Indietro

ⓘ Host Identity Protocol




Host Identity Protocol
                                     

ⓘ Host Identity Protocol

L Host Identity Protocol è una tecnologia standardizzata dallInternet Engineering Task Force, per reti IP che introduce il concetto di Host Identifier al fine di assegnare ad unentità di rete un identità. Tale identità è indipendente dallindirizzo IP dellhost e può essere singola o multipla.

LHost Identity Protocol è definito nelle RFCs 4423 e 5201-5207.

                                     

1. Origine

Essendo lattuale Internet namespace nato a cavallo degli anni settanta e ottanta, era stato progettato per gestire computer localizzati in modo statico, ignorando totalmente i concetti di mobilità e sicurezza. Un esempio evidente è dato proprio dallindirizzo IP, al quale viene attribuito il significato di locazione, ma allo stesso tempo anche quello di identità.

È evidente come ciò sia in netto contrasto con landamento moderno dellInformation Technology dove le parole chiavi sono mobilità, multi-homing e ovviamente, sicurezza. A tal proposito infatti, è da notarsi che uno dei principali difetti dellattuale protocollo TCP/IP è il totale disinteresse per la sicurezza del traffico dati, che agli albori di Internet era ritenuta assolutamente di secondaria importanza. Ai giorni nostri questo non vale più: le-commerce, servizi di e-mail privata e/o aziendale, firma digitale, etc., necessitano di sistemi di autenticazione e protezione della privacy dei dati al fine di prevenire hacking, phishing e quantaltro.

LHost Identity Protocol mira a fornire una soluzione unica a gran parte di questi problemi, integrandosi perfettamente con le tecnologie IPv4, IPv6 ed IPSec.

                                     

2. Host Identifier

Un Host Identifier HI è la caratterizzazione univoca di un determinato host. Tale identità è rappresentata da un nome unico ed ogni host ne possiede almeno uno. LHost Identity Protocol infatti, al fine di garantire il multihoming, prevede la possibilità di associare ad un singolo host una o più identità, purché siano tutte autenticate da un soggetto esterno indipendente la cui credibilità è accettata a priori. Un HI potrà essere sia pubblico che privato.

Spesso si tende a confondere lHost Identifier con lHost Identity, data la somiglianza dei nomi e dei concetti. Come detto in precedenza, lHost Identifier è la rappresentazione fisica dellidentità costituita dalla stringa di bit utilizzata nel processo di identificazione/autorizzazione, mentre invece lHost Identity è a tutti gli effetti l identità astratta dellhost.

                                     

3. Host Identity Tag e Local Scope Identity

Per garantire la sicurezza da attacchi di tipo DoS e MitM, lHI è di natura crittografica. Agli Host Identifiers infatti, si applica un processo crittografico avente come finalità la creazione di una coppia di chiavi: una pubblica ed una privata.

DallHost Identifier quindi si crea un hash di 128 bit chiamato Host Identity Tag HIT da usare come chiave di autenticazione. Lalgoritmo di hashing è di tipo SHA-1 che effettivamente garantisce una probabilità molto bassa di avere HITs uguali.

Per il mantenimento della compatibilità con socket basate su IPv4, esiste anche una rappresentazione a 32 bit dellHost Identifier. Tale stringa è detta Local Scope Identity LSA, e data la relativamente alta probabilità rispetto allHIT di avere collisioni, è usata appunto solo in contesti domini locali.

                                     

4. HIP Base Exchange

Il protocollo HIP definisce un four-way handshaking per stabilire una connessione tra hosts. I due hosts coinvolti sono detti Initiator e Responder, od anche client e server, con un abuso di linguaggio.

LInitiator comincia il tentativo di connessione mandando il primo messaggio, il pacchetto I1, contenente le HITs dei nodi in questione. Si noti che lHIT del Responder può anche essere omessa se sconosciuta dallInitiator.

Una volta ricevuto lI1, il Responder invia il pacchetto di risposta R1 contenente un puzzle enigma che lInitiator deve risolvere. Il protocollo è stato progettato con lo scopo di far eseguire allInitiator la maggior parte dei calcoli per la soluzione del puzzle, ed infatti ciò induce anche una certa protezione contro attacchi di tipo DoS. Tale pacchetto inoltre è responsabile dellattivazione della procedura di Diffie-Hellman contenente la chiave di accesso pubblica del Responder ed ovviamente tutti i parametri necessari alla procedura stessa.

A questo punto lInitiator risolve il puzzle e invia al Responder il risultato ottenuto tramite il pacchetto I2, insieme con la sua chiave di accesso pubblica crittografata.

Infine il Responder verifica la correttezza della risposta ricevuta, autentica lInitiator e crea una sessione IPSec tramite ESP. Il pacchetto finale R2 contiene i parametri SPI del Responder.



                                     

5. Riferimenti RFC

  • RFC 5206 - End-Host Mobility and Multihoming with the Host Identity Protocol
  • RFC 4423 - Host Identity Protocol HIP Architecture early "informational" snapshot
  • RFC 5204 - Host Identity Protocol HIP Rendezvous Extension
  • RFC 5202 - Using the Encapsulating Security Payload ESP Transport Format with the Host Identity Protocol HIP
  • RFC 5207 - NAT and Firewall Traversal Issues of Host Identity Protocol HIP Communication
  • RFC 5205 - Host Identity Protocol HIP Domain Name System DNS Extension
  • RFC 5201 - Host Identity Protocol base
  • RFC 5203 - Host Identity Protocol HIP Registration Extension
                                     
  • derivati da octetstring Ogni processo Diameter che gira su un host genera una Diameter Identity che è una stringa con la sintassi di un Uniform Resource
  • agli access point. IEEE 802.1X si basa su EAP, Extensible Authentication Protocol RFC 2284 incapsulando lo standard IEEE 802, detto anche protocollo EAP
  • standard già consolidati, principalmente EAP Extensible Authentication Protocol La sicurezza port - based permette ai dispositivi di rete di potersi

Anche gli utenti hanno cercato:

...
...
...