互联网技术基于HIP的地址更新机制

　在线辅导　面授招生　考试大纲　指定教材　报名时间

下面介绍基于HIP的地址更新机制。
IKE-H提供了一种可以在主机（或者安全网关）具有移动性、多家乡功能情况下维持原有IPSecSA不变来保护数据功能的方法一IKE-H。并在原有HIP协议引入H1主机标识符解决终端识别问题的基础上，设计了一种髙效、灵活、可靠的改进IKEv2密钥交换协议--IKE-H,来满足Mobike工作组的要求。IKE-H可使通信节点对等体在地址改变时保证交换发起者和响应者之间端到端通信的安全性：为IP数据报提供机密性、数据完整性、接入控制、身份鉴别和数据源认证，防止出现DoS(拒绝服务）或者MitM(中间人）等攻击此外，扩展原先只有.端到端的HIP通倍，使之可以实现更多的如同安全网关保护的内部子网主机通信等应用。IKE-H还支持一个同时有多个正在通信的IPv4/IPv6连接的安全网关在IPv4和IPv6地址之间切换即支持站点多家乡，而不用中断和重新建立高层协议连接。
IKE-H方法主要是在原有HIP协议基本框架的基础上对HIP协议的密钥交换协议--基本交换作出了必要的改进，并为了实现主机（包括安全网关在内）的移动性和多家乡功能扩展定义了新的通告载荷报文类型以及HIP一NOTIFY_REA数据格式.考虑了不同环境下的具体使用。由于采用的是基于IKE的密钥交换协议，所以可以使适用范围由终端主机扩展到包括终端主机在内安全网关等不同的场所。
该方案提议的IKE-H密钥交换方法可在HIP主机（或者安全网关）之间建立一对IPSec安全联盟。这些SA不是绑定到IP地址，而是绑定到用来建立它们的HI(公共密钥）上当然，主机（或者安全网关）至少箝要知道它们对端的一个可达的IP地址。最初?这些IP地址就是HIP交换中使用的IP地址既然安全联盟不是绑定到IP地址的，主机就能够从任何地址接收受（由HIP建立的）ESP安全联盟保护的数据钽。因此，主机可以改变自己的IP地址并且继续向对端发送数据包。
IKEH的交换过程都是由一对报文组成：请求和应答，这对报文称为一组“交换”在一定的时间间隔内如果没有收到应答，请求方需要重传请求（或放弃连接)。第一组交换完成IKE_SA_INIT,协商包括加密算法、Nonces、DH交换在内的值。第二组交换完成IKE_AUTH，认证前面的消息、交换身份并建立笫一个IPSec安全联盟《接下来的交换是CREATE_IPSEC_SA交换（用来建立以后的IPSec安全联盟，它不是一定要进行）或者INFORMATIONAL交换（用来删除SA报告错误条件并可以做其他管理如检查生存期等工作)。
通常情况下,建立IKE安全联盟和第一个IPSec安全联盟只需要一次IKE_SA_INIT交换和一次DCE_AUTH交换（一共4条报文)，我们称之为初始交换，如图5-7所示。但在特殊情况中，可能霈要不止一次的这两种交换。但不论是哪种情况，几种交换的顺序都是：首先是IKE_SAJNIT交换，它结束之后是IKE_AUTH交换，接下来使用任意数跫的CREATE_IPSEC_SA和-106-INFORMATIONAL交换，它们的顺序可以任意。

返回目录： 通信工程师考试移动互联网安全技术汇总

编辑特别推荐：

中级通信专业实务 互联网技术教程汇总

中级通信专业实务传输与接入教程汇总

通信专业实务考试设备与环境教程汇总

通信专业实务考试交换技术教程汇总