（通信与信息系统专业论文）hip技术在移动终端的应用.pdf

南京邮电大学 硕士学位论文摘要 学科、专业：工学通信与信息系统 研究方向：网络与应用技术 作 者：2 0 0 7 级研究生高慧琳 指导教师：王文鼐教授 题 目：h i p 技术在移动终端的应用 英文题目：a p p l i c a t i o no f h o s ti d e m i t yp r o t o c o lo nm o b i l et e r m i n a l 主题词：h i pa n d r o i d 操作系统 网络融合设计与实现 k e y w o r d s ：h i pa n d r o i do p e r a t i n gs y s t e m n e t w o r kc o n v e r g e n c e d e s i g na n di m p l e m e n t a t i o n a 刚 舢7卿 脚1胛y 南京邮电大学硕士研究生学位论文 摘要 摘要 在现在的互联网体系结构中，i p 扮演着主机标识和路由的双重角色：之上承载着各种 各样的服务，之下是各种各样的数据链路层技术。这样的体系结构使得网络层和传输层 形成一种紧耦合，给网络层协议和传输层协议的修改带来了麻烦。主机标识协议( h o s t i d e n t i t yp r o t o c o l ，h i p ) 的出现在网络层次引起了较大的改变，它把i p 用来标识主机的功能 剥离出来，解决了口地址在网络中由于多种协议需要其标识身份而带来的困难。 随着各种便携式移动终端的出现，人们对移动性的要求越来越强烈，希望能够在不改 变主机标识的情况下移动，而保持原有连接不问断。但作为主机标识和位置标识的i p 在解 决移动性问题上做得并不好。本文通过将h i p 协议应用于新兴的智能手机操作系统a n d r o i d 上，保证了移动终端在进行网络切换时( 改变i p 地址时) 的通信不中断，为网络融合提供 基本的技术支持。 本文详细分析了h i p 在内核中的通信流程，包括h i p 的基本通信部分和h i p 连接建 立以后的常规通信部分。通过分析现有的h i p 通信方案，阐述了在传统的h i p 的设计方案 中存在的问题，提出通过a p i 修改在a n d r o i d 操作系统上使用内核模式进行h i p 通信的方 案。在实现部分着重于应用层的解析函数的实现和s o c k e t 接口的实现。在这两个模块实现 以后进行了基本的测试。最后详述通过测试和数据包截获，对h i p 通信过程的数据流进行 了分析。 本文将h i p 技术应用于移动终端，为网络融合提供一种技术支持，实现了无线移动不 问断的目标。 关键词：主机标识协议，a n d r o i d 操作系统，网络融合，设计与实现 t a b s t r a c t a b o v et h e t e c h n o l o g y c o n n e c t i o n ， w h i c hm a k e st h ei m p r o v e m e n to ft h en e t w o r kl a y e rp r o t o c o la n dt r a n s p o r tl a y e rp r o t o c o l s d i f f i c u l t y h o s ti d e n t i t yp r o t o c o l ( h i p ) c a u s e dl a r g ec h a n g e si nt h en e t w o r kh i e r a r c h y , w h i c h s p i n - o f ft h ef u n c t i o no fi pu s e dt oi d e n t i f yt h eh o s t , t os o l v et h ed i f f i c u l t i e st h a ti pa d d r e s s e sf o r av a r i e t yo fa g r e e m e n t sr e q u i r et oi d e n t i f y w i t hav a r i e t yo fp o r t a b l em o b i l et e r m i n a l sa p p e a r i n go nt h em a r k e t ，p e o p l ea r eg r o w i n g d e m a n df o rm o b i l i t y i ti s , h o p e dt h a tt h ec o n n e c t i o ni sn o ti n t e r r u p t e dw h e nf r e e l ym o v i n g w i t h o u tc h a n g et h ei d e n t i f i e r t h ei n t e r a c tp r o t o c o lw i t hd o u b l ei d e n t i t yd o s e n tw o r kw e l l i nt h i s p a p e r , w ea p p l yh i p t oan e w g e n e r a lm o b i l es y s t e ma n d r o i d t h i sp a p e rm a k e sd e t a i l e da n a l y s i sa b o u tt h eh i pc o m m u n i c a t i o nf l o wi nt h ek e r n e l ， i n c l u d i n gt h ei m p l e m e n to fh i pb a s i cc o m m u n i c a t i o na n dh i pg e n e r a lc o m m u n c a t o n a f t e r a n a l y z i n gt h ee x i s t i n gh i pi m p l e m e n t a t i o n sw h i c hh a v ed e f i c i e n c y , an e wd e s i g nh a sb e e n p r o p o s e d i nt h er e a l i z a t i o np a r t ，w ef o u c so np a r s i n gf u n c t i o ni na p p l i c a t i o na n ds o c k e ti n t e r f a c e f u n c t i o na n db a s i ct e s th a v eb e e nd o n e i nt h ee n d p a r t ，w ed of u l lo ft e s t sa n di n t e r c e p t e dp a c k e t o f h i p i nt h i sp a p e r , t h eh i pp r o t o c o lu s e di nm o b i l et e r m i n a l se n s u r et h a tt h em o b i l et e r m i n a l s c o m m u n i c a t i o n sw i t h o u ti n t e r r u p t i o nd u r i n gn e t w o r ks w i t c h i n g ( c h a n g i n gi p ) ，t op r o v i d eb a s i c t e c h n i c a ls u p p o r tf o rt h eh e t e r o g e n e o u sn e t w o r kc o n v e r g e n c e a tl a s tw ev e r i f yt h eo r i g i n a l c o m m u n i c a t i o ns t i l lo na f t e ri pc h a n g e d a p p l yh i po nm o b i l ep l a t f o r mw h i c hp r o v i d eat o b h n i c a ls u p p o r to f n e t w o r kc o n v e r g e n c e k e y w o r d s ：h o s ti d e n t i t yp r o t o c o l ，a n d r o i do p e r a t i n gs y s t e m ，n e t w o r kc o n v e r g e n c e ，d e s i g na n d i m p l e m e n t a t i o n i i 日录 目录 目 录i i i 缩略字表v 第一章绪论1 1 1h i p 技术背景1 1 2 主要研究内容介绍2 1 3 论文组织结构2 第二章h i p 协议分析及应用分析4 2 1 主机标识符4 2 2h i p 的基本交换5 2 3h i p 协议的报文8 2 3 1 报文格式8 2 3 2 报文类型9 2 4h i p 协议提供的服务1 0 2 4 1h i p 协议的安全机制1 0 2 4 2h i p 协议的地址更新机制1 2 2 5h i p 协议的概念模型1 3 2 6h i p 协议的优势和局限性1 4 2 6 1h i p 应用于移动方面的优势1 4 2 6 2h i p 的局限性1 5 2 7h i p 协议的应用1 5 第三章a n d r o i d 丌发平台16 3 1a n d r o i d 操作系统简介1 量 3 1 1a n d r o i d 背景。：1 6 3 1 2a n d r o i d 操作系统架构1 6 3 2 a n d r o i d 内核分析1 7 3 2 1 网络通信模块1 7 3 2 3 内核获取与编译：1 8 3 3 a n d r o i d 的丌发环境配置1 9 第四章h i p 软件设计方案分析2 2 i f i 南京邮电人学硕j ：研究生学位论文甘录 4 1h i p 设计分析2 2 4 1 1 传统h i p 内核实现方案分析2 2 4 1 2 改进的方案实现h i p 通信2 3 4 2a n d r o i d 平台上h i p 内核通信2 4 4 2 1h i p 基本交换2 4 4 2 2h i p 协议数据的发送和接收处理2 5 4 3h i pa p i 框架设计2 7 4 3 1 设计目标：2 7 4 3 2i p v 6a p l 分析：2 7 4 3 3h i pa p i 总体设计3 0 4 3 4s o c k e t 接口设计3 2 第五章a n d r o i d 平台上的h i p 实现3 8 5 1 软件平台和工具3 8 5 2 应用层解析函数实现方式3 8 5 2 1 数据结构说明3 8 5 2 2 流程和功能函数4 2 5 3s o c k e t 接口实现方式4 4 5 3 1s o c k e t 接口注册4 4 5 3 2 基本功能函数实现4 5 5 3 3s o c k e t 套接口选项实现4 7 5 3 4 主机标识库实现5 l 5 4 内核实现方案的通信调用5 2 5 4 1 服务器端的连接创建5 2 5 4 2 客户端的连接创建5 3 第六章测试方案与测试结果：5 5 6 1 实验环境的搭建：5 5 6 2 实验配置5 5 6 3h i p 通信实验5 6 6 3 1 实验目的5 6 6 3 2 实验数据的分析：5 6 6 4 实验分析总结6 1 第七章总结与展望6 2 致谢曼6 3 ： 参考文献6 4 攻读硕士学位期问发表论文6 6 i v 堕室唑! ! 叁堂堡! ：型究生学位论文 缩略，表 一- ： 缩略字表 h i ph o s ti d e n t i t yp r o t o c o l m i p m o b i l ei n t e r n e tp r o t o c o l h i h o s ti d e n t i t y h i t h o s ti d e n t i t yt a g l s il o c a ls c o p ei d e n t i t y a p i a p p l i c a t i o np r o g r a m m i n gi n t e r f a c e e i d e n d p o i n ti d e n t i f i e rd e s c r i p t o r u d pu s e rd a t a g r a mp r o t o c o l t c p t r a n s p o r tc o n t r o lp r o t o c 0 1 s c t ps t r e a mc o n t r o lt r a n s m i s s i o np r o t o c o l i e t f i n t e r n e te n g i n e e r i n gt a s kf o r c e i p s e c i n t e r n e tp r o t o c o ls e c u r i t y i p v 6 i n t e m e tp r o t o c o lv e r s i o n 6 d n s d o m a i nn a m es y s t e m v 南京邮电大学硕士研究生学位论文第一章绪论 1 1h i p 技术背景 第一章绪论 下一代网络( n g n ) 是目前网络研究的热点，融合各类异质网络满足个人通信和信息 获取的需求，从而实现多种网络接入技术的协调共存。n g n 为此提出了通用移动性 ( g e n e r a l i z e dm o b i l i t y ) 的概念。通用移动性与接入技术无关，即不管用户使用什么接入技术， 都能向用户提供一致的服务。但是，在最初设计网络协议时，一个假定的情形就是通信主 机的地理位置是相对固定的。因此，主机所设置的地址既代表主机在网络中的拓扑位置， 又代表主机的身份。这种做法很难适应移动通信的发展，需要对协议进行改进以提供移动 性支持。m i p ( m o b i l ei p ) 1 1 】是因特网建议标准，是解决i p 网络中移动性管理的最早方案， 也是最成熟的支持主机移动的技术。虽然它基本解决了主机移动时保持原会话不中断的 问题，但该技术的性能、不同网络互连以及安全问题均没有得到满意的解决。于是，引 出了对m i p 中移动性和安全性都有所提高的主机标识协议h i p ( h o s ti d e n t i t yp r o t o c 0 1 ) 口】。 在移动环境下，主机的身份和网络拓扑位置不再是一对一的关系，而是一对多的关系， 因此口地址不再适合用来代表主机的身份。h i p 协议的思想就是：设置一个与应用无关和 与拓扑无关的主机标识h i ( h o s ti d e n t i t y ) 作为通信实体的身份。这样可通过( 主机标识，端 口号) 来唯一标识主机中的进程。h i p 协议做了与传统通信协议不同的规定：在传统t c p i p 协议中，主机进程的t c p 和u d p 的端口号是与i p 地址绑定的。而在h i p 中，i p 地址仍然 具有位置标识的功能，而h i 则取代了地址的通信实体身份标识的功能。h i 作为主机身份 标识应该是全球范围内唯一的。h i p 建议该标识符来自密码学名字空间，即采用非对称密 钥系统( 公开密钥一私有密钥对) 中的公开密钥作为主机标识【3 】。 h i p 中规定将h i 动态绑定到主机的当前i p 地址，系统使用( h i ，p o r t ) 标识进程，而不 是( i p , p o r t ) ，这就使得无论一个主机的i p 地址因何种原因变换，通信进程都能够拥有唯 t 一不变的标识，因此不会对传输层的通信造成影响。 。t 由以上分析可以看出，利用h i p 进行通信，是解决现阶段网络融合过程中终端移动切 换而导致通信间断的一个良好的解决方案。a n d r o i d 作为新兴的手机操作系统，由于其开 源和良好的兼容性等特征，具有广阔的市场前途。本论文通过改进现有的h i p 实现方案， 以h i p 内核通信的实现方案，实现h i p 在a n d r o i d 平台上的应用。 1 第一章绪论 的h i p 通信方案，实现a n d r o i d 平 现。首先，针对背景及h i p 的提出， 通信、报文格式等等进行了说明。 然后，分析a n d r o i d 操作系统的内核通信模块，配置h i p 的开发环境。对h i p 的通信过程 以及基本通信过程的报文交互做出了较为详细的分析。并且通过对不同实现方案的比较， 分析了传统的内核实现方案的不足之处，提出一种新的设计方案。在实现部分，通过分析 h i p 内核线程，以及在基本通信过程中内核线程的核心作用，然后按照设计思路重点分析 h i p 通信过程的报文处理详细流程，并且对相应的实现函数中做出了分析。最后，通过实 验的方式验证了上述分析和设计。 1 3 论文组织结构 文中第二章开始为本文的主要内容，第二章介绍h i p 协议的体系结构。第一部分介绍 h i p 协议中主机标识符的概念及其表示方法：第二部分介绍h i p 的基本交换过程，以及引 入h i p 后网络模型的变化；第三部分介绍h i p 协议提供的服务；后面介绍了h i p 协议的报 文格式、报文类型和其它基本概念；第六部分阐述h i p 的局限性；最后提出将h i p 技术应 用于a n d r o i d 平台。 第三章是分析a n d r o i d 开发平台。首先介绍了a n d r o i d 操作系统的背景和架构；第二 部分分析了a n d r o i d 操作系统的内核与l i n u x 内核的不同，着重分析了网络通信模块以及 阐述如何获取和编译a n d r o i d 内核。最后一部分介绍本文的开发环境配置。 第四章及第五章为本论文重点。四章首先分析传统的h i p 实现方案，只是通过简单的 修改原有的s o c k e t 选项存在一系列的不足，提出改进a p i 的方案实现h i p 协议；接下来分 口 析在内核模式下h i p 的通信过程，包括h i p 的基本通信和常规通信；最后根据分析分别设 计应用层的解析函数和s o c k e t 接口。 第五章首先介绍本论文软件开发的平台和工具，然后按照第四章的分析分别实现应用 层解析函数和s o c k e t 接口，并在a n d r o i d 上进行通信。文中给出了设计的数据结构和详细 的通信流程图。 2 第一章绪论 h i p 的基本通信建立、h i p 将其放在一个小节中。通 。南京邮电大学硕士研究生学位论文第二章h i p 协议分析及应用分析 第二章h i p 协议分析及应用分析 h i p 的提出和发展离不开i e t f ，最早提出是在1 9 9 9 年。到了2 0 0 1 年的时候，开始筹 备成立一个工作组，但是并没有达到目标。研究由l e g g e r t 、r m o s k o w i t z 等人分别进行， 并提出了一些协议的草案。直到2 0 0 3 年他们提出了比较完善的协议的基本描述，并提供 了移动和多宿主管理的扩展。在2 0 0 3 年i e t f 维也纳会议中h i p 协议的地位开始改变： i a b ( 互联网体系结构委员会) 开始讨论引入一个新的主机名字空间的必要性。到2 0 0 3 年底， 也成立了i e t f 的h i p 工作组，i r t f 也开始了相关的研究。也有人开始了协议实现的相关 工作。到2 0 0 4 年夏天，i e t f 就提出了协议基本描述、移动和多宿扩展、r v s 扩展等相关 草案，也有了f r e eb s d 4 i 平台的的协议基本实现和l i n u x 平台的部分功能模块实现。 本章介绍h i p 协议的体系结构，共分为七个部分。第一部分介绍h i p 协议中主机标识 符的概念及其表示方法；第二部分介绍h i p 的基本交换过程，以及引入h i p 后网络模型的 变化；第三部分介绍h i p 协议提供的服务；后面介绍了h i p 协议的报文格式、报文类型和 其它基本概念；第六部分阐述h i p 的局限性；最后提出将h i p 技术应用于a n d r o i d 平台， 提供网络融合的技术支持。 2 1 主机标识符 h i p 协议引入了一个新的名字空间主机标识。在i p 协议簇中引入h i p 协议，是 为了分离主机的标识和主机地址的标识。在现在的互联网中，已经使用了两个全局的名字 空间：一个是i p 地址，一个是域名。域名是一个方便记忆的名字，它代表互联网的某种资 源。通过域名系统，可以查找到域名对应的i p 地址，反之亦然。这样，在人们需要访问互 联网资源时，就可以不预先知道资源的位置，也就是其i p 地址，而是直接使用域名访问， 域名解析可以自动的完成。但域名并不是用来标识一个主机的，所以需要一个新的名字空 问来标识主杭。 h i p 协议在引入名字空间的时候，并没有简单的仅是引入一个容易记忆的或者像i p 地 址一样仅仅用于标识目的的符号。而是充分考虑到了通信安全的需要，考虑到对现有应用 程序兼容，也考虑到适应今后应用的灵活性。最终，h i p 协议采用了一种具有加密意义的 主机标识符，同时提供了多种表示形式，以满足兼容性和应用的需要。非对称密钥算法被 4 南京邮电大学硕士研究生学位论文第二章h i p 协议分析及应用分析 广泛运用于数据认证和会话密钥的交换过程。如图2 1 所示，非对称密钥算法使用两个不 能互相导出的密钥组成一对加密和解密密钥【5 】，分别用于加密和解密。在实际应用中，人 们常常公开一个密钥，称为公钥，而另一个则称为私钥。由于密钥不能互相导出，所以 拥有公钥的人并不能破解对应的私钥。这样，如果采用公钥作为主机身份标识符，就可以 通过其对私钥的拥有来实现对通信对端的认证。所以，h i p 使用了公钥来作为主机身份标 识符( h o s ti d e n t i f i e r ) 。 图2 1 主机身份、h i 、h i t 和l s i 的关系 虽然h i 是主机的标识，但是在应用中，并不直接使用h i 。主要原因有4 点： ( 1 ) 现有非对称密钥算法的密钥长度不一致； ( 2 ) 为了达到一定的加密强度，现在密钥长度往往超过了2 5 6 位，在通信中直接使 用会带来很大的开销； ( 3 ) 现在的i p 协议的a p i 采用了1 2 8 位的地址域( i p v 6 ) ； ( 4 ) 加密算法存在破解的可能，一旦现有算法被认为不再具有需要的安全性，就可 能采用新的算法，也就要采用新的h i 形式。 基于以上四点，h i p 又引入了两种h i 的表示方法：一种是1 2 8 位的，称为h i t ( h o s t i d e n t i f i e rt a g ) 。它是对h i 进行h a s h 运算得到的定长表示。h a s h 算法的保证了不同的 h i 可以产生不同的h i t ，而发生碰撞的概率极小。除了1 2 8 位的h i t ，h i p 还定义了另一 种可以和i p v 4 地址兼容的表示方法，l s i ( l o c a ls c o p ei d e n t i f i e r ) ，用来在i p v 4 的应用中 日 透明的使用h i p 协议【6 l 。h i 、h i t 和l s i 的关系可以参照图2 1 。 2 2h i p 的基本交换 h i p 协议提供了两个终端主机之间快速h i 值交换。h i p 的基本交换建立了两个主机 南京邮电大学硕士研究生学位论文 第二章h i p 协议分析及应用分析 间双向的i p s e cs a 。当一个节点i 要发起对r 的h i p 连接时，它首先查询目录服务器( 如 d n s ) ，获取r 对应的地址、h i 值和h i t 值，之后开始4 个数据包的基本交换 2 】。四包交 换的过程如下：首先，由i 发送一个i 包，请求r 的h i p 对话。于是，r 就发出r ，开始 了交换，r 包含产生的d i f f i e h e l l m a n 密钥交换算法的d h 半会话密钥，以及它自己的公 钥h i ，同时附上签名。当i 接收到r 包之后，就可通过r 的公钥检验r 包是否来自r 。 同时，产生自己的d h 半会话密钥，结合r 的半会话密钥计算得出d h 会话密钥，然后由 该会话密钥产生h i p 的s a ，并使用该s a 来认证加密数据包的信息。这些信息加上i 的签 名后作为i 发送给r 。这时，r 解开i 的d h 半会话密钥，计算d h 会话密钥和创建s a ， 并获得i 的公钥，通过签名确认该信息是i 发送的。r 包用来确认并保护i 免受重放攻击。 另外，由于在i 包发送时已建立会话密钥，所以从第3 个包开始就已能在基本交换中携带 发送数据。 基本交换之后，通信双方就确认了对方确实持有h i 所对应的私钥。另外，由于h i p 工作在i p 层之上，所以每个数据包中都会含有至少4 0 b y t e 的h i p 负载；而e s p 又内含h i p 的信息，因此，在实际应用中，除了h i p 基本交换和维护h i p 状态时需要h i p 负载之外， 在后续数据传输中就不再需要h i p 负载；而h i t 实际上已经隐含在s p i 中，通过s p i 就可 得到对应的h i t 值以及对应的秘密信息。 h i p 的实现是在网络层与传输层之间插入3 5 层主机标识层，用于标识连接终端。h i p 负载实际上类似于i p v 6 的一个扩展头。h i p 网络的层次结构如图2 2 所示，其所使用的标 识符称为h i ，是公私钥对中的公钥，通常存放在d n s 中。由于h i 的长度因不同的公钥体 制算法而不同，所以在实际协议中通常使用固定长度的h i t ( h o s ti d e n t i t yt a g ) 值。h i t 值是对h i 的1 2 8 位h a s h 结果值，前两位比特的选择使其保持与i p v 6 地址空间的兼容性。 应用层 传送层 网络层 链路层 物理层 应用层 传送层 网络层 链路层 物理层 进程号) ，p o r t 对 m 一 i p 地址 链路层地址 图2 2 引入h i p 层前后网络的逻辑层次模型 6 南京邮电大学硕士研究生学位论文第二章h i p 协议分析及应用分析 与此同时，网络层使用i p 地址来交付报文。而在引入hi p 协议后，网络层仍然采用 i p 地址交付报文，上层协议却使用( h i ，p o r t ) 对来作为对等实体的地址，使用了h i 来作 为主机的标识，而没有使用代表网络接口位置的m 地址来代表主机。另外，还要指出的 是，h i p 协议使用e s p ( 封装安全载荷) 协议【7 】来保证用户数据的安全。现在t c p i p 体系 结构中，i p s e c 需要把安全关联绑定在口地址上，使得网络层的安全关联也不能在网络中 改变自己的位置，限制了主机的移动性。但在引入h i p 协议后，h i p 协议使用的e s p 安全 关联被绑定到h i ，不是i p 地址，从而可以很方便的支持通信中的i p 地址改变。从上面的 分析可知，h i p 协议确实实现了传送层和网络层之间的分离，对上层协议屏蔽了网络层的 变化，为适应口地址动态变化提供了条件。这种上下层的绑定关系的变化可以用图2 3 来 表示。 进程 通信端点 网络位置 s o c k e t i p 地址 通信端点 网络位置 动态绑定 i p 地址 图2 3 引入h i p 层前后绑定关系的对比 现在的t c p i p 网络，网络的每个层次都有其对应的头部被包含在一个真正传送的数 据报中。因此，在引入了h i p 层以后，似乎就应该在每一个报文中含有h i p 协议的头部， 其中包含源h i 和目的h i ，只有这样，报文才能正确的送到通信真正的端点。但事实并非 如此，h i p 协议仅在处理h i p 层内的相关功能时才发送包含h i p 头部的报文。这是因为， 在传送上层数据的时候，h i p 协议采用了e s p 协议来保护通信过程( 下面会讨论这个问 题) 。e s p 协议的的安全关联和通过和h i t 绑定，间接实现了和h i 的绑定。从而，在e s p 的安全关联中隐含了报文的源端的h i 和目的端的h i 。所以，在h i p 协议在传送数据的过 日 程中，不需要再显式的包含h i p 报头。这中隐含关系如图2 4 所示。 7 t hl 南京邮电大学硕士研究生学位论文第二章h i p 协议分析及应用分析 匝i 画z 亘- 回亘z 垂田 2 3h i p 协议的报文 m ) h ：跳到跳的选项头 r h ：路由头 d o ：目的选项头 u l 上层协议数据 图2 4 使用h i p 协议后的报文结构 2 3 1 报文格式 在 5 】中定义了h i p 协议中的报文格式。h i p 协议采用一个固定的报文头，包含了：下 一个头、负荷长度、报文类型、协议版本、控制域、校验和域以及源和目的h i t 。如图 2 5 所示。固定报头后面是一个可选的可变参数域。下一个头域的值现在只能是5 9 ，也就 是没有下一个报头，那么h i p 报文可以被认为是i p v 6 的最后一个扩展头。长度域使用 n e x th e a d e r p a y l o a dl e nt y p e v e i 乙 r e s c o n t r o l s c h e c k s u m s e n d e r sh o s ti d e n t i f i e rt a g ( h i t ) r e c e i v e r sh o s ti d e n t i f i e rt a g ( h i t ) h i pp a r a m e t e r s 图2 5h i p 报文的格式 8 比特的空间，长度计算是除最前面8 字节的其余报文的长度，日单位为8 字节。h i p 协议 现在定义的控制标志有4 个，分别是：匿名通信标志、数字证书标志、隐藏i p 标志和r v s 服务标志。匿名通信标志用来表示：本次通信使用的h i 没有在公开的d n s 或者p k i 系统 中登记，是一个临时使用的h i 。证书标志表示本报文包含了一个或几个数字证书需要处 理。h i p 协议使用和u d p 协议类似的校验和。源i p 地址和目的m 地址被包含在校验和计 参数名称类型码 长度( 八位组) 参数说明 s p il4 安全关联索引 r 1 c o u n t e r 21 2 r l 报文更新计数 p u z z l e5 1 2 响应端的质询 s o l u t i o n7 1 2 发起端对质询解答 n e s91 2 用于更新s a s e q l l 4 更新报文序号 a c k1 34 更新报文响应 d i f f i e h e l l m a n 1 5 可变d h 参数 h i u r a n s f o r m 1 7 可变h i p 密码算法集索引 e s p _ t r a n s f o r m 1 9 可变e s p 密码算法集索引 e n c r y p t e d2 1 可变加密数据 h o s ti d3 5 可变h i l l 域名 c e r t6 4 可变数字证书 n o t i f y2 5 6 可变通告信息 e c h or e q u e s t 1 0 2 2 可变回送请求( 被签名) e c h o r e s p o n s e 1 0 2 4 可变回送应答( 被签名) h m a c6 5 2 4 52 0 消息认证码 h m a c26 5 2 4 72 0 消息认证码奉 h i p s i g n a t u r e 2 6 5 2 7 7 可变r 1 的签名 h i p s i g n a t u r e 6 5 2 7 9 可变报文签名 e c h or e q u e s t6 5 2 8 l可变 回送请求 e c h o r e s p o n s e 6 5 2 8 3 可变回送应答 2 3 2 报文类型 h i p 协议共有9 种报文，前面介绍了基本交换的4 个报文，下面给出其他5 种报文 胄臼类型号，以及封装内容的列表。表中的符号含义如下表2 2 所示： 9 南京邮电大学硕士研究生学位论文第二章h i p 协议分析及应用分析 表2 2h i p 报文类型 报文类型类型号报文内容 认证数据 5 i p ( h i p ( i ，h i p _ s i g ) ) ( 证书可以加密) 更新报文 6 i p ( h i p ( n e s ，s e q ，a c k ，d h i ，h m a c ，h i ps i g ) ) 通告报文7 i p ( h i p ( i ， h o s t _ i d ，h i p _ s i g ) ) 关闭请求8 i p ( h i p ( e c h o _ r e q u e s t ，h m a c ，h i p _ s i g ) ) 关闭响应9 i p ( h i p ( e c h o r e p l y ，h m a c ，h i ps i g ) ) ( x ) ，表示参数x ；x y ) ，表示对y 进行x 操作的结果； i ，表示x 重复i 次；【x 】， 表示x 可选参数；x l y ，表示x 或者y 。 2 4h i p 协议提供的服务 h i p 协议为上层协议提供了主机到主机的安全通信服务。这样说具有含义有两层： 首先，h i p 协议在传送上层数据之前进行了双向的主机身份认证，建立了用于传送数据的 e s p 安全连接，能够提供安全的数据传送服务；此外，h i p 协议提供了主机地址信息交换 的机制，能够根据主机当前所在的网络位置使用网络层的服务把报文送到正确的主机。 下面分别介绍h i p 主机使用的安全机制和地址信息交换机制。 2 4 1h i p 协议的安全机制 两个h i p 主机进行通信，必须首先进行主机身份的认证，然后建立通信使用的安全关 联。所以h i p 协议包含了一个类似于t c p 协议3 次握手过程的基本连接建立过程。h i p 协 议建立连接的过程称为基本交换过程，为了防止类似于t c ps y n 的拒绝服务攻击，基本 交换过程经过设计具有很强的抗d o s 攻击的能力。 一个基本交换过程使用4 个报文的交换完成了三个不同的任务：进行了双向的主机 身份认证；建立了h i p 安全关联；建立了e s p 安全关联对。在图2 6 中使用1 1 ，r l ，1 2 ，r 2 表 示了这四个报文。其中r 1 和1 2 报文允5 ；0 含有的响应端和发起端的主机标识以及他们的签 一 名，能够实现主机身份的双向认证。r 1 报文和1 2 报文包含了一个标准的d e 伍e h e l l m a n 密钥交换过程，可以得到共享的会话密钥。r 1 报文包含了响应端的h i p 安全关联参数和 e s p 安全关联参数。发起方在接收到r l 报文后，选择h i p 安全关联和e s p 安全关联的参 数，建立自己的h i p 安全关联和接收e s p 安全关联。1 2 报文中包含了发起方选择的h i p 1 0 南京邮电大学硕士研究生学位论文第二章h i p 协议分析及应用分析 安全参数和e s p 安全参数以及自己的接收安全参数索引。r 2 报文中包含了响应方e s p 接 收安全关联的安全参数索引。 为了进一步说明h i p 协议的基本交换过程，下面介绍两台h i p 主机建立通信的详细过 程。两台h i p 主机间的建立通信过程如图2 6 所示： 第一步：每台h i p 主机必须预先计算自己的r l 报文，以防止类似于t c ps y n 的拒 绝服务攻击； 第二步：在需要发起通信的时候，主机必须首先知道对端的主机标识和i p 地址，这 可以使用d n s 系统，也可以本地解析，h i p 协议对此不做要求，这就是图中的步骤2 ； 第三步：经过前两步对通信的准备，现在发起端就可以发送i l 报文了，报文中含有 自己的h i t 和对端的h i t ，或者对端的h i t 可以为n u l l ，对端根据本地策略选择是否接 收这种通信请求。在接收端收到i l 报文后，接收端就知道有其他主机要和自己进行通 信，同时知道了对端现在所在的网络位置； 第四步：响应方为自己预先计算的r 1 报文添加发起端的h i t 为目的h i t ，添加用于验 证发起端通信意图真实性的c o o k i e ，自己密钥交换的公开参数等等，然后发送r 1 报文。 r 1 报文中包含了响应端的主机标识和签名，可以用于发起端对其身份的认证； 第五步：发起方对响应方的身份进行认证，计算c o o k i e ，计算自己的会话密钥，选择 h i p 安全关联的参数和e s p 安全关联的参数。然后建立h i p 安全关联和自己的接收e s p 安全关联，发送1 2 报文。1 2 报文中包含了发起方加密的主机标识，自己的密钥协商参 数，选定的h i p 安全参数和e s p 安全参数，以及自己的e s p 接收安全关联的安全参数索 引和对整个报文的签名； 第六步：响应端检查c o o k i e ，计算自己的会话密钥，解密对方的主机标识，然后验证 对方身份，建立自己的h i p 安全关联和e s p 安全关联对，最后发送r 2 报文。在r 2 报文 中包含了自己的e s p 接收安全关联的安全参数索引和签名； 第七步：发起方在收到r 2 报文后，建立自己的发送e s p 安全关联。经过了上面的过 程，就在两个主机间建立了双向的e s p 安全关联，所以在后面的通信中，h i p 协议可以使 用e s p 协议保证上层数据的安全。在通信过程中，h i p 协议可以根据需要由密钥材料重新 一 提取密钥，也可以再次进行密钥的交换过程，生成新的会话密钥。 南京邮电大学硕士研究生学位论文第二章h i p 协议分析及应用分析 主机l 的事件 获取对端主机标 识和i p 地址 发送i l 报文， 开始通信 网络报文主机2 的事件 预先计算r l 报文，包含自 己的主机标识和签名 图2 6h i p 主机建立通信的过程 2 4 2h i p 协议的地址更新机制 接收i l 报文，在r 1 中添 ：j l c o o k i e 和密钥交换材 料，发送r l 报文。 接收1 2 报文，验证c o o k i e ， 验证对方身份，计算自己 的会话密钥，建立自己的 h i p 安全关联。