李玉行

【摘 要】对通信主机进行有效的身份认证对于提高网络通信的安全性具有重要意义，在主机地址和标识分离机制的基础上，设计实现了一种具有层次结构的主机标识标签，并在此基础上设计了一种通过PKI机制实现主机实名标识的产生与分发机制，实现了对主机身份的实名认证，确保主机身份的可信性。进一步，还实现了一种基于P2P架构的主机身份标识映射模型，为网络用户提供高容错性和高扩展性的地址标识映射服务。提出了一种分级认证中心组织结构下的通信双方身份鉴别机制，能够通过基本数据交换和证书查询，在双方进行通信之前对主机的身份进行鉴别，有效保证通信的安全性和可追溯性。

【关键词】地址标识分离；主机身份认证

0 引言

身份管理和网络可信性是确保网络空间繁荣和健康发展的关键因素，并关系到未来网络基础设施和网络架构，其重要性不言而喻。随着网络空间安全技术的发展，目前各国均希望充分发挥自己在此领域的主导作用，加强身份管理技术研发和部署，力图争夺在该项技术和标准方面的话语权。然而，在TCP/IP网络体系结构中，IP地址具有双重语义，既标识了结点的唯一身份，同时还描述了该结点在网络中的位置。这种语义过载使得在TCP/IP网络中，很难通过IP地址对主机的身份进行标识。影响现有网络可信性的一个重要因素就是网络实体身份的动态性，亦即主机IP地址可以根据需要进行动态变化，从而导致网络中存在源地址欺骗等多种攻击手段。这一问题产生的根源是网络设备仅检查数据包的目的地址，而对源地址不进行验证，增加了安全、管理以及计费的难度。

目前对于网络内主机身份的认证问题并没有一套成体系的成熟解决方案，大部分研究都是围绕其中某一特定问题展开研究，基本上属于在现有网络架构上针对不同问题打各种补丁，缺少系统级的解决方案。在这样一种解决思路下，目前设计实现了多种机制解决IP通信网络中的主机认证问题，例如通过接入控制客户端实现主机的实名接入网络，要求用户必须凭身份令牌和口令帐号上网；局域网内通过IP地址和MAC地址绑定对主机身份进行认证；不少单位也开发了多种网络身份认证系统等。但这些方案均存在一些不足，如接入控制客户端本质上是应用层的解决方案，存在效率低等问题，并且其用户名/密码的登录方式也很容易被破解；由于用户可以动态修改相关地址信息，IP地址和MAC地址绑定的方案更是难以保证安全和可信问题。

事实上，现有大部分解决方案并未涉及到导致主机身份不可信的本质原因，因而只能属于一种治标不治本的方案。在现有IP通信网络体系结构中，由于IP地址承担着主机标识符和主机寻址符的双重角色，且可以由用户对其进行动态修改，因而导致了现有IP网络结构中缺少一种对主机身份进行有效标识和认证的机制。未来设计中必须要对IP地址的双重身份进行解耦合，设计一种专门用于标识主机身份的符号，以保证网络中主机身份的可信性。

1 基于地址标识分离的主机身份认证机制

1.1 主机地址标识分离技术

由前述分析可以发现，IP地址的双重属性是导致上述问题的一个根本原因，既充当身份标识符又充当寻址符的IP地址使得主机的身份信息与其位置信息密切相关，一旦由于位置变化导致主机的IP地址发生改变，将直接导致基于IP地址进行身份认证机制的失效。为此，我们借鉴现有HIP技术在解决地址标识分离方面的思想，提出一种基于地址标识分离的主机身份认证机制。

首先，为了解决IP地址的双重属性问题，在TCP/IP体系结构中的网络层与传输层之间引入主机标识层，分离网络层和运输层的紧密耦合关系，为网络中每台主机分配一个全局唯一的主机标识（Host Identity，HI）来标识主机身份。上层应用利用HI作为通信主机的身份标识，底层通信程序则利用IP地址作为主机的位置标识，分离了IP地址的双重功能和语义过载。主机标识和IP地址之间动态绑定，由主机标识协议负责两者的映射关系维护，从而使得在主机标识保持不变的情况下，可以动态地改变主机的IP地址而不影响上层通信。图1给出了传统TCP/IP机制与地址标识分离机制之间的对比情况。

在引入主机标识符后，上层网络服务通过主机标识符和IP地址进行标识，端主机可以根据需要动态改变IP地址。当IP地址变化后，端主机通知地址标识映射系统进行IP地址和主机标识绑定的改变即可，所有正在进行的通信随后切换为新的IP地址进行通信，因此底层IP地址的变换不会对上层主机标识产生影响。

在主机标识层之上，HIP定义了一个新的命名空间：主机标识命名空间，主机标识命名空间要求网络中任何端系统都必须具有一个全局唯一的主机标识HI。并且出于安全性考虑，HI采用非对称密钥体制中的公钥，但是现行的非对称密钥体制太多，而且每一种体制所使用的密钥长度也不相同。如果在数据通信的过程中直接采用公钥来标识主机身份，则这种长度各异的标识会给协议标准化工作带来不可预计的困难，而且若将长度不定的标识符作为查表的索引，也會增加查表的复杂性，降低查表效率。为了解决这个问题，HIP协议在HI的基础上定义一个主机标识标签（Host Identity Tag，HIT），HIT是对HI进行Hash运算得到的结果，本身具有加密和认证的双重功能，并且为了与IPv6保持结构统一，HIT被定义为128位，所以在API和上层协议中便于统一进行通信双方地址的定义。另外，两个主机之间HIT具有统计学上的全局唯一性，能够确保主机全局身份标识的唯一性。并且由于HIT是定长的，使得协议编码和计算报文长度等等都非常方便。鉴于HIT具有的这些特性，我们可以利用HIT来实现安全、快速、低成本和可扩展性好的主机实名身份标识和认证机制。

1.2 网络主机实名身份认证机制

为了实现安全可信通信，通信过程中通信双方必须首先能够鉴别彼此身份。在采用主机地址标识协议之后，可以为接入网络的每台主机都分配一个全局唯一的HIT，并且通过层次化的CA保证HIT与用户身份的正确关联，因此，可以利用这一优势实现主机身份鉴别功能，用于通信双方进行相互认证。

地址标识分离机制实现了主机标识的不变性和IP地址的按需改变，因此可以基于主机标识进行主机身份的认证，通信双方通过主机标识进行相互通信，而在具体传输过程中再将主机标识转化为当前IP地址，主机可以根据需要进行IP地址的任意变化而不影响身份认证。我们在前述地址标识分离的基础上，建立一套支持安全认证的动态地址标识映射系统，图2描述了这一系统的基本架构，其核心组件即最上层的地址标识认证映射系统，该系统由在现有IP网络中部署的大量认证解析服务器所组成，并且为了避免单点故障的问题，这些认证解析服务器之间按照类似P2P结构中的分布式方式进行组织，负责对主机进行身份认证和地址标识映射。

图3给出了网络主机实名身份认证机制的基本流程，在层次结构的CA管理下，通信发起方I与响应方R进行通信，为了互相认证彼此的身份，两者交互过程如下：

1）发起方I查询DNS服务器，获取响应方R的主机标识HI-R，主机标识标签HIT-R以及IP地址IP-R。

2）发起方I与响应方R互相交换身份信息，包括实名证书、签名等。

3）发起方I向CA认证服务器认证R的身份信息，在认证过程中，本机CA可能还需要向其上级CA发起进一步查询。

4）响应方R向CA认证服务器认证I的身份信息，在认证过程中，本机CA可能还需要向其上级CA发起进一步查询。

5）身份认证通过后双方建立信任关系，两者随后可以进行安全可信的通信。

尽管上述机制能够实现通信双方身份认证，但由于缺乏对主机标识的真实性鉴别机制，仍存在中间人攻击、DoS攻击等安全漏洞，为此，我们对其进一步完善，借鉴HIP协议实现的基本交换过程，提出了高可信安全IP通信系统中主机身份认证算法TA-Authen，图4给出了TA-Authen的协议交互基本流程。

在HIP协议中，通信双方进行正式通信之前，首先要进行一个基于四次握手的HIP基本交换（BEX，Basic EXchange）过程，用于在通信双方之间建立一个安全关联，以便鉴别主机身份，防范诸如DoS攻击、重放攻击等恶意攻击行为，并生成后续通信使用的Diffie-Hellman密钥和协商相关通信参数。为了实现对主机身份的实名可信认证，在前述基于PKI的主机标识分配管理基础上，我们对HIP协议的基本交换过程进行扩展，构建具有可信身份认证功能的通信认证机制。图4描述了这种引入CA认证后，基于HIP BEX交换过程的主机可信身份认证机制，四次握手的报文分别为I1、R1、I2、R2，并根据认证需要携带相应的认证信息，双方通过CA进行认证和反馈分别通过Authen和相应的ACK报文实现。

分析前述主机身份认证过程TA-Authen可以发现，其中通过CA中心实现了对通信双方的身份认证，为实现可信通信奠定基础。图5给出了在高可信安全IP通信系统中主机进行通信时的基本结构图，由该图可以看到，应用程序利用主机实名地址解析模块、主机实名证书认证模块和HIP基本交换处理模块对通信双方的可信身份进行验证，且验证过程中还需要与PKI中的CA中心进行交互以判断双方身份的真实性。在我们提出的层次化PKI结构模型中，通信双方为了验证彼此的真实身份，首先必须都持有一级CA的根证书，并根据该根证书和各级网管中心的CA证书中的AIA链接逐次取得上级CA的证书，形成一个证书链，最终按照算法1通过证书链中顺序验证主机实名证书。

图5 基于可信标识的实体身份认证结构

算法1给出了对证书链的验证顺序，针对其中每一个证书，需要对其合法有效性进行验证，由于在本系统中证书形成一个层次化的结构，因此具体过程也包括利用数字签名验证证书和相应的证书撤销列表的合法性、通过有效期和证书撤销列表验证证书的有效性。由于证书和证书撤销列表均有相应的数字签名，所以，利用相应的公钥信息就可以进行合法性验证；另外，如果证书存在对应的证书撤销列表且该信息合法，则说明该证书已被撤销。

2 标识认证映射系统架构设计

由前述讨论可以发现，地址标识认证映射系统既负责对主机的身份进行认证，又负责主机标识与其最新IP地址之间的动态映射，因此是实现网络移动目标防护机制HI-MTD的基础与核心，需要具有高度的容错能力和可扩展性。为了能够实现对主机标识和相应IP地址的高效映射，兼顾性能与可扩展性等要求，借鉴对等网络在容错等方面的优越性，我们设计实现了一种基于OpenDHT结构的主机标识地址映射模型，实现主机标识和IP地址之间的动态映射关系管理。

模型的基本结构如图6所示，系统中所有的认证映射服务器逻辑上形成了一个类似于Chord[10]的环形空间，每个结点负责一个范围的逻辑空间，所有结点构成了整个地址标识认证映射系统的逻辑空间。每个地址标识认证映射服务器的主机标识通过哈希函数映射成一个结点标识，作为该服务器结点在逻辑空间中的地址；系统中的数据对象描述符也由哈希函数进行哈希处理，记为数据对象的关键字Key。假设一个地址标识映射数据记录的标识符为HS，则有Key=Hash（HS），而这个记录将会存储在地址为successor（Hash（HS））的地址标识认证映射服务器结点上，这里successor（k）代表标识符大于或等于k的第一个结点，反映在Chord环上，successor（k）就是從k开始顺时针方向距离最近的结点。

为了提高系统的安全性，我们在地址标识认证映射服务器处增加相应的安全措施，对增加、删除或者修改其中的记录都实行严格的身份认证操作，确保记录的有效性。采用P2P存储系统负责地址标识认证映射系统中数据信息的分发、存储和查询，能解决集中式结构因为严格的等级结构和中心控制而带来的单点失效、性能瓶颈等问题，增强了系统自身的生存能力。

3 结束语

身份认证对于提高网络通信的安全性具有重要意义，但IP地址的双重属性导致在网络中进行主机身份认证的困难性。在主机地址和标识分离机制的基础上，设计实现了一种具有层次结构的主机标识标签，并在此基础上设计了一种通过PKI机制实现主机实名标识的产生与分发机制，实现了对主机身份的实名认证，确保主机身份的可信性。在此基础上，还实现了一种基于P2P架构的主机身份标识映射模型，为网络用户提供高容错性和高扩展性的地址标识映射服务。提出了一种分级CA组织结构下的通信双方身份鉴别机制，能够通过基本数据交换和证书查询，在双方进行通信之前对主机的身份进行鉴别，有效保证通信的安全性和可追溯性。

【参考文献】

[1]RFC 4423.Host Identity Protocol（HIP）Architecture[Z].IETF，2006.

[2]Pekka Nikander.The Host Identity Protocol（HIP）：Bringing mobility，multi-homing，and baseline security together[J].Security and Privacy in Communications Networks and the Workshops，2007（9）.

[3]Marc Barisch，Alfredo Matos.Integrating User Identity Management Systems with the Host Identity Protocol[J].Computers and Communications，2009（7）：830-836.

[4]Kristiina Karvonen，Miika Komu and ere.Usable Security Management with Host identity Protocol[J].Computer systems and Applications，2009（2）：279-286.

[5]Miika Komu，Application Programming Interfaces for the Host Identity Protocol. http：//infrahip.hiit.fi/hip-native-api-final.pdf.

[6]Richard Barber.Implementing Public Key Infrastructures in a Dynamic Business Environment[J].Computers & Security，2000，19（20）：230-233.

[7]RFC 6253.Host Identity Protocol Certificates[Z].IETF，2011.

[8]Open Chord，http：//open-chord.sourceforge.net/.

[責任编辑：田吉捷]