1）CN和MN通信，先发起“DNS查询请求”消息，希望获得MN对应的地址、HI和HIT等；

2）DNS经过查询，给CN返回“DNS查询响应”消息，告诉其MN对应的HoA，HI及HIT等；

3）CN向MN发送HIP的I消息，请求MN的HIP对话，这一消息被HA截获；

4）HA查询绑定缓存表，然后将收到的I消息通过隧道发给MN目前的CoA；

5）MN向CN发送HIP的R消息，开始了交换，R包含产生的DH半会话密钥，以及它自己的公钥HI，同时附上它的签名，这一消息通过反向隧道先发到HA；

6）HA查看地址后，将R消息发给CN；

7）CN接收到R包之后，就可通过MN的公钥HI检验R包是否来自MN，同时，它产生自己的DH半会话密钥，结合MN的半会话密钥计算得出DH会话密钥，然后由该会话密钥产生HIP的SA，并使用该SA来认证加密数据包的信息，这些信息加上CN的签名后作为I消息直接发送给MN的CoA；

8）MN收到I消息后，解开CN的DH半会话密钥，计算DH会话密钥和创建HIPSA，并获CN的公钥，通过签名确认该信息是CN发送的，然后直接发送HIP的R消息给CN，R包用来确认并保护CN免受重放攻击；

9）至此，HIP的协商过程就完成了，并建立了用于通信的SA，MN和CN可以开始正常的通信。

2.2.3通信过程

连接建立之后，MN和CN就可进行正常的通信，而且这一过程在IPSec的保护下，所以安全性比较高。

2.3新方案分析

本文在传输层使用HI来标识通信主机。采取这种方法的好处是：

1）HI只用来标识主机身份，与主机位置无关，所以无论主机移动到什么位置，HI保持不变，这就屏蔽了主机的移动对会话的影响，实现了移动对上层的透明性；

2）HIP可实现认证，而IPSec可实现数据加密，所以将HIP协议和IPSec协议结合起来使用，可利用HIP的协商机制，协商出IPSec安全连接所用的密钥，以建立IPSec安全连接，因此，它为使用基于身份的认证方法和IPSec协议保护信令和数据通信提供了准备条件。

本文在网络层使用HoA来标识主机的网络位置，其好处是：

1）上层可见的只有移动节点的HoA，而实质上是通过改变移动节点的CoA进行通信，实现了移动对网络中其他通信实体的透明性；

2）使用移动节点的HoA，避免了DNS的动态更新，节约了DNS查询所需要的网络带宽，减少了网络延时；

3）使用移动节点的CoA，使得家乡代理和通信节点都能访问到移动节点，为随时随地不间断通信提供了基本条件；

4）增强了系统的健壮性，可处理通信双方的同时移动问题。

在MIP和HIP中，使用SPI（SecurityParameterIndex）标识安全关联，本文也采用这种标识方法，所以不必在每个受SA保护的数据包中传输身份载荷，从而节约了网络带宽。对于外出的数据包，HI层首先根据HI查找SA，然后完成HI到HoA的映射，最后IP层根据SA对数据包进行IPSec协议处理；对于进入的数据包，IP层使用SPI查找SA，并对数据包进行IPSec协议处理。HI层在完成HoA到HI的映射后，根据HI查找SA，如果查到的SA与先前使用的SA不同，则丢弃该数据包；否则接收该数据包，并交与传输层处理。

2.4与MIP和HIP比较

下面将提出的新方案与MIP和HIP进行性能比较，其结果列于表1中。
可见，本方案在灵活性、安全性及数据传输的连续性方面都比MIP和HIP好，只是它的实现难度仍然有点大，这也是下一步的主要工作。

3、小结

MIP是目前网络层解决移动管理的主要方法，HIP是下一代因特网的主机身份标识手段。本文对以上两种技术进行了综合分析和利用，提出一种基于MIP和HIP的移动管理方案。该移动管理方案通过MIP的HA机制，增强了系统的健壮性；通过分离传输层标识符和网络层IP地址，简化了移动环境下会话连接的管理。因此，本方法对基于电信网、因特网和广播电视网融合的下一代一体化网络体系架构的研究与设计具有一定的参考价值。    

参考文献：

[1]MOSKOWITZR，NIKANDERP。RFC4423:HostIdentityProtocol(HIP)Architecture[S/OL].（2006-04-15）[2007-05-14].Http://rfc4423、x42、com、

[2]JOHNSOND，PERKINSC，ARKKOJ.IETFRFC3775，MobilitySupportinIPv6[S].2004.

[3]虞淑瑶，张友坤.HIP－主机标识协议的技术研究[J].计算机应用研究，2005（6）：219－221.

作者简介：

景娜娜（1982－），女，硕士生，主研移动IP、新一代网络体系结构；
程东年（1957－），教授，硕导，研究方向为网络安全协议、新一代网络体系结构、网络模型及性能评价等；
陈魏鑫（1983－），硕士生，主研移动IP。    

注：国家重点基础研究发展计划（973计划）课题“一体化网络体系结构模型及交换路由理论与技术”（2007CB307102）。

来源：中国数字电视