摘 要： 针对IP网络存在的可信性问题，分析了目前所使用的TCP/IP" title="TCP/IP">TCP/IP协议缺陷，研究了一种新的解决方法——HIP协议。在分析HIP协议结构的基础上，给出了一种新的支持IP终端移动的可信网络设计方案，并就方案中安全问题实现进行了讨论。
    关键词： HIP协议  可信IP移动网络" title="移动网络">移动网络  HIT  IPSEC

1 目前网络存在的问题
    随着科学技术的发展，信息网络已成为推动社会进步的巨大动力。经济与社会的发展要求信息网络能在任何地点、任何时间、以任何方式提供安全的信息服务，但现有信息网络存在的问题" title="存在的问题">存在的问题使之距此目标甚远。可信性是现有网络中最令人关注的问题之一。可信性主要包括四个方面的内容：机密性、认证、完整性、不可抵赖性。但移动环境则对IP网络的可信性带来了许多新的问题。
    TCP/IP协议在二十世纪七八十年代出现时，并没有考虑移动网络和多宿主问题。IP地址一直既担任标识网络通信节点的功能，又起到了网络拓扑定位的作用。前者要求对于一个固定主机，IP地址不能改变；而后者又要求当主机在网络中改变位置时，IP地址必须能够改变。这就造成了目前所使用的IP地址机制不能同时达到兼顾稳定性和动态变化的要求。同时，目前的互联网是在TCP/IP协议的基础上进行的设计，它是具有幂律结构的无标度网络，正是这种无标度的幂律拓扑结构导致互联网对恶意攻击的抵御能力十分脆弱。互联网的“best effort”存储转发思想使得网络节点对所要传输的数据包的来源不验证、不审计，导致地址假冒、垃圾信息泛滥、入侵和攻击行为无法跟踪，移动环境下这种情况尤为严重。这些都是研究和设计可信网络需要考虑的问题。
    基于一种新型网络，提供普适可信的移动服务已经成为我国乃至世界各主要国家信息化战略的核心研究内容。2002年，日本NTT提出的下一代网络" title="下一代网络">下一代网络，遵循控制和传送分离，着重于安全和高带宽接入的应用原则；同年欧盟提出了第六框架计划——FP6（The Sixth EU Framework Programme），重点研究如何提供具有高安全、高质量和高性能的无缝服务；2005年，韩国提出了下一代网络——BcN（Broadband Convergence Network），着重在现有网络上加强控制方面的功能，以增强业务开发能力；2005年8月，美国自然科学基金委员会提出“全球网络研究环境”——GENI(Global Environment for Networking Investigations)项目，该项目投资3亿美元，拟从根本上重新设计互联网，以解决现有的各种问题，打造一个更适合未来计算机环境的下一代互联网。美国国家科学基金会的官员在一份文件中称，下一代互联网的研究重点是网络安全，手机、无线和传感器网络共同组成的普适计算(pervasive computing)环境，重要基础设施控制，以及处理新型服务的能力。可以看出，对于未来网络目标，已经达成研究共识，目的是要设计一个可信、移动的普适异构网络。
    目前，针对移动可信网络的问题，已经提出一些解决方法，如流传输控制协议SCTP、移动IP的一些安全扩展协议等。但在TCP/IP协议中，由于通信节点间的连接由一个五元组（协议、源IP地址、目的IP地址、源端口号、目的端口号）惟一确定，当节点移动等原因使IP地址变化时，原来的传输连接就会发生变化，数据传输安全性无法得到满足。而流传输控制协议SCTP、移动IP协议等都没有解决主机标识信息与位置信息在IP地址上的绑定" title="绑定">绑定，因此都没有真正解决IP移动网络中出现的安全问题。
    在对目前IP互联网络问题分析的基础上，结合下一代网络研究的需求，基于主机标识协议的思想，本文提出一种新型的IP网络移动环境下的可信架构设计。
2 主机标识协议
    主机标识协议HIP(Host Identity Protocol)^[1]是由Robert Moskowitz等人于2001年提出的。HIP协议引入一种新的命名空间——主机标识HI(Host Identity)，它在网络中以主机的身份，使IP地址不再同时具有定位和主机标识的功能。它的基本思想是将网络节点的地址分为两部分：标识与位置。标识部分利用加密的命名空间惟一地命名主机；而位置部分则惟一地定义节点在网络中的拓扑位置。
    HIP协议的实现是在网络通信模型的网络层与传输层之间加入主机标识层，用于标识主机，如图1所示。在引入HIP协议后，网络层仍然采用IP地址交付报文，而上层协议则使用对作为对等实体的地址。主机标识HI实际上是非对称密钥算法中一对公私钥对的公钥。应用HIP后，每一个HI就可映射为一个或多个、长期或短期的IP地址，用来标记移动节点在网络中的位置。由于非对称密钥算法中的公钥长度并不一致，而且由于IPv6的地址是128bit，所以对标识进行哈希(hash)换算，得到一个128bit的主机标识标签HIT(Host Identity Tag)，在实际应用中使用。这样,传输层和应用层就都看不到IP地址，IP地址只是用来寻路，而将HIT当作主机的地址。各层功能的绑定关系如图2所示。

    因为IPv6的地址是128bit，所以HIT可以直接用于IPv6。并且，一个HI可以绑定一个或多个IP地址，这种绑定是一种暂时的动态绑定，实现了主机标识和IP地址间的动态映射，因此支持移动和多宿主环境。
3 一种基于HIP的可信IP 终端移动方案
3.1 可信IP终端移动方案
    为实现真正的可信移动网络，需要重新设计网络体系结构，或在现有IP网络结构基础上进行研究设计，以提供对可信性和移动性的支持。本文是根据国家科技部973项目《一体化可信网络与普适服务体系基础研究》所做的网络体系结构研究的一部分。为解决传统网络中服务连接、用户身份和用户位置使用同一标识而造成的服务连接的不稳定性和用户身份的欺骗行为，提出一种新的基于HIP协议的可信IP移动网络设计方法，从而支持网络的移动性和安全性。
    本设计是在现有TCP/IP基础上，引入主机身份标识，根据HIP协议的思想，实现与IP地址的功能性分离。当主机第一次进入网络时，被分配一个身份标识HI，唯一地标识通信连接中终端设备的身份信息。HI具有全局意义，是全球惟一的，HI经过hash换算后得到身份标识HIT，被填充在HIP层。将终端主机标识HI和终端位置信息IP地址的映射存储于集中服务器RVS中，而采用域名服务器DNS存储RVS的IP地址和服务域名进行绑定。
    基于以上定义，移动网络的通信过程如图3所示。

    (1)当节点第一次进入网络时，被分配一个终端身份标识HI，并根据HI向监测到终端的RVS-MN进行注册，将该HI与目前的位置信息——IP地址进行映射绑定，记录在RVS-MN中。
    (2)子网A1内某终端MN需要与子网A2内某终端CN通信时，MN首先根据自己的HI向自己所绑定的域名服务器DNS发起查询。DNS根据哈希算法向其他DNS发出查询，得到CN所在的DNS。
    (3)DNS中记录着CN所在的RVS-CN，查询RVS-CN找到CN目前的IP地址，并进行具有加密功能的通信的前四次握手过程，建立具有IPSEC保护的通信连接。
    (4)MN收到呼叫应答后，开始数据传输。在随后的数据传输过程中，通信双方维护的是<源HI、目的HI、源端口、目的端口、协议>这个五元组，来保证通信连接不中断。
    (5)当终端MN移动时，IP地址虽然发生变化，但HI不变。当MN移动到新的IP地址时，MN通过HI向新的RVS注册，并更新DNS中关于域名和RVS IP的映射。这时，CN若要继续保持和MN的通信，只要根据MN的HI，通过查询DNS和RVS，得到MN所在的新的IP地址，将数据路由过去，就可以使通信保持不中断。
3.2 移动方案中的IPSEC实现
    由于HIP本身可以实现认证^[2]，因此在设计时，主要将IPSEC中的ESP和HIP结合，利用HIP的协商机制，协商出ESP安全联盟所用的密钥，从而实现对数据包的加密。
    在现在的TCP/IP网络中，每层所对应的头部都被包含在一个传送数据包中。而在引入HIP层后，HIP协议仅在处理HIP层内的相关功能时才发送包含HIP头部的报文，在传送上层数据时，可以将IPSEC的SA与 HIT绑定，从而隐含了报文的源端HI和目的端HI，达到后继报文主机身份认证的目的，从而避免了在报文中增加专门的消息进行主机身份的认证；同时由于IPSEC协议的SPI参数可以在主机内部惟一确定一个SA，而SA含有对应的目的HIT和源HIT的信息。因此在传送数据过程中，并不需要显式地包含HIP包头。
    本设计与通常IPSEC实现的不同之处在于通信连接的建立。通信连接的建立是指用户利用HIP通信时必须先通过HIP交换建立HIP安全联盟，也就是IPSEC安全联盟。然后通信双方才能在整个过程中利用HIP报文进行通信。HIP协议的关键是主机的HIT和主机的IPv6地址之间的映射及HIP报文的处理。因此在实现中最重要的是HIP接口层(SK_HIP)和HIP协议处理模块的设计。
    在HIP接口层设计中， HIT与IP地址之间的映射是关键，因此要定义名为hip_state的数据结构，使每一个hip_state结构对应一个HIP安全联盟，其中要存储用于建立和维护安全联盟的主要信息。hip_state定义如下：
    Struct hip_state
    {
        Struct list_head     next_hit;
　　    Int               state;      /*安全联盟的状态*/
　　    Hit_t              hit_source;
　　    Hit_t              hit_des;
　　    Struct list_head     spis_in;
　　    Struct list_head     spis_out;
    Struct in6_addr    Saaddress;
        ……　　  }
    上层协议要把数据送到IP层，IP层在处理扩展头的过程中要把报文送到IPSEC进行处理，因为有HIP层的存在，因此应注意对源HIT、目的HIT的处理。具体的IPSEC处理流程如图4所示。

    主机标识协议HIP是IETF组织推荐的一种新协议，由于其在安全、移动等方面的优势，具有很强的应用空间，是研究下一代网络时值得借鉴的一种协议。针对现有网络存在的问题，结合下一代网络的需求，基于HIP协议设计的新的可信IP移动安全方案，既很好地支持了移动环境下的数据传输，又在数据传输过程中保证了网络的可信性。

参考文献
[1] MOSKOWITZ R. Host identity payload arc-hitecture [EB/OL]. Work in progress, Internet draft, February 2001.http://homebase.httcon sult.com/draft-moskowitz-hiparch-02.txt
[2]  MOSKOWITZ R. Host identity payload and protocol[EB/OL], Work in progress, Internet draft, November 2001.http://homebase.htt-consult.com/draft-moskowitz-hip-05.txt
[3]  HENDERSON T. Host mobility for IP networks: A comparison[J]. IEEE Network Magazine,2003,17(6):18-26.
[4] Hip for BSD implementation. http://www.hip4inter.net/.
[5] The HIPL Group. Host Identity Protocol for Linux. http://www.gaijin.iki/hipl/