鑰綁定表。
[0026]3)用戶用DNS服務(wù)器的公鑰加密自己的對稱密鑰�,發(fā)給DNS服務(wù)器。這個消息只能用DNS服務(wù)器的私鑰解密�,因此只有DNS服務(wù)器可以得到這個對稱密鑰。
[0027]4)DNS服務(wù)器用自己唯一的私鑰解密用戶發(fā)送的加密消息��,得到用戶的對稱密鑰�����。這樣DNS服務(wù)器可以和每一個用戶共享唯一的對稱密鑰�。DNS服務(wù)器上要維護一個用戶IP地址/對稱密鑰綁定表以區(qū)分不同用戶的密鑰。
[0028]5)DNS服務(wù)器發(fā)送消息確認得到對稱�����,同意加密DNS消息���。
[0029]6)用戶使用對稱密鑰加密發(fā)送的DNS請求消息內(nèi)容�����,和解密DNS服務(wù)器發(fā)送的DNS回復(fù)消息內(nèi)容����。
[0030]7) DNS服務(wù)器使用對稱密鑰加密發(fā)送的DNS回復(fù)消息內(nèi)容,和解密用戶發(fā)送的DNS請求消息內(nèi)容��。
[0031]與現(xiàn)有技術(shù)相比�,本發(fā)明的有益效果是:
[0032]相對于現(xiàn)有的TLS加密技術(shù),本發(fā)明省去了密鑰信息交換的復(fù)雜過程�����。本發(fā)明將DNS服務(wù)器的公鑰當(dāng)作配置參數(shù)儲存于DHCP服務(wù)器中進行集中管理��。DNS公鑰可以跟其它配置參數(shù)一樣由DHCP服務(wù)器進行下發(fā)����。同時由于DHCP服務(wù)器同時具有配置DNS服務(wù)器地址的功能��,可以在為用戶配置DNS服務(wù)地址的同時����,配置DNS服務(wù)器對應(yīng)的公鑰。這樣避免了多余的請求過程��。
[0033]DHCP協(xié)議支持配置參數(shù)的自動下發(fā)�����,和配置參數(shù)的主動請求,這樣就可以實現(xiàn)DNS公鑰的不同配置方式��。這都是利用已有的DHCP消息����,而沒有定義新的公鑰配置消息。
[0034]由于動態(tài)地址配置中的DHCP服務(wù)器和DNS服務(wù)器一般是由用戶所在網(wǎng)絡(luò)的ISP管理的��,所以可以將DNS的消息加密作為ISP的增值業(yè)務(wù)����。DNS的公鑰也可由ISP進行集中管理,根據(jù)用戶需要進行DNS公鑰的配置�����。
【附圖說明】
[0035]圖1是DHCP/DHCPv6場景下的加密流程示意圖�。
【具體實施方式】
[0036]下面結(jié)合附圖和實施例詳細說明本發(fā)明的實施方式。
[0037]在圖1所示的DHCP/DHCPv6場景中���,加密流程包括如下步驟:
[0038]1.管理員為本地DNS服務(wù)器配置唯一的一對公鑰和私鑰���,分別為Pu和Pr�����。管理員在DHCP服務(wù)器上配置好DNS服務(wù)器的公鑰Pu�。DNS服務(wù)器的私鑰Pr由DNS服務(wù)器自己保管���。DHCP服務(wù)器將DNS服務(wù)器的IP地址和公鑰Pu存入自己維護的綁定表中���。
[0039]2.DHCP服務(wù)器將DNS服務(wù)器的IP地址和DNS服務(wù)器對應(yīng)的公鑰Pu通過DHCP消息發(fā)送給用戶。
[0040]3.用戶在收到DHCP服務(wù)器分配的DNS服務(wù)器IP地址和DNS服務(wù)器公鑰����,并生成唯一的對稱密鑰Ks�,在用戶主機上建立DNS服務(wù)器IP地址/DNS服務(wù)器公鑰/對稱密鑰綁定表。
[0041]4.用戶用DNS服務(wù)器公鑰Pu加密Ks�����,發(fā)給DNS服務(wù)器���。
[0042]5.DNS服務(wù)器收到加密后的對稱密鑰��,用自己的私鑰Pr解密�,得到對稱密鑰Ks,并建立用戶IP地址/用戶對稱密鑰綁定表���。
[0043]6.DNS服務(wù)器發(fā)送消息確認得到Ks�,同意加密DNS消息��。
[0044]7.用戶用Ks加密DNS Request的消息內(nèi)容����,DNS服務(wù)器收到后用Ks解密。
[0045]8.DNS服務(wù)器用Ks加密DNS Response的消息內(nèi)容�,用戶收到后用Ks解密。
【主權(quán)項】
1.基于DHCP的DNS服務(wù)器公鑰分發(fā)機制����,其特征在于,包括: ISP為每一個DNS服務(wù)器配置唯一的公鑰和私鑰��,私鑰由各個DNS服務(wù)器自己保管����,公鑰均存放于DHCP服務(wù)器上; DHCP服務(wù)器通過將包含DNS服務(wù)器公鑰的公鑰選項加在DHCP消息中發(fā)給用戶����,為用戶配置DNS服務(wù)器的公鑰�。2.根據(jù)權(quán)利要求1所述基于DHCP的DNS服務(wù)器公鑰分發(fā)機制�,其特征在于,DHCP服務(wù)器中維護著一個DNS服務(wù)器IP地址/DNS服務(wù)器公鑰的綁定表����,在DHCP服務(wù)器為用戶配置IP地址時將與DNS服務(wù)器IP地址綁定的公鑰同時發(fā)給用戶,或者��,在用戶請求DNS服務(wù)器配置參數(shù)時���,DHCP服務(wù)器將與DNS服務(wù)器IP地址綁定的公鑰發(fā)給用戶�。3.根據(jù)權(quán)利要求2所述基于DHCP的DNS服務(wù)器公鑰分發(fā)機制�,其特征在于,用戶主機上維護著DNS服務(wù)器IP地址/DNS服務(wù)器公鑰/用于加密DNS消息的密鑰的綁定表��,用于區(qū)別不同DNS服務(wù)器的公鑰�,以及向不同DNS服務(wù)器發(fā)送DNS消息時使用的加密密鑰�����。4.根據(jù)權(quán)利要求2所述基于DHCP的DNS服務(wù)器公鑰分發(fā)機制����,其特征在于�����,DHCP場景下�,DHCP服務(wù)器在為用戶配置DNS服務(wù)器地址時���,如果要為用戶提供DNS消息的加密服務(wù)��,則將包含DNS服務(wù)器公鑰的選項加在DHCPACK消息中���,且選項中的公鑰要與Domain NameServer Opt1n選項中的DNS服務(wù)器IP地址相對應(yīng)。5.根據(jù)權(quán)利要求2所述基于DHCP的DNS服務(wù)器公鑰分發(fā)機制���,其特征在于�,DHCPv6場景下���,DHCPv6服務(wù)器在為用戶配置DNS服務(wù)器地址時�,如果要為用戶提供DNS消息的加密服務(wù)�����,則將包含DNS服務(wù)器公鑰的選項加在DHCPREPLY消息中且選項中的公鑰要與DNSRecursive Name Server opt1n選項中的DNS服務(wù)器IP地址相對應(yīng)。6.根據(jù)權(quán)利要求5所述基于DHCP的DNS服務(wù)器公鑰分發(fā)機制��,其特征在于�,DHCPv6服務(wù)器通過REC0NFI⑶RE消息通知用戶DHCPV6服務(wù)器有新的配置參數(shù),觸發(fā)用戶發(fā)送RENEW或INF0RMAT10N-RQUEST消息更新配置參數(shù)�。7.根據(jù)權(quán)利要求6所述基于DHCP的DNS服務(wù)器公鑰分發(fā)機制,其特征在于�����,所述DNS服務(wù)器的公鑰和私鑰設(shè)定有效期��,當(dāng)DNS服務(wù)器的公鑰和私鑰更新時�,DHCPv6服務(wù)器發(fā)送REC0NFI⑶RE消息通知用戶,為用戶配置新的DNS服務(wù)器公鑰�����。
【專利摘要】本發(fā)明是一種基于DHCP服務(wù)的DNS服務(wù)器公鑰分發(fā)機制��,包括公鑰的發(fā)送方式以及公鑰的存儲方式���,本發(fā)明可用于解決DNS消息加密過程中密鑰分發(fā)的問題,本發(fā)明提出的公鑰分發(fā)技術(shù)可將DNS服務(wù)器的公鑰裝進DHCP消息的選項中�����,通過DHCP服務(wù)進行分發(fā),公鑰可以是在DHCP為用戶配置IP地址時發(fā)給用戶��,也可以是在用戶請求DNS服務(wù)器配置參數(shù)時��,發(fā)送給用戶�;本方法適用于DHCP和DHCPv6場景。
【IPC分類】H04L29/12, H04L29/06
【公開號】CN104935585
【申請?zhí)枴緾N201510296631
【發(fā)明人】崔勇, 李天翔, 劉聰
【申請人】清華大學(xué)
【公開日】2015年9月23日
【申請日】2015年6月2日