Protocolul de identificare a gazdei (HIP) este o tehnologie de identificare a gazdei concepută pentru a fi utilizată în rețelele IP (Internet Protocol ), cum ar fi „wide web ”. Există două spații de nume principale pe Internet: adrese IP și Sistemul de nume de domeniu. HIP este împărțit în ID-ul punctului final și rolurile de localizare a adresei IP. Introduce spațiul de nume Host Identity (HI) bazat pe o infrastructură de securitate cu cheie publică. Protocolul de identitate a gazdei oferă metode sigure pentru adresarea IP și comunicațiile mobile.
În rețelele care implementează protocolul de identificare a gazdei, toate aparițiile adreselor IP din aplicații sunt eliminate și înlocuite cu identificatori criptografici de gazdă. Cheile criptografice sunt de obicei autogenerate.
Rezultatul eliminării adreselor IP la nivelurile de aplicație și transport este separarea stratului de transport de stratul de internetworking (stratul de rețea) în TCP/IP . HIP a fost descris de grupul de lucru IETF HIP. Internet Technology Research Group ( IRTF ) analizează HIP mai detaliat.
Un grup de cercetători are sarcina de a pregăti o propunere de lucru ( RFC ) pe calea „experimentală”, dar trebuie să se înțeleagă că proprietățile de calitate și siguranță propuse trebuie să îndeplinească cerințele pistei de standarde. Scopul principal al creării de documente experimentale în locul celor standard este efectele necunoscute pe care mecanismele le pot avea asupra aplicațiilor și pe Internet în general.
Un nume din spațiul de nume Host Identity (HI) este un nume unic din punct de vedere statistic la nivel global pentru denumirea oricărui sistem cu o stivă IP. Această identitate este de obicei asociată cu, dar fără a se limita la, stiva IP. Un sistem poate avea mai mulți identificatori, unii „cunoscuți”, alții nepublicați sau „anonim”. Sistemul este capabil să-și afirme propria identitate sau poate utiliza un autentificator terță parte, cum ar fi DNS Security ( DNSSEC ), Pretty Good Privacy ( PGP ) sau X.509 , pentru a „nota” afirmația de identitate. Se așteaptă ca ID-urile gazdei să fie inițial autentificate folosind DNSSEC .
În teorie, orice nume care poate pretinde a fi „unic din punct de vedere statistic la nivel global” poate servi drept identificator de gazdă. Cu toate acestea, conform autorilor, cheia din „perechea de chei publice” generează un ID de gazdă mai bun. HI bazat pe chei publice poate autentifica pachetele HIP și le poate proteja de atacurile de tip man-in-the-middle. Deoarece datagramele autentificate sunt necesare pentru a oferi cea mai mare parte a protecției DoS în HIP, comunicarea Diffie-Hellman în HIP trebuie să fie autentificată. Astfel, în practică, sunt acceptate numai cheia publică HI și mesajele HIP autentificate.
Anterior, protocolul de nivel de rețea (adică IP) avea următoarele patru proprietăți „clasice” (invarianți):
În lumea de astăzi, încercăm în mod deliberat să scăpăm de al doilea invariant (atât pentru mobilitate, cât și pentru căutarea multifuncțională) și am fost forțați să-l abandonăm pe primul și pe al patrulea. IP-ul specific domeniului este o încercare de a recupera al patrulea invariant fără primul invariant. IPv6 este o încercare de a restabili primul invariant.
Puține sisteme de pe Internet au nume DNS care să aibă sens. Adică, dacă au un nume de domeniu complet ( FQDN ), acest nume aparține de obicei dispozitivului NAT sau serverului de acces la distanță și nu identifică cu adevărat sistemul în sine, ci conexiunea actuală. FQDN-urile (și extensiile lor ca nume de e-mail) sunt nume la nivel de aplicație, mai des denumind servicii decât un anumit sistem. Acesta este motivul pentru care multe sisteme de pe Internet nu sunt înregistrate cu DNS ; nu au servicii de interes pentru alte gazde de internet.
Numele DNS sunt legături către adrese IP. Acest lucru demonstrează doar relația dintre rețea și straturile de aplicație. DNS , ca singura bază de date distribuită implementată pe Internet, este, de asemenea, un depozit pentru alte spații de nume, parțial datorită intrărilor și aplicațiilor cheie specifice DNSSEC . Deși fiecare spațiu de nume poate fi extins (IP cu v6, DNS cu înregistrări KEY), niciunul dintre ele nu poate furniza corect autentificarea gazdei sau acționa ca un delimitator între straturile de rețea și de transport.
Spațiul de nume Host Identity (HI) umple un gol important între spațiile de nume IP și DNS . Lucrul interesant despre HI este că vă permite de fapt să renunțați la orice, cu excepția celui de-al treilea strat de rețea invariant. Adică, dacă adresele sursă și destinație din protocolul stratului de rețea sunt reversibile, totul funcționează bine, deoarece HIP se ocupă de identificarea gazdei, iar reversibilitatea permite ca pachetul să fie returnat înapoi la gazda peer . Nu-ți pasă dacă adresa stratului de rețea se modifică în timpul tranzitului și nu-ți pasă ce adresă de nivel de rețea folosește peer-ul.