Protocol de identitate gazdă

Protocolul de identitate a gazdei ( HIP ) este o tehnologie standardizată de Internet Engineering Task Force , pentru rețelele IP care introduce conceptul de identificator de gazdă (a se vedea mai jos ) pentru a atribui o identitate unei entități de rețea. Această identitate este independentă de adresa IP a gazdei și poate fi una sau mai multe.

Protocolul de identitate a gazdei este definit în RFC 4423 și 5201-5207.

Origine

Infrastructura protocolului de identitate gazdă

Fiind spațiul de nume actual pe Internet născut la începutul anilor șaptezeci și optzeci , acesta a fost conceput pentru a gestiona computerele situate într-un mod static, ignorând total conceptele de mobilitate și securitate . Un exemplu evident este dat de adresa IP , căreia i se atribuie semnificația locației , dar în același timp și cea a identității . ^[1]

Este evident că acest lucru este în contrast puternic cu tendința modernă a tehnologiei informației, unde cuvintele cheie sunt mobilitate , multi-homing și, desigur, securitate . În acest sens, de fapt, trebuie remarcat faptul că unul dintre principalele defecte ale protocolului TCP / IP actual este lipsa totală de interes pentru securitatea traficului de date, care în zorii internetului a fost considerată absolut de importanță secundară . În zilele noastre acest lucru nu se mai aplică: comerțul electronic , serviciile de e-mail private și / sau corporative, semnătura digitală etc. necesită sisteme de autentificare și protecție a confidențialității datelor pentru a preveni hacking-ul , phishing-ul și orice altceva.

Protocolul de identitate a gazdei își propune să ofere o soluție unică la majoritatea acestor probleme prin integrarea perfectă cu tehnologiile IPv4 , IPv6 și IPSec .

Identificator gazdă

Un identificator de gazdă (HI) este caracterizarea unică a unei gazde date. Această identitate este reprezentată de un nume unic și fiecare gazdă are cel puțin unul. De fapt, Protocolul de identitate a gazdei, pentru a garanta multihomingul , prevede posibilitatea asocierii uneia sau mai multor identități unei singure gazde, atâta timp cât toate sunt autentificate de un subiect extern independent a cărui credibilitate este acceptată a priori. Un HI poate fi atât public, cât și privat.

Adesea există tendința de a confunda identificatorul gazdei cu identitatea gazdei, având în vedere similaritatea dintre nume și concepte. Așa cum s-a menționat anterior, identificatorul gazdei este reprezentarea fizică a identității alcătuită din șirul de biți utilizat în procesul de identificare / autorizare, în timp ce identitatea gazdei este de fapt identitatea abstractă a gazdei.

Eticheta de identitate a gazdei și identitatea scopului local

Pentru a asigura securitatea împotriva atacurilor DoS și MitM , HI are o natură criptografică . De fapt, un proces criptografic este aplicat identificatorilor de gazdă al căror scop este de a crea o pereche de chei : una publică și una privată .

Apoi se creează un hash pe 128 de biți numit Host Identity Tag (HIT) din Host Identifier pentru a fi folosit ca cheie de autentificare. Algoritmul de hash este de tip SHA-1, care garantează efectiv o probabilitate foarte mică de a avea HIT-uri egale.

Pentru a menține compatibilitatea cu IPv4- pe bază de prize , există , de asemenea , un 32 de biți reprezentare a țării gazdă Identifier. Acest șir se numește Local Scope Identity (LSA) și având în vedere probabilitatea relativ mare (în comparație cu lovitura) de a avea coliziuni, este într-adevăr utilizat numai în contexte locale (domenii).

Schimb de bază HIP

Exchange Identity Protocol Exchange Base

Protocolul HIP definește un handshaking în patru direcții pentru stabilirea unei conexiuni între gazde. Cele două gazde implicate sunt numite inițiator și răspuns ^[2] sau, de asemenea, client și server , cu abuz de limbă.

Inițiatorul începe încercarea de conectare prin trimiterea primului mesaj, pachetul I1, care conține HIT-urile nodurilor în cauză. Rețineți că răspunsul HIT poate fi omis și dacă este necunoscut de inițiator.

Odată ce I1 este primit, Răspunsul trimite pachetul de răspuns R1 conținând un puzzle (ghicitor) pe care inițiatorul trebuie să îl rezolve. Protocolul a fost conceput cu scopul de a face inițiatorul să efectueze majoritatea calculelor pentru rezolvarea puzzle-ului și, de fapt, acest lucru induce și o anumită protecție împotriva atacurilor DoS . Acest pachet este, de asemenea, responsabil pentru activarea procedurii Diffie-Hellman care conține cheia de acces public a răspunsului și, evident, toți parametrii necesari pentru procedura în sine.

În acest moment, inițiatorul rezolvă puzzle-ul și trimite rezultatul obținut prin pachetul I2 către răspuns, împreună cu cheia sa de acces public criptat.

În cele din urmă, Răspunsul verifică corectitudinea răspunsului primit, autentifică inițiatorul și creează o sesiune IPSec prin ESP . Pachetul final R2 conține parametrii SPI ai Responderului.

Referințe RFC

RFC 4423 - Arhitectura Protocolului de identitate a gazdei (HIP) (instantaneu „informativ” timpuriu)
RFC 5201 - Protocolul de bază al identității gazdei
RFC 5202 - Utilizarea formatului de transport Encapsulating Security Payload (ESP) cu Host Identity Protocol (HIP)
RFC 5203 - Extensie de înregistrare a Protocolului de identitate a gazdei (HIP)
RFC 5204 - Extensie de întâlnire pentru protocolul de identitate a gazdei (HIP)
RFC 5205 - Extensie de sistem de nume de domeniu (DNS) pentru protocolul de identificare a gazdei (HIP)
RFC 5206 - Mobilitate End-Host și Multihoming cu Protocolul de identitate gazdă
RFC 5207 - Probleme transversale NAT și firewall de comunicare cu protocolul de identitate a gazdei (HIP)

Notă

Controlul autorității	LCCN ( EN ) sh2008001090

Portal telematic : accesați intrări Wikipedia care vorbesc despre rețele, telecomunicații și protocoale de rețea

[1] University of Eastern Piedmont - HIP Report for the Security course

[2] M. Sarela și P. Nikander - Aplicarea protocolului de identitate a gazdei la rețelele tactice Arhivat 10 iunie 2007 la Internet Archive .

[1]

[2]

V · D · M Internet Protocol Suite
Nivelul aplicației	FTP · HTTP · HTTP / 2 · HTTP / 3 · HTTPS · NNTP · DHCP · DNS · SMTP · POP3 · IMAP · Telnet · SSH · SFTP · TFTP · IRC ·SNMP · VoIP · SIP · RTP · RTSP · Rsync · HSRP · RIP · BGP · IGRP · alt ..
Stratul de transport	TCP · UDP · SCTP · DCCP · alt ..
Stratul de rețea	IP ( IPv4 · IPv6 ) · ICMP ( ICMPv6 ) · IGMP · IPsec · OSPF · alt ..
Nivel de acces la rețea ( LLC · MAC )	ARP ·RARP · NDP · PPP · SLIP · Ethernet · Token ring · Token bus · WiFi · Powerline · ATM · SPB · MPLS · FDDI · HSDPA · WiMAX · alt ..