Протокол идентификации хоста (HIP) - это технология идентификации хоста, предназначенная для использования в сетях межсетевого протокола (IP), таких как «глобальная сеть Интернет». В Интернете существует два основных пространства имен: IP-адреса и система доменных имен. HIP делится на идентификатор конечной точки и роли локатора IP-адресов. Он вводит пространство имен Host Identity (HI) на основе инфраструктуры безопасности с открытым ключом. Host Identity Protocol предоставляет безопасные методы для IP-адресации и мобильной связи.
В сетях, в которых реализован протокол идентификации хоста, все вхождения IP-адресов в приложениях исключаются и заменяются криптографическими идентификаторами хоста. Криптографические ключи, как правило, генерируются самостоятельно.
Результатом устранения IP-адресов на прикладном и транспортном уровнях является отделение транспортного уровня от уровня межсетевого взаимодействия (сетевого уровня) в TCP/IP. HIP был описан рабочей группой IETF HIP. Исследовательская группа Интернет-технологий (IRTF) занимается более подробным изучением HIP.
Группе исследователей поручено подготовить рабочее предложение (RFC) на «экспериментальной» дорожке, но следует понимать, что предложенные свойства качества и безопасности должны соответствовать требованиям дорожки стандартов. Основной целью создания экспериментальных документов вместо стандартных являются неизвестные эффекты, которые механизмы могут оказывать на приложения и на Интернет в целом.
Имя в пространстве имен Host Identity (HI), представляет собой статистически глобально уникальное имя для именования любой системы со стеком IP. Эта идентичность обычно связана со стеком IP, но не ограничивается им. Система может иметь несколько идентификаторов, некоторые «хорошо известные», некоторые неопубликованные или «анонимные». Система способна сама утверждать свою собственную идентификацию или может использовать сторонний аутентификатор, такой как DNS Security (DNSSEC), Pretty Good Privacy (PGP) или X.509, чтобы «нотариально заверить» утверждение идентичности. Ожидается, что идентификаторы хостов будут первоначально аутентифицированы с помощью DNSSEC.
Теоретически, любое имя, которое может претендовать на то, чтобы быть «статистически глобально уникальным», может служить идентификатором хоста. Однако, по мнению авторов, ключ из «пары открытых ключей» генерирует лучший идентификатор хоста. HI на основе открытого ключа может аутентифицировать пакеты HIP и защищать их от атак «человека посередине». Поскольку аутентифицированные дейтаграммы являются обязательными для обеспечения большей части защиты от DoS в HIP, обмен данными по протоколу Диффи-Хеллмана в HIP должен быть аутентифицирован. Таким образом, на практике поддерживаются только открытый ключ HI и аутентифицированные сообщения HIP.
Ранее протокол сетевого уровня (т.е. IP) имел следующие четыре «классических» свойства (инварианта):
В современном мире мы намеренно пытаемся избавиться от второго инварианта (как для мобильности, так и для многоцелевого поиска), и мы были вынуждены отказаться от первого и четвертого. Специфичный для области IP - это попытка восстановить четвертый инвариант без первого инварианта. IPv6 - это попытка восстановить первый инвариант.
Немногие системы в Интернете имеют DNS-имена, которые имеют смысл. То есть, если у них есть полностью определенное доменное имя (FQDN), это имя обычно принадлежит устройству NAT или серверу удаленного доступа и в действительности идентифицирует не саму систему, а ее текущее соединение. Полные доменные имена (и их расширения в качестве имен электронной почты) являются именами прикладного уровня, чаще именуя службы, чем конкретную систему. Вот почему многие системы в Интернете не зарегистрированы в DNS; у них нет услуг, представляющих интерес для других интернет-хостов.
DNS-имена являются ссылками на IP-адреса. Это только демонстрирует взаимосвязь сетевого и прикладного уровней. DNS, как единственная развернутая распределенная база данных в Интернете, также является хранилищем других пространств имен, что частично связано с записями ключей, специфичными для DNSSEC, и приложениями. Хотя каждое пространство имен может быть расширено (IP с v6, DNS с записями KEY), ни один из них не может должным образом обеспечить аутентификацию хоста или действовать в качестве разграничителя между сетевым и транспортным уровнями.
Пространство имен Host Identity (HI) заполняет важный пробел между пространствами имен IP и DNS. Интересная вещь в HI состоит в том, что он фактически позволяет отказаться от всего, кроме 3-го инварианта сетевого уровня. То есть, если адреса источника и назначения в протоколе сетевого уровня являются обратимыми, все работает нормально, поскольку HIP заботится об идентификации хоста, а обратимость позволяет вернуть пакет обратно на хост партнера. Вам все равно, если адрес сетевого уровня изменяется при передаче, и вас не волнует, какой адрес сетевого уровня использует партнер.
Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".
Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.
Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .