在移动领域里,TCP/IP 呈现出了其不足之处。主机识别协议(HIP)技术作为保护移动计算环境安全的一个解决方案出现了。本文从高屋建瓴的视角概述了 HIP 技术。
在 Internet 上和私有网络之间流动的大多数数据都是基于TCP/IP 协议的。但是TCP/IP 的问题是,它的出现已经有几十年了,在设计上根本就无法满足它现在正在处理的任务的要求。为了让TCP/IP 进行它原来并不准备进行的任务,人们设计出了很多协议放在TCP/IP 协议上面或者与之集成在一起。例如,TCP/IP 本身只能以发送没有经过加密的数据。当人们意识到需要对数据进行加密的时候,诸如IPSec 和 HTTPS 这样的协议就被发明出来了。
尽管创造更多的协议能够解决TCP/IP 不足之处所带来的很多问题,但是其中一个最基本的缺陷才刚刚开始显现出来。TCP/IP 协议的一个不同寻常的特性是,它把TCP/IP 主机与物理地点绑定在一起。这所造成的问题是,在过去的几年里,移动计算已经成为了一项流行的技术,而在设计上将主机与物理地点绑定的协议很难适用于移动计算。现在让我们来看一个新的协议是如何有助于解决这一限制的。
移动计算的定义
当我提到移动计算的时候,我不是指拿起你的便携计算机在沙滩上工作。我所谈论的是所谓的终端主机移动性。简而言之,如果终端主机的 IP 地址能够改变,它就被认为是移动的。正如你肯定会感觉到的,主机 IP 地址的改变有很多种方法。例如,地址可以通过 DHCP 服务器被重新分配;可以通过重新分配IPv6 地址前缀或者通过网络地址转换(NAT)的重新映射来改变,这只是其中的一些方法。这里的关键问题就是 IP 地址发生改变。那么能够用查询 IP 地址之外的方法来确定主机的身份是很重要的,因为 IP 地址可能会在任何时候发生改变。
TCP/IP 的局限性
解决终端主机移动性问题的一个可能方案是 HIP 协议。但是在你能够真正地应用 HIP 之前,你需要理解TCP/IP 在移动环境里的不足之处。
TCP/IP 协议的两个主要组成部分是 IP 地址和域名服务器(Domain Name Server)。当有人输入 URL(统一资源定位器)的时候,例如
http://techrepublic.com.cn/,TCP/IP 自己不知道如何把你送到这个 Web 网站去。但是,你输入的 URL 会被传递给一个 DNS 服务器。这个 DNS 服务器然后就会查询数据库,寻找被请求网站的 IP 地址。
IP 地址由两部分组成:网络地址和主机地址。网络地址一般是一个 A、B 或者 C 类地址,它告诉你的计算机 Web 服务器放在哪个网络上。主机地址是该网络上服务器自身的地址。例如,如果 DNS 服务器返回的地址是147.100.100.1,那么这个地址的147.100
部分就表示网络地址。然后计算机使用路由表来确定如何把数据包从你的计算机发送到放有 Web 服务器的网络上。一旦数据包到达了放有 Web 服务器的网络,IP 地址的另外一部分就会被用来找到远程网络上的 Web 服务器。
这就是我所指的 IP 地址与物理位置的绑定。IP 地址的网络地址部分会强迫数据包根据路由表到达特定的物理网络,以便找到被请求的主机。如果该主机被转移到不同的网络上,那么请求就会被失败,因为主机无法被找到。
