一種MIPv6中基于網(wǎng)絡(luò)的DNS安全更新方法
【專利摘要】本發(fā)明公開了一種MIPv6中基于網(wǎng)絡(luò)的DNS安全更新方法�����,在MIPv6的綁定更新(Binding Upate��,BU)中增加了新的選項(xiàng)���,用于包含進(jìn)行AAAA記錄更新的密鑰信息�,并規(guī)定了該選項(xiàng)的使用規(guī)則���;通過MIPv6信令消息將MN的AAAA更新密鑰傳遞給HA�����,保證了AAAA記錄和PTR記錄更新的安全性。本發(fā)明使MN的DNS更新操作均由HA承擔(dān)�����,以提高更新操作的效率��,并可支持大規(guī)模節(jié)點(diǎn)的DNS動(dòng)態(tài)更新��,此外���,本發(fā)明的操作流程完全向后兼容RFC5026中定義的更新操作�。
【專利說明】—種MIPv6中基于網(wǎng)絡(luò)的DNS安全更新方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于域名系統(tǒng)(Domain Name System,DNS)【技術(shù)領(lǐng)域】�����,具體涉及一種MIPv6中基于網(wǎng)絡(luò)的DNS安全更新方法。
【背景技術(shù)】
[0002]域名系統(tǒng)(Domain Name System,DNS)作為互聯(lián)網(wǎng)最核心的基礎(chǔ)服務(wù),為大部分互聯(lián)網(wǎng)應(yīng)用提供了最基本的功能支撐��。
[0003]但是在日益蓬勃的移動(dòng)互聯(lián)網(wǎng)發(fā)展趨勢下��,如何解決移動(dòng)節(jié)點(diǎn)(Mobile Node,MN)的DNS信息動(dòng)態(tài)更新是移動(dòng)互聯(lián)網(wǎng)領(lǐng)域的重要課題���。為此,Internet工程任務(wù)組(InternetEngineering Task Force, IETF)針對(duì)IP地址發(fā)生變化的主機(jī)提出動(dòng)態(tài)域名系統(tǒng)(Dynamic
Domain Name System, DDNS)協(xié)議-RFC2136, DDNS將用戶的動(dòng)態(tài)IP地址映射到一個(gè)固定的域名服務(wù)器上�����,用戶每次連接網(wǎng)絡(luò)的時(shí)候�����,客戶端程序就會(huì)把該主機(jī)的動(dòng)態(tài)IP地址傳送給服務(wù)器�����,服務(wù)負(fù)責(zé)更新DNS記錄�。為了保證更新過程的安全性��,IETF提出了保障DDNS
安全的機(jī)制-RFC3007?���;赗FC2136和RFC3007,RFC4704定義了 DHCPv6環(huán)境中�,客戶端(Client)和服務(wù)器端(Server)如何就節(jié)點(diǎn)的DNS更新進(jìn)行協(xié)商以及操作,該標(biāo)準(zhǔn)也成為DNS動(dòng)態(tài)更新如何在實(shí)際網(wǎng)絡(luò)中部署應(yīng)用的重要基礎(chǔ)協(xié)議�。
[0004]同時(shí),IETF對(duì)移動(dòng)互聯(lián)網(wǎng)的基本移動(dòng)支持協(xié)議——移動(dòng)IPv6(Mobile IPv6���,MIPv6)如何支持MN的DNS動(dòng)態(tài)更新提出了相應(yīng)的擴(kuò)展�����,即RFC5026����。然而�,RFC5026假設(shè)MN的AAAA和PTR記錄均由家鄉(xiāng)代理(Home Agent, HA)完成����,MN通過DNS Update移動(dòng)選項(xiàng)(DNS Update Mobility Opt1n),向HA通告MN的完全合格域名/全稱域名(FullyQualified Domain Name,F(xiàn)QDN)信息����。但該機(jī)制并沒有解決HA如何獲得AAAA記錄安全更新所需密鑰信息的問題�。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的是針對(duì)上述問題��,提出一種MIPv6中基于網(wǎng)絡(luò)的DNS安全更新方法�,在MIPv6環(huán)境中支持高效的DNS更新操作并保證DNS更新的安全。
[0006]為了實(shí)現(xiàn)上述目的��,本發(fā)明具體技術(shù)方案如下:
[0007]一種MIPv6中基于網(wǎng)絡(luò)的DNS安全更新方法���,包括以下步驟:
[0008]1-1)MN接入MIPv6網(wǎng)絡(luò),從接入路由器(Access Router, AR)接收新的前綴信息以配置新的轉(zhuǎn)交地址����;
[0009]1-2)MN向HA發(fā)送BU(Binding Upate)消息進(jìn)行綁定更新,所述BU消息中(除了MIPv6基本的選項(xiàng)外)包含DNS Update移動(dòng)選項(xiàng)和DNSKEY移動(dòng)選項(xiàng)����,所述DNSKEY移動(dòng)選項(xiàng)包含AAAA記錄更新密鑰信息;
[0010]1-3) HA接收到BU消息之后���,提取并存儲(chǔ)該麗對(duì)應(yīng)的FQDN信息以及AAAA記錄更新密鑰信息��,對(duì)麗的AAAA記錄和PTR(Pointer Recore)記錄進(jìn)行安全動(dòng)態(tài)更新(即只有經(jīng)過身份驗(yàn)證的用戶才能夠更新DNS區(qū)域中的記錄)���。
[0011]進(jìn)一步地�����,對(duì)于初次接入MIPv6網(wǎng)絡(luò)的麗���,步驟1-1)還包括獲取新的家鄉(xiāng)地址(Home Address, HoA),所述 HoA 是在 DNS 服務(wù)器(DNS server)上記錄的 AAAA 記錄。
[0012]進(jìn)一步地����,如果MN的家鄉(xiāng)網(wǎng)絡(luò)前綴發(fā)生變化,步驟1-1)中還包括HA向MN進(jìn)行通告��,使麗重新配置HoA���,所述HoA是在DNS服務(wù)器上記錄的AAAA記錄����。
[0013]進(jìn)一步地����,步驟1-1)中����,麗通過和AR交互路由器請求/路由器通告(RouterSolicitat1n, RS/Router Advertisement, RA)接收新的前綴信息和新的 HoA。
[0014]進(jìn)一步地,步驟1-2)中,通過在BU消息中增加1比特的標(biāo)志位���,表明BU消息中包含了攜帶AAAA記錄更新密鑰的選項(xiàng)���。
[0015]進(jìn)一步地,本發(fā)明還包括以下步驟:
[0016]2-1) MN向HA發(fā)送僅包含DNS Update移動(dòng)選項(xiàng)的BU消息�����;
[0017]2-2) HA根據(jù)緩存的麗對(duì)應(yīng)的AAAA記錄更新密鑰(即步驟1_3)中所述AAAA記錄更新密鑰信息)�,對(duì)MN的AAAA記錄和PTR記錄進(jìn)行安全動(dòng)態(tài)更新。
[0018]進(jìn)一步地��,本發(fā)明還包括以下步驟:
[0019]3-1)當(dāng)麗的AAAA記錄更新密鑰發(fā)生變更之后�����,MN通過向HA發(fā)送僅包含DNSKEY移動(dòng)選項(xiàng)的BU消息進(jìn)行同步�����;
[0020]3-2) HA接收上述BU消息��,用新的AAAA記錄更新密鑰替換已有的AAAA記錄更新密鑰���。
[0021]本發(fā)明的有益效果如下:
[0022]1)考慮到麗和HA可能分別具有AAAA記錄和PTR記錄更新的密鑰����,本發(fā)明通過MIPv6信令消息將MN的AAAA更新密鑰傳遞給HA,保證了 AAAA記錄和PTR記錄更新的安全性�����;
[0023]2)在MIPv6的綁定更新(Binding Update,BU)中增加了新的選項(xiàng),用于包含進(jìn)行AAAA記錄更新的密鑰信息�,并規(guī)定了該選項(xiàng)的使用規(guī)則;
[0024]3)本發(fā)明使麗的DNS更新操作均由HA承擔(dān)�,以提高更新操作的效率,并可支持大規(guī)模節(jié)點(diǎn)的DNS動(dòng)態(tài)更新��,此外���,本發(fā)明的操作流程完全向后兼容RFC5026中定義的更新操作��。
【專利附圖】
【附圖說明】
[0025]圖1顯示本發(fā)明擴(kuò)展的BU消息格式��。
[0026]圖2顯示本發(fā)明定義的密鑰選項(xiàng)——DNSKEY移動(dòng)選項(xiàng)格式�����。
[0027]圖3顯示本發(fā)明PMIPv6中的DNS更新過程���。
【具體實(shí)施方式】
[0028]本發(fā)明在MIPv6的信令消息中增加了 1比特的標(biāo)志位——S,用于指示此信令消息中包含攜帶AAAA記錄更新密鑰的選項(xiàng)���。擴(kuò)展的綁定更新(Binding Upate,BU)消息格式如圖1所示�。
[0029]當(dāng)S標(biāo)志位置為1時(shí)����,表明BU消息中包含了攜帶AAAA記錄更新密鑰的選項(xiàng)。
[0030]本發(fā)明定義的密鑰選項(xiàng)——DNSKEY移動(dòng)選項(xiàng)格式如圖2所示�。
[0031]此選項(xiàng)的使用規(guī)則如下:
[0032]1)如果BU消息中同時(shí)包含RFC5026所定義的DNS Update移動(dòng)選項(xiàng)和DNSKEY移動(dòng)選項(xiàng),表明HA需要為麗的AAAA和PTR記錄進(jìn)行安全動(dòng)態(tài)更新����;
[0033]2)如果MN在BU中僅包含RFC5026所定義的DNS Update移動(dòng)選項(xiàng)而沒有DNSKEY移動(dòng)選項(xiàng),則表示MN默認(rèn)HA為其進(jìn)行動(dòng)態(tài)更新���,而沒有安全需求�;
[0034]3)如果BU消息中僅包含DNSKEY移動(dòng)選項(xiàng)而沒有RFC5026所定義的DNS Update移動(dòng)選項(xiàng)�����,則表示MN產(chǎn)生了新的更新密鑰���,那么HA就用此新密鑰替換對(duì)應(yīng)MN的已有密鑰���。
[0035]該選項(xiàng)采用類型-長度-值(Type-Length-Value, TLV)格式�,各字段意義如下:
[0036]1) DNSKEY:表示此移動(dòng)選項(xiàng)的類型為DNSKEY ��;
[0037]2) Length:表示包含類型(DNSKEY)和長度(Length)字段的8字節(jié)單位的選項(xiàng)長度�����。HA忽略取值為0的選項(xiàng)�;
[0038]3)Pad Length:密鑰信息之后的padding長度;
[0039]4) Algorithm:此8bits字段表示DNS的AAAA記錄動(dòng)態(tài)更新所使用的密鑰算法類型��;
[0040]5) Lifetime:表示此密鑰的有效生存期����,HA依此緩存該密鑰,過期后對(duì)其進(jìn)行刪除��,這樣MN就不必每次都在BU消息中包含此移動(dòng)選項(xiàng)���,從而節(jié)省協(xié)議開銷并減小泄密風(fēng)險(xiǎn)��。但是當(dāng)MN更新密鑰之后���,要通過單獨(dú)發(fā)送此密鑰選項(xiàng)來向HA進(jìn)行同步���;
[0041]6)DNS Update Key:此可變長度字段用于存放MN的DNS安全動(dòng)態(tài)更新密鑰��;
[0042]7)Padding:Padding字段是出于對(duì)MIPv6信令消息的對(duì)齊要求的考慮��,其取值為0��。沒有實(shí)際含義�����。
[0043]本發(fā)明規(guī)定��,MIPv6中的AAAA和PTR記錄在默認(rèn)情況下均由HA執(zhí)行���,而由麗向HA通告所需要的FQDN信息和AAAA更新密鑰(MN如何獲得動(dòng)態(tài)更新密鑰不在本發(fā)明規(guī)范范圍)�。具體操作如圖3所示���。
[0044]更新操作流程的具體解釋如下:
[0045]1)DNS安全動(dòng)態(tài)更新初始操作:
[0046]a)對(duì)于初次接入MIPv6網(wǎng)絡(luò)的MN����,除了在和接入路由器(Access Router)建立連接,并通過和AR交互路由器請求/路由器通告(Router Solicitat1n, RS/RouterAdvertisement, RA)接收新的前綴信息以配置新的轉(zhuǎn)交地址外���,還需要獲取新的家鄉(xiāng)地址(Home Address��,HoA)���。為了保證麗在移動(dòng)過程中上層應(yīng)用的連續(xù)性以及其DNS記錄信息的穩(wěn)定性,在DNS服務(wù)器上記錄的AAAA記錄即為麗的HoA��。因此�����,在初次接入網(wǎng)絡(luò)或由于家鄉(xiāng)網(wǎng)絡(luò)renumbering以及其他原因引起HoA變更的情況下����,需要實(shí)時(shí)更新麗的DNS條目,以保證其域名可達(dá)性��。
[0047]b)根據(jù)本發(fā)明����,麗隨即向HA發(fā)送BU消息進(jìn)行綁定更新,由于需要對(duì)DNS條目進(jìn)行更新,MN在BU消息中攜帶DNS Update移動(dòng)選項(xiàng)和DNSKEY移動(dòng)選項(xiàng)��,以示讓HA代其進(jìn)行AAAA記錄的更新�����;
[0048]c)HA接收到BU消息之后����,取出并存儲(chǔ)該麗對(duì)應(yīng)的FQDN以及動(dòng)態(tài)更新的密鑰信息���;
[0049]d) HA根據(jù)麗提供的信息���,發(fā)起DNS安全動(dòng)態(tài)更新操作,對(duì)麗的AAAA和PTR記錄進(jìn)行安全動(dòng)態(tài)更新�����。
[0050]2) DNS安全動(dòng)態(tài)更新簡化操作:
[0051]a)由于家鄉(xiāng)網(wǎng)絡(luò)renumbering等原因�,麗接收到新的家鄉(xiāng)前綴信息,重新配置HoA ��;
[0052]b)麗需要對(duì)其DNS條目進(jìn)行相應(yīng)的更新�����,于是向HA發(fā)送BU消息,由于HA之前緩存了麗的更新密鑰�����,此時(shí)BU僅包含DNS Update移動(dòng)選項(xiàng)�����;
[0053]c) HA根據(jù)緩存的麗的對(duì)應(yīng)更新密鑰����,對(duì)麗的AAAA和PTR進(jìn)行更新操作。
[0054]3) DNS動(dòng)態(tài)更新密鑰同步:
[0055]a)當(dāng)麗的更新密鑰發(fā)生變更之后�,MN可以通過向HA發(fā)送僅包含DNSKEY移動(dòng)選項(xiàng)的BU進(jìn)行同步;
[0056]b)接收到此BU的HA��,首先用新的密鑰替換既有的密鑰��,由于沒有在BU中發(fā)現(xiàn)DNSUpdate移動(dòng)選項(xiàng)�,HA無需對(duì)麗的DNS記錄進(jìn)行更新。
【權(quán)利要求】
1.一種MIPv6中基于網(wǎng)絡(luò)的DNS安全更新方法���,包括以下步驟: 1-1)MN接入MIPv6網(wǎng)絡(luò)�,從接入路由器接收新的前綴信息以配置新的轉(zhuǎn)交地址; 1-2)MN向HA發(fā)送BU消息進(jìn)行綁定更新�����,所述BU消息中包含DNS Update移動(dòng)選項(xiàng)和DNSKEY移動(dòng)選項(xiàng)�,所述DNSKEY移動(dòng)選項(xiàng)包含AAAA記錄更新密鑰信息; 1-3)HA接收到BU消息之后�,提取并存儲(chǔ)該麗對(duì)應(yīng)的FQDN信息以及AAAA記錄更新密鑰信息,對(duì)MN的AAAA記錄和PTR記錄進(jìn)行安全動(dòng)態(tài)更新�����。
2.如權(quán)利要求1所述的MIPv6中基于網(wǎng)絡(luò)的DNS安全更新方法����,其特征在于�����,對(duì)于初次接入MIPv6網(wǎng)絡(luò)的麗�,步驟1-1)還包括獲取新的HoA,所述HoA是在DNS服務(wù)器上記錄的AAAA記錄��。
3.如權(quán)利要求1所述的MIPv6中基于網(wǎng)絡(luò)的DNS安全更新方法�,其特征在于�����,如果麗的家鄉(xiāng)網(wǎng)絡(luò)前綴發(fā)生變化�,步驟1-1)中還包括HA向MN進(jìn)行通告����,使MN重新配置HoA,所述HoA是在DNS服務(wù)器上記錄的AAAA記錄����。
4.如權(quán)利要求2或3所述的MIPv6中基于網(wǎng)絡(luò)的DNS安全更新方法,其特征在于����,步驟1-1)中,MN通過和接入路由器交互路由器請求/路由器通告接收新的前綴信息和新的HoA��。
5.如權(quán)利要求1所述的MIPv6中基于網(wǎng)絡(luò)的DNS安全更新方法�����,其特征在于����,步驟1-2)中����,通過在BU消息中增加I比特的標(biāo)志位����,表明BU消息中包含了攜帶AAAA記錄更新密鑰的選項(xiàng)。
6.如權(quán)利要求1所述的MIPv6中基于網(wǎng)絡(luò)的DNS安全更新方法��,其特征在于�����,還包括以下步驟: 2-1)MN向HA發(fā)送僅包含DNS Update移動(dòng)選項(xiàng)的BU消息��; 2-2)HA根據(jù)緩存的MN對(duì)應(yīng)的AAAA記錄更新密鑰��,對(duì)MN的AAAA記錄和PTR記錄進(jìn)行安全動(dòng)態(tài)更新���。
7.如權(quán)利要求1所述的MIPv6中基于網(wǎng)絡(luò)的DNS安全更新方法,其特征在于��,還包括以下步驟: 3-1)當(dāng)MN的AAAA記錄更新密鑰發(fā)生變更之后���,MN通過向HA發(fā)送僅包含DNSKEY移動(dòng)選項(xiàng)的BU消息進(jìn)行同步���; 3-2)HA接收上述BU消息�����,用新的AAAA記錄更新密鑰替換已有的AAAA記錄更新密鑰���。
8.如權(quán)利要求1所述的MIPv6中基于網(wǎng)絡(luò)的DNS安全更新方法,其特征在于����,所述DNSKEY移動(dòng)選項(xiàng)采用類型-長度-值格式,包括: 1)DNSKEY����,表示此移動(dòng)選項(xiàng)的類型為DNSKEY; 2)Length����,表示包含類型和長度字段的8字節(jié)單位的選項(xiàng)長度,HA忽略取值為O的選項(xiàng)�����; 3)PadLength,表示密鑰信息之后的padding長度���; 4)Algorithm,此8bits字段表示DNS的AAAA記錄動(dòng)態(tài)更新所使用的密鑰算法類型��; 5)Lifetime����,表示此密鑰的有效生存期,HA依此緩存該密鑰����,過期后對(duì)其進(jìn)行刪除; 6)DNS Update Key���,此可變長度字段用于存放MN的DNS安全動(dòng)態(tài)更新密鑰���; 7)Padding,取值為O�����。
【文檔編號(hào)】H04L29/06GK104410728SQ201410708911
【公開日】2015年3月11日 申請日期:2014年11月27日 優(yōu)先權(quán)日:2014年11月27日
【發(fā)明者】延志偉, 胡安磊 申請人:中國科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心