專利名稱:經(jīng)過dht擴展的dns映射系統(tǒng)及其實現(xiàn)dns安全的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種經(jīng)過DHT擴展的DNS映射系統(tǒng)及其實現(xiàn)DNS安全的方法����,屬于網(wǎng) 絡(luò)通信技術(shù)領(lǐng)域�����。
背景技術(shù):
基于主機側(cè)的身份ID與位置Locator分離的網(wǎng)絡(luò)架構(gòu)�,如主機標(biāo)識協(xié)議HIP (Host Identity Protocol)和下一代互聯(lián)網(wǎng)路由架構(gòu) RANGI (Routing Architecturefor the Next Generation Internet)是在現(xiàn)有TCP/IP協(xié)議棧的網(wǎng)絡(luò)層和傳輸層之間引入主機標(biāo) 識ID層,使得傳輸層會話只與主機ID層實現(xiàn)綁定�,從而解決了現(xiàn)有hternet中IP地址 的雙重語義問題。網(wǎng)絡(luò)中每臺主機或終端都擁有各自的身份標(biāo)識�����,即主機ID�����,主機ID必須 具有全球唯一性�、拓撲無關(guān)性和可攜帶性。Locator是主機的位置標(biāo)識����,代表主機或終端在 網(wǎng)絡(luò)中的位置���,它隨主機在網(wǎng)絡(luò)中的位置移動而改變����;在多穴情況下,一個主機可能有多個 Locator����。
身份位置分離體系架構(gòu)中的主機ID可采用扁平ID(如HIP),也可采用層次化 ID(如RANGI)�。扁平ID是將非對稱密鑰中的公鑰(Public key)進行哈希計算而得到的 前USbits值作為主機ID,缺乏商業(yè)和安全模型�、不利于管理。而層次化ID將主機ID分 為兩個部分前一部分稱為管理域標(biāo)識AD ID (AuthorityDomain Identity)��,表示組織從屬 關(guān)系�,如該主機ID歸屬的國家、地區(qū)及其所歸屬的ID管理權(quán)威機構(gòu)(Authority)信息�;后 一部分是其自身擁有的非對稱密鑰對中的公鑰和AD ID進行哈希運算后從左到右截取的 128-n位bits哈希值。通過在主機ID的前一部分中引入組織從屬關(guān)系語義�����,克服了扁平 ID缺乏合理的商業(yè)和信任模型的缺陷����,同時還保持了主機ID安全加密的技術(shù)優(yōu)勢�。利用層 次化的主機ID組織從屬關(guān)系語義�����,可以實現(xiàn)基于組織的網(wǎng)絡(luò)安全訪問控制��。
為了滿足網(wǎng)絡(luò)自治和地址可攜帶的要求���,以及解決IPv4網(wǎng)絡(luò)地址不足的缺陷�����,身 份位置分離體系架構(gòu)允許多個獨立的IPv4網(wǎng)絡(luò)共存����,即這些網(wǎng)絡(luò)可以采用重疊的IPv4地 址空間��,類似現(xiàn)有的私有網(wǎng)絡(luò)�。這些具有獨立地址空間的網(wǎng)絡(luò)被稱為位置域UKLocator Domain)。為了實現(xiàn)全球范圍的網(wǎng)絡(luò)定位和尋址�����,每個位置域被分配一個或多個全球唯一的 ID進行標(biāo)識。該ID被稱為位置域ID�,簡稱LD ID。從某種角度看��,這個全球唯一的LD ID 與LD內(nèi)部唯一的IPv4地址構(gòu)成一個全球唯一的位置標(biāo)識�����。因每個LD都可以獨立分配地 址和選擇路由協(xié)議��,這樣就能最大程度地滿足網(wǎng)絡(luò)自治的需要��,用戶LD也可靈活更換ISP 而不需對LD內(nèi)部設(shè)備進行大量的IPv4地址重新分配(renumbering)工作�。
由于ID和Locator實現(xiàn)了分離�,故需要一個提供ID與Locator綁定關(guān)系的映射 系統(tǒng)。現(xiàn)在已提出的映射系統(tǒng)方案有域名系統(tǒng)DNS��、分布式哈希表DHT等��。
DNS (Domain Name System)是目前應(yīng)用最廣泛的域名解析系統(tǒng)���,其主要功能是將 主機名和電子郵件地址等映射成IP地址���。DNS提供了一種分層次����、基于域的命名方案�,并采 用分布式數(shù)據(jù)庫來實現(xiàn),它允許對整個數(shù)據(jù)庫的各部分進行本地控制�����,同時整個網(wǎng)絡(luò)也能 通過客戶-服務(wù)器方式訪問每個部分的數(shù)據(jù)����。
域名服務(wù)器為DNS客戶-服務(wù)器機制的服務(wù)器端,它包含整個數(shù)據(jù)庫的部分信息����, 并能夠被稱為解析器(resolver)的客戶端程序所訪問。解析器通常是一些庫例程序�,它們 創(chuàng)建查詢請求,并通過網(wǎng)絡(luò)將它們發(fā)送到映射服務(wù)器���。
域名空間是分層的樹形結(jié)構(gòu)(參見圖1所示)����,DNS分布式數(shù)據(jù)庫是以域名為索引 的���。每個節(jié)點的域名實際上是從該域的根節(jié)點到整個樹的根節(jié)點符號的順序連接�,并用“.,��, 分隔這些符號�,例如bupt.edu.cn。DNS樹在每個分叉點(又稱節(jié)點)可以有多個分支���,樹 的深度不超過127層。
DNS域名空間中���,域是其層次結(jié)構(gòu)的基本單位���,任何一個域最多只有一個或沒有上 級域,但是����,可有多個或沒有下級域。在同一個域下���,不能有相同的域名或主機名���,但是�,在 不同的域中�,可以有相同的域名或主機名。以原點“.”表示的根域只有一個�,且沒有上級域。 Internet網(wǎng)址中的根域是默認的����,通常不需表示。根域由位于美國的國際互聯(lián)網(wǎng)絡(luò)信息中 WhterNICdnternet InformationCenter)管理����。但是,根域服務(wù)器沒有保存全世界的所 有hternet網(wǎng)址��,只保存著頂級域和其它少數(shù)“DNS服務(wù)器-IP地址”的對應(yīng)數(shù)據(jù)�����。而且���, 域名空間的每個層次都是這樣進行管理的每層的DNS服務(wù)器只負責(zé)管理其下一層的“DNS 服務(wù)器-IP地址”的對應(yīng)數(shù)據(jù)���。全世界的DNS是結(jié)構(gòu)非常龐大的分布式數(shù)據(jù)庫。只有這樣 處理�����,才使其中每一臺DNS服務(wù)器不至于管理過多的域名及其對應(yīng)數(shù)據(jù),從而達到均衡網(wǎng) 絡(luò)負荷��、方便查詢和加快查詢速度的目的�����。
以根域為上級域的頂級域�����,是位于根域之下的第一級域�,其數(shù)目有限且不能輕易 變動�,頂級域也是由hterNIC進行統(tǒng)一管理。有些頂級域有自己的DNS服務(wù)器�,其余頂級 域則由根域中的DNS服務(wù)器進行管理。在hternet網(wǎng)址(全域名)中��,各級域之間都以原 點“.”分隔開�,頂級域位于最右邊、即最后面���。
在DNS域名空間中���,除了根域和頂級域以外����,其它域都被稱為子域�����。子域是有上級 域的域�����,每個域可以有多層下級子域位于已經(jīng)申請成功的域名下����,通常是按照各自需要設(shè) 置一層或多層子域。另外���,各級子域也是相對而言的��。
DNS域名空間中的最底層是域主機名�����,它沒有下級子域�����,也稱為葉子(葉節(jié)點)����。在 Internet網(wǎng)址中����,位于最左面、即最前面的是域主機名����。在已經(jīng)申請成功的域名中,域主機 名通常是用戶自己命名的�����。北京郵電大學(xué)的全域名是www. bupt. edu. cn����,其中“.bupt. edu. cn”是域名(所在域的名稱)�����,而www是該域內(nèi)的服務(wù)器名稱��;另外����,在其下面還建立一個圖 書館子域“.lib. bupt. edu. cn”����,該子域內(nèi)也有一臺名為www的服務(wù)器;又如www. baidu. com 中的“www”也是服務(wù)器的域主機名����,“.baidu. com"是該服務(wù)器所在域的名稱。
DNS將域名空間劃分為區(qū)(zone)進行管理���,區(qū)是由同級或不同級的多個子域組成 的一個管理單位�����。把管轄某個(些)區(qū)域的DNS服務(wù)器稱為該(些)區(qū)域的“授權(quán)DNS服務(wù) 器”或“授權(quán)名稱服務(wù)器”�。這個DNS服務(wù)器就對這個區(qū)具有權(quán)威(authority)����。一個DNS服 務(wù)器可以同時對多個區(qū)具有權(quán)威�����。如圖1所示�����,edu.cn域被劃分成許多區(qū)�����,包括tsinghua. edu. cn區(qū)�、bupt. edu. cn區(qū)等����。該域的頂部有一個edu. cn區(qū)�����,負責(zé)管理整個edu. cn區(qū),即 管理有關(guān)edu. cn子域的授權(quán)信息��。
DNS服務(wù)器既能查詢自己授權(quán)管理的區(qū)的數(shù)據(jù),還能在域名空間中搜索而找到不 歸屬自己的區(qū)的信息�。這個過程稱為域名解析(name resolution)���、即查詢域名信息����。由于 名字空間采用逆向樹的結(jié)構(gòu),只要擁有根DNS服務(wù)器的域名和地址就能找到樹中任何一個節(jié)點��。每個DNS服務(wù)器可以要求根DNS服務(wù)器啟動相關(guān)的子域DNS服務(wù)器來查詢域名空間 中的任何名字���。
參見圖2,介紹域名查找過程��。本地DNS服務(wù)器向根DNS服務(wù)器查詢lib. bupt. edu. cn的地址��,根DNS服務(wù)器讓它詢問名字為cn的DNS服務(wù)器。本地DNS服務(wù)器詢問后 者同樣問題時��,被告知edu. cn的DNS服務(wù)器的地址列表。本地DNS服務(wù)器就從該列表中選 擇edu. cn的DNS服務(wù)器并向其詢問�����。edu. cn的DNS服務(wù)器就告訴本地DNS服務(wù)器bupt. edu. cn的DNS服務(wù)器地址。最后���,本地DNS服務(wù)器向bupt. edu. cn的DNS服務(wù)器詢問該問 題并獲得答案�。
在身份位置分離架構(gòu)中����,主機ID到locator的映射類似于主機域名到IP地址的 映射����,尤其是層次化主機ID和主機域名有相似的層級結(jié)構(gòu),所以可以采用DNS來實現(xiàn)身份 與位置分離架構(gòu)中的映射系統(tǒng)�����。但是�����,因為ID與Locator映射查詢節(jié)點的數(shù)量和規(guī)模都比 DNS的域名多得多���,在域數(shù)據(jù)較多��,且不能進一步劃分子域時��,會影響映射系統(tǒng)的更新和查 詢的效率���。此外���,DNS服務(wù)器還存在單點故障和性能瓶頸問題。
分布式哈希表DHT (Distributed Hash Table)是一種分布式存儲方法����,采用每個 DHT節(jié)點存儲小部分?jǐn)?shù)據(jù)和負責(zé)一個小范圍的路由的方法��,實現(xiàn)整個DHT網(wǎng)絡(luò)的存儲和尋 址。每個DHT節(jié)點都有一個專屬標(biāo)識符���,該標(biāo)識符的生成是在一個節(jié)點加入到已有的DHT 網(wǎng)絡(luò)時,把該節(jié)點的IP地址等數(shù)據(jù)作為其特征輸入哈希函數(shù)所產(chǎn)生的一個1 位或160位 的全局唯一的標(biāo)識符�,再用這個標(biāo)識符代表該節(jié)點����。DHT映射系統(tǒng)是以主機ID作為關(guān)鍵字 進行查詢定位�,沒有單點故障和性能瓶頸問題�,但是�����,由于DHT網(wǎng)絡(luò)中路由任務(wù)是分配到系 統(tǒng)的所有節(jié)點�,而一個邏輯路由跳可能發(fā)生于兩個物理距離很遠的節(jié)點�,從而出現(xiàn)很大的 網(wǎng)絡(luò)傳輸時延�����,大大增加系統(tǒng)的路由負擔(dān)。這樣���,DHT映射系統(tǒng)與DNS映射系統(tǒng)相比較�,僅 僅是服務(wù)更加抗攻擊���,而在系統(tǒng)性能和可用性方面仍然沒有優(yōu)勢�。
現(xiàn)有的hternet存在大量的身份欺騙和中間人攻擊等網(wǎng)絡(luò)安全風(fēng)險��。在映射系 統(tǒng)的更新和查詢過程中��,也存在相應(yīng)的安全隱患,例如數(shù)據(jù)包攔截����、ID猜測和查詢預(yù)測、 域區(qū)拒絕攻擊等����。其中,數(shù)據(jù)包攔截是攻擊者位于共享網(wǎng)絡(luò)或傳輸路徑監(jiān)聽客戶端的本地 域名服務(wù)器和域名服務(wù)器之間的通信����,竊聽并篡改數(shù)據(jù)包,欺騙本地域名服務(wù)器或域名服 務(wù)器���。ID猜測和查詢預(yù)測是攻擊者不在共享網(wǎng)絡(luò)或傳輸路徑而無法直接竊聽通信����,但是����,因 為許多請求和回應(yīng)報文都是通過UDP傳輸?shù)?����,攻擊者能非常方便地生成與客戶端、解析器���、 服務(wù)器的協(xié)議參數(shù)狀態(tài)相匹配的數(shù)據(jù)包���,再采用ID猜測和查詢預(yù)測來實施攻擊。域區(qū)拒絕 攻擊是在查詢的域名不存在或類型不匹配時��,服務(wù)器的回應(yīng)報文answer字段為空���,表明所 查詢的名稱或類型不存在��,若攻擊者故意刪除或修改answer字段內(nèi)容�����,解析者或查詢者就 都被欺騙了�����。
目前�����,DNS映射系統(tǒng)是用DNS簽名DNSSEC (DNS Signature)來預(yù)防數(shù)據(jù)包攔截�����、ID 猜測和查詢預(yù)測�、域區(qū)拒絕攻擊等針對解析過程的攻擊;采用事務(wù)簽名TSIG(Transaction Signature)等方法對更新源和更新消息完整性實現(xiàn)驗證��。
DNSSEC是依靠公鑰技術(shù)對包含在DNS中的信息創(chuàng)建密碼簽名���。在DNSSEC中��,每個 區(qū)都會產(chǎn)生一對存儲于區(qū)的授權(quán)DNS服務(wù)器中的公私密鑰對��,其中私鑰由授權(quán)DNS服務(wù)器 保管����,用于對其數(shù)據(jù)簽名����,公鑰則通過網(wǎng)絡(luò)發(fā)布。父區(qū)對子區(qū)的公鑰進行數(shù)字簽名保護����,確 保子區(qū)公鑰的完整性和正確性����,以便信任父區(qū)����,進而信任經(jīng)由父區(qū)簽名的子區(qū)���,建立起自上而下的信任鏈���。參見圖3,父子關(guān)系的兩個區(qū)rangiid. arpa與BJ. rangiid. arpa之間建立 信任鏈后��,信任父區(qū)rangiid. arpa,就信任子區(qū)BJ. rangiid. arpa����。這種信任鏈的信任起點 通常是所有解析器都信任的公鑰,這個起點被稱作安全入口點���,該公鑰由根域的域名服務(wù) 器掌管����,可以通過網(wǎng)絡(luò)等媒體公開獲知�,讓所有本地域名服務(wù)器、主機等都能預(yù)先配置于各 自機器上�。TSIG方法是主機和服務(wù)器之間協(xié)商一個共享密鑰后��,主機使用共享密鑰對更新 消息進行簽名�,域名服務(wù)器通過驗證簽名對更新消息的來源和完整性進行驗證����。當(dāng)前TSIG 共享密鑰的配置大多使用手工配置,手工配置雖然安全�,但是效率太低。
如果用DHT擴展DNS映射系統(tǒng)后�,身份到位置的映射信息實際存儲在DHT圓環(huán)中, 整個映射系統(tǒng)的數(shù)據(jù)備份能力和可擴展性都得到很大提高�����。為了兼容上層DNS服務(wù)器�����,DHT 圓環(huán)和外部通信仍然采用標(biāo)準(zhǔn)DNS消息�����。DHT圓環(huán)處于一個獨立網(wǎng)絡(luò)環(huán)境���,只通過一些入口 節(jié)點連接外部網(wǎng)絡(luò)�����,這樣就不用考慮針對DHT節(jié)點的路由安全等攻擊���;但是,還是要用傳統(tǒng) 安全手段(如摘要�����、簽名等)保證映射信息的正確性及其通信過程中的安全性�����,也就是要考 慮映射信息的完整性和可驗證���。
在原有DNS映射系統(tǒng)中���,DNSSEC保護映射信息的完整性和安全性的方法比較完 善,但是����,采用DHT圓環(huán)擴展DNS映射系統(tǒng)后,DNSSEC無法實現(xiàn)首先層級授權(quán)的信任鏈不 能建立于DNS結(jié)合DHT的映射系統(tǒng)中,其次對映射信息的簽名要在管理映射數(shù)據(jù)的DHT圓 環(huán)中實現(xiàn)��。而采用DHT圓環(huán)作為映射系統(tǒng)的最底層后�����,更新過程也是在DHT圓環(huán)進行�����,因此 TSIG更新消息的驗證機制在DNS結(jié)合DHT映射系統(tǒng)中也需要重新構(gòu)建其實現(xiàn)過程����。這些問 題都成為業(yè)內(nèi)科技人員關(guān)注的課題。發(fā)明內(nèi)容
有鑒于此����,本發(fā)明的目的是提供一種經(jīng)過DHT擴展的DNS映射系統(tǒng)及其實現(xiàn)DNS 安全的方法,本發(fā)明映射系統(tǒng)綜合了 DNS和DHT兩者優(yōu)點���,既吸收DNS樹形結(jié)構(gòu)���,支持映射 信息的層次化查詢,具備合理的商業(yè)和信任模型�����;也繼承DHT冗余備份、健壯性強等眾多優(yōu) 點�,尤其是該映射系統(tǒng)可在現(xiàn)有DNS映射系統(tǒng)基礎(chǔ)上改進就能夠?qū)崿F(xiàn),從而減少網(wǎng)絡(luò)構(gòu)建 的巨大工作量�����。本發(fā)明實現(xiàn)DNS安全方法使得DHT圓環(huán)和上層授權(quán)DNS服務(wù)器之間建立起 信任關(guān)系����,從而在DHT圓環(huán)和上層授權(quán)DNS服務(wù)器之間�����、授權(quán)DNS服務(wù)器和其父域授權(quán)DNS 服務(wù)器之間建立完整的信任鏈�����。本發(fā)明還提出一種自動分發(fā)TSIG共享密鑰的方法��,比手工 配置效率高��,保證DNS原有的DNSSEC和TSIG安全機制仍能在經(jīng)過DHT擴展的DNS映射系 統(tǒng)中完整地實現(xiàn)�����。
為了達到上述發(fā)明目的,本發(fā)明提供了一種經(jīng)過分布式哈希表DHT擴展的域名系 統(tǒng)DNS映射系統(tǒng)����,其特征在于所述映射系統(tǒng)包括具有DNS解析器的移動或固定的主機、 本地DNS服務(wù)器�、授權(quán)DNS服務(wù)器和DHT圓環(huán)中的DHT服務(wù)器,由DNS服務(wù)器和DHT服務(wù)器 作為映射服務(wù)器��,共同管理身份到位置的映射信息和為主機查詢映射信息���;其中�����,位于該系 統(tǒng)上層的各個授權(quán)DNS服務(wù)器是采用根據(jù)主機ID的管理域標(biāo)識AD ID進行分級和層次化 索引構(gòu)成的傳統(tǒng)DNS樹形結(jié)構(gòu)�����,每個域都由其授權(quán)DNS服務(wù)器進行管理��,每個授權(quán)DNS服務(wù) 器都不存儲任何身份到位置的映射信息����,只存儲其子域的DHT圓環(huán)的入口服務(wù)器地址或子 域的授權(quán)DNS服務(wù)器信息;該系統(tǒng)的最底層是采用主機ID的扁平哈希值進行索引查詢的多 個相互獨立的DHT圓環(huán)�,每個DHT圓環(huán)代表身份空間中的一個域��,由多個根據(jù)DHT算法組織并相互連接的DHT服務(wù)器組成����,該多個DHT服務(wù)器負責(zé)存儲和管理該域的全部身份到位置 的映射信息;且經(jīng)過DHT擴展后��,最底層域的映射信息被分布地存儲于各個DHT服務(wù)器����,每 個DHT服務(wù)器只存儲和管理整個域的部分映射信息����,并根據(jù)業(yè)務(wù)的需要增減每個DHT圓環(huán) 中的DHT服務(wù)器數(shù)量,以保證負載均衡和性能需求����。
為了達到上述發(fā)明目的,本發(fā)明提供了 一種采用本發(fā)明映射系統(tǒng)實現(xiàn)DNS安全的 方法��,其特征在于所述映射系統(tǒng)在服務(wù)器端為主機提供映射信息的更新和查詢過程中�,使 用事務(wù)簽名TSIG (Transaction Signature)和DNS簽名DNSSEC來保證信息安全����,該方法包 括下列操作步驟
(1)主機注冊ID與配置TSIG共享密鑰后�����,安全地更新映射信息每個主機在使用 前必須先注冊其ID��,由ID管理服務(wù)器作為可信任的第三方��,和DHT圓環(huán)共同完成主機ID的 注冊及其TSIG共享密鑰的自動分發(fā)����,從而完成映射信息更新過程之前TSIG共享密鑰的配 置,以使主機能向DHT圓環(huán)發(fā)送采用該共享密鑰加密的更新消息����,DHT圓環(huán)也使用該共享密 鑰來驗證更新消息,確保更新源的可信任性與更新消息的正確性�;ID管理服務(wù)器和主機的 安全是使用數(shù)字簽名來驗證兩者之間的交互消息源和消息的正確性;
(2)對DHT圓環(huán)和授權(quán)DNS服務(wù)器配置相關(guān)參數(shù)���,自下而上建立信任鏈后���,提供映 射信息的安全查詢服務(wù)先在底層DHT圓環(huán)與上層授權(quán)DNS服務(wù)器之間建立信任鏈�,DHT 圓環(huán)為自己所管理的域生成公鑰私鑰對���,并將自己的公鑰告訴父域的授權(quán)DNS服務(wù)器���;再 在上層授權(quán)DNS服務(wù)器之間建立DNSSEC信任鏈,以保證該映射系統(tǒng)層級授權(quán)的安全�,本地 DNS服務(wù)器通過驗證響應(yīng)消息的數(shù)字簽名來保證響應(yīng)消息來源的正確性和響應(yīng)消息的完整 性;
(3)完成安全配置后���,映射系統(tǒng)進行映射信息的安全更新與查詢主機改變位置 信息時��,向所歸屬的DHT圓環(huán)發(fā)送更新映射信息請求����,在主機和DHT圓環(huán)之間執(zhí)行安全的更 新過程�����;主機要和其他主機通信時��,向本地DNS服務(wù)器發(fā)送查詢映射信息請求�����,由本地DNS 服務(wù)器遞歸查詢授權(quán)DNS服務(wù)器和DHT圓環(huán)�����,給主機返回查詢結(jié)果�。
本發(fā)明用DHT擴展的DNS映射系統(tǒng)及其采用DNSSEC和TSIG實現(xiàn)DNS安全的方法, 有以下幾個技術(shù)創(chuàng)新要點
該映射系統(tǒng)結(jié)構(gòu)新穎上層為DNS樹形結(jié)構(gòu)��,最底層是DHT圓環(huán)���,DHT圓環(huán)內(nèi)部各 個服務(wù)器之間用DHT消息通信�����、與外部通信則采用DNS消息����。
自動分發(fā)TSIG共享密鑰通過可信任的第三方-ID管理服務(wù)器���,在DHT圓環(huán)上生 成TSIG共享密鑰后�����,由ID管理服務(wù)器以安全方式發(fā)放給主機����。
建立DHT圓環(huán)和授權(quán)DNS服務(wù)器之間的信任鏈通過為DHT圓環(huán)生成公鑰和私鑰, 再將DHT圓環(huán)公鑰配置給上層授權(quán)DNS服務(wù)器來建立信任鏈��。
實現(xiàn)DHT圓環(huán)與DNSSEC和TSIG的兼容通過為DHT服務(wù)器增設(shè)消息轉(zhuǎn)換和安全 處理的功能模塊��,使DHT圓環(huán)能夠處理DNS消息�����,并能為DNS響應(yīng)消息添加加密信息���,從而 在DNS結(jié)合DHT映射系統(tǒng)中完整實現(xiàn)DNSSEC和TSIG����。另外���,還提出在映射消息更新或查詢 過程中���,DHT服務(wù)器處理DNS消息的相應(yīng)操作過程�。
總之���,本發(fā)明經(jīng)過DHT擴展的DNS的映射系統(tǒng)的優(yōu)點是該映射系統(tǒng)結(jié)合了 DNS和 DHT的優(yōu)點�����,既吸收DNS樹形結(jié)構(gòu)����,支持映射信息的層次化查詢,具備合理商業(yè)和信任模型�, 也繼承DHT冗余備份、健壯性等優(yōu)點����,尤其是該映射系統(tǒng)可在現(xiàn)有DNS映射系統(tǒng)基礎(chǔ)上進行改進就能夠?qū)崿F(xiàn),從而減少網(wǎng)絡(luò)構(gòu)建的巨大工作量���。本發(fā)明提出的實現(xiàn)DNS安全方法����,為 DHT圓環(huán)和上層授權(quán)DNS服務(wù)器建立起信任關(guān)系��,從而在DHT圓環(huán)和上層授權(quán)DNS服務(wù)器 之間����、授權(quán)DNS服務(wù)器和其父域授權(quán)DNS服務(wù)器之間建立完整的信任鏈,保證了 DNSSEC和 TSIG在本發(fā)明映射系統(tǒng)上的完整性�,解決了該映射系統(tǒng)的層級授權(quán)問題���,保證了映射信息 在傳輸過程中的正確性和完整性����,以及數(shù)據(jù)源的安全性和更新數(shù)據(jù)的完整性�����,防止了數(shù)據(jù) 欺騙等安全攻擊��。本發(fā)明還提出自動分發(fā)TSIG共享密鑰方法��,比手工配置效率高���。
圖1是DNS域名空間樹形層次結(jié)構(gòu)示意圖。
圖2是DNS域名查找過程示意圖�����。
圖3是DNS域名信任鏈?zhǔn)纠龍D�����。
圖4是本發(fā)明經(jīng)過DHT擴展的DNS映射系統(tǒng)身份空間樹狀層級結(jié)構(gòu)圖���。
圖5是本發(fā)明經(jīng)過DHT擴展的DNS映射系統(tǒng)組成結(jié)構(gòu)示意圖。
圖6是本發(fā)明方法安全配置TSIG共享密鑰過程示意圖��。
圖7是本發(fā)明映射系統(tǒng)的信任鏈建立過程示意圖�����。
圖8是本發(fā)明映射系統(tǒng)的映射信息新過程示意圖����。
圖9是本發(fā)明映射系統(tǒng)的查詢映射信息程示意圖��。
具體實施方式
為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點更加清楚����,下面結(jié)合附圖和實施例對本發(fā)明 作進一步的詳細描述���。
參見圖4和圖5,介紹本發(fā)明經(jīng)過DHT擴展的域名系統(tǒng)DNS映射系統(tǒng)的結(jié)構(gòu)組成 所述映射系統(tǒng)包括具有DNS解析器的移動或固定的主機�、本地DNS服務(wù)器����、授權(quán)DNS服務(wù) 器和DHT圓環(huán)中的DHT服務(wù)器���,由DNS服務(wù)器和DHT服務(wù)器作為映射服務(wù)器����,共同管理身份 到位置的映射信息和為主機查詢映射信息���。該系統(tǒng)上層是各個授權(quán)DNS服務(wù)器采用傳統(tǒng) DNS樹形層次結(jié)構(gòu)���、最底層為DHT圓環(huán)結(jié)構(gòu);上層DNS樹形結(jié)構(gòu)是根據(jù)主機ID的管理域標(biāo) 識AD ID進行分級和層次化索引構(gòu)成的��,每個域都由其授權(quán)DNS服務(wù)器進行管理�����,每個授權(quán) DNS服務(wù)器都不存儲任何身份到位置的映射信息,只存儲其子域的授權(quán)DNS服務(wù)器信息或 DHT圓環(huán)的入口服務(wù)器地址����。因這些授權(quán)DNS服務(wù)器采用傳統(tǒng)的DNS工作機制�,故這部分不 再贅述。
系統(tǒng)最底層是采用主機ID的扁平哈希值進行索引查詢的多個相互獨立的DHT圓 環(huán)����,每個DHT圓環(huán)代表身份空間中的一個域,由一個或多個根據(jù)DHT算法組織并相互連接的 本地DHT服務(wù)器組成�,負責(zé)存儲和管理該AD域的全部身份到位置的映射信息;且經(jīng)過DHT 擴展后���,最底層域的映射信息被分布地存儲于各個DHT服務(wù)器����,每個DHT服務(wù)器只存儲和管 理整個域的部分映射信息�,并根據(jù)業(yè)務(wù)的需要增減每個DHT圓環(huán)中的DHT服務(wù)器數(shù)量,以保 證負載均衡和性能需求��。DHT圓環(huán)內(nèi)部采用DHT消息通信���,與外部通信采用標(biāo)準(zhǔn)DNS消息�����。 每個DHT圓環(huán)都指定一個或多個服務(wù)器作為入口服務(wù)器����,并將其入口服務(wù)器地址告知其父 域的授權(quán)DNS服務(wù)器��,入口服務(wù)器負責(zé)完成其所在的DHT圓環(huán)與外部的消息交互��,其他服務(wù) 器只是協(xié)作完成映射信息的更新和查詢���。該映射系統(tǒng)還設(shè)有位于身份與位置分離架構(gòu)網(wǎng)絡(luò)系統(tǒng)中的ID管理服務(wù)器���,用于可信任的第三方完成與主機之間的TSIG共享密鑰的自動配 置。因ID管理服務(wù)器不屬于本發(fā)明映射系統(tǒng)�,故在圖4與圖3中都沒有標(biāo)出。
本發(fā)明映射服務(wù)器中的本地DNS服務(wù)器接收到主機查詢ID映射信息的查詢請求 后�,向授權(quán)DNS服務(wù)器查詢該ID所歸屬的域,授權(quán)DNS服務(wù)器告訴本地DNS服務(wù)器其查詢 的ID所歸屬的DHT圓環(huán)的入口服務(wù)器地址�����,由該DHT入口服務(wù)器查詢得到該DHT圓環(huán)中存 儲的該ID的映射信息����。DHT圓環(huán)完成映射信息的更新是在DHT入口服務(wù)器接收到映射信息 更新請求后���,根據(jù)DHT算法將更新的映射信息存儲于該DHT圓環(huán)中相應(yīng)的DHT服務(wù)器。
參見圖4�����,在arpa頂級域下新申請一個rangiid. arpa域��,用來劃分和管理身份與 位置分離架構(gòu)的主機ID到Locator的映射信息��。再根據(jù)主機ID的管理域ID中代表國家 的部分�,將rangiid. arpa域劃分成多個國家子域����。然后,根據(jù)主機ID的管理域ID中代表 管理機構(gòu)的部分���,將CN. rangiid. arpa域劃分成多個子域(如中國移動CMCC等)�����;接著��,根 據(jù)主機ID的管理域ID中代表地區(qū)部分�,將CMCC. CN. rangiid. arpa域劃分成多個子域(如 北京BJ、上海SH等)�����。
在原有DNS映射系統(tǒng)中管理BJ. CMCC. CN. rangiid. arpa區(qū)的DNS服務(wù)器存儲了該 區(qū)的全部映射信息����,而在本發(fā)明經(jīng)過DHT擴展的DNS映射系統(tǒng)中,是由多個DHT服務(wù)器(圖 中用黑色圓點表示)共同管理該區(qū)的全部映射信息����,這些DHT服務(wù)器由DHT算法進行組織。 典型的DHT結(jié)構(gòu)為圓環(huán)形結(jié)構(gòu)���。為方便描述�,本發(fā)明將由DHT算法組織起來的這些DHT服 務(wù)器稱為一個DHT圓環(huán)��。
下面具體介紹本發(fā)明映射系統(tǒng)中的各個設(shè)備
主機是該映射系統(tǒng)的客戶端��,設(shè)有只能收發(fā)消息的DNS解析器�����,即存根解析器 (stub resolver),以存根解析器和本地DNS服務(wù)器結(jié)合的方式完成遞歸查詢和安全驗證����。
DNS 服務(wù)器是采用 BIND (Berkeley Internet Name Domain)實現(xiàn)的 DNS 設(shè)備,包括 本地DNS服務(wù)器和授權(quán)DNS服務(wù)器��。本地DNS服務(wù)器具有遞歸查詢功能����,能夠配合主機共 同完成映射信息的遞歸查詢,為保證查詢安全�����,本地DNS服務(wù)器要配置DNS簽名DNSSEC (DNS Signature)���,且擁有DNS根服務(wù)器的公鑰。授權(quán)DNS服務(wù)器用于完成映射信息的層級管理���, 并配置DNSSEC來保證層級授權(quán)和查詢過程的安全���;在底層授權(quán)DNS服務(wù)器的區(qū)文件中配置 一個或多個DHT服務(wù)器地址,以供用戶選擇DHT服務(wù)器作為DHT圓環(huán)的入口進行查詢。因 新版本的BIND已經(jīng)很好地實現(xiàn)DNSSEC和TSIG���,故本發(fā)明只需要對DNS服務(wù)器進行相關(guān)配 置即可完成安全部署��。
DHT服務(wù)器位于最底層的DHT圓環(huán)���,每個DHT服務(wù)器都設(shè)有一個包含該DHT圓環(huán)管 理的域、域名與服務(wù)器自身地址的各種信息的配置文件�����,當(dāng)DHT服務(wù)器用作入口服務(wù)器時��, 負責(zé)完成所有的安全處理和與DHT圓環(huán)外部的通信����,并與DHT其他服務(wù)器共同完成映射信 息的存儲、更新和查詢�����。DHT服務(wù)器設(shè)有下述三個模塊���,各模塊功能為
消息轉(zhuǎn)換模塊�����,用于接收與解析DNS的更新請求或查詢請求���,以及配置映射信息 請求�����,并重新構(gòu)造為對應(yīng)的DHT的更新消息或查詢消息后���,作相應(yīng)處理;解析DHT響應(yīng)消息�, 并重新構(gòu)造成DNS更新請求或查詢請求的響應(yīng)和配置映射信息請求響應(yīng)。
安全處理模塊����,與消息轉(zhuǎn)換模塊交互�����,完成下述各種功能為每個ID生成TSIG共 享密鑰��、驗證更新消息���、為映射記錄生成數(shù)字簽名����、配置公鑰與私鑰、生成公鑰摘要和建立 與上層DNS的信任鏈等���。
存儲查詢模塊�,與消息轉(zhuǎn)換模塊交互���,完成映射信息與域名信息的分布式存儲和 查詢����。根據(jù)key值的兩種類型�,存儲于DHT服務(wù)器的(key,value)對的value值也包含對應(yīng) 的兩種信息當(dāng)key值是域名時�,value值是該DHT圓環(huán)的密鑰對信息;當(dāng)key值是ID時����, value值是該ID對應(yīng)的映射信息、映射信息的數(shù)字簽名或TSIG共享密鑰�����。根據(jù)DHT服務(wù)器 采用的不同DHT算法,存儲查詢模塊也采用不同的冗余存儲方式�。
本發(fā)明映射系統(tǒng)的服務(wù)器端,在為主機提供映射信息的更新和查詢過程中實現(xiàn) DNS安全的方法是用事務(wù)簽名TSIG (Transaction Signature)和DNS簽名DNSSEC來保證信 息安全���,該方法的具體包括下述三個操作步驟
步驟1�,主機注冊ID與配置TSIG共享密鑰后�����,安全地更新映射信息每個主機在 使用前必須先注冊其ID與配置TSIG共享密鑰�,由ID管理服務(wù)器作為可信任的第三方,和 DHT圓環(huán)共同完成主機注冊ID及其TSIG共享密鑰的自動分發(fā)�,從而完成映射信息更新過程 之前TSIG共享密鑰的配置,以使主機能向DHT圓環(huán)發(fā)送的更新消息采用該共享密鑰加密�����, DHT圓環(huán)也使用該共享密鑰來驗證更新消息�,確保更新源的可信任性與更新消息的正確性。 ID管理服務(wù)器和主機的安全是使用數(shù)字簽名來驗證兩者之間的交互消息源和消息的正確 性��,因非本發(fā)明的主題�����,故不作詳述�����。
參見圖6�����,介紹該步驟1的操作內(nèi)容
(11)主機生成ID后�,向ID管理服務(wù)器發(fā)送包括該主機ID信息的注冊請求。
(12) ID管理服務(wù)器收到ID注冊請求后�����,先驗證該請求的來源及其正確性����,證實該 請求確實來自該ID對應(yīng)的主機后,ID管理服務(wù)器檢測該ID是否與已有ID沖突�����,若沖突����,則 發(fā)送消息提示主機重新生成ID �;否則����,ID管理服務(wù)器將該ID存儲于ID數(shù)據(jù)庫,并向該ID 所歸屬域的DHT圓環(huán)的入口服務(wù)器發(fā)送配置映射信息請求���。
(13)DHT服務(wù)器接收到配置映射信息請求后����,由消息轉(zhuǎn)換模塊解析該接收到的配 置映射信息請求后�,將該請求中的ID參數(shù)傳遞給安全處理模塊。
(14)安全處理模塊為該請求中的ID生成TSIG共享密鑰����,并將其返回給消息轉(zhuǎn)換 模塊。
(15)消息轉(zhuǎn)換模塊將該ID作為key值����、對應(yīng)的TSIG共享密鑰作為value值構(gòu)造 一個包含該(key,value)對的DHT更新消息�����,再傳遞給存儲查詢模塊��。
(16)存儲查詢模塊根據(jù)DHT算法和key值�,將該DHT更新消息路由到DHT圓環(huán)中 相應(yīng)的DHT服務(wù)器來存儲該(key,value)對����,若存儲成功,則給消息轉(zhuǎn)換模塊返回DHT更新 成功響應(yīng)�;否則,返回DHT更新失敗響應(yīng)�����。
(17)消息轉(zhuǎn)換模塊收到DHT更新響應(yīng)后��,進行解析���,若是成功響應(yīng)���,則給ID管理服 務(wù)器返回包含該ID的TSIG共享密鑰的配置映射信息成功響應(yīng);否則���,給ID管理服務(wù)器返 回配置映射信息失敗響應(yīng)��;
(18) ID管理服務(wù)器接收到響應(yīng)消息���,若配置成功�����,則將包括TSIG共享密鑰�����、DHT圓 環(huán)的入口服務(wù)器地址的信息組成注冊請求成功響應(yīng)��,以安全方式發(fā)送到主機�����,主機對其驗 證后����,獲得TSIG共享密鑰和DHT圓環(huán)的入口服務(wù)器地址����;若配置失敗,則給主機返回注冊請 求失敗響應(yīng)���,以使主機重新注冊���。
主機和DHT圓環(huán)之間共享TSIG密鑰后�,主機就能向DHT圓環(huán)發(fā)送采用該共享密鑰 加密的更新消息�����,DHT圓環(huán)則使用TSIG共享密鑰來驗證更新消息��,確保更新源的可信任性與更新消息的正確性�����。
步驟2����,對DHT圓環(huán)和DNS服務(wù)器配置相關(guān)參數(shù)�,自下而上建立信任鏈后,提供映 射信息的安全查詢服務(wù)先在底層DHT圓環(huán)與上層DNS服務(wù)器之間建立信任鏈�����,DHT圓環(huán)為 自己管理的域生成公鑰私鑰對��,并將自己的公鑰告訴父域的DNS服務(wù)器;再在上層授權(quán)DNS 服務(wù)器之間建立DNSSEC信任鏈�����,保證該映射系統(tǒng)層級授權(quán)的安全��,本地DNS服務(wù)器通過驗 證響應(yīng)消息的數(shù)字簽名保證響應(yīng)消息來源的正確性和響應(yīng)消息的完整性�。
參見圖7,介紹信任鏈的實施例的建立過程���。先建立BJ. rangiid. arpa域的DHT圓 環(huán)與上層DNS服務(wù)器之間的信任鏈���,該信任鏈建立后,就保證了映射系統(tǒng)各個層級授權(quán)的 安全�,本地DNS服務(wù)器可以通過驗證響應(yīng)消息的簽名來判斷響應(yīng)消息來源的正確性和響應(yīng) 消息的完整性。
該步驟2包括下列操作內(nèi)容
(21)DHT入口服務(wù)器的安全處理模塊采用與DNS服務(wù)器生成密鑰對相同的算法�����, 為其所在的DHT圓環(huán)管理的域生成密鑰對�����,共生成兩個密鑰對密鑰簽名密鑰對KSK(Key Signing Key)和區(qū)域簽名密鑰對MK (hne Signing Key)�����,每個密鑰對都包含一個公鑰和 一個私鑰,后者用于計算映射記錄的簽名���,前者用于計算對MK的簽名���,以使其得到驗證。
(22)密鑰對生成后��,消息轉(zhuǎn)換模塊將域名作為key�、密鑰對作為value生成一個 DHT更新消息�����,再由存儲查詢模塊根據(jù)DHT算法將該(key�,value)對存儲于對應(yīng)的DHT服 務(wù)器;當(dāng)管理員需要更換密鑰對���,生成新的密鑰對后��,由存儲查詢模塊對該DHT圓環(huán)中存儲 該密鑰對的所有DHT服務(wù)器進行更新�;DHT服務(wù)器在DHT圓環(huán)中查詢獲得最新密鑰對后使 用該密鑰��,因DHT圓環(huán)中冗余存儲數(shù)據(jù),故某個存儲密鑰對的DHT服務(wù)器退出該DHT圓環(huán)��, 不會丟失該密鑰對信息�。
(23)安全處理模塊為密鑰對中的公鑰生成摘要,再將公鑰摘要手工添加到上層授 權(quán)DNS服務(wù)器的區(qū)文件中����,以使上層授權(quán)DNS服務(wù)器擁有DHT圓環(huán)的公鑰摘要,能用自己的 ZSK私鑰對DHT圓環(huán)的公鑰摘要進行數(shù)字簽名����,這樣,只要信任父域授權(quán)DNS服務(wù)器�����,就信任 經(jīng)父域授權(quán)DNS服務(wù)器簽名的DHT圓環(huán)����,從而DHT圓環(huán)就和上層授權(quán)DNS服務(wù)器建立了信 任鏈。
(24)在上層授權(quán)DNS服務(wù)器之間建立信任鏈子域授權(quán)DNS服務(wù)器先生成自己的 密鑰對��,再將公鑰告知其父域授權(quán)DNS服務(wù)器�;以此類推,直到根域的授權(quán)DNS服務(wù)器�����;當(dāng) 根域的授權(quán)DNS服務(wù)器生成密鑰對后,要向所有本地DNS服務(wù)器發(fā)布自己的公鑰�,以使每個 本地DNS服務(wù)器都擁有根域的授權(quán)DNS服務(wù)器的公鑰。
步驟3�,完成安全配置后,映射系統(tǒng)進行映射信息的安全更新與查詢主機改變位 置信息時�,向所歸屬的DHT圓環(huán)發(fā)送更新映射信息請求,在主機和DHT圓環(huán)之間執(zhí)行安全 的更新過程���;主機要和其他主機通信時���,向本地DNS服務(wù)器發(fā)送查詢映射信息請求,由本地 DNS服務(wù)器遞歸查詢授權(quán)DNS服務(wù)器和DHT圓環(huán)�,給主機返回查詢結(jié)果���。
參見圖8���,介紹該步驟3中映射信息更新過程的操作內(nèi)容
(31)主機的DNS解析器使用TSIG共享密鑰對DNS更新消息加密后,將其發(fā)送給其 歸屬的DHT圓環(huán)的入口服務(wù)器����;
(32) DHT服務(wù)器的消息轉(zhuǎn)換模塊接收到DNS更新請求后��,解析其中的ID和 Locator映射信息�����,將ID作為key值構(gòu)成一個DHT查詢請求��,傳遞給存儲查詢模塊�;
(33)存儲查詢模塊通過DHT算法查詢DHT圓環(huán)存儲該ID的value值��,構(gòu)成一個 DHT查詢響應(yīng)并傳遞給消息轉(zhuǎn)換模塊�;
(34)消息轉(zhuǎn)換模塊解析該DHT查詢響應(yīng),獲得vlaue值中的TSIG共享密鑰��,傳遞 給安全處理模塊��;
(35)安全處理模塊使用該TSIG共享密鑰驗證該更新消息�����,驗證通過后����,使用DHT 圓環(huán)的ZSK私鑰對該ID對應(yīng)的映射信息進行數(shù)字簽名,然后將該ID的映射信息����、對映射信 息的數(shù)字簽名和TSIG共享密鑰一起傳遞給消息轉(zhuǎn)換模塊�;
(36)消息轉(zhuǎn)換模塊將該ID作為key���,該ID的映射信息�、對映射信息的數(shù)字簽名和 TSIG共享密鑰一起作為value�,組成(key,value)對構(gòu)造一個DHT更新消息傳遞給存儲查 詢模塊��;
(37)存儲查詢模塊使用DHT算法將DHT更新消息路由到DHT圓環(huán)存儲該映射信息 的相應(yīng)DHT服務(wù)器����,并更新該ID的value,然后根據(jù)更新結(jié)果����,給消息轉(zhuǎn)換模塊返回DHT更 新響應(yīng);
(38)消息轉(zhuǎn)換模塊根據(jù)DHT更新響應(yīng)的不同結(jié)果�,構(gòu)造相應(yīng)的DNS更新響應(yīng)發(fā)送 給主機端�。
參見圖9,介紹該步驟3中映射信息查詢過程的操作內(nèi)容
(3A)主機的DNS解析器向本地DNS服務(wù)器發(fā)起DNS查詢消息�����;
(3B)本地DNS服務(wù)器向授權(quán)DNS服務(wù)器發(fā)起DNS查詢消息;
(3C)經(jīng)過遞歸查詢后����,授權(quán)DNS服務(wù)器給本地DNS服務(wù)器返回DNS查詢響應(yīng),其中 包括請求查詢的映射信息所歸屬DHT圓環(huán)的DHT入口服務(wù)器地址和該DHT圓環(huán)的公鑰�;
(3D)本地DNS服務(wù)器根據(jù)接收到的DNS查詢響應(yīng),向DHT服務(wù)器發(fā)送DNS查詢消 息�����;
(3E)該DHT服務(wù)器的消息轉(zhuǎn)換模塊接收和解析DNS查詢消息����,獲得ID后,將該查 詢消息中的ID作為key值����,構(gòu)成DHT查詢請求傳遞給存儲查詢模塊;
(3F)存儲查詢模塊根據(jù)DHT查詢請求中的ID���,使用DHT算法查詢DHT圓環(huán)是否存 儲有該ID的value值����,如果有�,則給消息轉(zhuǎn)換模塊返回包含該value值的DHT查詢響應(yīng)�;如 果無�����,則給消息轉(zhuǎn)換模塊返回空響應(yīng)�����;
(3G)消息轉(zhuǎn)換模塊接收和解析DHT查詢響應(yīng)�����,若響應(yīng)不為空��,則將value中的ID 映射信息與該映射信息的數(shù)字簽名信息構(gòu)造一個DNS查詢響應(yīng)�����,發(fā)送給本地DNS服務(wù)器����;否 則,由安全處理模塊生成一個表示不存在該映射信息的特殊記錄�����,并使用ZSK私鑰進行數(shù) 字簽名后�,將該特殊記錄和數(shù)字簽名構(gòu)造為DNS響應(yīng)發(fā)送給本地DNS服務(wù)器;
(3H)本地DNS服務(wù)器使用DHT圓環(huán)的公鑰驗證該響應(yīng)消息��,確認無誤后發(fā)送給主 機的DNS解析器�����。
本發(fā)明已經(jīng)進行了多次實施試驗����,下面簡要描述本發(fā)明映射系統(tǒng)在保證DNS安全 的前提下,一次完整的主機ID注冊��、映射信息的更新和查詢過程���。
查詢之前����,先為映射系統(tǒng)建立如圖7所示的信任鏈���。本發(fā)明利用ID管理服務(wù)器���, 在ID注冊時完成其TSIG共享密鑰分發(fā)���。一次完整的注冊更新流程如下
(1)主機生成ID,向ID管理服務(wù)器發(fā)送ID注冊請求�����,該請求中攜帶用戶信息�、主 機ID和ID相關(guān)參數(shù)、主機用私鑰對消息的簽名����。
(2) ID管理服務(wù)器收到ID注冊請求后,驗證是否允許該主機注冊��,通過公鑰和簽 名認證主機的身份����,證實該請求確實來自該ID對應(yīng)的主機。通過驗證后���,ID管理服務(wù)器要 檢測該ID是否與已有ID沖突�,若沖突����,則發(fā)送消息提示主機重新生成ID ��;若沒有沖突,則 ID管理服務(wù)器要記錄該ID到ID數(shù)據(jù)庫���。
(3) ID管理服務(wù)器向該ID所歸屬域的DHT圓環(huán)的入口 DHT服務(wù)器發(fā)送配置映射信 息請求�����。
(4) DHT服務(wù)器收到配置映射信息請求后��,進行解析���,為請求中的ID生成TSIG共 享密鑰;然后將該ID作為key值��、對應(yīng)的TSIG共享密鑰作為value值構(gòu)造成一個(key�����, value)對存儲在DHT圓環(huán)中的適當(dāng)位置�����。若存儲成功,則給請求方返回配置映射信息成功 響應(yīng)��,響應(yīng)中包含該ID的TSIG共享密鑰����;否則,返回配置映射信息失敗響應(yīng)�����。
( ID管理服務(wù)器接收到注冊請求響應(yīng)后�,進行解析;若配置成功�,則將共享密鑰 以主機公鑰進行加密,并連同DHT圓環(huán)的入口服務(wù)器地址和ID管理服務(wù)器用自己私鑰對消 息進行簽名����,一起構(gòu)成注冊請求的響應(yīng)發(fā)送到主機;若配置失敗����,則給主機返回注冊請求失 敗響應(yīng),以使主機重新注冊��;
(6)主機收到ID管理服務(wù)器的響應(yīng)后�����,通過ID管理服務(wù)器的簽名來認證ID管理 服務(wù)器的身份,獲得應(yīng)答消息中的TSIG共享密鑰和DHT圓環(huán)的入口服務(wù)器地址��,然后主機 可以安全地進行映射信息的更新���;
(7)主機向DHT圓環(huán)的入口服務(wù)器發(fā)送DNS更新請求,該消息使用TSIG共享密鑰 加密���,消息包含了 ID�����、ID對應(yīng)的Locator信息���;
(S)DHT圓環(huán)的入口服務(wù)器收到DNS更新請求后,解析出該請求中的ID��,利用該ID 查找DHT圓環(huán)�����,再找到該ID的(key�����,value)記錄,讀出value中的TSIG共享密鑰����,然后用 TSIG共享密鑰驗證該更新消息的正確性;若驗證失敗���,則丟棄該更新消息����;若驗證成功��,則 計算該ID的映射信息的數(shù)字簽名���,將該ID的映射信息�����、映射信息的數(shù)字簽名����、TSIG共享密 鑰組成新的value存儲于DHT圓環(huán)�����;存儲成功后,給主機返回一個DNS更新成功的響應(yīng)����,否 則,返回一個DNS更新失敗的響應(yīng)�。
再以查詢ID為12;34567887654321. BJ. rangiid. arpa.的映射信息為例����,介紹本發(fā) 明方法的一次完整的查詢映射信息的流程如下
(1)主機發(fā)起的 ID 為 1234567887654321. BJ. rangiid. arpa.的查詢請求����,經(jīng)由本 地DNS服務(wù)器發(fā)送給根域授權(quán)DNS服務(wù)器。
(2)部署了 DNSSEC的DNS根域授權(quán)DNS服務(wù)器處理該查詢請求先用哈希算法計 算要回復(fù)信息的摘要���,再將摘要用自己的ZSK私鑰加密后��,將生成的數(shù)字簽名和要回復(fù)的 根域授權(quán)DNS服務(wù)器信息���、.arpa域的授權(quán)DNS服務(wù)器地址信息、.arpa域的公鑰信息構(gòu)成 查詢請求響應(yīng)��,返回給本地DNS服務(wù)器。
(3)本地DNS服務(wù)器收到帶有簽名的查詢請求響應(yīng)后�����,利用根域授權(quán)DNS服務(wù)器的 公鑰解密其中的簽名獲得該查詢請求響應(yīng)的摘要����,再將該摘要與從該查詢請求響應(yīng)的數(shù)據(jù) 中計算出來的摘要進行對比,驗證數(shù)據(jù)完整性��;如果驗證成功�,則同時完成了對數(shù)據(jù)源、即 授權(quán)DNS服務(wù)器的身份認證�;否則,身份認證失敗���。此時�����,本地DNS服務(wù)器已擁有了 .arpa 域的授權(quán)DNS服務(wù)器的公鑰����,本地DNS服務(wù)器向.arpa頂級域的授權(quán)DNS服務(wù)器發(fā)送查詢 請求。
(4)部署了 DNSSEC的.arpa頂級域的授權(quán)DNS服務(wù)器處理該查詢請求先用哈希 算法計算要回復(fù)信息的摘要�����,再將該摘要用自己的ZSK私鑰加密后��,將生成的數(shù)字簽名和 要回復(fù)的.arpa域的授權(quán)DNS服務(wù)器信息��、rangiid. arpa域的授權(quán)DNS服務(wù)器地址信息���、 rangiid. arpa域公鑰信息構(gòu)成該查詢請求響應(yīng)����,返回給本地DNS服務(wù)器�。
(5)本地DNS服務(wù)器用.arpa公鑰解密驗證步驟⑷返回的數(shù)據(jù),得到rangiid. arpa公鑰和rangiid. arpa域的授權(quán)DNS服務(wù)器地址�。
(6)本地DNS服務(wù)器向rangiid. arpa域的授權(quán)DNS服務(wù)器發(fā)送查詢請求�����。
(7)部署了 DNSSEC的rangiid. arpa域的授權(quán)DNS服務(wù)器處理該查詢請求先用哈 希算法計算要回復(fù)信息的摘要����,再將該摘要用自己的ZSK私鑰加密,將生成的數(shù)字簽名和 要回復(fù)的rangiid. arpa域名服務(wù)器信息�、管理BJ. rangiid. arpa域映射信息的DHT圓環(huán)的 入口服務(wù)器地址信息�、BJ. rangiid. arpa域公鑰信息構(gòu)成該查詢請求響應(yīng)����,返回給本地DNS 服務(wù)器。
(8)本地DNS服務(wù)器用rangiicLarpa公鑰驗證步驟(7)返回的數(shù)據(jù)�,得到 BJ. rangiid. arpa域的公鑰和管理該域的DHT圓環(huán)的入口服務(wù)器地址。
(9)DHT圓環(huán)的入口服務(wù)器在處理查詢請求時�����,根據(jù)解析出來的ID值����,查詢DHT圓 環(huán)中的該ID對應(yīng)的value值,如果value不為空���,則根據(jù)value值中的映射信息和數(shù)字簽 名���,構(gòu)造DNS查詢響應(yīng)返回給本地DNS服務(wù)器;否則�,構(gòu)造一個表示該映射信息不存在的特 殊記錄,并對該特殊記錄進行數(shù)字簽名���,將該特殊記錄和其數(shù)字簽名構(gòu)造成DNS查詢響應(yīng)���, 返回給本地DNS服務(wù)器�����。
(10)本地DNS服務(wù)器用BJ. rangiid. arpa域的公鑰解密驗證步驟(9)返回的數(shù) 據(jù)��,得到該ID的映射記錄查詢結(jié)果后�����,本地DNS服務(wù)器向主機返回查詢結(jié)果����。
以上所述僅為本發(fā)明的較佳實施例而已��,并不用以限制本發(fā)明�����,凡在本發(fā)明的精 神和原則之內(nèi)�,所做的任何修改�����、等同替換、改進等�����,均應(yīng)包含在本發(fā)明保護的范圍之內(nèi)�。
權(quán)利要求
1.一種經(jīng)過分布式哈希表DHT擴展的域名系統(tǒng)DNS映射系統(tǒng),其特征在于所述映射 系統(tǒng)包括具有DNS解析器的移動或固定的主機�、本地DNS服務(wù)器、授權(quán)DNS服務(wù)器和DHT 圓環(huán)中的DHT服務(wù)器�,由DNS服務(wù)器和DHT服務(wù)器作為映射服務(wù)器,共同管理身份到位置的 映射信息和為主機查詢映射信息�����;其中�����,位于該系統(tǒng)上層的各個授權(quán)DNS服務(wù)器是采用根 據(jù)主機ID的管理域標(biāo)識AD ID進行分級和層次化索引構(gòu)成的傳統(tǒng)DNS樹形結(jié)構(gòu)�����,每個域都 由其授權(quán)DNS服務(wù)器進行管理���,每個授權(quán)DNS服務(wù)器都不存儲任何身份到位置的映射信息���, 只存儲其子域的DHT圓環(huán)的入口服務(wù)器地址或子域的授權(quán)DNS服務(wù)器信息�����;該系統(tǒng)的最底 層是采用主機ID的扁平哈希值進行索引查詢的多個相互獨立的DHT圓環(huán)�����,每個DHT圓環(huán)代 表身份空間中的一個域�����,由多個根據(jù)DHT算法組織并相互連接的DHT服務(wù)器組成�����,該多個 DHT服務(wù)器負責(zé)存儲和管理該域的全部身份到位置的映射信息�����;且經(jīng)過DHT擴展后�,最底層 域的映射信息被分布地存儲于各個DHT服務(wù)器�����,每個DHT服務(wù)器只存儲和管理整個域的部 分映射信息���,并根據(jù)業(yè)務(wù)的需要增減每個DHT圓環(huán)中的DHT服務(wù)器數(shù)量��,以保證負載均衡和 性能需求��。
2.根據(jù)權(quán)利要求1所述的映射系統(tǒng)�����,其特征在于所述映射系統(tǒng)還設(shè)有位于身份與位 置分離架構(gòu)網(wǎng)絡(luò)系統(tǒng)中的ID管理服務(wù)器���,用于可信任的第三方完成與主機之間的TSIG共 享密鑰的自動配置。
3.根據(jù)權(quán)利要求1所述的映射系統(tǒng)����,其特征在于所述映射系統(tǒng)中,DHT圓環(huán)內(nèi)部通信 采用DHT消息�,DHT圓環(huán)與外部通信采用標(biāo)準(zhǔn)DNS消息;每個DHT圓環(huán)都指定一個或多個服 務(wù)器作為入口服務(wù)器�,并將其入口服務(wù)器地址告知其父域的授權(quán)DNS服務(wù)器,入口服務(wù)器 負責(zé)完成其所在的DHT圓環(huán)與外部的消息交互����,其他服務(wù)器只是協(xié)作完成映射信息的更新 和查詢��;所述映射服務(wù)器中���,本地DNS服務(wù)器接收到主機的查詢ID的映射信息查詢請求后,向 授權(quán)DNS服務(wù)器查詢該ID所歸屬的域����,授權(quán)DNS服務(wù)器告訴本地DNS服務(wù)器其查詢的ID 所歸屬的DHT圓環(huán)的入口服務(wù)器地址,由該DHT入口服務(wù)器查詢得到該DHT圓環(huán)中存儲的 該ID的映射信息�;DHT圓環(huán)完成映射信息的更新是在DHT入口服務(wù)器接收到映射信息更新 請求后,根據(jù)DHT算法將更新的映射信息存儲于該DHT圓環(huán)中相應(yīng)的DHT服務(wù)器�����。
4.根據(jù)權(quán)利要求1所述的映射系統(tǒng)���,其特征在于所述映射系統(tǒng)包括下述設(shè)備主機�,作該映射系統(tǒng)的客戶端��,設(shè)有能夠收發(fā)消息的DNS解析器���,即存根解析器����,以存根解析器和本地DNS服務(wù)器結(jié)合的方式完成遞歸查詢和安全驗證;DNS服務(wù)器�����,是采用BIND (Berkeley Internet Name Domain)實現(xiàn)的DNS設(shè)備����,包括本 地DNS服務(wù)器和授權(quán)DNS服務(wù)器�;前者具有遞歸查詢功能,能夠配合主機共同完成映射信 息的遞歸查詢�����,為保證查詢安全�����,本地DNS服務(wù)器要配置DNS簽名DNSSEC���,且擁有根域授權(quán) DNS服務(wù)器的公鑰��;后者用于完成映射信息的層級管理�����,并配置DNSSEC來保證層級授權(quán)和 查詢過程的安全���;在底層授權(quán)DNS服務(wù)器的區(qū)文件中配置一個或多個DHT服務(wù)器地址��,以供 用戶選擇DHT服務(wù)器作為DHT圓環(huán)的入口進行查詢�;DHT服務(wù)器�,位于最底層的DHT圓環(huán),每個DHT服務(wù)器都設(shè)有一個包含該DHT圓環(huán)管理 的域�、域名與服務(wù)器自身地址的各種信息的配置文件,當(dāng)DHT服務(wù)器用作入口服務(wù)器時�,負 責(zé)完成所有的安全處理和與DHT圓環(huán)外部的通信,并與DHT其他服務(wù)器共同完成映射信息 的存儲����、更新和查詢。
5.根據(jù)權(quán)利要求4所述的DNS映射系統(tǒng)�,其特征在于所述DHT服務(wù)器設(shè)有順序連接 的存儲查詢模塊、消息轉(zhuǎn)換模塊和安全處理模塊����,各模塊功能為消息轉(zhuǎn)換模塊,用于接收與解析DNS更新請求或DNS查詢請求,以及配置映射信息請 求���,并重新構(gòu)造為對應(yīng)的DHT更新消息或DHT查詢消息���,再作相應(yīng)處理;解析DHT響應(yīng)消息���, 并重新構(gòu)造成DNS更新請求或查詢請求的響應(yīng)和配置映射信息請求響應(yīng);安全處理模塊�����,與消息轉(zhuǎn)換模塊交互�,用于完成下述各種功能為每個ID生成TSIG共 享密鑰、驗證更新消息����、為映射記錄生成數(shù)字簽名、配置公鑰與私鑰���、生成公鑰摘要和建立 與上層DNS的信任鏈���;存儲查詢模塊,與消息轉(zhuǎn)換模塊交互,用于完成映射信息與域名信息的分布式存儲和 查詢�����;根據(jù)key值的兩種類型��,存儲于DHT服務(wù)器的(key���,value)對的value值也包含對應(yīng) 的兩種信息當(dāng)key值是域名時��,value值是該DHT圓環(huán)的密鑰對信息��;當(dāng)key值是ID時�, value值是該ID對應(yīng)的映射信息�����、映射信息的數(shù)字簽名或TSIG共享密鑰����;根據(jù)DHT服務(wù)器 采用的不同DHT算法,存儲查詢模塊也采用不同的冗余存儲方式���。
6.一種采用權(quán)利要求1所述的映射系統(tǒng)實現(xiàn)DNS安全的方法�,其特征在于所述映射 系統(tǒng)在服務(wù)器端為主機提供映射信息的更新和查詢過程中,使用事務(wù)簽名TSIG和DNS簽名 DNSSEC來保證信息安全���,該方法包括下列操作步驟(1)主機注冊ID與配置TSIG共享密鑰后�,安全地更新映射信息每個主機在使用前必 須先注冊其ID���,由ID管理服務(wù)器作為可信任的第三方���,和DHT圓環(huán)共同完成主機ID的注冊 及其TSIG共享密鑰的自動分發(fā),從而完成映射信息更新過程之前TSIG共享密鑰的配置�,以 使主機能向DHT圓環(huán)發(fā)送采用該共享密鑰加密的更新消息,DHT圓環(huán)也使用該共享密鑰來 驗證更新消息����,確保更新源的可信任性與更新消息的正確性�;ID管理服務(wù)器和主機的安全 是使用數(shù)字簽名來驗證兩者之間的交互消息源和消息的正確性;(2)對DHT圓環(huán)和授權(quán)DNS服務(wù)器配置相關(guān)參數(shù)�,自下而上建立信任鏈后,提供映射信 息的安全查詢服務(wù)先在底層DHT圓環(huán)與上層授權(quán)DNS服務(wù)器之間建立信任鏈�����,DHT圓環(huán)為 自己所管理的域生成公鑰私鑰對�,并將自己的公鑰告訴父域的授權(quán)DNS服務(wù)器;再在上層 授權(quán)DNS服務(wù)器之間建立DNSSEC信任鏈,以保證該映射系統(tǒng)層級授權(quán)的安全�,本地DNS服 務(wù)器通過驗證響應(yīng)消息的數(shù)字簽名來保證響應(yīng)消息來源的正確性和響應(yīng)消息的完整性;(3)完成安全配置后���,映射系統(tǒng)進行映射信息的安全更新與查詢主機改變位置信息 時����,向所歸屬的DHT圓環(huán)發(fā)送更新映射信息請求���,在主機和DHT圓環(huán)之間執(zhí)行安全的更新過 程��;主機要和其他主機通信時�����,向本地DNS服務(wù)器發(fā)送查詢映射信息請求����,由本地DNS服務(wù) 器遞歸查詢授權(quán)DNS服務(wù)器和DHT圓環(huán)���,給主機返回查詢結(jié)果���。
7.根據(jù)權(quán)利要求6所述的方法����,其特征在于所述步驟(1)包括下列操作內(nèi)容(11)主機生成ID后��,向ID管理服務(wù)器發(fā)送包括該主機ID信息的注冊請求�;(12)ID管理服務(wù)器收到ID注冊請求后,先驗證該請求的來源及其正確性����,證實該請求 確實來自該ID對應(yīng)的主機后,ID管理服務(wù)器檢測該ID是否與已有ID沖突�,若沖突,則發(fā) 送消息提示主機重新生成ID ���;否則�,ID管理服務(wù)器將該ID存儲于ID數(shù)據(jù)庫�����,并向該ID所 歸屬域的DHT圓環(huán)的入口服務(wù)器發(fā)送配置映射信息請求���;(13)DHT服務(wù)器接收到配置映射信息請求后,由消息轉(zhuǎn)換模塊解析該接收到的配置映 射信息請求后�,將該請求中的ID參數(shù)傳遞給安全處理模塊��;(14)安全處理模塊為該請求中的ID生成TSIG共享密鑰�,并將其返回給消息轉(zhuǎn)換模塊��;(15)消息轉(zhuǎn)換模塊將該ID作為key值��、對應(yīng)的TSIG共享密鑰作為value值構(gòu)造一個 包含該(key�,value)對的DHT更新消息,再傳遞給存儲查詢模塊���;(16)存儲查詢模塊根據(jù)DHT算法和key值����,將該DHT更新消息路由到DHT圓環(huán)中相應(yīng) 的DHT服務(wù)器來存儲該(key����,value)對,若存儲成功�,則給消息轉(zhuǎn)換模塊返回DHT更新成功 響應(yīng);否則�,返回DHT更新失敗響應(yīng);(17)消息轉(zhuǎn)換模塊收到DHT更新響應(yīng)后�,進行解析,若是成功響應(yīng)����,則給ID管理服務(wù)器 返回包含該ID的TSIG共享密鑰的配置映射信息成功響應(yīng)�����;否則�,給ID管理服務(wù)器返回配 置映射信息失敗響應(yīng)����;(18)ID管理服務(wù)器接收到響應(yīng)消息,若配置成功�����,則將包括TSIG共享密鑰��、DHT圓環(huán)的 入口服務(wù)器地址的信息組成注冊請求成功響應(yīng)�,以安全方式發(fā)送到主機,主機對其驗證后�����, 獲得TSIG共享密鑰和DHT圓環(huán)的入口服務(wù)器地址����;若配置失敗,則給主機返回注冊請求失 敗響應(yīng)��,以使主機重新注冊����;主機和DHT圓環(huán)之間共享TSIG密鑰后,主機就能向DHT圓環(huán)發(fā) 送采用該共享密鑰加密的更新消息��,DHT圓環(huán)則使用TSIG共享密鑰來驗證更新消息�,確保 更新源的可信任性與更新消息的正確性。
8.根據(jù)權(quán)利要求6所述的方法��,其特征在于所述步驟(2)包括下列操作內(nèi)容(21)DHT入口服務(wù)器的安全處理模塊采用與DNS服務(wù)器生成密鑰對相同的算法�����,為其 所在的DHT圓環(huán)管理的域生成密鑰對�����,共生成兩個密鑰對密鑰簽名密鑰對KSK和區(qū)域簽名 密鑰對MK���,每個密鑰對都包含一個公鑰和一個私鑰��,后者用于計算映射記錄的簽名����,前者 用于計算對ZSK的簽名,以使其得到驗證���;(22)密鑰對生成后����,消息轉(zhuǎn)換模塊將域名作為key����、密鑰對作為value生成一個DHT更 新消息,再由存儲查詢模塊根據(jù)DHT算法將該(key�����,ValUe)對存儲于對應(yīng)的DHT服務(wù)器�;當(dāng) 管理員需要更換密鑰對,生成新的密鑰對后���,由存儲查詢模塊對該DHT圓環(huán)中存儲該密鑰 對的所有DHT服務(wù)器進行更新�����;DHT服務(wù)器在DHT圓環(huán)中查詢獲得最新密鑰對后使用該密 鑰��,因DHT圓環(huán)中冗余存儲數(shù)據(jù)���,故某個存儲密鑰對的DHT服務(wù)器退出該DHT圓環(huán),不會丟 失該密鑰對信息���;(23)安全處理模塊為密鑰對中的公鑰生成摘要��,再將公鑰摘要手工添加到上層授權(quán) DNS服務(wù)器的區(qū)文件中����,以使上層授權(quán)DNS服務(wù)器擁有DHT圓環(huán)的公鑰摘要����,能用自己的 ZSK私鑰對DHT圓環(huán)的公鑰摘要進行數(shù)字簽名,這樣��,只要信任父域授權(quán)DNS服務(wù)器�����,就信任 經(jīng)父域授權(quán)DNS服務(wù)器簽名的DHT圓環(huán)�,從而DHT圓環(huán)就和上層授權(quán)DNS服務(wù)器建立了信 任鏈;(24)在上層授權(quán)DNS服務(wù)器之間建立信任鏈子域授權(quán)DNS服務(wù)器先生成自己的密鑰 對,再將公鑰告知其父域授權(quán)DNS服務(wù)器���;以此類推���,直到授權(quán)DNS根服務(wù)器;當(dāng)授權(quán)DNS根 服務(wù)器生成密鑰對后���,要向所有本地DNS服務(wù)器發(fā)布自己的公鑰����,以使每個本地DNS服務(wù)器 都擁有DNS根服務(wù)器的公鑰�����。
9.根據(jù)權(quán)利要求6所述的方法�,其特征在于所述步驟(3)中,映射信息更新過程包括 下列操作內(nèi)容(31)主機的DNS解析器使用TSIG共享密鑰對DNS更新消息加密后��,將其發(fā)送給其歸屬的DHT圓環(huán)的入口服務(wù)器�����;(32)DHT服務(wù)器的消息轉(zhuǎn)換模塊接收到DNS更新請求后�����,解析其中的ID和Locator映 射信息,將ID作為key值構(gòu)成一個DHT查詢請求����,傳遞給存儲查詢模塊�����;(33)存儲查詢模塊通過DHT算法查詢DHT圓環(huán)存儲該ID的value值���,構(gòu)成一個DHT查 詢響應(yīng)并傳遞給消息轉(zhuǎn)換模塊�;(34)消息轉(zhuǎn)換模塊解析該DHT查詢響應(yīng)���,獲得vlaue值中的TSIG共享密鑰����,傳遞給安 全處理模塊���;(35)安全處理模塊使用該TSIG共享密鑰驗證該更新消息��,驗證通過后���,使用DHT圓環(huán) 的ZSK私鑰對該ID對應(yīng)的映射信息進行數(shù)字簽名��,然后將該ID的映射信息�、對映射信息的 數(shù)字簽名和TSIG共享密鑰一起傳遞給消息轉(zhuǎn)換模塊�����;(36)消息轉(zhuǎn)換模塊將該ID作為key����,該ID的映射信息、對映射信息的數(shù)字簽名和TSIG 共享密鑰一起作為value�,組成(key,value)對構(gòu)造一個DHT更新消息傳遞給存儲查詢模 塊���;(37)存儲查詢模塊使用DHT算法將DHT更新消息路由到DHT圓環(huán)存儲該映射信息的相 應(yīng)DHT服務(wù)器����,并更新該ID的value����,然后根據(jù)更新結(jié)果,給消息轉(zhuǎn)換模塊返回DHT更新響 應(yīng)���;(38)消息轉(zhuǎn)換模塊根據(jù)DHT更新響應(yīng)的不同結(jié)果�,構(gòu)造相應(yīng)的DNS更新響應(yīng)發(fā)送給主 機端。
10.根據(jù)權(quán)利要求6所述的方法����,其特征在于所述步驟(3)中,映射信息查詢過程包 括下列操作內(nèi)容(3A)主機的DNS解析器向本地DNS服務(wù)器發(fā)起DNS查詢消息�; (3B)本地DNS服務(wù)器向授權(quán)DNS服務(wù)器發(fā)起DNS查詢消息;(3C)經(jīng)過遞歸查詢后���,授權(quán)DNS服務(wù)器給本地DNS服務(wù)器返回DNS查詢響應(yīng),其中包括 請求查詢的映射信息所歸屬DHT圓環(huán)的DHT入口服務(wù)器地址和該DHT圓環(huán)的公鑰�;(3D)本地DNS服務(wù)器根據(jù)接收到的DNS查詢響應(yīng),向DHT服務(wù)器發(fā)送DNS查詢消息�����; (3E)該DHT服務(wù)器的消息轉(zhuǎn)換模塊接收和解析DNS查詢消息�,獲得ID后,將該查詢消 息中的ID作為key值�����,構(gòu)成DHT查詢請求傳遞給存儲查詢模塊�����;(3F)存儲查詢模塊根據(jù)DHT查詢請求中的ID,使用DHT算法查詢DHT圓環(huán)是否存儲有 該ID的value值��,如果有��,則給消息轉(zhuǎn)換模塊返回包含該value值的DHT查詢響應(yīng)���;如果 無����,則給消息轉(zhuǎn)換模塊返回空響應(yīng)����;(3G)消息轉(zhuǎn)換模塊接收和解析DHT查詢響應(yīng),若響應(yīng)不為空�,則將value中的ID映射 信息與該映射信息的數(shù)字簽名信息構(gòu)造一個DNS查詢響應(yīng),發(fā)送給本地DNS服務(wù)器��;否則��, 由安全處理模塊生成一個表示不存在該映射信息的特殊記錄����,并使用ZSK私鑰進行數(shù)字簽 名后�,將該特殊記錄和數(shù)字簽名構(gòu)造為DNS響應(yīng)發(fā)送給本地DNS服務(wù)器�;(3H)本地DNS服務(wù)器使用DHT圓環(huán)的公鑰驗證該響應(yīng)消息,確認無誤后發(fā)送給主機的 DNS解析器�����。
全文摘要
一種經(jīng)過DHT擴展的DNS映射系統(tǒng)及其實現(xiàn)DNS安全的方法��,映射系統(tǒng)包括具有DNS解析器的主機�、本地與授權(quán)的DNS服務(wù)器、DHT圓環(huán)中的DHT服務(wù)器���,作為映射服務(wù)器的DNS服務(wù)器和DHT服務(wù)器共同管理身份到位置的映射信息�����,并為主機查詢映射信息。系統(tǒng)綜合了DNS和DHT兩者優(yōu)點�����,既吸收DNS樹形結(jié)構(gòu)�,支持映射信息的層次化查詢,具備合理的商業(yè)和信任模型�����;也繼承DHT冗余備份、健壯性強等優(yōu)點����,該系統(tǒng)基于現(xiàn)有DNS映射系統(tǒng)的改進就能實現(xiàn),減少網(wǎng)絡(luò)構(gòu)建的大量財力與人力����。本發(fā)明在DHT圓環(huán)和上層DNS服務(wù)器之間建立完整的信任鏈,利用位于身份與位置分離架構(gòu)的ID管理服務(wù)器自動分發(fā)TSIG密鑰���,保證DNS原有的DNSSEC和TSIG安全機制仍能在經(jīng)過DHT擴展的DNS映射系統(tǒng)中完整地實現(xiàn)���。
文檔編號H04L29/06GK102045413SQ20111002601
公開日2011年5月4日 申請日期2011年1月24日 優(yōu)先權(quán)日2011年1月24日
發(fā)明者盧美蓮, 張晶晶, 張愛華, 王文東, 闕喜戎, 龔向陽 申請人:北京郵電大學(xué)