目錄TOC\o"1-3"\h\u21750目錄 第1章緒論1.1研究背景與意義在傳統(tǒng)的Internet協(xié)議體系結(jié)構(gòu)中，傳輸層和網(wǎng)絡(luò)層是緊密地耦合在一起的，IP地址既要標(biāo)識(shí)主機(jī)位置，又要標(biāo)識(shí)主機(jī)身份，在傳輸層使用傳輸層標(biāo)識(shí)符與網(wǎng)絡(luò)層緊密綁定，網(wǎng)絡(luò)層使用IP地址，網(wǎng)絡(luò)層IP地址扮演雙重角色，雙重功能意味著當(dāng)IP地址變化時(shí)，路由會(huì)發(fā)生改變，終端主機(jī)的標(biāo)志也會(huì)發(fā)生變化，這使得IP地址在主機(jī)移動(dòng)和多宿主情況下不能像在固定主機(jī)環(huán)境那樣提供完美的服務(wù)。如果主機(jī)移動(dòng)時(shí)IP地址改變時(shí)，通信雙方無(wú)法發(fā)送或接收數(shù)據(jù)并且造成通信的中斷，因此，基于TCP/IP的網(wǎng)絡(luò)結(jié)構(gòu)面臨著不同網(wǎng)絡(luò)互連、多宿主、防火墻穿越等問題，這些問題是在基礎(chǔ)的TCP/IP協(xié)議上加入移動(dòng)功能而無(wú)法解決的，Internet所要解決的另一個(gè)重要問題是安全性問題。在設(shè)計(jì)Internet體系結(jié)構(gòu)時(shí),用戶是可信賴的群體,因而他們相互之間不需要認(rèn)證，而隨著Internet用戶群體的不斷增加,用戶之間已不存在當(dāng)初的信任關(guān)系,主機(jī)的IP地址可以頻繁更換，IP地址將不再是主機(jī)的對(duì)外標(biāo)識(shí)，通過傳統(tǒng)的防火墻，IDS系統(tǒng)也難以實(shí)現(xiàn)對(duì)主機(jī)的身份認(rèn)證和對(duì)用戶行為的控制，因此迫切需要一個(gè)有效的認(rèn)證機(jī)制來(lái)保障用戶之間的可信任性。1.2研究現(xiàn)狀主機(jī)移動(dòng)和多宿主引發(fā)了新的安全問題，主要有兩種：地址盜用和地址洪泛。地址盜用是一個(gè)惡意節(jié)點(diǎn)聲明自己“擁有”一個(gè)其他主機(jī)正在使用的地址，通過這種假象對(duì)擁有該地址的節(jié)點(diǎn)進(jìn)行中間人攻擊或拒絕服務(wù)攻擊。地址洪泛是一個(gè)惡意節(jié)點(diǎn)欺騙大量的無(wú)辜節(jié)點(diǎn)現(xiàn)在有一個(gè)可用的或者是更好的目標(biāo)IP地址，致使大量的數(shù)據(jù)流對(duì)目標(biāo)地址進(jìn)行洪泛。有很多研究人員對(duì)主機(jī)移動(dòng)、多宿主及安全問題進(jìn)行了廣泛而深入的研究，也給出了不少解決的方案，但都沒有能夠很好也解決這些問題。HIP協(xié)議是一個(gè)能夠同時(shí)解決主機(jī)移動(dòng)、多宿主及安全的方案。主機(jī)標(biāo)識(shí)協(xié)議采用了主機(jī)身份與位置信息分離的設(shè)計(jì)思想，通過增加主機(jī)標(biāo)識(shí)主機(jī)標(biāo)識(shí)協(xié)議,通過增加主機(jī)標(biāo)識(shí)命名空間,對(duì)地址二義性進(jìn)行了解耦合,用主機(jī)標(biāo)識(shí)表示主機(jī)身份信息,地址表示主機(jī)位置信息。HIP協(xié)議可以很好的解決當(dāng)前互聯(lián)網(wǎng)面臨的諸多問題,如移動(dòng)性、多家鄉(xiāng)、路由可擴(kuò)展和安全等。協(xié)議定義了一系列控制報(bào)文來(lái)完成安全關(guān)聯(lián)的建立,更新及關(guān)閉等協(xié)議操作,協(xié)議的正常運(yùn)行依賴于通信實(shí)體對(duì)控制報(bào)文的正確處理。當(dāng)網(wǎng)絡(luò)不穩(wěn)定或兩端主機(jī)同時(shí)發(fā)生移動(dòng)或同時(shí)地址切換的情況下,將會(huì)導(dǎo)致控制報(bào)文的丟失,造成通信的中斷。1.3本文結(jié)構(gòu)安排本說(shuō)明書的結(jié)構(gòu)組織如下：第1章緒論。介紹了HIP協(xié)議給互聯(lián)網(wǎng)帶來(lái)的巨大影響和國(guó)內(nèi)外研究和發(fā)展現(xiàn)狀。第2章HIP協(xié)議綜述。本章介紹了主機(jī)標(biāo)識(shí)協(xié)議的基本交換過程，并詳細(xì)介紹了DNS擴(kuò)展設(shè)計(jì)的方案及原理。第3章DNS。主要介紹了基于模塊劃分的消息序列圖，以及各個(gè)模塊的狀態(tài)轉(zhuǎn)移圖。第4章主機(jī)移動(dòng)性的詳細(xì)設(shè)計(jì)。主要介紹了HIP和DNS報(bào)文的消息格式，并據(jù)此建立數(shù)據(jù)區(qū)。畫出程序流程圖。第5章第6章總結(jié)與展望?？偨Y(jié)此次畢業(yè)設(shè)計(jì)的成果，并對(duì)未來(lái)工作進(jìn)行了展望。第2章HIP綜述2.1主機(jī)標(biāo)識(shí)協(xié)議2.1.1HIP基本原理HIP是對(duì)于基于互聯(lián)網(wǎng)的一種多尋址和移動(dòng)性解決方案。同時(shí)它也是一種安全協(xié)議，標(biāo)識(shí)終端點(diǎn)或主機(jī)身份，完成身份鑒別和產(chǎn)生對(duì)等點(diǎn)之間的安全連接。HIP在網(wǎng)絡(luò)結(jié)構(gòu)當(dāng)中引入了介于網(wǎng)絡(luò)和傳輸層之間一層新的協(xié)議層,，完成主機(jī)標(biāo)識(shí)與網(wǎng)絡(luò)地址相互之間的映射。在互聯(lián)網(wǎng)名字空間中加入了由主機(jī)標(biāo)識(shí)組成的新的名字空間——主機(jī)身份命名空間。這使得地址既作為主機(jī)身份又作為定位器的雙重身份得到分離,使之僅作為定位器使用。主機(jī)識(shí)別命名空間要求帶有棧的任何設(shè)備都具有一個(gè)主機(jī)標(biāo)識(shí)符。這個(gè)標(biāo)識(shí)符是一個(gè)被分配給主機(jī)的名稱,在統(tǒng)計(jì)學(xué)上應(yīng)該是全球唯一的，這就允許主機(jī)能夠被唯一地識(shí)別,而不論其地址是什么。在這種情況下,主機(jī)標(biāo)識(shí)符就成了公鑰,因此能夠被用來(lái)驗(yàn)證數(shù)據(jù)包的身份。協(xié)議綁定護(hù)傳輸層協(xié)議的方式與現(xiàn)在所使用的方式不同。主機(jī)標(biāo)識(shí)協(xié)議中引進(jìn)了主機(jī)標(biāo)識(shí)符HI和主機(jī)標(biāo)識(shí)標(biāo)簽HIT。每個(gè)主機(jī)可以有多個(gè)HI，但由于不同的加密算法所擁有的密鑰長(zhǎng)度不一樣，因而在實(shí)際使用時(shí)不太方便。HIT是128位定長(zhǎng)的、對(duì)主機(jī)標(biāo)識(shí)符的某種哈希變換.它有自校驗(yàn)、低沖突率的特性，實(shí)現(xiàn)和控制的代價(jià)較小。又因?yàn)榕cIPv6地址長(zhǎng)度一樣，在應(yīng)用程序中使用方便。圖2.1引入主標(biāo)符后的網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)2.1.2HIP基本交換過程圖2.2HIP基本交換過程通信發(fā)起方發(fā)送一個(gè)Il報(bào)文給主機(jī)L(響應(yīng)方)。Il中包含通信雙方的主機(jī)標(biāo)識(shí)標(biāo)簽(HITI，HITR)。主機(jī)L接收到I1報(bào)文后，發(fā)送一個(gè)R1報(bào)文給發(fā)起方。R1中包含響應(yīng)方的密鑰交換算法的DH半會(huì)話密鑰和公鑰、一個(gè)待解答的迷題(puzzle)以及響應(yīng)方的簽名。主機(jī)R收到R1報(bào)文后首先驗(yàn)證簽名是否來(lái)自主機(jī)L，若簽名來(lái)自主機(jī)L則進(jìn)行謎題解答；若發(fā)起方在規(guī)定時(shí)間內(nèi)找到了符合謎題要求的整數(shù)J，則向主機(jī)L發(fā)送含有謎題解答的I2報(bào)文，I2報(bào)文同樣包含通信雙方的HIT、發(fā)起方給出的謎題解答、作為公鑰的主機(jī)標(biāo)識(shí)符以及發(fā)起放的簽名；若發(fā)起方在規(guī)定時(shí)間內(nèi)未尋找到符合規(guī)定的謎題解答整數(shù)，則終止謎題解答，并重新發(fā)送基本交換觸發(fā)報(bào)文再次建立HIP基本交換或終止安全連接的建立過程。發(fā)起方接收到R1報(bào)文后，通過響應(yīng)方的公鑰檢驗(yàn)Rl報(bào)文是否來(lái)自響應(yīng)方。同時(shí)，發(fā)起方產(chǎn)生自己的DH半會(huì)話密鑰，結(jié)合響應(yīng)方的半會(huì)話密鑰計(jì)算出DH會(huì)話密鑰,后由該會(huì)話密鑰產(chǎn)生SA的安全參數(shù)索引。另外，發(fā)起方還需要計(jì)算R1報(bào)文中的迷題，得到答案。上述信息加上發(fā)起方的簽名后作為I2報(bào)文發(fā)送給響應(yīng)方。響應(yīng)方得到I2報(bào)文后，查看答案是否正確。如果答案正確，響應(yīng)方解開發(fā)起方的會(huì)話密鑰，計(jì)算DH會(huì)話密鑰和創(chuàng)建HIPSASPI，上述信息加上響應(yīng)方的簽名后作為R2報(bào)文發(fā)送給發(fā)起方。在HIP基本交換建立完成后通信雙方不區(qū)分發(fā)起方和響應(yīng)方，并以ESP封裝的數(shù)據(jù)包進(jìn)行基本通信。如果答案不正確,則響應(yīng)方拒絕和發(fā)起方通信。2.1.3HIP基本交換狀態(tài)轉(zhuǎn)移圖圖2.3HIP狀態(tài)轉(zhuǎn)移圖當(dāng)主機(jī)R處于UNASSOCIATED狀態(tài)時(shí)，主機(jī)和通信節(jié)點(diǎn)屬于無(wú)連接狀態(tài)。若主機(jī)收到I1報(bào)文，則向主機(jī)L發(fā)送回應(yīng)報(bào)文R1；若主機(jī)L收到R1報(bào)文，則向主機(jī)R發(fā)送I2報(bào)文作為回應(yīng)，若在規(guī)定時(shí)間內(nèi)解出謎題并發(fā)送I2報(bào)文則主機(jī)L狀態(tài)轉(zhuǎn)移至I2-SENT狀態(tài)，若未在規(guī)定時(shí)間內(nèi)解答出謎題，則重新發(fā)送I1報(bào)文或者斷開基本交換連接；當(dāng)主機(jī)L處于I1-SENT狀態(tài)時(shí)，主機(jī)L正在發(fā)送I1報(bào)文。若收到I1報(bào)文，則發(fā)送R1，但狀態(tài)仍保持在I1-SENT狀態(tài)；若主機(jī)L收到R1報(bào)文，則向主機(jī)R發(fā)送I2報(bào)文作為回應(yīng)，并將狀態(tài)轉(zhuǎn)移至I2-SENT；若主機(jī)R收到I2報(bào)文，則向主機(jī)L發(fā)送R2報(bào)文作為回應(yīng)，并將狀態(tài)轉(zhuǎn)移至R2-SENT；若主機(jī)L收到R2報(bào)文，則丟棄。當(dāng)主機(jī)L處于I2-SENT狀態(tài)時(shí)，主機(jī)L正在發(fā)送帶有謎題解答的I2報(bào)文。若主機(jī)R收到I1報(bào)文，則發(fā)送R1報(bào)文，狀態(tài)不進(jìn)行轉(zhuǎn)移。當(dāng)主機(jī)R處于R2-SENT狀態(tài)時(shí)，主機(jī)R正在發(fā)送R2報(bào)文。若主機(jī)R收到I1、I2報(bào)文則回復(fù)相對(duì)應(yīng)的報(bào)文給主機(jī)L，處于R2-SENT狀態(tài)；若主機(jī)L收到R1,在R2-SENT狀態(tài)時(shí)，謎題已失效，丟棄報(bào)文并保持狀態(tài)不變。當(dāng)主機(jī)處于ESTABLISHED狀態(tài)時(shí)，主機(jī)與通信主機(jī)間已完成四次握手，屬于已連接狀態(tài)。若主機(jī)R收到I1、I2報(bào)文同樣發(fā)送相應(yīng)的回應(yīng)報(bào)文。當(dāng)主機(jī)處于REKEYING狀態(tài)時(shí)，通信節(jié)點(diǎn)已進(jìn)行移動(dòng)請(qǐng)求位置更新。若收到I1、I2報(bào)文，處理成功則發(fā)送相對(duì)應(yīng)的報(bào)文。2.2DNS擴(kuò)展方案與設(shè)計(jì)原理2.2.1DNS擴(kuò)展原理在該體系結(jié)構(gòu)中。互聯(lián)網(wǎng)被分成多個(gè)區(qū)域網(wǎng)絡(luò)，每個(gè)區(qū)域網(wǎng)絡(luò)都由RVS負(fù)責(zé)管理該區(qū)域網(wǎng)絡(luò)中節(jié)點(diǎn)的HIT及其IP地址之間的映射關(guān)系。另外，DNS管理節(jié)點(diǎn)的域名、HIT以及對(duì)應(yīng)RVS的IP地址之間的映射關(guān)系，DNS不直接保存節(jié)點(diǎn)的II地址。圖2.4基于HIP的DNS擴(kuò)展設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)區(qū)域網(wǎng)絡(luò)中的路由器發(fā)送路由器通告消息，該消息中包含管理該區(qū)域網(wǎng)絡(luò)的RVS的HIT及IP地址。這種路由器通告消息可以通過修改ICMPv6(第六版互聯(lián)網(wǎng)控制報(bào)文協(xié)議)的路由器通告消息來(lái)實(shí)現(xiàn)。節(jié)點(diǎn)第一次進(jìn)入網(wǎng)絡(luò)時(shí)，它使用HIP位置注冊(cè)機(jī)制在所屬區(qū)域網(wǎng)絡(luò)的RVS中注冊(cè)自己的HIT和IP地址。因此，RVS保存了節(jié)點(diǎn)的HIT及其IP地址之間的映射關(guān)系。在該注冊(cè)過程中，節(jié)點(diǎn)也保存了RVS的HIT和IP地址。當(dāng)節(jié)點(diǎn)發(fā)生移動(dòng)時(shí)，它從新子網(wǎng)的AR中獲得管理該子網(wǎng)的RVS的HIT和IP地址。此時(shí)，MN把新獲得的RVS的HIT和自己原來(lái)保存的RVS的HIT進(jìn)行比較：如果新AR路由器通告消息中的RVS的HIT與MN原來(lái)保存的RVS的HIT相同。則表明該MN在同一個(gè)區(qū)域網(wǎng)絡(luò)的不同子網(wǎng)之間移動(dòng)，此時(shí)，MN根據(jù)路由器通告消息獲得新IP地址，使用HIP位置更新機(jī)制在RVS和通信節(jié)點(diǎn)(CN)中進(jìn)行位置更新。如果新獲得的RVS的HIT與原來(lái)保存的不同，則表明該MN移動(dòng)到一個(gè)新的區(qū)域網(wǎng)絡(luò)中，此時(shí)，MN根據(jù)AR所發(fā)送的路由器通告消息，獲得新的IP地址以及管理該新區(qū)域網(wǎng)絡(luò)的RVS的HIT和IP地址。并且進(jìn)行如下操作：MN使用HIP位置注冊(cè)機(jī)制，在新區(qū)域網(wǎng)絡(luò)的RVS中注冊(cè)自己的HIT和IP。新區(qū)域網(wǎng)絡(luò)的RVS獲得MN的HIT和地址后，使用HIP位置更新機(jī)制，在DNS中更新MN的HIT及其對(duì)應(yīng)RVS的IP地址二者之間的映射關(guān)系。進(jìn)行位置更新后，DNS保存的是MN的HIT與新RVS的IP地址之間的映射關(guān)系。MN使用HIP位置更新機(jī)制，在CN中進(jìn)行位置更新。MN給原區(qū)域網(wǎng)絡(luò)中的RVS發(fā)送帶有DEL參數(shù)的UPDATE報(bào)文，通告該RVS刪除其保存的該MN的HIT和IP地址。2.2.2DNS擴(kuò)展方案當(dāng)HIP節(jié)點(diǎn)想要與響應(yīng)者發(fā)起HIP交換時(shí)，首先進(jìn)行DNS查詢。根據(jù)查詢類型，這些查詢的發(fā)布順序可能會(huì)變化。編程接口（API）通常通常會(huì)先查詢HIPRR，在響應(yīng)者FQDN中，而那些在API中使用IP地址的用戶可能會(huì)通常首先查詢A和/或AAAARR，在下文中，我們假設(shè)發(fā)起者首先查詢HIP響應(yīng)方FQDN的RR。如果對(duì)HIP類型的查詢以DNS回答響應(yīng)了RCODE=3（名稱錯(cuò)誤），則響應(yīng)者的信息不存在DNS中，并且不應(yīng)進(jìn)一步查詢。如果查詢HIP記錄返回的DNS答案為RCODE=0（無(wú)錯(cuò)誤）并且答案部分為空，表示沒有HIP可在“響應(yīng)者”名稱處獲得該信息。它將在A處發(fā)送更多有關(guān)A和AAAA類型的查詢響應(yīng)者的FQDN。圖2.5靜態(tài)主機(jī)的網(wǎng)絡(luò)拓?fù)鋱D查詢＃1：QNAME=，QTYPE=HIP：它返回RCODE=0的DNS數(shù)據(jù)包和一個(gè)或多個(gè)HIPRR，其中答案中響應(yīng)者的HIT和HI（例如HIT-R和HI-R）部分，但沒有RVS。查詢＃2：QNAME=，QTYPE=A：查詢＃3：QNAME=，QTYPE=AAAA：它將返回RCODE=0的DNS數(shù)據(jù)包，分別返回1或包含響應(yīng)者IP地址的更多A或AAAARR（例如IP-R）的回答部分。HIP協(xié)議中引入一個(gè)新的基礎(chǔ)設(shè)施:匯聚服務(wù)器，匯聚服務(wù)器是一個(gè)包轉(zhuǎn)發(fā)器,用于移動(dòng)主機(jī)移動(dòng)到新的網(wǎng)絡(luò)位置后通過匯聚服務(wù)器能夠繼續(xù)發(fā)送和接收數(shù)據(jù)包而不中斷通信。匯聚服務(wù)器完成數(shù)據(jù)包的轉(zhuǎn)發(fā)工作，而所有請(qǐng)求數(shù)據(jù)包轉(zhuǎn)發(fā)的主機(jī)都叫匯聚客戶機(jī)。為了完成數(shù)據(jù)包的轉(zhuǎn)發(fā)，首先在DNS服務(wù)器上增加一條資源記錄，存儲(chǔ)匯聚服務(wù)器信息以供匯聚客戶機(jī)查詢；其次，匯聚客戶機(jī)在匯聚服務(wù)器上注冊(cè)自己的HI及IP地址等信息。主機(jī)要發(fā)送數(shù)據(jù)包時(shí)，先從DNS服務(wù)器查詢匯聚服務(wù)器的HI及IP地址，并將第一個(gè)數(shù)據(jù)包發(fā)送到匯聚服務(wù)器，再由匯聚服務(wù)器將此數(shù)據(jù)包轉(zhuǎn)發(fā)給目標(biāo)地址，后續(xù)的數(shù)據(jù)包不再通過匯聚服務(wù)器轉(zhuǎn)發(fā)而是通信雙方直接進(jìn)行通信，除非通信雙方中有一方地址發(fā)生變化。圖2.6主機(jī)移動(dòng)時(shí)網(wǎng)絡(luò)拓?fù)鋱DHIP節(jié)點(diǎn)頻繁更改其IP地址時(shí)，傳播更改的自然DNS延遲可能會(huì)阻止它在DNS中發(fā)布其新IP地址。為了解決這個(gè)問題，HIP體系結(jié)構(gòu)引入了RVS。一個(gè)HIP主機(jī)使用RVS作為集合點(diǎn)以保持可達(dá)性，在移動(dòng)時(shí)使用可能的HIP發(fā)起程序。這樣的HIP節(jié)點(diǎn)將在HIPRR中在DNS中發(fā)布其RVS域名，而保持其RVS與當(dāng)前IP地址集保持最新。移動(dòng)HIP節(jié)點(diǎn)會(huì)將一個(gè)或多個(gè)IP地址（IP-R），HI（HI-R），HIT（HIT-R）以及其RVS服務(wù)器的域名（例如HIPRR資源記錄中的）存儲(chǔ)在DNS中。在DNS中移動(dòng)HIP節(jié)點(diǎn)也需要將其IP地址的任何更改通知其RVS。愿意與這樣的移動(dòng)節(jié)點(diǎn)通信的發(fā)起者將通常發(fā)出以下查詢：查詢＃1：QNAME=，QTYPE=HIP它返回RCODE=0的DNS數(shù)據(jù)包和一個(gè)或多個(gè)HIPRR，其中HIT，HI和RVS域名（例如，HIT-R，HI-R和答案部分中的“響應(yīng)者”（）。查詢＃2：QNAME=，QTYPE=A查詢＃3：QNAME=，QTYPE=AAAA它們分別返回RCODE=0和一個(gè)或多個(gè)的DNS數(shù)據(jù)包包含響應(yīng)者RVSIP地址的A或AAAARR（例如IP-RVS）的答案部分。第3章DNS擴(kuò)展概要設(shè)計(jì)3.1基于模塊劃分的消息序列圖 圖3.1基于模塊劃分的消息序列圖從消息序列圖可以看出，兩臺(tái)主機(jī)進(jìn)行通信時(shí)，需要知道對(duì)方的IP地址以及HIT，在主機(jī)移動(dòng)情況下需要知道對(duì)方的RVS注冊(cè)地址及HIT。移動(dòng)主機(jī)R首先在RVS匯聚服務(wù)器上注冊(cè)自己的HI和IP等信息，RVS保存了節(jié)點(diǎn)的HIT及其IP地址之間的映射關(guān)系，同時(shí)RVS使用HIP位置更新機(jī)制，向DNS發(fā)送UPDATE更新報(bào)文，在DNS中更新移動(dòng)主機(jī)R的HIT及其對(duì)應(yīng)的RVSIP地址和映射關(guān)系。主機(jī)L進(jìn)行通信時(shí)，需要進(jìn)行DNS查詢，進(jìn)行域名到HIT和IP的解析，查詢格式如下：QNAME-,QTYPE=HIP。若DNS返回結(jié)果含有主機(jī)R的HIT，RVS的IP，那么主機(jī)L首先給RVS發(fā)送I1報(bào)文，該報(bào)文包含主機(jī)L和主機(jī)R的HIT以及RVS的IP，當(dāng)RVS收到I1后，在I1中加一個(gè)FROMI參數(shù)，其中包含了主機(jī)L的IP地址，主機(jī)R收到I1報(bào)文后，給主機(jī)L發(fā)送R1，其中含有VIARVS參數(shù)，表示I1經(jīng)過RVS轉(zhuǎn)發(fā)。之后，主機(jī)L、R之間直接發(fā)送I2、R2報(bào)文即可。若DNS返回結(jié)果含有主機(jī)R的IP、HIT及RVS的IP，那么主機(jī)L、R之間直接發(fā)起HIP基本交換，建立連接。3.2各模塊狀態(tài)轉(zhuǎn)移圖3.2.1UPDATE模塊狀態(tài)轉(zhuǎn)移圖圖3.2UPDATE模塊狀態(tài)轉(zhuǎn)移圖如圖，UPDATE模塊一個(gè)三個(gè)狀態(tài)。空閑狀態(tài)IDLE發(fā)送一條UPDATE（LOCATOR，SEQ）消息向DNS請(qǐng)求位置更新，進(jìn)入等待UPDATE（SEQ,ACK,ECHO-REQ）狀態(tài)，若等待失敗則返回IDLE狀態(tài)；若收到UPDATE(SEQ,ACK,ECHO-REQ）消息，發(fā)送UPDATE(ACK,ECHO-RES)消息，若等待失敗直接返回IDLE狀態(tài)，完成位置更新并進(jìn)入IDLE空閑狀態(tài)?？臻e狀態(tài)收到一條UPDATE（LOCATOR,SEQ）請(qǐng)求位置更新消息，發(fā)送UPDATE（SEQ,ACK,ECHO-REQ）回送請(qǐng)求消息并進(jìn)入等待UPDATE（SEQ,ACK,ECHO-RES）狀態(tài)。等待失敗返回IDLE狀態(tài)；若收到UPDATE（SEQ,ACK,ECHO-RES）消息，則完成位置更新并進(jìn)入IDLE空閑狀態(tài)。3.2.2DNS模塊狀態(tài)轉(zhuǎn)移圖圖3.3DNS模塊狀態(tài)轉(zhuǎn)移圖如圖，DNS模塊一共有五個(gè)狀態(tài)?？臻e狀態(tài)IDLE接收INFO,進(jìn)入等待查詢WAIT_QUERY狀態(tài)，等待查詢WAIT_QUERY狀態(tài)發(fā)送QTYPE、QNAME進(jìn)行DNS域名查詢，進(jìn)入等待返回WAIT_UDP（RCODE）狀態(tài)，等待返回WAIT_UDP（RCODE）狀態(tài)等待DNS返回消息。若收到RCODE=3，表示DNS中沒有節(jié)點(diǎn)相關(guān)記錄，查詢失敗。若收到CODE=0，并且無(wú)其他內(nèi)容，說(shuō)明該DNS中暫時(shí)沒有儲(chǔ)存與該節(jié)點(diǎn)有關(guān)的IP、HIT、RVS的IP，此時(shí)主機(jī)則應(yīng)該向DNS發(fā)送多次域名解析，請(qǐng)求DNS返回。若收到RCODE=0和主機(jī)的HIT和RVS的IP，源節(jié)點(diǎn)向RVS發(fā)I1，RVS收到I1后，添加一個(gè)FROM參數(shù)，轉(zhuǎn)發(fā)給目的節(jié)點(diǎn)，說(shuō)明該報(bào)文來(lái)自主機(jī)R，發(fā)送I1后進(jìn)入I1-SENT（RVS）狀態(tài)。主機(jī)L收到I1報(bào)文后，給源節(jié)點(diǎn)發(fā)R1，該R1包含VIARVS參數(shù)，該參數(shù)包含RVS的IP，說(shuō)明R1經(jīng)過RVS的轉(zhuǎn)發(fā)。若收到RCODE=0,主機(jī)的HIT，IP和RVS的IP，則向主機(jī)L發(fā)送I1并進(jìn)入I1-SENT狀態(tài)，然后主機(jī)之間直接發(fā)起HIP基本交換，建立起雙方的通信連接，不需要經(jīng)過RVS。3.2.3HIP模塊狀態(tài)轉(zhuǎn)移圖圖3.4HIP模塊狀態(tài)轉(zhuǎn)移圖如圖，HIP模塊一共四種狀態(tài)?？臻e狀態(tài)IDLE發(fā)送一條I1(HIT-RVS,HIT_I)請(qǐng)求注冊(cè)RVS，進(jìn)入等待R1(REG_INFO)狀態(tài)，若沒有收到R1，則失敗并返回空閑狀態(tài)，若收到R1，則發(fā)送I2（REG_REQ）請(qǐng)求位置注冊(cè)，并進(jìn)入等待R2（REG_RES）狀態(tài)，若沒有收到R2，則失敗并返回空閑狀態(tài)，若收到R2則注冊(cè)成功并返回空閑狀態(tài)。若在空閑狀態(tài)收到一條I1(HIT_RVS,HIT_I）消息，發(fā)送一條R1（REG_INFO）并進(jìn)入等待I2（REG_REQ）狀態(tài)，若沒有收到I2消息，則失敗并返回空閑狀態(tài)，若收到I2消息，則發(fā)送一條R2（REG_RES）通知完成注冊(cè)并進(jìn)入空閑狀態(tài)，若發(fā)送失敗則直接進(jìn)入空閑狀態(tài)。第4章詳細(xì)設(shè)計(jì)4.1數(shù)據(jù)區(qū)定義4.1.1HIP消息格式：圖4.1HIP消息格式HIP消息格式由三部分組成：UDP封裝頭部、HIP頭部以及相應(yīng)報(bào)文所需要的HIP參數(shù)。HIP總體數(shù)據(jù)結(jié)構(gòu)：struct_HIP{StructUDPHEADudphead;StructHIPHEADI1_HEAD;StructR1_COUNTERr1_counter;/*類型129*/StructLOCATORlocator;/*類型193*/StructPUZZLEpuzzle;/*類型257*/StructSOLUTION solution;/*類型321*/StructSEQ seq;/*類型385*/StructACK ack;/*類型449*/StructDIFFIE_HELLMANdiffie_hellman;/*類型513*/StructREG_INFO reg_info;/*類型930*/StructREG_REQUESTreg_request;/*類型932*/StructREG_RESPONSE reg_response;/*類型934*/StructREG_FAILED reg_failed;/*類型936*/StructHIP_MAChip_mac;/*類型61505*/StructHIP_SIGNATUREhip_signature;/*類型61697*/_u8mudule_sta;/*狀態(tài)*/};4.1.2UDP頭部格式UDP封裝頭部：圖4.2UDP頭部格式源端口：占16位。目的端口：占16位。頭部長(zhǎng)度：16位，為整個(gè)數(shù)據(jù)包的長(zhǎng)度，包括MAC頭+ip頭+UDP頭+校驗(yàn)位。校驗(yàn)和：占16位。UDP頭部數(shù)據(jù)結(jié)構(gòu)：StructUDPHEAD{_u16I_port;/*源端口*/_u16R_port;/*目標(biāo)端口*/_u16length;/*長(zhǎng)度*/_u16checksum;/*控制域*/};4.1.3HIP頭部格式HIP頭部格式：圖4.3HIP頭部格式下一頭部：占8位，表明緊跟在HIP后面的下一個(gè)首部的類型。長(zhǎng)度：占8位，是存儲(chǔ)HIP頭部和HIP參數(shù)的長(zhǎng)度。類型：占8位，表明HIP報(bào)文的具體類型。版本和保留域：各占4位。保留域?yàn)閷?lái)使用，發(fā)送者初始化為0；本設(shè)計(jì)使用的版本為1。括IP頭部的源地址和目的地址?？刂朴颍赫?6位。涉及報(bào)文結(jié)構(gòu)和主機(jī)容量。源地址/目的地址：占128位。用校驗(yàn)和：占16位。包來(lái)存儲(chǔ)發(fā)送方和接收方的HIT。HIP頭部數(shù)據(jù)結(jié)構(gòu)：struct_hiphdr{_u8next_hdr;/*載荷*/_u8hdr_length;/*頭部長(zhǎng)度*/_u8pack_type;/*報(bào)文類型*/_u8ver_res;/*版本和保留域*/_u16controls;/*控制信息*/_u16checksum;/*校驗(yàn)和*/_u8hit_sender[32];/*發(fā)送者的hit*/_u8hit_receiver[32];/*接收者的hit*/};4.1.4SEQ參數(shù)格式SEQ參數(shù)： 圖4.4SEQ參數(shù)格式類型：占16位，SEQ的類型為385。長(zhǎng)度：占16位。更新ID：占32位，是網(wǎng)絡(luò)字節(jié)順序中的無(wú)符號(hào)數(shù)字，在移至ESTABLISHED狀態(tài)時(shí)由主機(jī)初始化為零。更新ID在單個(gè)HIP關(guān)聯(lián)中具有范圍，而不是跨多個(gè)關(guān)聯(lián)或多個(gè)主機(jī)。更新ID增加在主機(jī)發(fā)送的每個(gè)新UPDATE之前一個(gè);由主機(jī)發(fā)起的第一個(gè)UPDATE數(shù)據(jù)包的更新ID為0。SEQ數(shù)據(jù)結(jié)構(gòu):Structseq{_u16type;/*類型*/_u16length;/*長(zhǎng)度*/_u32update_id;/*更新ID*/};4.1.5ACK參數(shù)格式ACK參數(shù)：圖4.5ACK參數(shù)格式類型：占16位，ACK的類型為449。長(zhǎng)度：占16位，以字節(jié)為單位。不包括類型和長(zhǎng)度字段。對(duì)等更新ID：占32位，表示用32位序列數(shù)來(lái)回應(yīng)更新ID的確認(rèn)。ACK數(shù)據(jù)結(jié)構(gòu)：structack{_u16type;/*類型*/_u16length;/*長(zhǎng)度*/_u32peer_update_id;/*對(duì)等更新ID*/};4.1.6LOCATOR參數(shù)格式LOCATOR參數(shù)：圖4.6LOCATOR參數(shù)格式類型：占16位，LOCATOR的參數(shù)類型為193。長(zhǎng)度：占16位，以八位字節(jié)為單位的長(zhǎng)度。流量類型：占8位。定位器類型：占8位，定義定位器字段的語(yǔ)義。定位器長(zhǎng)度：占8位，定義定位器字段的長(zhǎng)度。單位為四字節(jié)。保留域：發(fā)送時(shí)為零，接收時(shí)忽略。P：首選定位器，占1位。定位器生存時(shí)間：定位器的生命周期。定位器：其語(yǔ)義和編碼由定位器類型字段表示。定位器數(shù)據(jù)結(jié)構(gòu)：Structlacator_set{_u16type;/*類型*/_u16length;/*長(zhǎng)度*/_u8traffic_type;/*流量類型*/_u8lacator_type;/*定位器類型*/_u8lacator_length;/*定位器長(zhǎng)度*/_u8res;/*保留域*/_u32lacator_lifetime;/*定位器生存時(shí)間*/_u32lacator;/*首選定位器*/};4.1.7ECHO-REQ參數(shù)格式ECHO-REQ參數(shù)：圖4.7ECHO-REQ參數(shù)格式類型：占16位，類型為63661。長(zhǎng)度：占16位，表示八位字節(jié)中不透明數(shù)據(jù)的長(zhǎng)度。不透明數(shù)據(jù)：占32位。Echo_Request數(shù)據(jù)結(jié)構(gòu):StructEcho_Request{_u16type;/*類型*/_u16length;/*長(zhǎng)度*/_u32opaque_date;/*透明數(shù)據(jù)*/}4.1.8ECHO-RES參數(shù)格式圖4.8ECHO-RES參數(shù)類型：占16位，類型為63425。長(zhǎng)度：占16位，表示八位字節(jié)中不透明數(shù)據(jù)的長(zhǎng)度。不透明數(shù)據(jù)：占32位，從觸發(fā)此響應(yīng)的ECHO_REQUEST_UNSIGNED參數(shù)中未經(jīng)修改復(fù)制。Echo_Response數(shù)據(jù)結(jié)構(gòu):Struct_Echo_Response{_u16type;/*類型*/_u16length;/*長(zhǎng)度*/_u32opaque_date;/*透明數(shù)據(jù)*/};4.2其他HIP參數(shù)數(shù)據(jù)結(jié)構(gòu)定義：4.2.1題解數(shù)據(jù)結(jié)構(gòu)：structSOLUTION{_u16type;/*類型*/_u16length;/*長(zhǎng)度*/_u8k;/*隨機(jī)數(shù)K*/_u8res;/*保留域*/_u16opaque;/*透明數(shù)據(jù)*/_u32I;/*隨機(jī)數(shù)I*/_u32J;/*隨機(jī)數(shù)J*/};4.2.2hip_mac數(shù)據(jù)結(jié)構(gòu)：structHIP_MAC{_u16type;/*類型*/_u16length;/*長(zhǎng)度*/_u8hmac[20];/*hmac*/};4.2.3R1_COUNTER參數(shù)的數(shù)據(jù)結(jié)構(gòu):structR1_COUNTER{_u16type;/*類型*/_u16length;/*長(zhǎng)度*/_u32res;/*保留域*/_u64R1_Gen_COUNTER;/*序列號(hào)*/};4.2.4密題puzzle參數(shù)的數(shù)據(jù)結(jié)構(gòu)：structPUZZLE{_u16type;/*類型*/_u16length;/*長(zhǎng)度*/_u8k;/*隨機(jī)數(shù)K*/_u8lifetime;/*生存周期*/_u16opaque;/*不透明數(shù)據(jù)*/_64I;/*隨機(jī)數(shù)I*/};4.2.5Diffiiehellman密鑰的數(shù)據(jù)結(jié)構(gòu)：structDIFFIE_HELLMAN{_u16type;/*類型*/_u16length;/*長(zhǎng)度*/_u8group_id;/*組ID*/_u16public_value_length;/*公共值的長(zhǎng)度*/_u8public_value;/*變量長(zhǎng)度*/};4.2.6Hip_Signature數(shù)據(jù)結(jié)構(gòu)：structHip_Signature{_u16type;/*類型*/_u16length;/*長(zhǎng)度*/_u16sig_alg;/*簽名算法*/_u16signature;/*簽名*/};4.2.7TLV數(shù)據(jù)結(jié)構(gòu)：structTLV_HEAD{intlength;/*tlv消息總長(zhǎng)度，即消息頭和消息體總長(zhǎng)度*/shortversion;/*消息版本號(hào)*/shortcommandID;/*命令類型*/intseqence;/*消息序列號(hào)，從1開始遞增*/charchecknum[16];/*消息校驗(yàn)*/};4.3DNS報(bào)文及HIP資源記錄4.3.1經(jīng)過UDP、IP頭部封裝后DNS報(bào)文圖4.9封裝后DNS報(bào)文4.3.2DNS報(bào)文整體結(jié)構(gòu)DNS報(bào)文格式分為DNS查詢和響應(yīng)的報(bào)文格式。這個(gè)報(bào)文由12字節(jié)長(zhǎng)的首部和4個(gè)長(zhǎng)度可變的字段組成。報(bào)文中問題字段是由客戶填入的，由服務(wù)器返回問題的回答、授權(quán)和附加信息字段。報(bào)文格式如下：圖4.10報(bào)文格式4.3.3DNS報(bào)文頭部結(jié)構(gòu)Header段是必須存在的，它定義了報(bào)文是請(qǐng)求還是應(yīng)答，也定義了其他段是否需要存在，以及是標(biāo)準(zhǔn)查詢還是其他。頭部字段格式如下：圖4.10頭部字段格式ID16bit標(biāo)識(shí)字段，客戶通過標(biāo)識(shí)字段來(lái)確定DNS響應(yīng)是否與查詢請(qǐng)求匹配。QR1bit操作類型：0：查詢報(bào)文1：響應(yīng)報(bào)文OPCODE4bit查詢類型：0：標(biāo)準(zhǔn)查詢1：反向查詢2：服務(wù)器狀態(tài)查詢3～15：保留未用反向查詢是客戶端請(qǐng)求服務(wù)器根據(jù)回答生成導(dǎo)致此回答的問題，這個(gè)查詢類型的使用并不多。AA1bit若置位，則表示該域名解析服務(wù)器是授權(quán)回答該域的。TC1bit若置位，則表示報(bào)文被截?cái)?。使用UDP傳輸時(shí)，應(yīng)答的總長(zhǎng)度超過512字節(jié)時(shí)，只返回報(bào)文的前512個(gè)字節(jié)內(nèi)容。RD1bit客戶端希望域名解析服務(wù)器采取的解析方式：0：表示希望域名解析服務(wù)器采取迭代解析1：表示希望域名解析服務(wù)器采取遞歸解析RA1bit域名解析服務(wù)器采取的解析方式：0：表示域名解析服務(wù)器采取迭代解析1：表示域名解析服務(wù)器采取遞歸解析Z3bit全部置0，保留未用。RCODE4bit響應(yīng)類型：0：無(wú)差錯(cuò)1：查詢格式錯(cuò)2：服務(wù)器失效3：域名不存在4：查詢沒有被執(zhí)行5：查詢被拒絕6-15:保留未用QDCOUNT16bit無(wú)符號(hào)16位整數(shù)表示報(bào)文請(qǐng)求段中的問題記錄數(shù)ANCOUNT16bit無(wú)符號(hào)16位整數(shù)表示報(bào)文回答段中的回答記錄數(shù)NSCOUNT16bit無(wú)符號(hào)16位整數(shù)表示報(bào)文授權(quán)段中的授權(quán)記錄數(shù)ARCOUNT16bit無(wú)符號(hào)16位整數(shù)表示報(bào)文附加段中的附加記錄數(shù)圖4.11頭部字段含義4.3.4QUESTION字段消息格式大多數(shù)查詢中，Question段包含著問題(question)，比如，指定問什么。這個(gè)段包含QDCOUNT(usually1)個(gè)問題，每個(gè)問題為下面的格式：Question字段的格式:圖4.12QUESTION字段格式字段長(zhǎng)度描述QNAME變長(zhǎng)域名被編碼為一些labels序列，每個(gè)labels包含一個(gè)字節(jié)表示后續(xù)字符串長(zhǎng)度，以及這個(gè)字符串，以0長(zhǎng)度和空字符串來(lái)表示域名結(jié)束。注意這個(gè)字段可能為奇數(shù)字節(jié)，不需要進(jìn)行邊界填充對(duì)齊。QTYPE2個(gè)字節(jié)表示查詢類型，.取值可以為任何可用的類型值，以及通配碼來(lái)表示所有的資源記錄。QCLASS2個(gè)字節(jié)表示查詢的協(xié)議類，比如，IN代表Internet。圖4.13QUESTION字段含義4.3.5DNS資源記錄圖4.14DNS資源記錄應(yīng)答，授權(quán)，附加段都共用相同的格式：多個(gè)資源記錄，資源記錄的個(gè)數(shù)由報(bào)文頭段中對(duì)應(yīng)的幾個(gè)數(shù)值確定，每個(gè)資源記錄格式如下：字段長(zhǎng)度描述NAME不定長(zhǎng)資源記錄包含的域名TYPE2個(gè)字節(jié)表示資源記錄的類型，指出RDATA數(shù)據(jù)的含義CLASS2個(gè)字節(jié)表示RDATA的類TTL4字節(jié)無(wú)符號(hào)整數(shù)，表示資源記錄可以緩存的時(shí)間。0代表只能被傳輸，但是不能被緩存RDLENGTH2個(gè)字節(jié)無(wú)符號(hào)整數(shù)，表示RDATA的長(zhǎng)度。RDATA不定長(zhǎng)字符串，表示記錄，格式跟TYPE和CLASS有關(guān)。比如，TYPE是A，CLASS是IN，那么RDATA就是一個(gè)4個(gè)字節(jié)的ARPA網(wǎng)絡(luò)地址圖4.15資源記錄格式4.3.6擴(kuò)展DNS在新的DNS資源記錄中不需要嚴(yán)格保存節(jié)點(diǎn)域名及其IP地址之間的實(shí)時(shí)映射關(guān)系,但是需要保存節(jié)點(diǎn)的域名及其對(duì)應(yīng)RVS的II)地址之間的映射關(guān)系。圖4.16擴(kuò)展后DNS記錄擴(kuò)展后NDS，由于HIP協(xié)議的引入，可以在資源記錄中保存主機(jī)的HIT和其對(duì)應(yīng)的RVS之間的映射關(guān)系。應(yīng)用程序在對(duì)基本的域名解析的同時(shí)，也產(chǎn)生了對(duì)HI和HIT解析的需要。在增添了HIP協(xié)議的新的協(xié)議棧中，域名不再和IP地址進(jìn)行綁定，而是和主機(jī)的HIT進(jìn)行綁定，通信連接的建立和數(shù)據(jù)的傳輸，就不僅僅只需要通過域名解析出IP地址，還需要通過域名解析出進(jìn)行身份驗(yàn)證的HI和HIT。 與此同時(shí)，對(duì)于HIP協(xié)議的RVS機(jī)制，它在實(shí)現(xiàn)主機(jī)的移動(dòng)性的功能上，也需要由擴(kuò)展的DNS系統(tǒng)進(jìn)行支持。由擴(kuò)展的DNS系統(tǒng)存儲(chǔ)移動(dòng)主機(jī)HIT和對(duì)應(yīng)的RVS服務(wù)器地址，再由RVS服務(wù)器對(duì)移動(dòng)主機(jī)進(jìn)行注冊(cè)和管理，有效地實(shí)現(xiàn)了主機(jī)的移動(dòng)性。 對(duì)現(xiàn)有的DNS系統(tǒng)進(jìn)行擴(kuò)展，增加兩類DNS資源記錄:HIPHI，用于存儲(chǔ)主機(jī)標(biāo)識(shí)和經(jīng)過格式化的主機(jī)標(biāo)識(shí)標(biāo)簽；HIPRVS，用于存儲(chǔ)HIP集中服務(wù)器的信息。通過這兩種資源記錄的存儲(chǔ)和使用，DNS服務(wù)器可以提供以下管理功能:1.分配并管理網(wǎng)絡(luò)實(shí)名FQDN，實(shí)現(xiàn)實(shí)名查找和尋址;2.實(shí)現(xiàn)FQDN到HI的查詢;3.實(shí)現(xiàn)FQDN到IP地址的查詢;4.實(shí)現(xiàn)HI到IP地址的查詢和認(rèn)證;5.對(duì)HIP集中服務(wù)器進(jìn)行管理和授權(quán)。HIP集中服務(wù)器可以接替DNS服務(wù)器，完成HI的地址動(dòng)態(tài)追蹤功能，減輕DNS服務(wù)器的工作壓力，為IPv6主機(jī)的移動(dòng)性提供更大支持。4.4DNS報(bào)文數(shù)據(jù)結(jié)構(gòu)Header段數(shù)據(jù)結(jié)構(gòu)：StructDNS_header{_u16id;/*標(biāo)識(shí)字段*/intqr;/*操作類型*/intopcode;/*查詢類型*/intaa;/*表示授權(quán)*/inttc;/*報(bào)文截?cái)?/Intrd;/*客戶端希望的解析方式*/Intra；/*服務(wù)器解析方式*/Intz；/*全部置0，保留未用*/Intrcode;/*響應(yīng)類型*/_u16qdcount;/*問題記錄數(shù)*/_u16ANCOUNT;/*回答記錄數(shù)*/_u16NSCOUNT;/*授權(quán)記錄數(shù)*/_u16ARCOUNT;/*附加記錄數(shù)*/}；QUESTION段數(shù)據(jù)結(jié)構(gòu)：StructQuestion{Charqname[50];/*查詢的域名*/_u16qtype;/*查詢類型*/_u16qclass;/*查詢的協(xié)議類*/}；資源記錄段數(shù)據(jù)結(jié)構(gòu)：Structdns_rr{Char[50];_u16type;_u16class;_u32ttl;_u16rdlength;Dns_rdata_hiprdata;};HIP資源記錄數(shù)據(jù)結(jié)構(gòu)：Structdns_rdata_hip{dns_rdatacommon_tcommon;Isc_mem_t*mctx;Isc_uint8_thit_length;Isc_uint8_tpk_algorithm;Isc_uint16_tpk_length;Unsignedchar*hit;Unsignedchar*pk;dns_name_trvs_name[MAX_NUM_RVS];};hitlength表示HIT的長(zhǎng)度，它是一字節(jié)為單位，是一個(gè)八比特的無(wú)符號(hào)整數(shù);pkalgorithm用于確定非對(duì)稱密鑰算法，規(guī)定了公鑰加密算法和潛在的公鑰字段的格式，它也是一個(gè)八特的無(wú)符號(hào)整型，目前所定義的值主要為:DSA密鑰和RSA密鑰，本系統(tǒng)中是用的DSA密鑰算法;以及pkl