下一代一體化網絡中異質網絡的接人及其移動性和安全性是目前迫切需要解決的問題。為此,本文提出一種基于MIP和HIP的移動管理方案,有助于解決一體化網絡中的移動和安全等問題。
MIP是因特網建議標準,是解決IP網絡中移動性管理的早方案,也是成熟的支持主機移動的技術。雖然它基本解決了主機移動時保持原會話不中斷的問題,但該技術的性能、不同網絡互連以及安全問題均沒有得到滿意的解決。于是,引出了對MIP中移動性和安全性都有所提高的主機身份協議HIP。
HIP的關鍵思想就是斷開網絡層和傳輸層的緊密耦合,使應用層和傳輸層的連接不受IP地址變化的影響。當IP地址在一個連接中變化時,HI保持不變,由此保證了連接的不中斷。在支持HIP的主機中,IP地址只是用于路由和尋址功能,而HI則用來標識一個連接所對應的終端主機,代替連接套接字中所使用的IP地址。
HIP協議提供了兩個終端主機之間快速的HI值交換。HIP基本交換建立了兩個主機問雙向的IPSec SA,如圖1所示。當一個節點I要發起對R的HIP連接時,它首先查詢目錄服務器(如DNS),獲取R對應的地址、HI值和HIT值,之后開始4個數據包的基本交換。首先,由I發送一個I1包,請求R的HIP對話。于是,R就發出R1,開始了交換,R1包含產生的Diffie-Hellman密鑰交換算法的DH半會話密鑰,以及它自己的公鑰HI,同時附上它的簽名。當I接收到R1包之后,就可通過R的公鑰檢驗R1包是否來自R。同時,產生自己的DH半會話密鑰,結合R的半會話密鑰計算得出DH會話密鑰,然后由該會話密鑰產生HIP的SA,并使用該SA來認證加密數據包的信息。這些信息加上I的簽名后作為I2發送給R。這時,R解開I的DH半會話密鑰,計算DH會話密鑰和創建SA,并獲得I的公鑰,通過簽名確認該信息是I發送的。R2包用來確認并保護I免受重放攻擊。另外,由于在I2包發送時已建立會話密鑰,所以從第3個包開始就已能在基本交換中攜帶發送數據。
HIP的實現是在網絡層與傳輸層之間插入3.5層主機標識層,用于標識連接終端。HlP負載實際上類似于IPv6的一個擴展頭。HIP網絡的層次結構如圖2所示,其所使用的標識符稱為HI,是公私鑰對中的公鑰,通常存放在DNS中。由于HI的長度因不同的公鑰體制算法而不同,所以在實際協議中通常使用固定長度的HIT(HostIdentity Tag)值。HIT值是對HI的128位Hash結果值,前兩位比特的選擇使其保持與IPv6地址空間的兼容性。
2.1 方案的提出
通過前兩節對MIP和HIP的詳細分析,可看出兩種方案都存在著不足之處。
MIP中,采用IPSec機制來保護MN和HA之間的安全通信,而在MN和CN之間用返回路由可達機制,雖然從一定程度上緩解了移動通信的安全威脅,但是還需要進一步改進協議加強安全保護。另外,雖然可把HoA作為主機的標識符,但從本質上講,IP地址只是代表通信主機在網絡中的拓撲位置,因此,使用IP地址作為主機的身份,必然帶來靈活性差,安全機制復雜等問題。
與MIP相比,HIP有很多優點,是目前整合解決移動、多宿主和安全問題的方案。但是,在實施HIP協議時也不得不考慮其帶來的開銷,尤其對于安全要求不高或者數據量很小的應用來講,HIP的開銷顯得代價過高。在必要的時候應用原來的通信方式,同時盡可能地使用HIP協議,這是目前對待HIP協議的正確態度,也是本方案提出的根據所在。
本文借鑒HIP協議中主機的身份和位置信息相分離的思想,以及MIP中移動節點的家鄉地址固定不變而實質上通過轉交地址來進行數據包的收發過程,從而提出使用一個3元組(HI,HoA,Port)來標識通信連接,既可實現主機身份和IP地址的分離,又可實現方便高效地移動管理。
2.2 過程的詳細描述
2.2.1 數據結構
本文在傳輸層使用HI來標識通信主機,在網絡層使用HoA標識主機的網絡位置,而HI和HoA的映射關系在HI層進行。外出數據包在傳輸層用標識會話連接,在HI層完成HI到HoA的動態綁定;進入數據包在HI層完成HoA到HI的映射后,再提交到傳輸層。其位置關系如圖3所示。
2.2.2 連接建立過程
連接建立過程如圖4所示。
1)CN和MN通信,先發起“DNS查詢請求”消息,希望獲得MN對應的地址、HI和HIT等;
2)DNS經過查詢,給CN返回“DNS查詢響應”消息,告訴其MN對應的HoA,HI及HIT等;
3)CN向MN發送HIP的I1消息,請求MN的HIP對話,這一消息被HA截獲;
4)HA查詢綁定緩存表,然后將收到的I1消息通過隧道發給MN目前的CoA;
5)MN向CN發送HIP的R1消息,開始了交換,R,包含產生的DH半會話密鑰,以及它自己的公鑰HI,同時附上它的簽名,這一消息通過反向隧道先發到HA;
6)HA查看地址后,將R1消息發給CN;
7)CN接收到R1包之后,就可通過MN的公鑰HI檢驗R1包是否來自MN,同時,它產生自己的DH半會話密鑰,結合MN的半會話密鑰汁算得出DH會話密鑰,然后由該會話密鑰產生HIP的SA,并使用該SA來認證加密數據包的信息,這些信息加上CN的簽名后作為I2消息直接發送給MN的CoA;
8)MN收到I2消息后,解開CN的DH半會活密鑰,計算DH會話密鑰和創建HIP SA,并獲CN的公鑰,通過簽名確認該信息是CN發送的,然后直接發送HIP的R2消息給CN,R2包用來確認并保護CN免受重放攻擊;
9)至此,HIP的協商過程就完成了,并建立了用于通信的SA,MN和CN可以開始正常的通信。
2.2.3 通信過程
連接建立之后,MN和CN就可進行正常的通信,而且這一過程在IPSec的保護下,所以安全性比較高。
2.3 新方案分析
本文在傳輸層使用HI來標識通信主機。采取這種方法的好處是:
1)HI只用來標識主機身份,與主機位置無關,所以無論主機移動到什么位置,HI保持不變,這就屏蔽了主機的移動對會話的影響,實現了移動對上層的透明性;
2)HIP可實現認證,而IPSec可實現數據加密,所以將HIP協議和IPSec協議結合起來使用,可利用HIP的協商機制,協商出IPSec安全連接所用的密鑰,以建立IPSec安全連接,因此,它為使用基于身份的認證方法和IPSec協議保護信令和數據通信提供了準備條件。
本文在網絡層使用HoA來標識主機的網絡位置,其好處是:
1)上層可見的只有移動節點的HoA,而實質上是通過改變移動節點的CoA進行通信,實現了移動對網絡中其他通信實體的透明性;
2)使用移動節點的HoA,避免了DNS的動態更新,節約了DNS查詢所需要的網絡帶寬,減少了網絡延時;
3)使用移動節點的CoA,使得家鄉代理和通信節點都能訪問到移動節點,為隨時隨地不間斷通信提供了基本條件;
4)增強了系統的健壯性,可處理通信雙方的同時移動問題。
在MIP和HIP中,使用SPI(Security Parameter In-dex)標識安全關聯,本文也采用這種標識方法,所以不必在每個受SA保護的數據包中傳輸身份載荷,從而節約了網絡帶寬。對于外出的數據包,HI層首先根據HI查找SA,然后完成HI到HoA的映射,IP層根據SA對數據包進行IPSec協議處理;對于進入的數據包,IP層使用SPI查找SA,并對數據包進行IPSec協議處理。HI層在完成HoA到HI的映射后,根據HI查找SA,如果查到的SA與先前使用的SA不同,則丟棄該數據包;否則接收該數據包,并交與傳輸層處理。
2.4 與MIP和HIP比較
下面將提出的新方案與MIP和HIP進行性能比較,其結果列于表1中。
可見,本方案在靈活性、安全性及數據傳輸的連續性方面都比MIP和HlP好,只是它的實現難度仍然有點大,這也是下一步的主要工作。
MIP是目前網絡層解決移動管理的主要方法,HIP是下一代因特網的主機身份標識手段。本文對以上兩種技術進行了綜合分析和利用,提出一種基于MIP和HIP的移動管理方案。該移動管理方案通過MIP的HA機制,增強了系統的健壯性;通過分離傳輸層標識符和網絡層IP地址,簡化了移動環境下會話連接的管理。因此,本方法對基于電信網、因特網和廣播電視網融合的下一代一體化網絡體系架構的研究與設計具有一定的參考價值。