[发明专利]一种DNS动态更新的方法、装置和系统

说明书

技术领域

本发明涉及通信网络领域的网络安全技术，尤其涉及一种DNS动态更新的方法、装置和系统。

背景技术

在Internet中，通常将IP地址作为主机的网络层标识。然而IP地址只是一串数字，为了便于记忆，于是产生了主机名。在通信过程中，又需要使用通信实体的IP地址，因此需要能够将主机名翻译成相应的IP地址。最初的主机名与IP地址映射是保存在网络接口卡(Network Interface Card，NIC)的hosts.txt文件中的，当时因为主机数量少，这个文件也不经常变化，因此其它主机几天一次从NIC的主机上下载这个文件进行主机名和IP地址映射就可以了。但随着网络规模的扩展和主机数量的增多，频繁的下载请求对NIC的主机造成巨大的压力，同时也影响了服务质量。许多局域网用户希望自己管理自己的主机名，而不希望等NIC许多天把自己的主机名加在hosts.txt文件中，有些组织也希望有自己的名字空间配置。最终决定使用层次式的名字空间组织方案，即域名系统(Domain Name System，DNS)。DNS是一个大型的分布式数据库系统，它所执行的基本功能是网络资源名称(从最早简单网络上的每个主机名到后来的域名、邮件地址等)与IP地址之间的翻译。DNS数据库系统中的记录被称为资源记录(Resource Record，RR)，具有相同的Label、Class、Type，但Data不同的一组资源记录称为资源记录集(RRSet)。

自治性与开放性是DNS设计的主要原则，在DNS的设计之初并没考虑其安全问题。比如攻击者在DNS中将某合法网站的IP地址篡改为假冒、恶意网站的IP地址，如果一个普通用户打算访问这一网站，但没有该网站的IP地址时，首先要发起DNS查询，这样该用户的网络流量就会被引到一个恶意的网站，并且很有可能泄漏该用户的保密信息。为了解决DNS相关的安全问题，域名系统安全扩展(DNS Security Extension，DNSSEC)提出了一系列措施，其主要思想是通过公钥签名技术对DNS中的信息进行签名，对DNS信息进行数据源认证和完整性检查。通过获取验证签名的公钥，域名解析器可以通过对签名的验证来判断获得的资源记录的真实性和完整性。

为了更好的适应互联网的发展，国际网络标准组织IETF提出了新的IP版本IPv6，IPv6协议提供了巨大的地址空间，这成为推广IPv6的最大动力。互联网上的许多应用大都离不开域名系统(DNS)的支持，IPv6网络中的DNS非常重要，一些IPv6的新特性和DNS的支持密不可分。IPv6支持地址自动配置，这是一种即插即用的机制，即在没有任何手工干预的情况下，IPv6网络接口可以获得链路局部地址、站点局部地址和全局地址等，并且可以防止出现地址重复的冲突。IPv6支持无状态地址自动配置和有状态地址自动配置两种方式，DHCP是一种有状态自动配置的机制，RFC2462中描述了IPV6的无状态自动配置。对于IPv6地址进行无状态自动配置的节点首先确定自己的链路本地地址；然后验证该链路本地地址在链路上的唯一性；最后确定需要配置的IPv6地址等信息。根据IPV6中的定义，状态自动配置和无状态自动配置可以共存并可一起操作。密码学生成地址(Cryptographically Generated Addresses，CGA)是IPv6地址无状态自动配置生成接口标识的一种机制，它主要是为了防止IP地址的盗用和欺骗，增强了IPv6地址的安全性。CGA的基本思想是通过计算公开密钥的散列值来得到IPv6地址的接口标识符。相应的私钥可以对从这个地址发送的报文进行数字签名。为了验证IP地址和公开密钥之间的关联，验证器需要知道IP地址本身，公开密钥和辅助参数的值。验证器可以继续验证公开密钥所有者签名的报文。因为CGA机制本身没有被公共的可信第三方认证，所以攻击者可以用任意的子网前缀和他自己的公开密钥生成新的CGA。但攻击者不能使用其他人的CGA发送签名的报文并通过验证，除非可以获得他人的私钥。

对于网络中的服务器，用户可以通过固定的域名来访问它，而不必关心它的IP地址是否变化，也不必记住它冗长难记的128位IPv6地址。这就要建立起域名和IP地址之间的对应关系。当用户与服务器通信时，可以由域名获得对应的IPv6地址。