HIP

1
HIP Host Identity Protocol

• Segurança, Mobilidade e Multihoming

Universidade Federal do Rio de Janeiro
UFRJ Disciplina Redes de Computadores II -
2009/2 Professores Otto C. M. B. Duarte e Luís
Henrique M. K. Costa Aluno Lyno Henrique
Gonçalves Ferraz
2
Agenda

• Introdução
• Arquitetura
• Novos Identificadores
• Nova Pilha
• Protocolo
• Mobilidade
• Multihoming
• Conclusão
• Perguntas e Respostas
• Referências

3
Introdução

• Problemas da arquitetura atual
• Ambiguidade do IP
• Mobilidade
• Multihoming
• Segurança
• Ataques de negação de serviço
• Autenticação
• Encriptação
• Compatibilidade IPv6

4
Novos identificadores

• HI Host Identity
• Identificador de uma estação
• Chave pública de um par de chaves pública/privada
• Autenticação e proteção contra homem-no-meio
• HIT Host Identity Tag
• Hash do HI de 128 bits
• LSI Local Scope Identifier
• Representação Local do HI de 32 ou 128 bits

5
Nova Pilha

• Camada de transporte
• Associa-se a identificadores
• Nova camada
• Camada de Identificação
• Camada de Rede

6
Nova Pilha

• Camada de Transporte
• Processos ligam-se a camada de transporte através
  de sockets
• Sockets são Identificados por ltporta, IPgt
• Camada de Identificação
• Esconde a camada de Rede da de Transporte
• Novos sockets ltporta, identificadorgt
• Tradução para endereços IP

7
Protocolo

• BEX - Base Exchange
• 4 mensagens
• Objetivos
• Criação de associação segura ESP
• Diffie-Hellman
• Criação de chave de sessão

8
Fluxo de Mensagens
9
BEX

• I1
• Inicia o processo BEX
• Solicita uma conexão HIP
• R1
• Desafio
• Parâmetros iniciais Diffie-Hellman
• Assinada

10
BEX

• I2
• Solução do Desafio
• Parâmetros Diffie-Hellman
• Assinada
• R2
• Assinada
• Finaliza o procedimento

11
Observação

• SPI Secure Parameter Index
• Identifica uma associação segura
• IP do destinatário
• Número SPI
• Pacotes não carregam identificadores
• Pacotes carregam somente SPI

12
Mobilidade

• Mobilidade
• Nó se move e mantém as conexões ativas
• Processos não veem mudanças
• Associações Seguras
• Pacotes carregam somente SPI
• IP irrelevante
• Novo IP deve ser anunciado

13
Mobilidade

• Localizador (LOCATOR)
• IP
• Pode conter mais informações para camada
  inferiores
• Informa IP(s) onde o nó é alcançável
• UPDATE
• Mensagem de atualização
• Autenticado
• Carrega o LOCATOR

14
UPDATE

• Caso sem troca de nova chave de sessão
• Esp info SPI velho e o novo
• Echo req e res requisição e resposta de ECHO

Nó Móvel
Nó Parado
UPDATE(Localizador, Esp info, Seq)
UPDATE(Esp info, Seq, Ack, Echo req)
UPDATE(Ack, Echo res)
15
Multihoming

• Diversos caminhos
• Diversas interfaces (multihoming de estação
  final)
• Caminhos redundantes (multihoming de rede)
• Localizadores Múltiplos
• Anúncio de localizadores paralelos
• Mecanismo básico
• Não há suporte completo

16
Conclusão

• HIP
• Nova camada
• Camada de identificação
• Separação de localizador e identificador
• Mobilidade
• Multihoming
• HI
• Identificador chave pública
• BEX
• Segurança

17
Perguntas e Respostas

• 1. Qual é o duplo papel exercido pelo IP?
• O IP é utilizado para endereçar as estações e ao
  mesmo tempo identificá-las.

18
Perguntas e Respostas

• 2. Qual a proposta básica do HIP?
• Realizar a separação de identificadores e
  localizadores ao criar uma nova camada na pilha
  TCP/IP, a camada de identificação.

19
Perguntas e Respostas

• 3. O que são HI, HIT e LSI?
• HI - Host Identity. Chave pública única
  globalmente que serve como identificador de uma
  estação.
• HIT - Host Identity Tag. Hash de 128 bits do HI
  usado para representá-lo.
• LSI - Local Scope Identifier. Representação local
  do HI que pode ter 32 ou 128 bits.

20
Perguntas e Respostas

• 4. O que é BEX?
• O BEX (Base Exchange) é um protocolo de 4
  mensagens que serve para criar associações
  seguras fim-a-fim. O protocolo oferece alguma
  segurança contra ataques de negação de serviço,
  autenticação e privacidade.

21
Perguntas e Respostas

• 5. Como é feito o suporte à mobilidade e
  multihoming?
• Os processos se conectam-se a camada de
  transporte através de sockets. Esses sockets, que
  eram definidos por IP e porta, nessa nova
  arquitetura são definidos por identificador e
  porta. Então, quaisquer procedimentos que
  envolvam o IP, sejam mudanças devido à mobilidade
  ou escolha de um IP dentre vários possíveis
  (multihoming), não serão percebidos pelos
  processos.

22
Referências
1 Pekka Nikander, "Applying Host Identity
Protocol to the Internet Addressing
Architecture",in 2004 International Symposium on
Applications and the Internet (SAINT'04) 2
Petri Jokela, Pekka Nikander, Jan Melen, Jukka
Ylitalo, and Jorma Wall, Ericsson Research,
NomadicLab,"Host Identity Protocol Achieving
IPv4 IPv6 handovers without tunneling" 3
Moskowitz, R., Nikander, P., Jokela, P. and
Henderson, T., "Host Identity Protocol,", RFC
5201, April 2008. 4 Jokela, P., Moskowitz, R.
and Nikander, P., "Using the Encapsulating
Security Payload (ESP) Transport Format with the
Host Identity Protocol (HIP)", RFC 5202, April
2008. 5 Laganier, J., Koponen, T. and Eggert,
L., "Host Identity Protocol (HIP) Registration
Extension", RFC 5203, April 2008. 6 Laganier,
J. and Eggert, L., "Host Identity Protocol (HIP)
Rendezvous Extension", RFC 5204, April 2008. 7
Nikander, P. and Laganier, J., "Host Identity
Protocol (HIP) Domain Name System (DNS)
Extension", RFC 5205, April 2008. 8 Nikander,
P., Henderson, T., Vogt, C. and Arkko, J.
"End-host Mobility and Multihoming with the Host
Identity Protocol", RFC 5206, April 2008.
23
OPA!

• Dúvidas?