（计算机软件与理论专业论文）扩展dns实现主机标识协议的研究.pdf

摘要 摘要 计算机通信技术和计算机网络技术的高速发展，使得我们当前的互联网体系 的局限性日益凸显。针对目前互联网存在的安全性差、缺乏可信度、不支持移动 性和流媒体业务承载能力低下等主要问题，以及新一代互联网所提出的可信任、 可扩展、可管理、可移动和可普及的重大需求，使得研究新一代高可信互联网体 系结构及其关键支撑技术很有必要。在目前的网络环境下，存在一些难以解决的 问题，其中一个重要的问题就是互联网主机系统的全局身份认证和访问授权问题。 一方面，互联网主机大多是匿名的，身份无法得到有效的识别和验证，助长了网 络用户行为的随意性。另一方面，用户对不同网络资源的访问大多依赖于这些资 源本身的应用级的访问控制，缺乏一种统一的授权和访问控制机制。同时，随着 i p v 6 协议的大力推广和应用，主机的移动特性、协议的加密特性也会导致问题变 得更加复杂。主机的i p 地址可以随时更换，i p 地址将不再是主机的对外标识，通 过传统的防火墙、d s 系统也已经难以实现对主机的身份认证和对用户行为的控 制，新的攻击和非法访问手段将会随之出现。为了解决以上的问题，需要一种统 一的身份标识和命名机制，配合相应的认证手段，来实现对c n g i 网络上任意主 机的身份识别、身份认证和访问控制。 本文首先研究了一种新的互联网名字空问h i ，即主机身份，作为i p 地址和 d n s 命名空间的重要补充。同时在当前网络体系中引入了一个新的子层，主机标 识协议层( h o s ti d e i l t i t ) rp r o t o c 0 1 ) ，处于网络层与传输层之间。h 口协议满足了主 机对通信双方的身份认证和数据传输的安全性以及移动主机的安全性的需求，作 为一个有效的安全通信框架弥补了当前网络结构的诸多不足之处。随着h m 协议 的引入，需要对当前d n s 的功能进行扩展以满足新的三元结构的名字空间的解析， 即d n s 域名、h i 和i p 地址。随后，描述了在“n u 】【操作系统下实现的h i p 协议 的基本交换模块，h i p 解析器以及扩展d n s 系统。对基本交换的四次握手过程做 了相详细的论述，分析了h i p 协议基本交换在网络通信中所实现的安全性，并且 给出了实现方案。同时针对h i p 协议的域名解析需求，设计和实现了h i p 域名解 析器，并且对当前最流行的d n s 服务器进行分析，通过添加处理h i p 资源记录的 摘要 代码对其进行扩展，使其支持对h i p 协议的解析，从而实现整个h i p 协议系统。 后面针对所实现的系统分别介绍了数据报文的处理、部分功能实现的函数和数据 结构。最后给出了i p v 6 实验网络中整个系统的实验和结果分析。 关键词：主机标识协议，主机标识，d n s 扩展，安全连接 i i a b s t r a c t a b s t r a c t t h ed e v e l o p m e mo fc o m m u i l i c a t i n g t e c i l l l o l o g y 赳l dc o m p u t e rn 咖o f l ( sh a s e x p o s e dm a n yd e f i d 饥c i e so fr e c e n ti i l t 锄e t a g a i n s tt l ep r o b i e mo fm el a c ko fs e c u r i 坝 c r 甜i b i l i t ya i l dm o b i l i t yo fn e 帆o r k s ，m en e x tg e n e r a t i o nh i g l lc r e d i b l er l c t w o r ks t m c t u r e a n dk e yt e 6 i l o l o g ) ，a r cr e s e a r c h e dt 0s a l i s 6 ，m ed e m a n do fc 刚i b i l i 砚c x t e n s i b i l i t 弘 m a n a g e a b i l i 够锄dm o b i l i t yo fn e t w o r k s o nm ea 心。m n e n to fn 就w o d ( w i t i ii p v 4a d d r e s s ，锄o n gm a r l yp r o b l e m sm a t h a v en o tb e e na d d r e s s e d ，觚i m p o r t 舭to i sh o wt 0i d e n t i 匆m ec o l n p u t e ri i lm e 百o b a i n e t w o f l ( s o n l eo n eh a l l d ，m a n yc o m p u t e r sa r e 锄o n y m o u s ，m ei d e n t i t i 髓o fw h ic _ h c a n tb ei d e n t i f i e d o nt h eo t l l e rh 锄d ，e v e 叫a p p l i c a t i o nh a st l l e i ro w na c c e s sc o n 昀l m e c h a l l i s m ，临c hd o e s n tc o o p e r a t ew i me a c ho t h 睨t h ei pa d d r e s so fh o s tc a i lc h a i l g e ，h 朗e v e ri tw 卸t s ，、) l ，h i c hc a i ln mb e 舔m e i d e n t i t ) ro fh o s t t h ec o m i n go ft l l ef i r e w a i l ， i d sy e td o e sn o ta d d r e s s 吐sp r o b l e r l l t h ed c v e l o p m e n to fc o m m u n i c a t i n gt e c h n o l o 斟a 芏l d c o m p u t e rn e t 、v o r k sh a s e x p o s e dm a n yd e f i c i e f l c i e so fr e c e i l ti i l t e m 烈a g a i n s tt t l ep r o b l e mo ft h el a c ko fs e c u r i 坝 讹d i b i i 时a n dm o b i l i t yo fn c 帆o r l ( s ，m e 鹏x tg e n e 僦o nk g l lc 川i b l en e 咐o r ks t r u 【c t u r e 锄dk e yt e c l l i l o l o 斟戤r e s e a r c h e dt os a t i s 矽l ed e m 锄do fc r c d i b i l i 劬e x t e 船i b i l i 坝 m a l l a g e a b i l i 妙a n dm o b i l i t yo f n e “阳出s f o ra d d l e s s i i l gt h i sp r o b l e mm e n t i o n e da b o v e ，au n i t e di d e n t i t ) ，i d e n t i 6 c a t i o n 肌d n a m i n gm e c _ h a l l i s ma r c 玳冠e s s 龇ys oa 玳1 wn 锄es p a c e ，h i ，i sr e s e a r c h e di n “sp a p e r 砌c hi s 鲫i i l l p o r t 趾tc o m p l e i i l e l l to f i p 挑sa n dd n sn 锄e s p a c e a t l es 锄et i i i l e an e w 飘l b l a y 盯i si n 昀d u c o di i lc u f r e n tn e t 、o r ks y s t 锄，w 拉c hi sb e t w e e nm en 咖出 l a ) 惯a n d 仃 m s p o f tl a y 盯n 锄e dh o s ti d e i l t i 够p r o t o c 0 1 h i pp r o t 0 c o ls a t i s f i e st l l c d e m 觚d so fs e c u r i t ) r 锄di d e i l t i f i c a t i o no fc o m 舢m i c a t i o n a st i l ei n 仃0 d u c t i o no fh i p p r o t o c o l ，m ef e s o l 啊n go ft h et f i n 锄es 锄c t i 职w h i c hc o n t a i 璐d n sd o m a i nn 锄e ，h i 姐d 口a d d r e s sn e e d st ob et a c k l e d t h 饥m ei m p l 锄e n t a t i o no f m eb a s ee x c h a i l g eo f h 口p t o c 0 li i ll i n u xo sa l l de x t 锄d e dd n ss y s t 锄a f ed e s 嘶b e di n 瓤sp a p 锄d h i a b s t r a c t s o m e c t i o n sa j l dd a t as t m c t u r ea r em e i l t i o n e d a tl a s t ，e x p 嘶m e n ta n da n a l y s i so ft l l e r e s u l to f e x p e r i m e n ta r ed e s c r i b e d k e y w o r d s ：h o s ti d e n t i 妙p m t o c o l ，h o s ti d e n t i 毗e x t e n d e dd n s ，s e c u d t ya s s o c i a t i o n i v 图目录 图目录 图2 1 传统命名空间与h i 命名空间的差异9 图2 2h i p 基本交换过程l l 图2 3d n s 扩展解析建立h i p 连接1 5 图2 4d n s 扩展支持r v s 机制建立眦p 连接1 5 图3 1 系统总体结构1 8 图3 2h i p 协议功能模块体系结构2 0 图3 3d n s 扩展系统与h i p 协议系统的通信2 l 图3 4d n s 扩展系统体系结构。2 2 图4 一lh i p 协议状态机2 4 图4 2h i pd n s 信息处理流程图3 4 图4 3 运行流程3 6 图5 一ld n s 扩展事件处理方式3 8 图5 2d n s 扩展应用处理过程3 8 图5 3 系统主流程3 9 图5 4 系统初始化流程4 0 图5 5 系统初始化时序图4 0 图5 6 服务器创建流程图4 l 图5 7e v l o o p 事件处理流程4 2 图5 8 系统进入消息处理时序图4 3 图5 9 系统应用逻辑处理流程图4 4 图5 1 0 系统关闭流程图4 4 图6 一l 实验系统有线网络拓扑图5 0 图6 2 实验系统无线网络拓扑图5 0 图6 3 h i p 配置文件5 l 图6 4 主机i 的初始化过程5 2 图6 5 主机i 的基本交换过程5 3 图6 6 主机i 基本交换完成建立s a 安全链接5 5 图6 7 配置主机的域名信息5 5 v i i 电子科技人学硕十学位论文 图6 8h i p 进程启动及初始化5 6 图6 9d n s 返回的h i t 和i p 地址5 7 图6 1 0r l 报文内容5 7 图6 一ll1 2 报文内容5 9 图6 一1 2 两个网络中h i p 基本交换时间平均值6 0 v l i i 表目录 表目录 表4 一l 状态机状态2 5 表4 2h i p 报文头部结构2 5 表4 3h i p 报文头部参数2 6 表4 4h i p 报和报文类型2 7 表6 1 两个网络中h i p 基本交换时间6 0 表6 2 两个网络中试验报文传输r r t 值6 l 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明 确的说明并表示谢意。 签名： 盖邕垒 日期：年 月日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：丝一导师签名：卫牡 日期：年月目 第一章引言 1 1 课题背景 第一章引言 随着网络教育和科研、电子商务、电子政务等应用的普及，社会对互联网的 依赖程度越来越大，因此对互联网的安全可靠、互联网上的应用和信息的可信任 性的要求越来越强。然而，现有互联网络从设计、实现到维护阶段的不可信任性， 导致互联网上的安全事件频繁发生。而下一代互联网的出现给我们建立一个可信 任的互联网环境提供了一个契机，带来了机遇的同时，也带来了挑战。 当前互联网的脆弱性和不可信任性表现在设计、实现、运行管理的各个环节， 频繁暴发的互联网安全事件是互联网脆弱性的具体表现，比如大量的敏感信息泄 漏、地址欺骗、身份假冒、拒绝服务攻击、垃圾邮件泛滥、网络欺诈等事件频繁 发生，而绝大多数安全事件无法追踪到肇事者。美国计算机应急响应组协调中心 的统计数字表明，互联网络的安全事件增长趋势远远超过了互联网规模的增长速 度。而这些安全事件大部分与网络的不可信机制有关。 采取必要的措施和手段，来保护互联网络和信息的安全是人们长期努力的方 向和关注的重点。互联网有其不同于局域网络的显著特征，其一、多种应用系统 并存( 如：信息服务，电子商务，邮件，文件服务等) ，其二、多类用户并存( 如：个人 用户、商业用户、管理用户等) ，其三、有些类别用户数量非常多( 例如个人用户) ， 其四、网络资源的存放方式是分布式存放。对于这样一个多类别用户、多应用系 统并存的环境，计算机网络系统的安全问题、权限设置变得极为重要，对用户的 访问控制的问题的解决变得非常迫切，所以对网络安全所采取的措施和手段的侧 重点应该在于对用户和主机的访问控制上。对于用户和主机的访问控制，许多专 家学者己经做了一些卓有成效的研究工作，针对各方面提出了一些比较经典的算 法，然而，结果并不能令人十分满意。 1 2 国内外研究和发展现状 在下一代互联网的研究领域，对于互联网体系结构的研究已经发展成为一个 非常重要的研究方向，引起了各个发达国家的特别关注。美国政府于1 9 9 6 年1 0 电子科技人学硕士学位论文 月宣布启动的“新一代i n t e m e t ”( n g i ) 研究计划，其目的是研究二十一世纪计算机 信息网络的基本理论，构造全新概念的新一代计算机互联网络体系结构，为美国 的教育和科研提供世界最先进的基础设施，从而保证下一世纪美国在科学和经济 领域的竞争力。作为n g i 计划的一个补充部分，美国1 0 0 多所大学和企业于1 9 9 6 年底联合发起的i i l t e m e t2 研究计划，其目的是利用现有的网络技术来探索高速信 息网络环境下新一代网络应用，同时力图发现现有网络体系结构理论的缺陷和不 适应部分，为新的信息网络理论研究提供需求依据。美国国防部资助了一个由美 国南加州大学信息科学研究所，麻省理工学院计算机科学实验室和加州伯克利大 学国际计算机科学研究所共同参加的新一代h n e m e t 体系结构研究项目一 n 融c h ，该项目将研究新一代h l t e m e t 的体系结构，在该项目组最近的研究成 果中，作者对目前的i n t e n l e t 进行了反思，提出了下一代互联网设计中的几条原则： 面向变化的设计、可控制的透明性和兴趣冲突的隔离。 在政府政策领域，2 0 0 3 年2 月1 4 日美国政府公布一项名为国家计算机空间 安全战略( n a t i o n a ls 缸a t e g yt os u r ec y b e r s p a c e ) 安全计划，该计划定义了三个战 略目标：( 1 ) 防止通过计算机网络对国家关键基础设施的攻击；( 2 ) 降低基础设 施对计算机攻击的脆弱性；( 3 ) 万一攻击发生，减小破坏和恢复时间。该计划中， 强调了普通用户和中小企业的安全意识和培训以及国际间安全的协作，强调计算 机用户应该为自己的行为负责，从政策上提出了行为可信性的概念。 美国科学家们面对着这样一个形势在去年年底开始一个新的研究计划，这是 目前已经开通口v 6 网的情况，在这个网上仅仅解决了可扩展的性的问题，对安全 性、移动性、实时性还没有很好解决。g e n i 计划主要是想发现和评估可以作为2 l 世纪互联网基础的新的革命性概念、示范和技术，建立一个支持新网络体系结构 探险和评估的大规模试验环境，他们认为未来互联网应该是值得社会信任、能够 激发科学和工程革命的、支持新技术融合的、支持普适计算，成为物理世界、虚 拟世界桥梁的，支持革命性服务和应用的互联网。对美国科学基金会f i n d 的计划 是去年开始的，在美国自然基金会四个下一代互联网里重要的一个，一个是传感 器系统网络，一个是可编程的无线通信网络，还有广义联网，最后是未来互联网 设计，这是四大主题。在这个计划里要研究面向端到端网络体系结构和设计，不 面向单元技术和子网，是一个整体结构的设计。美国研究这个网络的目的是非常 明确的，要经过不断地维持和创新，保持美国在至关重要领域的领导地位。最近 可以看到中国发布的“十一五”国民经济和社会发展规划纲要里把宽带通信网、 数字电视网和下一代互联网作为信息基础设施建设。重大专项提出新一代宽带无 2 第一章引言 线移动通信，前沿技术指出自组织的网络技术，重点领域是下一代网络关键技术 与服务。 r r 厂商也在关注可信任问题，微软公司是可信赖计算( t m s 铆o r d l y c o m p u t i n g ) 最积极的倡导者，比尔盖茨认为可信赖计算是微软正在从事的所有 工作中最重要的内容。他对可信赖计算的定义是：高信度计算是一种可以随时获 得、可靠安全的计算，就像使用电力系统、电话那样自由、安全，它不仅仅是计 算的安全性和可靠性，更是一种生态环境。计算机是否安全，这当然很重要，但 更重要的是人类信任计算机的程度。“计算机就像人一样，也需要有高诚信度。 这其中就包括计算机的可靠性、易用性等诸多方面”。 互联网络上的身份标识、安全认证和访问控制，一直是各国政府关心的重要 问题，我国政府对此也表示了高度的重视，特别是新一带互联网的出现和成长， 更是为我国发展自主知识产权的身份认证和访问控制技术带来了前所未有的大好 时机。目前，国内从事该项研究的机构较少，本项目的研究工作显得更加紧迫和 必要。 1 3 课题介绍和研究内容及意义 本课题是由清华大学和电子科技大学联合的c = n g i 示范工程2 0 0 5 年研究开 发、产业化及应用试验项目“面向p v 6 的互联网安全体系结构和关键技术研究”， 试图解决三个问题：下一代网络的实名化( 主机实名化和用户实名化) 、基于实名 网络的身份认证和互信机制、实名网络下基于角色的安全访问控制。主要内容是 研究、开发口v 6 互联网环境中的身份认证、访问控制等关键技术，在i p v 6 环境下， 研究f q d n 【1 】【2 】( f u l l yq i l a l i 6 e dd o m a i nn a m e 本课题称为网络实名) 的实现手段。 通过对h 口【3 l h ( h o s ti d e n t 时p r o t o c o l ，主机标识协议) 、扩展d n s 服务等技术的 研究和开发，实现网络主机的实名化、身份透明化，并在此基础上实现主机的实 名身份认证和基于角色的全局访问控制。 本课题的主要研究内容为： 研究一种能够支撑网络实名制和实名身份验证的机制，该机制能够保证所有 i p v 6 主机的实名化，并且保证实名能够得到全球全局范围内的有效验证，具有全 局唯一性、不可仿冒性、不可抵赖性、位置无关性，并且提出一种能够有效实现 该机制的技术框架。 实现网络实名查询的一个重要途径，就是通过d n s 扩展。经过扩展后的d n s 电子科技人学硕十学位论文 服务器能够对实名和主机i d 、m 地址进行跟踪和关联查询，并给出权威记录。对 开d n s 服务器进行扩展，以实现主机实名支持。 本课题的研究工作由于研究内容具体、目标明确、技术方案合理，并具有先 进性和创新性，其应用前景十分广阔。随着i p v 6 网络的不断发展，本系统产生的 产品将可能被广泛应用到每一台上网的i p v 6 主机，也有可能被应用于若干安全敏 感的行业和部门。应用前景和市场前景相当广阔，具有良好的社会效益和经济效 益。 研究将为建设和管理我国可信任的下一代互联网提供技术保障，在可信任的 下一代互联网基础理论和关键技术上取得突破，形成一批自主产权的、支持高可 信下一代互联网络的关键设备、软件系统，同时伴随着研究过程，必将培养出一 大批优秀的下一代互联网研究和建设人才。引领国际下一代互联网研究，提高我 国科技和产业界的国际竞争力。 本课题研究的基于c n g i 的身份认证、访问控制技术是应用口v 6 构筑下一代 互联网络的重要信息安全基础应用之一。其研发成果的应用和产业化推广将推动 下一代信息产业的发展。对构筑下一代互联网络及其应用有巨大影响。如何保证 下一代互联网络的安全是基于口v 6 信息安全技术的研究工作的重点。 更为重要的是，本系统一旦开发完成，在技术上将处于国际先进水平，在产 品上将填补国内在该产品项目上的空白，对日益增长的网络应用和不断扩大的网 络安全需求，特别是国防、金融、政府等安全性要求较高的行业来说，具有重大 的现实意义。 1 4 论文工作 本文反映了做者在进行“面向i p v 6 的互联网安全体系结构和关键技术研究” 课题的同时，也着手硕士毕业论文的准备工作，确定了论文研究的主要内容，完 成的以下主要工作： 分析了主机标识协议及其体系结构，和当前部分安全协议进行了分析比 较，阐述了h m 协议的优点； 设计和实现了主机标识协议基本交换、h i p 解析器以及d n s 扩展的实现方 案，分析了这部分模块软件的报文处理流程以及主要数据结构和函数； 对整个实验系统进行了相关的实验测试，同时最所得的实验结果对比分 析。 4 第二章h i p 协议及d n s 扩展 第二章p 协议及d n s 扩展 2 1 p 协议提出的背景和研究现状 现有的互联网在设计阶段没有充分考虑安全问题，没有一个整体的安全体系 结构的考虑，因此在t c p i p 底层协议没有内置的安全机制，现有的安全技术都是 以修修补补的形式增加进来的，难免会出现安全漏洞、功能重叠、实现复杂等各 种问题。现有互联网“b e s te 筋r t ”的设计思想使得网络中问节点对传输数据包的 来源不做验证、不做审计，导致地址假冒、垃圾信息泛滥，大量的入侵和攻击行 为无法跟踪。 要对互联网上的用户和主机的访问行为进行有效的控制，在目前的i p v 4 网络 环境下，存在一些难以解决的问题，其中一个重要的问题就是互联网主机系统的 全局身份认证和访问授权问题。一方面，互联网主机大多是匿名的，身份无法得 到有效的识别和验证，助长了网络用户行为的随意性。另一方面，用户对不同网 络资源的访问大多依赖于这些资源本身的应用级的访问控制，缺乏一种统一的授 权和访问控制机制。 同时，随着i p v 6 协议的大力推广和应用，主机的移动特性、协议的加密特性 也会导致问题变得更加复杂。主机的i p 地址可以随时更换，i p 地址将不再是主机 的对外标识，通过传统的防火墙、i d s 系统也已经难以实现对主机的身份认证和对 用户行为的控制，新的攻击和非法访问手段将会随之出现。 为了解决以上的问题，需要一种统一的身份标识和命名机制，配合相应的认 证手段，来实现对c n g i 网络上任意主机的身份识别、身份认证和访问控制。 h i p 定义了一个新的命名空间主机识别命名空间，区别于现有的p 地址 命名空间和d n s 命名空间，主机识别命名空问要求带有栈的任何设备都具有 一个主机标识符h i 。这个标识符是一个被分配给主机的名称，在统计学上应该是 全球唯一的。在实际使用过程中，标识符可以被格式化为统一的1 2 8 位h i t ( h o s t i d e n t i f i e r t a g ，主机标识标签) ，利于编程和封装。 在现有i p 协议下，i p 地址分担着不同的角色。这些角色可以被定义为定位器 和终结点标识符。然而，随着h i 的出现，主机标识符取代了口地址作为终结点 标识符的角色。这就允许主机能够被唯一地识别，而不论其口地址是什么。 电子科技人学硕十学位论文 一台主机可以拥有多个主机标识符。例如，一个主机可以有一个人所共知的 标识符和一个匿名的标识符。其它标识符可以自己指派，或者通过第三方的身份 验证机构来指派，例如d n s 机构。第三方身份验证服务机构能够验证主机身份的 理由是，因为主机身份是基于公钥加密法的。这就意味着，主机的标识不仅能够 通过身份验证机构来验证，还能够被用作一种加密机制。在这种情况下，主机标 识符就成了公钥，因此能够被用来验证i p s e c 数据包的身份。 h m 协议之所以是可行的是因为它绑定t c p 佃传输层协议的方式与现在所 使用的方式不同。在t c p m 里，t c p 和u d p 连接被绑定到了口地址上。然而， 一旦h i p 结构被应用到位，这些连接就被绑定到h o s ti d 上，而不是i p 地址。 这之所以可能，是因为h m 体系结构打破了t c p 佃协议栈的网络互联和传输层。 h 毋与i p v 6 是紧密集成的，h m 协议头部就是口v 6 的一个扩展首部，在m v 6 上实施h i p 显得非常方便而且成本低廉。h m 可以与p 系统、d n s 系统结合在 一起，如果再结合目前流行的u m a c 访问控制框架，那么将非常适合用于全局 或局部的身份鉴别和访问控制。由此可以看出，h m 将极有可能成为下一代互联网 的身份标识手段和认证授权基础。 在实现了身份识别的基础上，业务和应用的安全问题开始浮出水面。只有身 份认证和管理技术能够密切结合企业的业务流程，防止重要资源不被非法访问。 身份认证是指计算机及网络系统确认操作者身份的过程。计算机和计算机网 络组成了一个虚拟的数字世界。在数字世界中，一切信息包括用户的身份信息都 是由一组特定的数据表示，计算机只能识别用户的数字身份，给用户的授权也是 针对用户数字身份进行的。而我们生活的现实世界是一个真实的物理世界，每个 人都拥有独一无二的物理身份。如何保证以数字身份进行操作的访问者就是这个 数字身份的合法拥有者，即如何保证操作者的物理身份与数字身份相对应，就成 为一个重要的安全问题。身份认证技术的诞生就是为了解决这个问题。 目前，国外已经有部分机构和大学关注于这方面的研究，并在l 烈u x 、b s d 系统上进行了大量的开发和试验工作。其中h e l s i n l d 大学已经按照i e t f 草案，实 现了基于“n u 】【和i p v 6 协议的h p 核心系统，取得了初步的试验成功，并在不断 地发展和完善。 互联网络上的身份标识、安全认证和访问控制，一直是各国政府关心的重要 问题，我国政府对此也表示了高度的重视，特别是新一带互联网的出现和成长， 更是为我国发展自主知识产权的身份认证和访问控制技术带来了前所未有的大好 时机。目前，国内从事该项研究的机构较少，本项目的研究工作显得更加紧迫和 6 第二章h i p 协议及d n s 扩展 必要。 2 2 p 协议 主机标识协议( h o s ti d e n t 时p r o t o c o l ，h i p ) 6 】是对于基于m v 4 和i p v 6 互联网的 一种多寻址( m u l t i a d d r e s s i n g ) 和移动性解决方案。同时它也是一种安全协议，使 用主机标识( h o s tl d e n t i f i e r ) ，简称h i ，标识终端点( 或主机) 身份，完成身份鉴 别和产生对等点之间的i p s e c 安全连接。h i p 在当前网络结构中引入了一层新的协 议层介于网络和传输层之间，实现主机标识与网络地址相互之间的映射。从而在 互联网名字空间中加入了由主机标识( h i ) 组成的新的名字空间：主机身份命名 空间。这使得口地址既作为主机身份又作为定位器的双重身份得到分离，使之仅 作为定位器使用。解决了传统t c p i p 结构中，i p 地址拥有双重身份产生的移动和 复式域( m u l t i h o m i n g ) 的问题。 h 口所使用的代表主机身份的h i ，是非对称密码的公私密钥对的公钥，它能 通过数字签名进行自验证。通常用主机身份标志( h 0 s ti d e n t i t y t a g ) ，简称h 玎【6 1 ， 代表主机身份。它是h i 的1 2 8 位的哈希值。主要是为了和口v 6 【7 】地址相兼容，同 时较小系统存储和通信传输的开销。在h i p 中，h i 和h i t 通常存储在d n s 中通 过域名实现h i 和h i t 的查找，以及h i 和i p 地址的对应。定义了一种新的资源记 录( r e s o u r c er e c o r d ) 用于存储这一关系。由于i p 地址仍然是作为网络拓扑的定 位器，也就是说，虽然h i t 对应于主机的身份，但是主机的拓扑信息还是必需由 i p 地址给出。通过域名能实现身份和地址的映射。 当前的互联网主要基于两个名字空间，d n s 域名和口地址。d n s 域名允许它 的使用者在网络中对不同的服务进行有含义的名字描述，从而使得互联网变得更 加简便。d n s 的角色来自于用户和计算机的差异。 口地址名字空间描述了主机在网络中的拓扑位置和主机身份。在现有口协议 下，i p 地址分担着不同的角色。这些角色可以被定义为定位器和终结点标识符。 i p 地址的双重身份在主机不得不改变自己的i p 地址( 比如，移动) 时，便产生了 问题。i p 地址已经负载，它仅仅应该作为定位器使用。一中新的命名方式应该被 定义作为稳定的主机身份，以提高和简化移动性。 主机身份协议( h 口) 分离了主机身份和位置标识。口地址仍然作为定位器， 而一种新的名字空间被引入标识主机。h 口定义了一个新的命名空间主机识别 命名空间，区别于现有的i p 地址命名空间和d n s 命名空间，主机识别命名空间要 7 电子科技火学硕士学位论文 求带有i p 栈的任何设备都具有一个主机标识符h i 。这个标识符是一个被分配给 主机的名称，在统计学上应该是全球唯一的。随着h i 的出现，主机标识符取代了 i p 地址作为终结点标识符的角色。这就允许主机能够被唯一地识别，而不论其i p 地址是什么。位置信息的改变，但这并不影响主机的身份信息。在实际使用过程 中，标识符可以被格式化为统一的1 2 8 位h i t ( h o s ti d e n t i f i e r t a g ，主机标识标签) ， 利于编程和封装。主机标识( h i ) 是在主机身份名字空间。 一台主机可以拥有多个主机标识符。例如，一个主机可以有一个人所共知的标 识符和一个匿名的标识符。其它标识符可以自己指派，或者通过第三方的身份验 证机构来指派，例如d n s 机构。第三方身份验证服务机构能够验证主机身份的理 由是，因为主机身份是基于公钥加密法的。这就意味着，主机的标识不仅能够通 过身份验证机构来验证，还能够被用作一种加密机制。在这种情况下，主机标识 符就成了公钥，因此能够被用来验证m s e c 数据包的身份。 h 口协议绑定t c p m 传输层协议的方式与现在所使用的方式不同。在t c p 口 里，t c p 和u d p 连接被绑定到了口地址上。然而，一旦h i p 结构被应用到位， 这些连接就被绑定到主机i d 上，而不是i p 地址。这之所以可能，是因为h i p 体 系结构打破了t c p 口协议栈的网络互联和传输层。 h 与口v 6 是紧密集成的，h 口协议头部就是d v 6 的一个扩展首部，在口v 6 上实施h 口显得非常方便而且成本低廉。h i p 可以与p 系统、d n s 系统结合在 一起，如果再结合目前流行的a i m a c 访问控制框架，那么将非常适合用于全局 或局部的身份鉴别和访问控制。由此可以看出，h 口将极有可能成为下一代互联网 的身份标识手段和认证授权基础。 2 2 1 主机身份名字空间和川t 主机标识旧( h o s ti d e n t i 6 c r ，h i ) 是主机身份名字空间中的命名。在h m 协议 使用非对称加密算法中的公私钥密钥对中的公钥，作为主机标识。这样能通过非 对称加密算法进行身份认证和防御中间入攻击。主机身份使互联网协议增加了两 个特性。首先分离了网络层和传输层，当前的礤地址是作为路由和接口名的混合 体。也就是说，口地址融合了定位器和端身份的双重角色。在h m 的体系中，端 点和定位是彼此分离的，口地址仅仅扮演着定位器的角色，而由主机标识实现端 的身份标识。如图所示，从结构上说，传输层联接比如t c p 和i j l 卯连接将不再是 和m 地址而是和主机标识相绑定。这样提供了在很低的基础开销的情况下实现移 第二章h i p 协议及d n s 扩展 动性和多宿主。h i p 支持移动m 地址和多宿主i p 地址相互联接，同时如果一个地 址失效的话( 比如移动或网络失效) ，已经存在的传输层联接可以很容易的移动到 其他的地址。 当前网络结构的绑定新的网络结构的绑定 进程套接口 端 物理位置 端点m 动态绑定_ l 物理位置i p 地址 图2 一l 传统命名空间与h i 命名空间的差异 一台物理上的计算机可以承载多个逻辑上的端点。通过h i p ，逻辑上每一个端 点将有一个唯一的主机身份，这使得进程可以在集群服务器之间迁移。如果一个 主机身份从一台物理主机移动到另一台物理主机或可以分派一个单独的主机身份 处理到多个物理主机上，那么同时移动或分派所有的传输连接而不中断她们将变 为可能。 这中分离使得这两层可以独立的发展。其次，它提供了穿过网络层的端到端 的服务，即主机认证服务。因为主机身份标识是公钥，可以做为像口s e c 这类安全 协议的认证服务。 从结构上看，任何其他的互联网命名转换都可以作为主机标识。但完全明 文的命名仅仅能用于高可信的环境( 低风险环境) ，这种情况下便没有是用主机标 识和i p s e c 协议的必要。但在真实的网络情况下，网络连接跨越了多个的域，完全 可信的域的组合基本不存在。所以在现有的网络环境下，使用公钥做为主机标识 在h 口协议的描述中体现了一定的必然性。 而在任何实际的互联网协议中并没有直接使用主机标识。相应主机标识存储 在主机或者d n s 中，在h i p 基本交换的过程中才进行传输。在实际的使用中，使 用主机标识的1 2 8 位的哈希值( h o s ti d 训t ) r t a g ) 来表示h i 。 在h i p 协议中，使用h i t 来表示实际使用的主机标识公钥有很大的好处。固 9 接i l 套 一 程进 匕划地 l pt _ i 电子科技人学硕士学位论文 定的1 2 8 位的长度使得协议的编码更为容易，在通信中的开销会变得更小，同时 它能有机的和i p v 6 的地址相结合，而且不会造成不同非对称加密算法实现主机标 识所带来的兼容性问题。 组作为h i 哈希值的h i t ，定义了两种类型的h i t s ： 类型l 由8 比特的前缀和h i 哈希值的后1 2 0 比特组成。 类型2 由一个“比特的主机分配授权域( h o s ta s s i g m n ga u m o r i t yf i e l d ， h a a ) 和h i 哈希值的后“比特组成类型2 由一个6 4 比特的主机分配授权域 ( h o s ta s s i 盟i n ga 洲h o r i t yf i e l d ，h a a ) 和h i 哈希值的后6 4 比特组成。 后一种h i t 格式可以在h 从中包含域名等信息，主要用于开放的系统，支持 这些名字的转换。在一定程度上解决了只知道h r r 查找h 1 1 r 到口地址的映射转换 的问题，但这需要主机拥有和公开系统相关的信息相结合，不能完全独立的进行 h r r 的查找。同时，由于“比特的h a a 占用了很大一部分h 兀的空间，使得后 续哈希值的位数太短，在实际的应用中，冲突的可能性很大。而对于只有h i t 和 i p 地址信息，而没有其他附加开放信息，如域名信息，的主机来说，这一机制就 显得不能胜任了。 在口v 4 网络环境下，使用3 2 位的l s i ( l o c a ls c o p ei d e n t i f i e r ) 表示主机身份。 l s i 是为了在口v 4 网络环境下兼容h 口协议的一种过度性标识。当然l s i 超越h i t 的优势在与他3 2 位的长度，但是它的本地域属性使得它作为过度性的使用。 2 2 2 川p 基本交换 h p 协议中，最重要的部分便是它的基本交换( b a s ce x c h 锄g e ) ，即四次握手 ( f 0 1 】r 哪a vh a n d s h a l 【e ) 。基本交换完成了h 口协议最核心的功能：验证了拥有h i 的主机的身份，完成了密钥交换，建立了m s e c 安全联接( s a ，s e c 嘶够a s s o c i a t i o n ) 。 基本交换使用了端到端的d i 岱e h e l l m a n 密钥交换协议，但包含了一些针对中间人 攻击保护的不寻常属性。由于h r r 的自我认证特性，在身份认证过程中不需要额 外的证书进行认证。基本交换是由i l 、r l 、1 2 、r 2 报文组成，如图2 2 所示。 发起者( i ) 首先发送一个启动报文i l 给响应者( r ) 。在1 1 只包含i 的h 1 1 ，可能 包含r 的h r r ( 在i 知道的情况下) 。这触发了响应者发送第二个报文，r l ，开始 实际的交换。在响应者接受到n 之前，它预先生成部分r l 报文。预先生成的r l 包括响应者自身的h r r 、d i 伍e h e l l m 趾密钥、响应者的主机身份h i ( 公钥) 、所 支持的i p s e c 算法( e s p 传输) 和e c h o 阳u e s t 域。响应者在r l 报文中并不包含 1 0 第二章h l p 协议及d n s 扩展 任何的协议状态信息，e c h o r e q u e s t 域中所包含的是需要初始者在随后的1 2 报文 中无改变的返回的信息，同时这些数据是无状态的。响应者对这些信息进行签名， 此时报文中的发起者h i t 和p u z z l e 迷题域为空。这两部分是在接收到1 1 后进行添 加，并且不进行加密保护。 i n i t i a t o r r e s p o n d e i i ：| t - l m t _ r 一 一 r l ：坷t i 坷t _ r ，p i 皿l e ( i x ) ，( d h 艮m - r ) s i g j 1 2 ：t i j 司t r ( s o l u 丽邮，k ，j ) s h l d h i f h l - l j ) s i g 勉：h i t i ，h i t - r ，( s p i ( r ) 眦c ) s i g 图2 2h i p 基本交换过程 r 1 中包含一个用密码算法写的密题，p u z z l e 一个有关密码的挑战，初 始者需要在继续交换前解决它。h 口中的p u z z l e 机制是为了保护r 不受拒绝服务 攻击，使初始者在响应者为协议分配资源或产生协议状态前，做一些适量的蛮力 计算。 初始者接受到r 1 后，检查自己是否已经发送相应的1 1 ，并且使用响应者的