??? 摘 要： 針對IP網絡存在的可信性問題，分析了目前所使用的TCP/IP" title="TCP/IP">TCP/IP協(xié)議缺陷，研究了一種新的解決方法——HIP協(xié)議。在分析HIP協(xié)議結構的基礎上，給出了一種新的支持IP終端移動的可信網絡設計方案，并就方案中安全問題實現進行了討論。
??? 關鍵詞： HIP協(xié)議? 可信IP移動網絡" title="移動網絡">移動網絡? HIT? IPSEC

?

1 目前網絡存在的問題
??? 隨著科學技術的發(fā)展，信息網絡已成為推動社會進步的巨大動力。經濟與社會的發(fā)展要求信息網絡能在任何地點、任何時間、以任何方式提供安全的信息服務，但現有信息網絡存在的問題" title="存在的問題">存在的問題使之距此目標甚遠?？尚判允乾F有網絡中最令人關注的問題之一。可信性主要包括四個方面的內容：機密性、認證、完整性、不可抵賴性。但移動環(huán)境則對IP網絡的可信性帶來了許多新的問題。
??? TCP/IP協(xié)議在二十世紀七八十年代出現時，并沒有考慮移動網絡和多宿主問題。IP地址一直既擔任標識網絡通信節(jié)點的功能，又起到了網絡拓撲定位的作用。前者要求對于一個固定主機，IP地址不能改變；而后者又要求當主機在網絡中改變位置時，IP地址必須能夠改變。這就造成了目前所使用的IP地址機制不能同時達到兼顧穩(wěn)定性和動態(tài)變化的要求。同時，目前的互聯網是在TCP/IP協(xié)議的基礎上進行的設計，它是具有冪律結構的無標度網絡，正是這種無標度的冪律拓撲結構導致互聯網對惡意攻擊的抵御能力十分脆弱?；ヂ摼W的“best effort”存儲轉發(fā)思想使得網絡節(jié)點對所要傳輸的數據包的來源不驗證、不審計，導致地址假冒、垃圾信息泛濫、入侵和攻擊行為無法跟蹤，移動環(huán)境下這種情況尤為嚴重。這些都是研究和設計可信網絡需要考慮的問題。
??? 基于一種新型網絡，提供普適可信的移動服務已經成為我國乃至世界各主要國家信息化戰(zhàn)略的核心研究內容。2002年，日本NTT提出的下一代網絡" title="下一代網絡">下一代網絡，遵循控制和傳送分離，著重于安全和高帶寬接入的應用原則；同年歐盟提出了第六框架計劃——FP6（The Sixth EU Framework Programme），重點研究如何提供具有高安全、高質量和高性能的無縫服務；2005年，韓國提出了下一代網絡——BcN（Broadband Convergence Network），著重在現有網絡上加強控制方面的功能，以增強業(yè)務開發(fā)能力；2005年8月，美國自然科學基金委員會提出“全球網絡研究環(huán)境”——GENI(Global Environment for Networking Investigations)項目，該項目投資3億美元，擬從根本上重新設計互聯網，以解決現有的各種問題，打造一個更適合未來計算機環(huán)境的下一代互聯網。美國國家科學基金會的官員在一份文件中稱，下一代互聯網的研究重點是網絡安全，手機、無線和傳感器網絡共同組成的普適計算(pervasive computing)環(huán)境，重要基礎設施控制，以及處理新型服務的能力?？梢钥闯?，對于未來網絡目標，已經達成研究共識，目的是要設計一個可信、移動的普適異構網絡。
??? 目前，針對移動可信網絡的問題，已經提出一些解決方法，如流傳輸控制協(xié)議SCTP、移動IP的一些安全擴展協(xié)議等。但在TCP/IP協(xié)議中，由于通信節(jié)點間的連接由一個五元組（協(xié)議、源IP地址、目的IP地址、源端口號、目的端口號）惟一確定，當節(jié)點移動等原因使IP地址變化時，原來的傳輸連接就會發(fā)生變化，數據傳輸安全性無法得到滿足。而流傳輸控制協(xié)議SCTP、移動IP協(xié)議等都沒有解決主機標識信息與位置信息在IP地址上的綁定" title="綁定">綁定，因此都沒有真正解決IP移動網絡中出現的安全問題。
??? 在對目前IP互聯網絡問題分析的基礎上，結合下一代網絡研究的需求，基于主機標識協(xié)議的思想，本文提出一種新型的IP網絡移動環(huán)境下的可信架構設計。
2 主機標識協(xié)議
??? 主機標識協(xié)議HIP(Host Identity Protocol)^[1]是由Robert Moskowitz等人于2001年提出的。HIP協(xié)議引入一種新的命名空間——主機標識HI(Host Identity)，它在網絡中以主機的身份，使IP地址不再同時具有定位和主機標識的功能。它的基本思想是將網絡節(jié)點的地址分為兩部分：標識與位置。標識部分利用加密的命名空間惟一地命名主機；而位置部分則惟一地定義節(jié)點在網絡中的拓撲位置。
??? HIP協(xié)議的實現是在網絡通信模型的網絡層與傳輸層之間加入主機標識層，用于標識主機，如圖1所示。在引入HIP協(xié)議后，網絡層仍然采用IP地址交付報文，而上層協(xié)議則使用對作為對等實體的地址。主機標識HI實際上是非對稱密鑰算法中一對公私鑰對的公鑰。應用HIP后，每一個HI就可映射為一個或多個、長期或短期的IP地址，用來標記移動節(jié)點在網絡中的位置。由于非對稱密鑰算法中的公鑰長度并不一致，而且由于IPv6的地址是128bit，所以對標識進行哈希(hash)換算，得到一個128bit的主機標識標簽HIT(Host Identity Tag)，在實際應用中使用。這樣,傳輸層和應用層就都看不到IP地址，IP地址只是用來尋路，而將HIT當作主機的地址。各層功能的綁定關系如圖2所示。

?

?

??? 因為IPv6的地址是128bit，所以HIT可以直接用于IPv6。并且，一個HI可以綁定一個或多個IP地址，這種綁定是一種暫時的動態(tài)綁定，實現了主機標識和IP地址間的動態(tài)映射，因此支持移動和多宿主環(huán)境。
3 一種基于HIP的可信IP 終端移動方案
3.1 可信IP終端移動方案
??? 為實現真正的可信移動網絡，需要重新設計網絡體系結構，或在現有IP網絡結構基礎上進行研究設計，以提供對可信性和移動性的支持。本文是根據國家科技部973項目《一體化可信網絡與普適服務體系基礎研究》所做的網絡體系結構研究的一部分。為解決傳統(tǒng)網絡中服務連接、用戶身份和用戶位置使用同一標識而造成的服務連接的不穩(wěn)定性和用戶身份的欺騙行為，提出一種新的基于HIP協(xié)議的可信IP移動網絡設計方法，從而支持網絡的移動性和安全性。
??? 本設計是在現有TCP/IP基礎上，引入主機身份標識，根據HIP協(xié)議的思想，實現與IP地址的功能性分離。當主機第一次進入網絡時，被分配一個身份標識HI，唯一地標識通信連接中終端設備的身份信息。HI具有全局意義，是全球惟一的，HI經過hash換算后得到身份標識HIT，被填充在HIP層。將終端主機標識HI和終端位置信息IP地址的映射存儲于集中服務器RVS中，而采用域名服務器DNS存儲RVS的IP地址和服務域名進行綁定。
??? 基于以上定義，移動網絡的通信過程如圖3所示。

?

?

??? (1)當節(jié)點第一次進入網絡時，被分配一個終端身份標識HI，并根據HI向監(jiān)測到終端的RVS-MN進行注冊，將該HI與目前的位置信息——IP地址進行映射綁定，記錄在RVS-MN中。
??? (2)子網A1內某終端MN需要與子網A2內某終端CN通信時，MN首先根據自己的HI向自己所綁定的域名服務器DNS發(fā)起查詢。DNS根據哈希算法向其他DNS發(fā)出查詢，得到CN所在的DNS。
??? (3)DNS中記錄著CN所在的RVS-CN，查詢RVS-CN找到CN目前的IP地址，并進行具有加密功能的通信的前四次握手過程，建立具有IPSEC保護的通信連接。
??? (4)MN收到呼叫應答后，開始數據傳輸。在隨后的數據傳輸過程中，通信雙方維護的是<源HI、目的HI、源端口、目的端口、協(xié)議>這個五元組，來保證通信連接不中斷。
??? (5)當終端MN移動時，IP地址雖然發(fā)生變化，但HI不變。當MN移動到新的IP地址時，MN通過HI向新的RVS注冊，并更新DNS中關于域名和RVS IP的映射。這時，CN若要繼續(xù)保持和MN的通信，只要根據MN的HI，通過查詢DNS和RVS，得到MN所在的新的IP地址，將數據路由過去，就可以使通信保持不中斷。
3.2 移動方案中的IPSEC實現
??? 由于HIP本身可以實現認證^[2]，因此在設計時，主要將IPSEC中的ESP和HIP結合，利用HIP的協(xié)商機制，協(xié)商出ESP安全聯盟所用的密鑰，從而實現對數據包的加密。
??? 在現在的TCP/IP網絡中，每層所對應的頭部都被包含在一個傳送數據包中。而在引入HIP層后，HIP協(xié)議僅在處理HIP層內的相關功能時才發(fā)送包含HIP頭部的報文，在傳送上層數據時，可以將IPSEC的SA與 HIT綁定，從而隱含了報文的源端HI和目的端HI，達到后繼報文主機身份認證的目的，從而避免了在報文中增加專門的消息進行主機身份的認證；同時由于IPSEC協(xié)議的SPI參數可以在主機內部惟一確定一個SA，而SA含有對應的目的HIT和源HIT的信息。因此在傳送數據過程中，并不需要顯式地包含HIP包頭。
??? 本設計與通常IPSEC實現的不同之處在于通信連接的建立。通信連接的建立是指用戶利用HIP通信時必須先通過HIP交換建立HIP安全聯盟，也就是IPSEC安全聯盟。然后通信雙方才能在整個過程中利用HIP報文進行通信。HIP協(xié)議的關鍵是主機的HIT和主機的IPv6地址之間的映射及HIP報文的處理。因此在實現中最重要的是HIP接口層(SK_HIP)和HIP協(xié)議處理模塊的設計。
??? 在HIP接口層設計中， HIT與IP地址之間的映射是關鍵，因此要定義名為hip_state的數據結構，使每一個hip_state結構對應一個HIP安全聯盟，其中要存儲用于建立和維護安全聯盟的主要信息。hip_state定義如下：
??? Struct hip_state
??? {
??????? Struct list_head??? ?next_hit;
　　? ? Int???????????? ??state;????? /*安全聯盟的狀態(tài)*/
　　? ? Hit_t??????????? ??hit_source;
　　? ? Hit_t??????????? ??hit_des;
　　? ? Struct list_head??? ?spis_in;
　　? ? Struct list_head??? ?spis_out;
??? Struct in6_addr??? Saaddress;
????? ??……　　? }
??? 上層協(xié)議要把數據送到IP層，IP層在處理擴展頭的過程中要把報文送到IPSEC進行處理，因為有HIP層的存在，因此應注意對源HIT、目的HIT的處理。具體的IPSEC處理流程如圖4所示。

?

??? 主機標識協(xié)議HIP是IETF組織推薦的一種新協(xié)議，由于其在安全、移動等方面的優(yōu)勢，具有很強的應用空間，是研究下一代網絡時值得借鑒的一種協(xié)議。針對現有網絡存在的問題，結合下一代網絡的需求，基于HIP協(xié)議設計的新的可信IP移動安全方案，既很好地支持了移動環(huán)境下的數據傳輸，又在數據傳輸過程中保證了網絡的可信性。

參考文獻
[1] MOSKOWITZ R. Host identity payload arc-hitecture [EB/OL]. Work in progress, Internet draft, February 2001.http://homebase.httcon sult.com/draft-moskowitz-hiparch-02.txt
[2] ?MOSKOWITZ R. Host identity payload and protocol[EB/OL], Work in progress, Internet draft, November 2001.http://homebase.htt-consult.com/draft-moskowitz-hip-05.txt
[3] ?HENDERSON T. Host mobility for IP networks: A comparison[J]. IEEE Network Magazine,2003,17(6):18-26.
[4]?Hip for BSD implementation. http://www.hip4inter.net/.
[5]?The HIPL Group. Host Identity Protocol for Linux. http://www.gaijin.iki/hipl/