Xost identifikatori protokoli
Xostni identifikatsiyalash protokoli (HIP) - bu "keng global tarmoq " kabi Internet protokoli ( IP ) tarmoqlarida foydalanish uchun mo'ljallangan xostni identifikatsiyalash texnologiyasi.Internetda ikki asosiy qidiruv yo'li bo'lib: IP manzillar va domen nomlari tizimi. HIP so'nggi nuqta identifikatori va IP manzilni aniqlash xizmatlariga bo'linadi. U ochiq kalitlar xavfsizligi infratuzilmasi asosidagi Host Identity (HI) nom maydonini taqdim etadi. Host identifikatori protokoli IP-manzillash va mobil aloqa uchun xavfsiz usullarni taqdim etadi.
Xostni identifikatsiya qilish protokolini amalga oshiradigan tarmoqlarda ilovalardagi barcha IP manzillar olib tashlaydi va kriptografik xost identifikatorlari bilan almashtiriladi. Kriptografik kalitlar odatda o'z-o'zidan almashtirilib ishlab chiqariladi.
Ilova va OSI modelining transport pog'onasida IP-manzillarni yo'q qilish natijasi TCP/IP da transport pog'onasining internet bilan ishlaydigan qatlamidan (tarmoq pog'onasi) ajralishi hisoblanadi. HIP IETF HIP ishchi guruhi tomonidan tasvirlangan. Internet Technology Research Group ( IRTF ) HIPni batafsilroq ko'rib chiqmoqda.
Tadqiqotchi guruhlariga "eksperimental" yo'lda ishchi taklifni ( RFC ) tayyorlash vazifasi yuklangan, ammo shuni tushunish kerakki, tavsiya etilgan sifat va xavfsizlik xususiyatlari va standartlariga to'la talablariga javob berishi kerak. Standart hujjatlar o'rniga eksperimental hujjatlarni yaratishdan asosiy ko'zlangan maqsad mexanizmlarning ilovalarga va umuman Internetga ta'sir qilishi mumkin bo'lgan noma'lum ta'sirlardan iborat.
Xost identifikatori (HI) nom maydoni
[tahrir | manbasini tahrirlash]"Host Identity" (HI) nomi, IP protokolining protocol o'qidagi har qanday tizimni nomlash uchun statistik ravishda jahon miqyosidagi yagona nom hisoblanadi. Har bir HI nomi 256 bitdan iborat va uni har qanday IP tarmog'idagi qurilmani aniqlash uchun ishlatish mumkin. HI, Host Identity Protocol (HIP) deb ataladigan tarmoq arxitekturasida ishlatiladi. Bu, IP manzillari kabi tarmoqdagi qurilmalarni aniqlashning oddiy usullariga qarshi alternativa hisoblanadi.. Ushbu identifikatsiya odatda IP stek bilan bog'lanadi, lekin ular bilan cheklanmaydi. Tizimda bir nechta identifikator bo'lishi mumkin, ba'zilari "yaxshi ma'lum", ba'zilari nashr etilmagan yoki "anonim". Tizim oʻz identifikatorini oʻzi tasdiqlay oladi yoki shaxsni tasdiqlovchi hujjatni “notarial tasdiqlash” uchun DNS Security ( DNSSEC ), Pretty Good Privacy ( PGP ) yoki X.509 kabi uchinchi tomon autentifikatoridan foydalanishi mumkin. Xost identifikatorlari dastlab DNSSEC yordamida autentifikatsiya qilinishi kutilmoqda.
Nazariyaviy ravishda, "statistikaviy jahon bo'ylab yagona bo'lish ehtimoliyatiga egalar bo'lgan har qanday nom, "xost identifikatori" sifatida xizmat qila olishadi.. Biroq, mualliflarning fikriga ko'ra, "ochiq kalit juftligi" dan kalit yaxshiroq xost identifikatorini yaratadi. Ochiq kalitga asoslangan HI HIP paketlarni autentifikatsiya qilishi va ularni o'rtadagi odam hujumlaridan himoya qilishi mumkin. HIPda DoS himoyasining ko'p qismini ta'minlash uchun autentifikatsiya qilingan datagramlar talab qilinganligi sababli, HIPda Diffie-Hellman aloqasi autentifikatsiya qilinishi kerak. Shunday qilib, amaliyotda faqat HI ochiq kaliti va autentifikatsiya qilingan HIP xabarlari qo'llab-quvvatlanadi.
HIPning afzalliklari
[tahrir | manbasini tahrirlash]Oldingi vaqtlarda (ya'ni, IP tarmoqning protokoli uchun), IP protokoli tizimi 4 ta "klassik" xususiyatidan (invariantlaridan) foydalanardi:
- O'zgarmas : yuborilgan manzil qabul qilingan manzildir.
- Mobil bo'lmagan: ulanish jarayonida manzil o'zgarmaydi.
- Qaytariladigan: qaytarilgan sarlavha har doim jo'natuvchi va qabul qiluvchi manzillarini o'zgartirish orqali shakllantirilishi mumkin.
- Hamma narsani biluvchi: Har bir xost unga tengdosh xost paketlarni yuborish uchun qaysi manzildan foydalanishi mumkinligini biladi.
Butun dunyoda yozmalarida biz ikkinchi invariantdan (harakatlanish va ko'pmaqsadli qidirish uchun) iloji borib, birinchi va to'rtinchi invariantlardan qurilishda rad etilishga majbur bo'ldik. Domenga xos IP - bu birinchi invariantsiz to'rtinchi invariantni tiklashga urinish. IPv6 birinchi invariantni tiklashga urinishdir.
Internetda kam sonli ma'noga ega DNS-nomlari mavjud. Ya'ni, agar ular to'liq saviyaliy domen nomiga ega bo'lsa ( FQDN ), bu nom odatda NAT qurilmasi yoki masofaviy kirish serveriga tegishli bo'lib, tizimning o'zini emas, balki uning joriy ulanishini aniqlaydi. FQDN'lar (va ularning elektron pochta nomlari sifatidagi kengaytmalari) ma'lum bir tizimga qaraganda ko'proq nom berish xizmatlarini ko'rsatadigan dastur darajasidagi nomlardir. Shuning uchun Internetdagi ko'plab tizimlar DNS bilan ro'yxatdan o'tilmagan; ular boshqa Internet-xostlarni qiziqtiradigan xizmatlarga ega emaslar.
DNS nomlari IP manzillarga IP bilan emas balki nom berib kirishdir. Bu faqat tarmoq va dastur pog'onalari o'rtasidagi munosabatni ko'rsatadi. DNS, Internetdagi yagona tarqatilgan ma'lumotlar bazasi sifatida, qisman DNSSEC-ga xos kalit yozuvlari va ilovalari tufayli boshqa nomlar uchun ombordir. Har bir nom maydoni kengaytirilishi mumkin bo'lsa-da (v6 bilan IP, KEY yozuvlari bilan DNS ), ularning hech biri host autentifikatsiyasini to'g'ri ta'minlay olmaydi yoki tarmoq va transport qatlamlari o'rtasida ajratuvchi vazifasini bajara olmaydi.
Host identifikatori (HI) nom maydoni IP va DNS nom maydonlari o'rtasidagi muhim bo'shliqni to'ldiradi . HI ning qiziq tomoni shundaki, u aslida 3-tarmoq qatlamining invariantidan tashqari hamma narsani tashlab yuborish imkonini beradi. Ya'ni, agar tarmoq sathi protokolidagi manba va maqsad manzillari qaytariladigan bo'lsa, hamma narsa yaxshi ishlaydi, chunki HIP xostni aniqlashga g'amxo'rlik qiladi va reversibillik paketni tengdosh xostga qaytarishga imkon beradi . Tarmoq sathining manzili tranzitda o‘zgargani yoki tengdoshingiz qaysi tarmoq sathi manzilidan foydalanishi sizni qiziqtirmaydi.
- RFC 4423 - Xost identifikatori protokoli (HIP) arxitekturasi (dastlabki "axborot" surati)
- RFC 5201 - Xost identifikatori protokoli bazasi ( [1] RFC 7401 ] tomonidan eskirgan)
- RFC 5202 - Xost identifikatori protokoli (HIP) bilan Encapsulating Security Payload (ESP) transport formatidan foydalanish ( RFC 7402 tomonidan eskirgan)
- RFC 5203 - Xost identifikatori protokoli (HIP) ro'yxatga olish kengaytmasi ( [2] RFC 8003 ] tomonidan eskirgan)
- RFC 5204 - Xost identifikatori protokoli (HIP) uchrashuv kengaytmasi ( [3] RFC 8004 tomonidan eskirgan)
- RFC 5205 - Xost identifikatori protokoli (HIP) domen nomi tizimi (DNS) kengaytmasi ( [4] RFC 8005 tomonidan eskirgan)
- RFC 5206 - Xost identifikatori protokoli bilan oxirgi xost mobilligi va multihoming
- RFC 5207 - Xost identifikatori protokoli (HIP) aloqasining NAT va xavfsizlik devori o'tish muammolari
- RFC 6092 - IPv6 Customer Edge routerlari uchun asosiy talablar
- RFC 7401 - Xost identifikatori protokolining 2-versiyasi (HIPv2) ( [5] RFC 8002 tomonidan yangilangan)
- RFC 7402 - Xost identifikatori protokoli (HIP) bilan Encapsulating Security Payload (ESP) transport formatidan foydalanish
- RFC 8002 - Xost identifikatori protokoli sertifikatlari
- RFC 8003 - Xost identifikatori protokoli (HIP) ro'yxatga olish kengaytmasi
- RFC 8004 - Xost identifikatori protokoli (HIP) Rendezvous kengaytmasi
- RFC 8005 - Xost identifikatori protokoli (HIP) domen nomi tizimi (DNS) kengaytmasi
- RFC 8046 - Xost identifikatori protokoli bilan host mobilligi
- RFC 8047 - Xost identifikatori protokoli bilan host multihoming