主机标识协议(HIP)研究综述

TCP/IP协议一开始就没有考虑主机的移动和多宿主问题,也没有提供对主机的安全性和认证机制.主机标识协议(HIP)成为同时解决主机移动、多宿主及安全问题的有效方案.文本介绍了主机标识协议(HIP)的体系结构及基本交换,详细阐述了HIP对主机移动、多宿主和安全的解决方案以及对现有系统和应用程序的迁移,文中也分析了HIP存在的问题.

基于主机标识协议的NAT穿越解决方案

NAT穿越技术是基于分组的多媒体传输技术中一个重要的研究课题。目前已有不少切实可行的解决方案,但它们都具有一定的局限性。主机标识协议(host identity protocol,HIP)在传输层与网络层之间引入了新的协议层,打破了身份标识与拓扑位置的绑定。通过引入HIP,提出一种基于HIP的NAT穿越方案。讨论了网络体系中各层的具体穿越办法,并对新方案进行了安全性分析。

基于主机标识协议的增强型分布式移动管理

将宏观移动性管理的主机标识协议(HIP)应用于分布式移动性管理(DMM)构架,并将聚合服务器(RVS)与DMM中的移动性接入路由MAR功能集成于分布式接入网关(D-GW)。采用扩展HIP协议数据包头的参数,在注册D-GW的HIP BEX消息中携带切换前D-GW的主机标识符的二元组(HIT,IP地址),新D-GW根据此二元组信息向前一个D-GW注册并建立的隧道,将缓存在前D-GW中的数据转给新D-GW。这一切换机制可有效地保证数据完整性,仿真结果表明该方法能有效减少总的信令开销,同时基于HIP的移动性管理使节点的安全性得到了保证。

主机标识协议命名服务方案的研究与设计

在当前的Internet体系中,IP地址集成了标识和定位的功能,主机标识协议(HIP)则分离了这两种概念.由于引入了主机标识全局命名空间,HIP也需要修改当前的命名解析服务.首先分析HIP域名、主机标识、IP地址之间的解析机制,并针对开放对等系统和严格实名制的可运营业务分别提出了无管理的对等命名服务模型和可管控的命名服务方案.

基于主机标识的IKEv2移动性研究

研究移动互联网络安全以及适合移动环境的密钥管理机制是当前安全领域研究的热点问题.本文在综合研究现有移动安全方案的基础上,以嵌入主机标识的方法,对目前Internet中最为流行和广泛使用的网络密钥管理协议———因特网密钥交换协议第2版(IKEv2)进行了扩展,使其符合新型移动环境的安全隧道建立和管理要求.结果分析发现,利用本文提出的方法确保移动IP安全,比其他传统方法具有更高的切换效率.

基于主机标识的平面路由技术研究

随着Internet的发展,现有网络将位置与身份绑定的做法,使得终端在安全性、移动性和扩展性等方面的弊端日渐显现。提出一种新型的基于主机的平面标识路由,这是一种基于分布式哈希表算法的平面标识路由方式,支持变长主机标识数据通信。本方案设计的路由机制采用网状拓扑,可以在接入路由器之间形成良好的物理连接,为现有各类终端和网络提供了统一接入路由方案,改善了可扩展性,在网通层对数据包进行处理,能够保证终端的灵活出入,并支持终端的移动。

主机标识协议(HTP)的基本技术实现及应用

安全性和主机移动是Internet研究的热题。HIP是一个能够用简单方式解决主机动、多宿主和安全的新协议,本文详细介绍了HIP协议相关概念及其体系结构、实体与相应标识符的绑定、协议数据包结构和HIP基本交换过程,阐述了HIP对主机移动和多宿主的解决方法、安全性问题等问题。

利用PKI扩展主机标识协议

主机标识协议HIP使得主机身份有了独立的标识HI,它作为唯一代表主机身份的标识验证主机的身份。HIP中虽然给出了拥有HI的主机的身份验证和建立安全关联的方法,但并没有涉及主机和HI的映射关系。文中通过PKI注册生成主机和HI的对应关系的证书来保证主机身份和HI映射的权威性,同时扩展HIP的基本交换,将它用于验证证书的真实性,从而和HIP共同形成一套完整的网络安全体系。

基于主机标识的访问控制模型研究

身份认证和访问控制是Internet应用的重要方面,传统的实施方案通常针对于特定的应用,也不能用于普适计算环境下的移动终端。文中提出了一个新的访问控制模型,利用了由IETF定义的主机标识协议(HIP),并扩展了HIP基本交换过程来实现对用户的认证,并通过客户端主机标识和用户标识的绑定认证来建立主机和用户的绑定关系,从而实现对用户访问请求的判断。

Internet中基于主机标识协议的访问控制模型

身份认证和访问控制是Internet应用的重要方面,传统的实施方案通常适用于具体应用,也不能用于普适计算环境下的移动终端。文中提出了一个新的访问控制模型,该模型利用了IETF定义的主机标识协议(HIP),并扩展了HIP基本交换过程来实现对用户的认证,这样,也实现了客户端主机标识和用户标识的绑定认证,建立主机和用户的绑定关系。

主机身份标识协议在异质无线网络中的应用

未来的无线通信网络是一种不同无线技术和网络体系相结合的异质网络环境,同质无线网络的技术已不适合异质网络的发展。该文论述异质网络的移动管理和通信安全,利用主机身份标识协议(HIP)与上层协议的结合来实现技术要求,提出用HIP-SIP模型进行移动管理,在TCP-HIP模型上利用IPsec机制来保障通信安全。

一种移动终端双标识管理方案的设计和实现

针对无线接入过程中移动终端标识单一化、网络地址管理能力不足的问题,引入了移动终端身份标识与位置标识分离的思想,设计和实现了一种移动终端双标识管理方案。该方案提供了主机标识作为移动终端的身份标识,网络地址作为移动终端的位置标识;采用了基于状态维护的网络地址动态分配方法,提供了网络地址回收方法。实验测试结果表明,该方案能够提供简单高效的移动终端双标识管理功能,有利于解决终端移动性管理。

基于PKI/HIP协议的下一代互联网实名访问研究

为了有效解决Internet因设计上的缺陷而面临的安全和应用上的瓶颈,在下一代互联网的建设中,通过引入主机标识协议、PKI体系和扩展DNS系统,建立起了一个包含主机认证、主机标识符管理和扩展域名查询为一体的主机实名访问的网络安全层体系,实现了网络中数据传送时源地址的真实性、主机名认证和寻址、网络中资源细粒度的访问控制。该模型大大提高了互联网的安全性,为下一代可信互联网的建设提供了一种探索方案。

一种基于HIP的SIP电话协议流程

下一代网络是以IP技术为核心,同时支持语音、数据、多媒体业务的新型网络。会话初始化协议SIP是一种在IP网络中建立、修改和终止多媒体会话的应用层协议。而主机标识符协议HIP的优势主要体现在提供安全和移动性支持。将SIP协议和HIP协议结合起来实现网络语音业务,设计了一种基于HIP的SIP电话协议流程,在支持HIP协议的主机上实现SIP电话,同时提供端到端的安全数据传输和网络层移动性支持。

一种改进的下一代无线通信网络移动切换方案

针对移动IPv6和HIP的移动性管理方案在双方同时移动时无法实现无缝切换的不足,提出了一种改进的无缝切换方案SH-HIP。该方案利用RVS服务器作为锚点,维持主机标识与当前IP地址的映射关系,并且转发更新数据包,有效地解决双方同时移动时连接丢失的问题.仿真结果表明,该方案不仅在双方同时移动时可大大减小切换延时和丢包率,而且保持了HIP的安全性,能有效抵御拒绝服务攻击以及中间人攻击.

下一代互联网实名访问机制研究

研究互联网主机身份标识和访问控制的相关标准与技术,探讨下一代互联网的实名化策略,提出了一种基于主机标识协议的互联网主机实名化体系架构,并研究如何在此架构中实现基于策略的访问控制,以实现下一代互联网通信各方的身份互信、全局访问控制与授权,防止网络访问的匿名性和自由性。

基于动态层次位置管理的HIP移动性支持机制

针对现有HIP机制不支持节点微移动的问题,该文提出了基于动态层次位置管理的HIP移动性支持机制。在该机制中,网络划分成多个自治域,每个自治域划分成多个注册域。当节点在同一个注册域内移动时,在管理该注册域的本地集合服务点中进行位置更新;当节点在同一个自治域内移动时,在管理该自治域的网关集合服务点中进行位置更新。节点根据自己的移动速率以及呼叫到达率选取本地集合服务点并计算注册域的最佳范围。仿真结果表明,该机制能较好地降低节点移动时的信令开销,支持节点微移动。

HIP基本交换机制的研究与应用

针对基本交换的安全性和时间开销的正反两个方面,论述了密题计算机制,利用不同的组网方式测量了基本交换的时间开销,通过计算样本均值和标准差分析了其性能的优劣,提出了HIP BE Anti-Spam模型体系结构。该结构根据HIP基本交换的特点及其内建的密题机制,结合出站和入站的双重过滤来防范和阻止垃圾邮件;利用HIP基本交换机制增大垃圾邮件发送源头的代价和成本,防御对邮件服务的DoS攻击,明确了进一步优化HIP BE Anti-Spam模型及算化的研究方向。

一种在不对称路由环境下的安全HIP中间系统

随着移动计算技术的高速发展,HIP因其在移动主机支持及安全等方面的优越特性而备受关注.可尽管HIP在保护通信两端方面具有卓越的安全特性,但作为HIP通信节点的中间系统(如NAT/FW系统)却不能得到有效保护,尤其是在不对称路由环境下的HIP中间系统,很容易遭受攻击.本文在分析HIP通信及其中间系统的基础上,结合HIP注册扩展协议,提出一种在不对称路由情况下的安全的基于HTN(HIP through NATs)的HIP中间系统模型.该系统不仅让HIP通信主机可以感知链路上的NAT等中间系统,HIP中间系统也可以通过注册协议,来学习连接状态信息,并验证通信发起主机是否真正感兴趣于成功建立HIP连接,并为后续更新报文的验证提供可信依据,从而有效避免遭受DoS及MitM攻击.

新型可信网络体系结构研究

互联网的安全应用问题目前并未得到彻底解决,并且新一代互联网可扩展性的技术内涵更加丰富,除规模可扩展以外,在功能、性能等方面也需要一定的可扩展性,这种可扩展性需要体系结构的支持。该文通过跟踪国内外对可信互联网的各种研究,介绍了信网络的基本概念,提出了可信网络的体系结构模型;将主机标识协议应用于网络中作为端系统的身份标志,并通过相应的算法和机制确保安全可信地通信,构建出可控、可信、可管理的互联网。