HIP協定(Host Identity Protoco(l)是由 Robert Moskowitz 等人提出的針對上述問題的一個解決方案。HIP的實現是在第三層網路層與第四層傳輸層中間插入 3. 5 層主機標誌層,用於標誌連線終端。在 IPv6 中,HIP 負載實際上類似於 IPv6 的一個擴展頭。
基本介紹
- 中文名:HIP協定
- 外文名:Host Identity Protoco
簡介,協定結構,包結構,交換過程,
簡介
主機標識協定(HIP)引進一個新的加密的命名空間- 主機標識符( Host Identifier , HI ) , 主機標識符全球惟一地標識每台連線到Internet 的主機. 其目的是將傳輸層與網路層分開, 為Internet提供一個安全的主機移動和多宿主的方法; 提供一個加密的主機標識命名空間, 更容易對通信雙方進行認證, 從而實現安全的、 可信任的網路系統.
主標識符
(1)主機標識符(HI)
(2)主機標識標籤(HIT)
(3)局部標識符(LSI)
每個主機可以有多個HI ,用不對稱加密算法中公/ 私密鑰對的公鑰來表示, 但由於不同的加密算法所擁有的密鑰長度不一樣, 因而在實際使用時不太方便. HIT 是 128位定長的、 對主機標識符的某種哈希變換.它有自校驗、 低衝突率的特性, 實現和控制的代價較小. 又因為與IPv6 地址長度一樣,在應用程式中使用方便.為了和現有的IPv 4 兼容並能在一個局部系統中使用主機標識符, 協定定義了LSI.
協定結構
主機標識協定在傳輸層和網路層之間插入一個獨立的新的協定層- 主機標識層( Host Ident ity Layer , HIL) . 主機標識層將原來緊密耦合的傳輸層和網路層分開, IP 地址不再扮演主機名稱的角色, 它只負責數據包的路由轉發, 即僅用作定位符, 主機名稱由主機標識符來表示.
包結構
HIP 協定中並沒有像其他協定一樣定義協定頭部, 而是用擴展頭部來表示協定頭部, 用封裝安全載荷(ESP)進行封裝,在兩台主機之間建立端到端IPSec ESP 安全關聯來增強數據安全性,減少了中間節點(如路由器) 對數據包的處理,也不需要對現有的中間節點進行任何改動.
HIP 協定數據包
HIP 協定數據包交換過程
兩台主機在進行數據通信時 首先要進行一個所謂的基本交換過程來創建主機之間的安全關聯. HIP協定的基本交換是一個加密的四次握手過程. 發起通信的主機叫發起方,另一端應答的主機叫應答方.使用加密的四次握手過程可以抵抗QoS 攻擊、 中間人攻擊和重放攻擊, 在交換過程中使用 Diffie- Hellman 協定進行密鑰交換,並在第三、 四次包交換時進行主機認證. 四次握手建立安全關聯以後,雙方開始雙向數據傳輸.
HIP 協定基本交換過程
HIP 協定基本交換過程HIP:hot isostatic pressing 熱等靜壓
