在線輔導　面授招生　考試大綱　指定教材　報名時間

下面介紹基于HIP的地址更新機制。
IKE-H提供了一種可以在主機（或者安全網關）具有移動性、多家鄉功能情況下維持原有IPSecSA不變來保護數據功能的方法一IKE-H。并在原有HIP協議引入H1主機標識符解決終端識別問題的基礎上，設計了一種髙效、靈活、可靠的改進IKEv2密鑰交換協議--IKE-H,來滿足Mobike工作組的要求。IKE-H可使通信節點對等體在地址改變時保證交換發起者和響應者之間端到端通信的安全性：為IP數據報提供機密性、數據完整性、接入控制、身份鑒別和數據源認證，防止出現DoS(拒絕服務）或者MitM(中間人）等攻擊此外，擴展原先只有.端到端的HIP通倍，使之可以實現更多的如同安全網關保護的內部子網主機通信等應用。IKE-H還支持一個同時有多個正在通信的IPv4/IPv6連接的安全網關在IPv4和IPv6地址之間切換即支持站點多家鄉，而不用中斷和重新建立高層協議連接。
IKE-H方法主要是在原有HIP協議基本框架的基礎上對HIP協議的密鑰交換協議--基本交換作出了必要的改進，并為了實現主機（包括安全網關在內）的移動性和多家鄉功能擴展定義了新的通告載荷報文類型以及HIP一NOTIFY_REA數據格式.考慮了不同環境下的具體使用。由于采用的是基于IKE的密鑰交換協議，所以可以使適用范圍由終端主機擴展到包括終端主機在內安全網關等不同的場所。
該方案提議的IKE-H密鑰交換方法可在HIP主機（或者安全網關）之間建立一對IPSec安全聯盟。這些SA不是綁定到IP地址，而是綁定到用來建立它們的HI(公共密鑰）上當然，主機（或者安全網關）至少箝要知道它們對端的一個可達的IP地址。最初?這些IP地址就是HIP交換中使用的IP地址既然安全聯盟不是綁定到IP地址的，主機就能夠從任何地址接收受（由HIP建立的）ESP安全聯盟保護的數據鉭。因此，主機可以改變自己的IP地址并且繼續向對端發送數據包。
IKEH的交換過程都是由一對報文組成：請求和應答，這對報文稱為一組“交換”在一定的時間間隔內如果沒有收到應答，請求方需要重傳請求（或放棄連接)。第一組交換完成IKE_SA_INIT,協商包括加密算法、Nonces、DH交換在內的值。第二組交換完成IKE_AUTH，認證前面的消息、交換身份并建立笫一個IPSec安全聯盟《接下來的交換是CREATE_IPSEC_SA交換（用來建立以后的IPSec安全聯盟，它不是一定要進行）或者INFORMATIONAL交換（用來刪除SA報告錯誤條件并可以做其他管理如檢查生存期等工作)。
通常情況下,建立IKE安全聯盟和第一個IPSec安全聯盟只需要一次IKE_SA_INIT交換和一次DCE_AUTH交換（一共4條報文)，我們稱之為初始交換，如圖5-7所示。但在特殊情況中，可能霈要不止一次的這兩種交換。但不論是哪種情況，幾種交換的順序都是：首先是IKE_SAJNIT交換，它結束之后是IKE_AUTH交換，接下來使用任意數跫的CREATE_IPSEC_SA和-106-INFORMATIONAL交換，它們的順序可以任意。

返回目錄： 通信工程師考試移動互聯網安全技術匯總

編輯特別推薦：

中級通信專業實務 互聯網技術教程匯總

中級通信專業實務傳輸與接入教程匯總

通信專業實務考試設備與環境教程匯總

通信專業實務考試交換技術教程匯總