SSL是否可以通过HIP (主机身份协议)？

Question

在这个相对较短的主机身份协议(HIP)概述主机标识协议:用于主机移动和多归属的标识符/定位器拆分中，我们指出

虽然只有使用扩展套接字接口的新应用程序才能更好地利用HIP提供的新功能，但大多数Internet应用程序都可以在HIP上运行。由于HIP使用位于网络堆栈中逻辑“深”的IPsec来保护应用程序数据流量，挑战是向用户提供适当和可理解的安全指示，以使用户确信连接(例如，与银行网站的连接)是安全的。这些指示器可以作为应用程序的扩展(例如，Firefox浏览器的安全插件)或控制所有应用程序的主机范围内的HIP管理工具来开发。

突出显示的句子让我有点困惑，因为它间接地指出，目前正在工作的上层协议，如TLS不会在HIP上工作。如果它能工作，我们就不需要另一种解决方案了，因为我们已经准备好了在浏览器中突出显示的服务器身份验证。那么TLS会在臀部工作吗？

到目前为止，我认为HIP将在TCP中引入修改(见第一个引用的句子)，但在上面，一切都应该正常工作，因为分层ip堆栈体系结构呈现的不是直接连接的层透明的，对吗？

还是TLS将成为一个冗余的安全层，因为HIP已准备好使用IPSec提供主机身份验证和传输加密，因此应该避免HIP上的TLS (如果带有附加证书认证的髋关节正在运行，它会减慢而不提供额外的安全性)。因此，我们需要一种新的方法来突出(HIP)认证的主机？(或者使用旧的，以避免混淆用户)

Answer 1

tl;dr:后者。

HIP在TCP和IP之间引入了一个附加层，TLS工作在TCP之上。它没有理由不起作用，它只是一个额外的加密和身份验证层。

HIP是一种网络层协议，它的地址是IPv6地址的一个特殊子集。与支持HIP的主机上的那些地址的任何通信都由HIP保护。其中一个挑战是，目前应用程序无法知道指向某个IPv6地址的任何看似纯文本的通信是否被网络堆栈悄悄加密，因此不可能在浏览器地址栏上显示它。仅仅检查地址是否属于那个特殊的IPv6块是不够的，因为不支持HIP的主机可能实际上将这些地址作为常规的IPv6地址，并将纯文本数据包发送到默认网关。

另一个挑战是，由于主机身份是自生成的，因此没有证书颁发机构或其他受信任的第三方，您可以询问身份是否真的属于上述真实世界实体，并向用户展示。如果标识符在DNSSEC上传输，则可以实现一定程度的信任。

Answer 2

西斯科说认为HIP是TLS的替代品：

HIP为应用程序安全提供了一种网络层替代使用安全套接字层/传输层安全性(SSL/TLS)，这有其优点和缺点。HIP是一种通用的解决方案，适用于任何传输协议，而直到最近，TLS只支持TCP。HIP支持主机的移动性和多归属，而TLS不支持HIP。TLS运行在TCP之上，使其易受各种TCP攻击；例如，使用欺骗重置(RST)数据包或带有SYNs的DoS攻击。应用程序必须明确地设计为使用TLS，而HIP可以提供安全性作为现有传统应用程序的附加。另一方面，TLS在遍历传统的中间框(如not和防火墙)时没有问题，这些都需要特别关注HIP。这两种协议都具有认可主机身份的特点。TLS依赖于一个已知的证书颁发机构颁发的证书，而HIP可以使用域名系统安全扩展( 18 )或PKI基础设施。

至于是否可能跑过臀部，这似乎是不可能的。在它们相互作用的层次上存在着很大的冲突。