的安全問題。
??? 在對(duì)目前IP互聯(lián)網(wǎng)絡(luò)問題分析的基礎(chǔ)上，結(jié)合下一代網(wǎng)絡(luò)研究的需求，基于主機(jī)標(biāo)識(shí)協(xié)議的思想，本文提出一種新型的IP網(wǎng)絡(luò)移動(dòng)環(huán)境下的可信架構(gòu)設(shè)計(jì)。
2 主機(jī)標(biāo)識(shí)協(xié)議
??? 主機(jī)標(biāo)識(shí)協(xié)議HIP(Host Identity Protocol)^[1]是由Robert Moskowitz等人于2001年提出的。HIP協(xié)議引入一種新的命名空間——主機(jī)標(biāo)識(shí)HI(Host Identity)，它在網(wǎng)絡(luò)中以主機(jī)的身份，使IP地址不再同時(shí)具有定位和主機(jī)標(biāo)識(shí)的功能。它的基本思想是將網(wǎng)絡(luò)節(jié)點(diǎn)的地址分為兩部分：標(biāo)識(shí)與位置。標(biāo)識(shí)部分利用加密的命名空間惟一地命名主機(jī)；而位置部分則惟一地定義節(jié)點(diǎn)在網(wǎng)絡(luò)中的拓?fù)湮恢谩?BR>??? HIP協(xié)議的實(shí)現(xiàn)是在網(wǎng)絡(luò)通信模型的網(wǎng)絡(luò)層與傳輸層之間加入主機(jī)標(biāo)識(shí)層，用于標(biāo)識(shí)主機(jī)，如圖1所示。在引入HIP協(xié)議后，網(wǎng)絡(luò)層仍然采用IP地址交付報(bào)文，而上層協(xié)議則使用對(duì)作為對(duì)等實(shí)體的地址。主機(jī)標(biāo)識(shí)HI實(shí)際上是非對(duì)稱密鑰算法中一對(duì)公私鑰對(duì)的公鑰。應(yīng)用HIP后，每一個(gè)HI就可映射為一個(gè)或多個(gè)、長(zhǎng)期或短期的IP地址，用來標(biāo)記移動(dòng)節(jié)點(diǎn)在網(wǎng)絡(luò)中的位置。由于非對(duì)稱密鑰算法中的公鑰長(zhǎng)度并不一致，而且由于IPv6的地址是128bit，所以對(duì)標(biāo)識(shí)進(jìn)行哈希(hash)換算，得到一個(gè)128bit的主機(jī)標(biāo)識(shí)標(biāo)簽HIT(Host Identity Tag)，在實(shí)際應(yīng)用中使用。這樣,傳輸層和應(yīng)用層就都看不到IP地址，IP地址只是用來尋路，而將HIT當(dāng)作主機(jī)的地址。各層功能的綁定關(guān)系如圖2所示。

?

?

??? 因?yàn)镮Pv6的地址是128bit，所以HIT可以直接用于IPv6。并且，一個(gè)HI可以綁定一個(gè)或多個(gè)IP地址，這種綁定是一種暫時(shí)的動(dòng)態(tài)綁定，實(shí)現(xiàn)了主機(jī)標(biāo)識(shí)和IP地址間的動(dòng)態(tài)映射，因此支持移動(dòng)和多宿主環(huán)境。
3 一種基于HIP的可信IP 終端移動(dòng)方案
3.1 可信IP終端移動(dòng)方案
??? 為實(shí)現(xiàn)真正的可信移動(dòng)網(wǎng)絡(luò)，需要重新設(shè)計(jì)網(wǎng)絡(luò)體系結(jié)構(gòu)，或在現(xiàn)有IP網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上進(jìn)行研究設(shè)計(jì)，以提供對(duì)可信性和移動(dòng)性的支持。本文是根據(jù)國(guó)家科技部973項(xiàng)目《一體化可信網(wǎng)絡(luò)與普適服務(wù)體系基礎(chǔ)研究》所做的網(wǎng)絡(luò)體系結(jié)構(gòu)研究的一部分。為解決傳統(tǒng)網(wǎng)絡(luò)中服務(wù)連接、用戶身份和用戶位置使用同一標(biāo)識(shí)而造成的服務(wù)連接的不穩(wěn)定性和用戶身份的欺騙行為，提出一種新的基于HIP協(xié)議的可信IP移動(dòng)網(wǎng)絡(luò)設(shè)計(jì)方法，從而支持網(wǎng)絡(luò)的移動(dòng)性和安全性。
??? 本設(shè)計(jì)是在現(xiàn)有TCP/IP基礎(chǔ)上，引入主機(jī)身份標(biāo)識(shí)，根據(jù)HIP協(xié)議的思想，實(shí)現(xiàn)與IP地址的功能性分離。當(dāng)主機(jī)第一次進(jìn)入網(wǎng)絡(luò)時(shí)，被分配一個(gè)身份標(biāo)識(shí)HI，唯一地標(biāo)識(shí)通信連接中終端設(shè)備的身份信息。HI具有全局意義，是全球惟一的，HI經(jīng)過hash換算后得到身份標(biāo)識(shí)HIT，被填充在HIP層。將終端主機(jī)標(biāo)識(shí)HI和終端位置信息IP地址的映射存儲(chǔ)于集中服務(wù)器RVS中，而采用域名服務(wù)器DNS存儲(chǔ)RVS的IP地址和服務(wù)域名進(jìn)行綁定。
??? 基于以上定義，移動(dòng)網(wǎng)絡(luò)的通信過程如圖3所示。

?

?

??? (1)當(dāng)節(jié)點(diǎn)第一次進(jìn)入網(wǎng)絡(luò)時(shí)，被分配一個(gè)終端身份標(biāo)識(shí)HI，并根據(jù)HI向監(jiān)測(cè)到終端的RVS-MN進(jìn)行注冊(cè)，將該HI與目前的位置信息——IP地址進(jìn)行映射綁定，記錄在RVS-MN中。
??? (2)子網(wǎng)A1內(nèi)某終端MN需要與子網(wǎng)A2內(nèi)某終端CN通信時(shí)，MN首先根據(jù)自己的HI向自己所綁定的域名服務(wù)器DNS發(fā)起查詢。DNS根據(jù)哈希算法向其他DNS發(fā)出查詢，得到CN所在的DNS。
??? (3)DNS中記錄著CN所在的RVS-CN，查詢RVS-CN找到CN目前的IP地址，并進(jìn)行具有加密功能的通信的前四次握手過程，建立具有IPSEC保護(hù)的通信連接。
??? (4)MN收到呼叫應(yīng)答后，開始數(shù)據(jù)傳輸。在隨后的數(shù)據(jù)傳輸過程中，通信雙方維護(hù)的是<源HI、目的HI、源端口、目的端口、協(xié)議>這個(gè)五元組，來保證通信連接不中斷。
??? (5)當(dāng)終端MN移動(dòng)時(shí)，IP地址雖然發(fā)生變化，但HI不變。當(dāng)MN移動(dòng)到新的IP地址時(shí)，MN通過HI向新的RVS注冊(cè)，并更新DNS中關(guān)于域名和RVS IP的映射。這時(shí)，CN若要繼續(xù)保持和MN的通信，只要根據(jù)MN的HI，通過查詢DNS和RVS，得到MN所在的新的IP地址，將數(shù)據(jù)路由過去，就可以使通信保持不中斷。
3.2 移動(dòng)方案中的IPSEC實(shí)現(xiàn)
??? 由于HIP本身可以實(shí)現(xiàn)認(rèn)證^[2]，因此在設(shè)計(jì)時(shí)，主要將IPSEC中的ESP和HIP結(jié)合，利用HIP的協(xié)商機(jī)制，協(xié)商出ESP安全聯(lián)盟所用的密鑰，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)包的加密。
??? 在現(xiàn)在的TCP/IP網(wǎng)絡(luò)中，每層所對(duì)應(yīng)的頭部都被包含在一個(gè)傳送數(shù)據(jù)包中。而在引入HIP層后，HIP協(xié)議僅在處理HIP層內(nèi)的相關(guān)功能時(shí)才發(fā)送包含HIP頭部的報(bào)文，在傳送上層數(shù)據(jù)時(shí)，可以將IPSEC的SA與 HIT綁定，從而隱含了報(bào)文的源端HI和目的端HI，達(dá)到后繼報(bào)文主機(jī)身份認(rèn)證的目的，從而避免了在報(bào)文中增加專門的消息進(jìn)行主機(jī)身份的認(rèn)證；同時(shí)由于IPSEC協(xié)議的SPI參數(shù)可以在主機(jī)內(nèi)部惟一確定一個(gè)SA，而SA含有對(duì)應(yīng)的目的HIT和源HIT的信息。因此在傳送數(shù)據(jù)過程中，并不需要顯式地包含HIP包頭。
??? 本設(shè)計(jì)與通常IPSEC實(shí)現(xiàn)的不同之處在于通信連接的建立。通信連接的建立是指用戶利用HIP通信時(shí)必須先通過HIP交換建立HIP安全聯(lián)盟，也就是IPSEC安全聯(lián)盟。然后通信雙方才能在整個(gè)過程中利用HIP報(bào)文進(jìn)行通信。HIP協(xié)議的關(guān)鍵是主機(jī)的HIT和主機(jī)的IPv6地址之間的映射及HIP報(bào)文的處理。因此在實(shí)現(xiàn)中最重要的是HIP接口層(SK_HIP)和HIP協(xié)議處理模塊的設(shè)計(jì)。
??? 在HIP接口層設(shè)計(jì)中， HIT與IP地址之間的映射是關(guān)鍵，因此要定義名為hip_state的數(shù)據(jù)結(jié)構(gòu)，使每一個(gè)hip_state結(jié)構(gòu)對(duì)應(yīng)一個(gè)HIP安全聯(lián)盟，其中要存儲(chǔ)用于建立和維護(hù)安全聯(lián)盟的主要信息。hip_state定義如下：
??? Struct hip_state
??? {
??????? Struct list_head??? ?next_hit;
　　? ? Int???????????? ??state;????? /*安全聯(lián)盟的狀態(tài)*/
　　? ? Hit_t??????????? ??hit_source;
　　? ? Hit_t??????????? ??hit_des;
　　? ? Struct list_head??? ?spis_in;
　　? ? Struct list_head??? ?spis_out;
??? Struct in6_addr??? Saaddress;
????? ??……　　? }
??? 上層協(xié)議要把數(shù)據(jù)送到IP層，IP層在處理擴(kuò)展頭的過程中要把報(bào)文送到IPSEC進(jìn)行處理，因?yàn)橛蠬IP層的存在，因此應(yīng)注意對(duì)源HIT、目的HIT的處理。具體的IPSEC處理流程如圖4所示。

?

??? 主機(jī)標(biāo)識(shí)協(xié)議HIP是IETF組織推薦的一種新協(xié)議，由于其在安全、移動(dòng)等方面的優(yōu)勢(shì)，具有很強(qiáng)的應(yīng)用空間，是研究下一代網(wǎng)絡(luò)時(shí)值得借鑒的一種協(xié)議。針對(duì)現(xiàn)有網(wǎng)絡(luò)存在的問題，結(jié)合下一代網(wǎng)絡(luò)的需求，基于HIP協(xié)議設(shè)計(jì)的新的可信IP移動(dòng)安全方案，既很好地支持了移動(dòng)環(huán)境下的數(shù)據(jù)傳輸，又在數(shù)據(jù)傳輸過程中保證了網(wǎng)絡(luò)的可信性。

參考文獻(xiàn)
[1] MOSKOWITZ R. Host identity payload arc-hitecture [EB/OL]. Work in progress, Internet draft, February 2001.http://homebase.httcon sult.com/draft-moskowitz-hiparch-02.txt
[2] ?MOSKOWITZ R. Host identity payload and protocol[EB/OL], Work in progress, Internet draft, November 2001.http://homebase.htt-consult.com/draft-moskowitz-hip-05.txt
[3] ?HENDERSON T. Host mobility for IP networks: A comparison[J]. IEEE Network Magazine,2003,17(6):18-26.
[4]?Hip for BSD implementation. http://www.hip4inter.net/.
[5]?The HIPL Group. Host Identity Protocol for Linux. http://www.gaijin.iki/hipl/