hip – host identity protocol
DESCRIPTION
Segurança, Mobilidade e Multihoming. HIP – Host Identity Protocol. Universidade Federal do Rio de Janeiro – UFRJ Disciplina: Redes de Computadores II - 2009/2 Professores: Otto C. M. B. Duarte e Luís Henrique M. K. Costa Aluno: Lyno Henrique Gonçalves Ferraz. Agenda. Introdução - PowerPoint PPT PresentationTRANSCRIPT
HIP – Host Identity Protocol
Segurança, Mobilidade e Multihoming
Universidade Federal do Rio de Janeiro – UFRJDisciplina: Redes de Computadores II - 2009/2Professores: Otto C. M. B. Duarte e Luís Henrique M. K. Costa Aluno: Lyno Henrique Gonçalves Ferraz
Agenda
IntroduçãoArquitetura
Novos Identificadores Nova Pilha
ProtocoloMobilidadeMultihomingConclusãoPerguntas e RespostasReferências
Introdução
Problemas da arquitetura atual Ambiguidade do IP Mobilidade Multihoming Segurança
▪ Ataques de negação de serviço▪ Autenticação▪ Encriptação
Compatibilidade IPv6
Novos identificadores
HI – Host Identity Identificador de uma estação Chave pública de um par de chaves
pública/privada Autenticação e proteção contra homem-
no-meioHIT – Host Identity Tag
Hash do HI de 128 bitsLSI – Local Scope Identifier
Representação Local do HI de 32 ou 128 bits
Nova Pilha
Camada de transporte Associa-se a
identificadores Nova camada
Camada de Identificação
Camada de Rede
Nova Pilha
Camada de Transporte Processos ligam-se a camada de
transporte através de sockets Sockets são Identificados por <porta,
IP>Camada de Identificação
Esconde a camada de Rede da de Transporte
Novos sockets <porta, identificador> Tradução para endereços IP
Protocolo
BEX - Base Exchange 4 mensagens Objetivos
▪ Criação de associação segura ESP▪ Diffie-Hellman▪ Criação de chave de sessão
Fluxo de Mensagens
BEX
I1 Inicia o processo BEX Solicita uma conexão HIP
R1 Desafio Parâmetros iniciais Diffie-Hellman Assinada
BEX
I2 Solução do Desafio Parâmetros Diffie-Hellman Assinada
R2 Assinada Finaliza o procedimento
Observação
SPI – Secure Parameter Index Identifica uma associação segura
▪ IP do destinatário▪ Número SPI
Pacotes não carregam identificadores Pacotes carregam somente SPI
Mobilidade
Mobilidade Nó se move e mantém as conexões
ativas Processos não veem mudanças Associações Seguras
▪ Pacotes carregam somente SPI▪ IP irrelevante▪ Novo IP deve ser anunciado
Mobilidade
Localizador (LOCATOR) IP Pode conter mais informações para
camada inferiores Informa IP(s) onde o nó é alcançável
UPDATE Mensagem de atualização Autenticado Carrega o LOCATOR
Caso sem troca de nova chave de sessão
Esp info = SPI velho e o novoEcho req e res = requisição e resposta de ECHO
UPDATE
UPDATE(Localizador, Esp info, Seq)
Nó Móvel Nó Parado
UPDATE(Esp info, Seq, Ack, Echo req)
UPDATE(Ack, Echo res)
Multihoming
Diversos caminhos Diversas interfaces (multihoming de
estação final) Caminhos redundantes (multihoming de
rede)Localizadores Múltiplos
Anúncio de localizadores paralelosMecanismo básico
Não há suporte completo
Conclusão
HIP Nova camada
▪ Camada de identificação Separação de localizador e identificador
▪ Mobilidade▪ Multihoming
HI▪ Identificador – chave pública
BEX▪ Segurança
Perguntas e Respostas
1. Qual é o duplo papel exercido pelo IP?
O IP é utilizado para endereçar as estações e ao mesmo tempo identificá-las.
Perguntas e Respostas
2. Qual a proposta básica do HIP?
Realizar a separação de identificadores e localizadores ao criar uma nova camada na pilha TCP/IP, a camada de identificação.
Perguntas e Respostas
3. O que são HI, HIT e LSI?
HI - Host Identity. Chave pública única globalmente que serve como identificador de uma estação.
HIT - Host Identity Tag. Hash de 128 bits do HI usado para representá-lo.
LSI - Local Scope Identifier. Representação local do HI que pode ter 32 ou 128 bits.
Perguntas e Respostas
4. O que é BEX?
O BEX (Base Exchange) é um protocolo de 4 mensagens que serve para criar associações seguras fim-a-fim. O protocolo oferece alguma segurança contra ataques de negação de serviço, autenticação e privacidade.
Perguntas e Respostas
5. Como é feito o suporte à mobilidade e multihoming?
Os processos se conectam-se a camada de transporte através de sockets. Esses sockets, que eram definidos por IP e porta, nessa nova arquitetura são definidos por identificador e porta. Então, quaisquer procedimentos que envolvam o IP, sejam mudanças devido à mobilidade ou escolha de um IP dentre vários possíveis (multihoming), não serão percebidos pelos processos.
Referências[1] Pekka Nikander, "Applying Host Identity Protocol to the Internet Addressing Architecture",in 2004 International Symposium on Applications and the Internet (SAINT'04)
[2] Petri Jokela, Pekka Nikander, Jan Melen, Jukka Ylitalo, and Jorma Wall, Ericsson Research, NomadicLab,"Host Identity Protocol: Achieving IPv4 IPv6 handovers without tunneling"
[3] Moskowitz, R., Nikander, P., Jokela, P. and Henderson, T., "Host Identity Protocol,", RFC 5201, April 2008.
[4] Jokela, P., Moskowitz, R. and Nikander, P., "Using the Encapsulating Security Payload (ESP) Transport Format with the Host Identity Protocol (HIP)", RFC 5202, April 2008.
[5] Laganier, J., Koponen, T. and Eggert, L., "Host Identity Protocol (HIP) Registration Extension", RFC 5203, April 2008.
[6] Laganier, J. and Eggert, L., "Host Identity Protocol (HIP) Rendezvous Extension", RFC 5204, April 2008.
[7] Nikander, P. and Laganier, J., "Host Identity Protocol (HIP) Domain Name System (DNS) Extension", RFC 5205, April 2008.
[8] Nikander, P., Henderson, T., Vogt, C. and Arkko, J. "End-host Mobility and Multihoming with the Host Identity Protocol", RFC 5206, April 2008.
OPA!
Dúvidas?