CN101277257B - 一种dns动态更新的方法、装置和系统 - Google Patents
一种dns动态更新的方法、装置和系统 Download PDFInfo
- Publication number
- CN101277257B CN101277257B CN2007100736693A CN200710073669A CN101277257B CN 101277257 B CN101277257 B CN 101277257B CN 2007100736693 A CN2007100736693 A CN 2007100736693A CN 200710073669 A CN200710073669 A CN 200710073669A CN 101277257 B CN101277257 B CN 101277257B
- Authority
- CN
- China
- Prior art keywords
- dns
- address
- client
- request message
- dynamically
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5076—Update or notification mechanisms, e.g. DynDNS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术,公开了一种DNS动态更新的方法、装置和系统。所述方法包括:DNS客户端根据特定规则生成IP地址;DNS客户端根据所述IP地址生成DNS动态更新请求消息,并向DNS服务器发送所述DNS动态更新请求消息,携带所述IP地址;DNS服务器收到所述DNS动态更新请求消息后,根据与所述DNS客户端相同的规则生成第二IP地址,若所述IP地址等于所述第二IP地址,完成地址验证;DNS服务器更新DNS资源记录。本发明支持IP地址的无状态配置功能,通过关联DNS客户端公钥、域名和IP地址等信息,利用所生成的IP地址和相应的公钥保护DNS的动态更新,增强了动态更新的安全性。
Description
技术领域
本发明涉及通信网络领域的网络安全技术,尤其涉及一种DNS动态更新的方法、装置和系统。
背景技术
在Internet中,通常将IP地址作为主机的网络层标识。然而IP地址只是一串数字,为了便于记忆,于是产生了主机名。在通信过程中,又需要使用通信实体的IP地址,因此需要能够将主机名翻译成相应的IP地址。最初的主机名与IP地址映射是保存在网络接口卡(Network Interface Card,NIC)的hosts.txt文件中的,当时因为主机数量少,这个文件也不经常变化,因此其它主机几天一次从NIC的主机上下载这个文件进行主机名和IP地址映射就可以了。但随着网络规模的扩展和主机数量的增多,频繁的下载请求对NIC的主机造成巨大的压力,同时也影响了服务质量。许多局域网用户希望自己管理自己的主机名,而不希望等NIC许多天把自己的主机名加在hosts.txt文件中,有些组织也希望有自己的名字空间配置。最终决定使用层次式的名字空间组织方案,即域名系统(Domain Name System,DNS)。DNS是一个大型的分布式数据库系统,它所执行的基本功能是网络资源名称(从最早简单网络上的每个主机名到后来的域名、邮件地址等)与IP地址之间的翻译。DNS数据库系统中的记录被称为资源记录(Resource Record,RR),具有相同的Label、Class、Type,但Data不同的一组资源记录称为资源记录集(RRSet)。
自治性与开放性是DNS设计的主要原则,在DNS的设计之初并没考虑其安全问题。比如攻击者在DNS中将某合法网站的IP地址篡改为假冒、恶意网站的IP地址,如果一个普通用户打算访问这一网站,但没有该网站的IP地址时,首先要发起DNS查询,这样该用户的网络流量就会被引到一个恶意的网站,并且很有可能泄漏该用户的保密信息。为了解决DNS相关的安全问题,域名系统安全扩展(DNS Security Extension,DNSSEC)提出了一系列措施,其主要思想是通过公钥签名技术对DNS中的信息进行签名,对DNS信息进行数据源认证和完整性检查。通过获取验证签名的公钥,域名解析器可以通过对签名的验证来判断获得的资源记录的真实性和完整性。
为了更好的适应互联网的发展,国际网络标准组织IETF提出了新的IP版本IPv6,IPv6协议提供了巨大的地址空间,这成为推广IPv6的最大动力。互联网上的许多应用大都离不开域名系统(DNS)的支持,IPv6网络中的DNS非常重要,一些IPv6的新特性和DNS的支持密不可分。IPv6支持地址自动配置,这是一种即插即用的机制,即在没有任何手工干预的情况下,IPv6网络接口可以获得链路局部地址、站点局部地址和全局地址等,并且可以防止出现地址重复的冲突。IPv6支持无状态地址自动配置和有状态地址自动配置两种方式,DHCP是一种有状态自动配置的机制,RFC2462中描述了IPV6的无状态自动配置。对于IPv6地址进行无状态自动配置的节点首先确定自己的链路本地地址;然后验证该链路本地地址在链路上的唯一性;最后确定需要配置的IPv6地址等信息。根据IPV6中的定义,状态自动配置和无状态自动配置可以共存并可一起操作。密码学生成地址(Cryptographically Generated Addresses,CGA)是IPv6地址无状态自动配置生成接口标识的一种机制,它主要是为了防止IP地址的盗用和欺骗,增强了IPv6地址的安全性。CGA的基本思想是通过计算公开密钥的散列值来得到IPv6地址的接口标识符。相应的私钥可以对从这个地址发送的报文进行数字签名。为了验证IP地址和公开密钥之间的关联,验证器需要知道IP地址本身,公开密钥和辅助参数的值。验证器可以继续验证公开密钥所有者签名的报文。因为CGA机制本身没有被公共的可信第三方认证,所以攻击者可以用任意的子网前缀和他自己的公开密钥生成新的CGA。但攻击者不能使用其他人的CGA发送签名的报文并通过验证,除非可以获得他人的私钥。
对于网络中的服务器,用户可以通过固定的域名来访问它,而不必关心它的IP地址是否变化,也不必记住它冗长难记的128位IPv6地址。这就要建立起域名和IP地址之间的对应关系。当用户与服务器通信时,可以由域名获得对应的IPv6地址。
在IP地址改变时要能及时、自动地修改域名与IP地址的对应关系,这就是DNS动态更新。具体来说,当由于网络拓扑发生变化等原因导致IP地址改变后,DNS客户端能够自动向DNS服务器发出更新IP地址的请求,后者响应此请求,对DNS数据库中的资源记录进行更新,则以后用户通过域名访问该客户端依然可以到达,即根据域名可以查询得到该节点的新IP地址。为了保证网络安全,只有认证过的客户端才可以注册/更新DNS服务器上的入口信息,以阻止攻击者篡改合法的DNS记录条目。
发明内容
本发明实施例提供了一种DNS动态更新的方法、装置和系统。能够支持地址的无状态自动配置,根据通信实体的域名等信息自动生成其IP地址,并将相应的域名、公钥和IP地址等信息关联起来,实现了IPv6环境下更为安全的DNS动态更新。
所述DNS动态更新的方法的实施例包括以下步骤:
DNS客户端根据特定规则生成IP地址;
DNS客户端根据所述IP地址生成DNS动态更新请求消息,并向DNS服务器发送所述DNS动态更新请求消息,携带所述IP地址;
DNS服务器收到所述DNS动态更新请求消息后,根据与所述DNS客户端相同的规则生成第二IP地址,若所述IP地址等于所述第二IP地址,完成地址验证;
DNS服务器更新DNS资源记录。
其中,所述DNS客户端根据特定规则生成IP地址具体是指DNS客户端根据自身的域名、子网前缀、公钥和冲突计数依照密码学方法生成所述IP地址;
所述DNS服务器根据与所述DNS客户端相同的规则生成第二IP地址具体是指所述DNS服务器根据DNS客户端的域名、子网前缀、公钥和冲突计数依照密码学方法生成所述第二IP地址。
其中,在生成所述IP地址或者所述第二IP地址之前,将所述冲突计数清零。
其中,在所述DNS客户端生成所述IP地址后,所述方法还包括进行地址重复检测的步骤,如果发生地址冲突,则冲突计数加1,DNS客户端重新生成IP地址;
当冲突计数超过一定阈值时,修改该DNS客户端所使用的域名或者注册公钥,将所述冲突计数清零,DNS客户端重新生成IP地址。
其中,在所述DNS客户端生成DNS动态更新请求消息后,向DNS服务器发送所述DNS动态更新请求消息前,所述方法还包括DNS客户端用自身对应的私钥对所述DNS动态更新请求消息进行签名,生成签名资源记录的步骤。
其中,在所述DNS服务器更新DNS资源记录之前,所述方法还包括DNS服务器对所述DNS客户端进行权限验证的步骤:若DNS服务器确定所述DNS客户端请求更新的IP地址为依照密码学方法生成的IP地址,则该DNS客户端具有请求更新的权限。
其中,所述完成地址验证后更新DNS资源记录前还包括签名验证的步骤:
所述DNS服务器根据所述DNS客户端的公钥验证所述DNS动态更新请求消息中的签名资源记录;
所述DNS服务器更新DNS资源记录后还包括DNS服务器向DNS客户端发送更新相应消息的步骤。
本发明实施例公开的DNS客户端包括:
地址生成单元,用于根据所述DNS客户端的信息根据密码学方法动态生成IP地址;
请求消息生成单元,用于根据所述IP地址生成DNS动态更新请求消息;
签名单元,用于根据DNS客户端自身的私钥对所述DNS动态更新请求消息进行签名,并生成签名资源记录。
其中,所述DNS客户端还包括:
资源记录生成单元,用于生成DNS客户端的公钥资源记录,所述公钥资源记录用于对该DNS客户端进行签名验证;
发送单元,用于发送所述经过签名的DNS动态更新请求消息。
其中,所述DNS客户端的信息包括DNS客户端自身的域名、子网前缀、公钥和冲突计数。
本发明实施例公开的DNS系统包括:
DNS客户端,用于在网络拓扑发生变化时根据特定规则动态生成IP地址;根据所述IP地址生成DNS动态更新请求消息;利用自身私钥对该DNS动态更新请求消息进行签名;并将生成的签名资源记录添加到所述DNS动态更新请求消息中;
DNS服务器,用于接收所述DNS客户端发送的DNS动态更新请求消息;根据所述DNS动态更新请求消息对所述DNS客户端进行权限验证;对所述DNS动态更新请求消息进行地址验证和签名验证;根据所述DNS动态更新请求消息更新DNS资源记录。
其中,所述DNS客户端进一步用于生成公钥资源记录,在第一次向所述DNS服务器发送DNS动态更新请求消息的时候,携带所述公钥资源;
所述DNS服务器进一步用于在更新DNS资源记录后,向所述DNS客户端发送更新响应消息。
本发明实施例还公开了一种DNS服务器,其特征在于,包括:
接收单元,用于接收DNS客户端发送的DNS动态更新请求消息;
解析单元,用于解析所述DNS动态更新请求消息,获取所述DNS客户端的信息和IP地址;
地址生成单元,用于根据解析单元获得的所述DNS客户端的信息,依照与DNS客户端同样的规则生成第二IP地址;
地址验证单元,用于通过判断所述IP地址和第二IP地址是否相同,对所述DNS客户端进行地址验证;
签名验证单元,用于根据所述DNS客户端的公钥验证所述DNS动态更新请求消息中的签名资源记录;
权限验证单元,用于根据解析单元获得的DNS客户端的信息判断所述DNS客户端是否有请求DNS动态更新的权限,如果该DNS客户端有请求DNS动态更新的权限,则将所述DNS客户端的信息发送给所述地址生成单元;
存储单元,用于存储DNS资源记录;在进行DNS动态更新时,首先查找存储单元,如果有与所述DNS客户端的域名对应的资源记录,则修改该资源记录,如果没有与所述DNS客户端的域名对应的DNS资源记录,则创建一条新的DNS资源记录;
发送单元,用于向所述DNS客户端发送更新响应消息,通知更新已经完成。
本发明实施例支持IP地址的无状态配置功能,通过关联DNS客户端公钥、域名和IP地址等信息,利用所生成的IP地址和相应的公钥保护DNS的动态更新,增强了DNS动态更新的安全性。
附图说明
图1为本发明实施例所述DNS动态更新的系统结构图;
图2为本发明实施例所述DNS动态更新的方法流程图;
图3为本发明实施例中DNS客户端动态生成IP地址的流程图;
图4为本发明实施例中DNS客户端的结构示意图;
图5为本发明实施例中DNS服务器的结构示意图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,但不应当看作是对本发明的限制。
本发明实施例1公开了一种DNS动态更新的方法。在图1所示的系统中,当网络拓扑结构发生变化时,DNS客户端将根据自身的一些信息动态生成新的IP地址,为了保证在DNS服务器上能够通过该DNS客户端的域名查找到该DNS客户端的IP地址,该DNS客户端向DNS服务器发起了DNS更新请求消息,DNS服务器收到该更新请求消息后,经过验证,在DNS服务器上的资源记录RR中更新该DNS客户端的域名对应的IP地址为新生成的IP地址。
图2是本发明实施例所述方法的详细流程图。应当明确的是,本实施例所述的更新方式不仅适用于在网络拓扑结构发生变化时对DNS服务器上原有的DNS资源记录的更新,也适用于在DNS服务器上进行DNS注册,创建一条新的DNS资源记录的情况。
步骤201、DNS客户端根据自身的信息依照密码学方法动态生成新的IP地址。
具体来说,DNS客户端根据自身的域名(Domain Name)、子网前缀(SubnetPrefix)、公钥(Public Key)和冲突计数(Collision Count)等信息依照密码学方法动态生成IP地址。图3是本发明实施例中DNS客户端动态生成IP地址的流程图。
步骤301、在计算IP地址之前,先将冲突计数清零;
步骤302、根据密码学方法生成接口标识符;具体计算公式可以是:
Interface ID=First(N,PRF(Domain Name|Expression)),其中,Expression(表达式)是由与DNS客户端相关的信息组合而成,这些信息包括子网前缀、公钥、冲突计数等,此外,Expression也可以为空。PRF(Expression)表示对Expression进行伪随机处理的函数,可以是SHA-1、SHA-256、CBC-DES、CBC-AES等函数,或RFC3972所提出的生成密码学生成地址CGA的处理方法。
步骤303、连接子网前缀与接口标识符形成IP地址。在本实施例中具体可以是IP Address=Subnet Prefix|Interface ID,“|”表示将前后两者直接连接起来。
步骤304、DNS客户端生成IP地址以后,先进行IP地址重复性检测,如果发生地址冲突,执行步骤305;如果没有发生地址冲突,执行步骤306。
步骤305、将冲突计数加1后,重新执行步骤302,计算IP地址。
步骤306、DNS客户端准备向DNS服务器发送更新请求消息。
在上述过程中,如果连续几次计算的IP地址都发生了地址冲突,导致冲突计数大于3,并且是DNS服务器第一次使用所选域名进行注册的话,则修改所使用的注册公钥或者域名。
步骤202、DNS客户端在生成IP地址后,生成DNS动态更新请求消息,并对其进行签名。
DNS客户端按照密码学方法生成IP地址后,生成公钥资源记录(KEYRR),然后生成DNS动态更新请求消息,其消息格式如下:
消息头(Header) |
区域(zone) |
先决条件(Prerequisite) |
更新(Update) |
附加数据(Additional Data) |
该消息中,zone表示要更新的区域;Prerequisite表示进行动态更新必须满足的前提条件,可以是RRs必须存在/不存在或者RRSets必须存在/不存在;Update表示需要更新的RR或者RRSets;Additional Data包括与更新相关的记录,或者与本次动态更新操作的新记录相关的记录。
DNS客户端在生成上述DNS动态更新请求消息后,使用自身相应的私钥对整个DNS更新请求消息进行签名生成签名资源记录(SIG RR)并附在附加数据段的最后。如果该DNS客户端是第一次使用DNS域名进行更新注册,需要在附加数据段添加所生成的公钥资源记录,用来将公钥通知给DNS服务器。
步骤203、DNS客户端向DNS服务器发送所述签名后的DNS动态更新请求消息,并携带生成的IP地址。IP地址和DNS服务器的域名等信息共同组成一个资源记录,被添加到DNS动态更新请求消息的Update字段。
步骤204、DNS服务器接收所述签名后的DNS动态更新请求消息并进行解析。解析的目的,是获得该DNS客户端的域名、子网掩码等信息和IP地址。
步骤205、DNS服务器根据解析结果判断该DNS客户端是否有更新请求权限,本实施例中,DNS服务器判断该DNS动态更新请求消息中携带的IP地址是否是根据密码学方法生成的,如果是,执行步骤206,如果否,DNS服务器拒绝该更新请求。
步骤206、DNS服务器依照与DNS客户端同样的规则,利用同样的信息生成IP地址。
具体说,就是指DNS服务器根据DNS客户端的域名、子网前缀、公钥和冲突计数等信息依照密码学方法动态生成IP地址。
步骤207、DNS服务器判断自己在步骤206中生成的IP地址与DNS客户端发送的DNS动态更新请求中携带的IP地址是否相同,如果相同,执行步骤208,如果不相同,DNS服务器拒绝该更新请求。
步骤208、DNS服务器用公钥验证所述DNS动态更新请求消息中的签名,如果验证通过,执行步骤209,否则,DNS服务器拒绝该更新请求。
步骤209、DNS服务器完成DNS客户端所请求的更新,即更新DNS资源记录,并向DNS客户端发送更新响应消息。
本发明实施例还公开了一种DNS动态更新的系统,如图1所示,该系统包括DNS客户端和DNS服务器。其中,所述DNS客户端用于在网络拓扑发生变化时根据特定规则动态生成IP地址;根据所述IP地址生成DNS动态更新请求消息;利用自身私钥对该DNS动态更新请求消息进行签名,生成签名资源记录;并将生成的签名资源记录添加到所述DNS动态更新请求消息中。所述DNS客户端进一步用于生成公钥资源记录,在第一次向所述DNS服务器发送DNS动态更新请求消息的时候,携带所述公钥资源。所述DNS服务器用于接收所述DNS客户端发送的DNS动态更新请求消息;根据所述DNS动态更新请求消息对所述DNS客户端进行权限验证;对所述DNS动态更新请求消息进行地址验证和签名验证;根据所述DNS动态更新请求消息更新DNS资源记录。所述DNS服务器进一步用于在更新DNS资源记录后,向所述DNS客户端发送更新响应消息。
本发明实施例还公开了一种DNS客户端,如图4所示,为本发明实施例所述DNS客户端的结构示意图。该DNS客户端包括地址生成单元,请求消息生成单元,签名单元,资源记录生成单元和发送单元。其中,地址生成单元用于在网络拓扑结构发生变化时,根据DNS客户端的自身的信息、采用密码学方法动态生成IP地址,具体算法见方法部分。请求消息生成单元,用于根据所述IP地址生成DNS动态更新请求消息,该更新请求消息的格式就是上述方法中的消息格式,新的IP地址被添加在Update字段。签名单元,用于根据DNS客户端自身的私钥对所述DNS动态更新请求消息进行签名,并生成签名资源记录,这个签名资源记录被添加在该DNS动态更新请求消息中的附加数据字段,用于DNS服务器对DNS客户端进行签名验证。资源记录生成单元,用于生成DNS客户端的公钥资源记录,如果是某一DNS客户端首次使用某个域名进行注册,那么要将公钥资源记录添加DNS动态更新请求消息中的附加数据字段,DNS服务器在收到这个公钥资源记录后,就会利用该公钥资源记录中的公钥对同一域名发送的DNS动态更新请求消息进行签名验证。发送单元,用于向DNS服务器发送所述经过签名的DNS动态更新请求消息。
本发明实施例还公开了一种DNS客户端,如图5所示,为本发明实施例所述DNS客户端的结构示意图。
所述DNS客户端包括接收单元,用于接收DNS客户端发送的DNS动态更新请求消息。解析单元,用于解析所述DNS动态更新请求消息,获取所述DNS客户端的信息和IP地址,所述的DNS客户端的信息包括域名、子网前缀等。地址生成单元,用于根据解析单元获得的所述DNS客户端的信息,依照与DNS客户端同样的规则生成第二IP地址,具体可以依照上述方法流程中规则,用密码学方法生成该第二IP地址。地址验证单元,用于通过判断所述IP地址和第二IP地址是否相同,对所述DNS客户端进行地址验证,如果相同,则通过地址验证,如果不相同,则DNS服务器拒绝DNS客户端的更新请求。签名验证单元,用于根据所述DNS客户端的公钥验证所述DNS动态更新请求消息中的签名资源记录,如果公钥与该签名资源记录中的私钥匹配,则签名验证通过。
该DNS服务器还包括:权限验证单元,用于根据解析单元获得的DNS客户端的信息判断所述DNS客户端是否有请求DNS动态更新的权限,如果该DNS客户端有请求DNS动态更新的权限,则将所述DNS客户端的信息发送给所述地址生成单元。存储单元,用于存储DNS资源记录;在进行DNS动态更新时,首先查找存储单元,如果有与所述DNS客户端的域名对应的资源记录,则修改该资源记录,如果没有与所述DNS客户端的域名对应的DNS资源记录,则创建一条新的DNS资源记录;发送单元,用于向所述DNS客户端发送更新响应消息,通知更新已经完成。
本发明实施例支持IP地址的无状态配置功能,通过关联DNS客户端公钥、域名和IP地址等信息,利用所生成的IP地址和相应的公钥保护DNS的动态更新,增强了DNS动态更新的安全性。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种DNS动态更新的方法,其特征在于,包括以下步骤:
DNS客户端根据特定规则生成IP地址;
DNS客户端根据所述IP地址生成DNS动态更新请求消息,并向DNS服务器发送所述DNS动态更新请求消息,携带所述IP地址;
DNS服务器收到所述DNS动态更新请求消息后,根据与所述DNS客户端相同的规则生成第二IP地址,若所述IP地址等于所述第二IP地址,完成地址验证;
DNS服务器更新DNS资源记录。
2.根据权利要求1所述的方法,其特征在于,所述DNS客户端根据特定规则生成IP地址具体是指DNS客户端根据自身的域名、子网前缀、公钥和冲突计数依照密码学方法生成所述IP地址;
所述DNS服务器根据与所述DNS客户端相同的规则生成第二IP地址具体是指所述DNS服务器根据DNS客户端的域名、子网前缀、公钥和冲突计数依照密码学方法生成所述第二IP地址。
3.根据权利要求2所述的方法,其特征在于,在生成所述IP地址或者所述第二IP地址之前,将所述冲突计数清零。
4.根据权利要求3所述的方法,其特征在于,在所述DNS客户端生成所述IP地址后,所述方法还包括进行地址重复检测的步骤,如果发生地址冲突,则冲突计数加1,DNS客户端重新生成IP地址;
当冲突计数超过一定阈值时,修改该DNS客户端所使用的域名或者注册公钥,将所述冲突计数清零,DNS客户端重新生成IP地址。
5.根据权利要求2所述的方法,其特征在于,在所述DNS客户端生成DNS动态更新请求消息后,向DNS服务器发送所述DNS动态更新请求消息前,所述方法还包括DNS客户端用自身对应的私钥对所述DNS动态更新请求消息进行签名,生成签名资源记录的步骤。
6.根据权利要求2或5所述的方法,其特征在于,在所述第二IP地址生成之前,所述方法还包括DNS服务器对所述DNS客户端进行权限验证的步骤:若DNS服务器确定所述DNS客户端请求更新的IP地址为依照密码学方法生成的IP地址,则该DNS客户端具有请求更新的权限。
7.根据权利要求6所述的方法,其特征在于,
所述完成地址验证后更新DNS资源记录前还包括签名验证的步骤:
所述DNS服务器根据所述DNS客户端的公钥验证所述DNS动态更新请求消息中的签名资源记录;
所述DNS服务器更新DNS资源记录后还包括DNS服务器向DNS客户端发送更新响应消息的步骤。
8.一种DNS系统,其特征在于,包括:
DNS客户端,用于在网络拓扑发生变化时根据特定规则动态生成IP地址;根据所述IP地址生成DNS动态更新请求消息;利用自身私钥对该DNS动态更新请求消息进行签名;并将生成的签名资源记录添加到所述DNS动态更新请求消息中;
DNS服务器,用于接收所述DNS客户端发送的DNS动态更新请求消息;根据所述DNS动态更新请求消息对所述DNS客户端进行权限验证;对所述DNS动态更新请求消息进行地址验证和签名验证;根据所述DNS动态更新请求消息更新DNS资源记录,其中所述地址验证具体包括:根据与DNS客户端同样的规则生成第二IP地址,判断所述IP地址和第二IP地址是否相同,对所述DNS客户端进行地址验证。
9.根据权利要求8所述的系统,其特征在于,
所述DNS客户端进一步用于生成公钥资源记录,在第一次向所述DNS服务器发送DNS动态更新请求消息的时候,携带所述公钥资源;
所述DNS服务器进一步用于在更新DNS资源记录后,向所述DNS客户端发送更新响应消息。
10.一种DNS服务器,其特征在于,包括:
接收单元,用于接收DNS客户端发送的DNS动态更新请求消息;
解析单元,用于解析所述DNS动态更新请求消息,获取所述DNS客户端的信息和IP地址;
地址生成单元,用于根据解析单元获得的所述DNS客户端的信息,依照与DNS客户端同样的规则生成第二IP地址;
地址验证单元,用于通过判断所述IP地址和第二IP地址是否相同,对所述DNS客户端进行地址验证;
签名验证单元,用于根据所述DNS客户端的公钥验证所述DNS动态更新请求消息中的签名资源记录。
11.根据权利要求10所述的DNS服务器,其特征在于,还包括:
权限验证单元,用于根据解析单元获得的DNS客户端的信息判断所述DNS客户端是否有请求DNS动态更新的权限,如果该DNS客户端有请求DNS动态更新的权限,则将所述DNS客户端的信息发送给所述地址生成单元;
存储单元,用于存储DNS资源记录;在进行DNS动态更新时,首先查找存储单元,如果有与所述DNS客户端的域名对应的资源记录,则修改该资源记录,如果没有与所述DNS客户端的域名对应的DNS资源记录,则创建一条新的DNS资源记录;
发送单元,用于向所述DNS客户端发送更新响应消息,通知更新已经完成。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100736693A CN101277257B (zh) | 2007-03-26 | 2007-03-26 | 一种dns动态更新的方法、装置和系统 |
PCT/CN2008/070553 WO2008116416A1 (fr) | 2007-03-26 | 2008-03-21 | Procédé, dispositif et système pour qu'un système de nom de domaine se mette à jour de façon dynamique |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100736693A CN101277257B (zh) | 2007-03-26 | 2007-03-26 | 一种dns动态更新的方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101277257A CN101277257A (zh) | 2008-10-01 |
CN101277257B true CN101277257B (zh) | 2012-02-01 |
Family
ID=39788057
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007100736693A Expired - Fee Related CN101277257B (zh) | 2007-03-26 | 2007-03-26 | 一种dns动态更新的方法、装置和系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101277257B (zh) |
WO (1) | WO2008116416A1 (zh) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102035809B (zh) * | 2009-09-29 | 2013-04-24 | 成都市华为赛门铁克科技有限公司 | 缓存中毒的防护方法和防护设备及防护系统 |
US8560633B2 (en) * | 2010-01-11 | 2013-10-15 | Tangome, Inc. | Communicating in a peer-to-peer computer environment |
US8719900B2 (en) * | 2010-05-18 | 2014-05-06 | Amazon Technologies, Inc. | Validating updates to domain name system records |
CN102148882B (zh) * | 2011-04-25 | 2013-10-09 | 中国联合网络通信集团有限公司 | 部署nat后的动态域名解析方法及系统 |
US9130917B2 (en) * | 2011-05-02 | 2015-09-08 | Verisign, Inc. | DNSSEC signing server |
CN102291268B (zh) * | 2011-09-23 | 2014-11-26 | 杜跃进 | 一种基于安全域名服务器系统的恶意域名监控方法 |
WO2013082791A1 (zh) * | 2011-12-08 | 2013-06-13 | 华为技术有限公司 | Dns客户端地址、rr ttl更新的方法、装置及系统 |
US10044582B2 (en) * | 2012-01-28 | 2018-08-07 | A10 Networks, Inc. | Generating secure name records |
CN103621036A (zh) * | 2012-06-15 | 2014-03-05 | 华为技术有限公司 | 注册方法及设备、系统 |
CN103957282B (zh) * | 2013-09-12 | 2017-11-14 | 赛尔网络有限公司 | 一种域内终端用户域名解析加速系统及其方法 |
KR101655822B1 (ko) * | 2015-06-29 | 2016-09-22 | 현대자동차주식회사 | 차량 아이피 접속 방법과 프로그램 및 이를 실행하는 텔레매틱스 단말기와 컴퓨터 판독 가능한 기록 매체 |
CN105072210A (zh) * | 2015-07-17 | 2015-11-18 | 中国互联网络信息中心 | 一种校验域名信息的dns数据更新系统和方法 |
US9894041B2 (en) * | 2015-09-25 | 2018-02-13 | Microsoft Technology Licensing, Llc | Secure domain name resolution in computer networks |
CN106873405A (zh) * | 2015-12-11 | 2017-06-20 | 重庆川仪自动化股份有限公司 | 控制器自动配置装置及其自动配置方法 |
CN105516389B (zh) * | 2015-12-23 | 2019-01-08 | 郑州悉知信息科技股份有限公司 | 域名与ip映射关系的修改方法和装置 |
CN106534173B (zh) * | 2016-12-07 | 2019-10-18 | 浙江宇视科技有限公司 | 一种业务处理方法及装置 |
WO2018214112A1 (zh) * | 2017-05-25 | 2018-11-29 | 深圳市伊特利网络科技有限公司 | 网络链路中ip地址的维护方法及系统 |
CN108055168B (zh) * | 2017-12-29 | 2021-06-04 | 广州品唯软件有限公司 | 一种http协议调试系统、装置和方法 |
CN109347836B (zh) * | 2018-10-25 | 2020-12-15 | 安徽问天量子科技股份有限公司 | 一种IPv6网络节点身份安全保护方法 |
CN111756678B (zh) * | 2019-03-29 | 2023-03-28 | 华为技术有限公司 | 信息验证方法、装置及设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1499396A (zh) * | 2002-10-24 | 2004-05-26 | �Ҵ���˾ | 维护Internet域名数据的方法和装置 |
CN1694459A (zh) * | 2005-04-13 | 2005-11-09 | 北京交通大学 | 一种IPv6网络中实现动态域名更新的方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030065064A (ko) * | 2002-01-29 | 2003-08-06 | 삼성전자주식회사 | 도메인 네임 관리 방법 |
EP1866783B1 (en) * | 2005-02-24 | 2020-11-18 | EMC Corporation | System and method for detecting and mitigating dns spoofing trojans |
-
2007
- 2007-03-26 CN CN2007100736693A patent/CN101277257B/zh not_active Expired - Fee Related
-
2008
- 2008-03-21 WO PCT/CN2008/070553 patent/WO2008116416A1/zh active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1499396A (zh) * | 2002-10-24 | 2004-05-26 | �Ҵ���˾ | 维护Internet域名数据的方法和装置 |
CN1694459A (zh) * | 2005-04-13 | 2005-11-09 | 北京交通大学 | 一种IPv6网络中实现动态域名更新的方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2008116416A1 (fr) | 2008-10-02 |
CN101277257A (zh) | 2008-10-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101277257B (zh) | 一种dns动态更新的方法、装置和系统 | |
US11792079B2 (en) | DNS package in a network | |
US11223598B2 (en) | Internet security | |
US9088415B2 (en) | Authentication of cache DNS server responses | |
Ariyapperuma et al. | Security vulnerabilities in DNS and DNSSEC | |
CN102427484B (zh) | 基于dns来确定设备是否处于网络内部的方法和装置 | |
Vixie et al. | Secret key transaction authentication for DNS (TSIG) | |
CN102045413B (zh) | 经过dht扩展的dns映射系统及其实现dns安全的方法 | |
US8843751B2 (en) | IP address delegation | |
US20090070474A1 (en) | Dynamic Host Configuration Protocol | |
US8656490B1 (en) | Safe and secure access to dynamic domain name systems | |
US20090070582A1 (en) | Secure Network Location Awareness | |
JP2000349747A (ja) | 公開鍵管理方法 | |
CN101971567A (zh) | Dhcp客户端服务器系统、dhcp客户端装置、dhcp服务器装置 | |
CN106790296B (zh) | 域名记录验证方法及装置 | |
Jalalzai et al. | DNS security challenges and best practices to deploy secure DNS with digital signatures | |
CN109951481B (zh) | 基于区块链网络相邻节点的信息处理方法和系统 | |
Liu et al. | Secure name resolution for identifier-to-locator mappings in the global internet | |
CN115580498B (zh) | 融合网络中的跨网通信方法及融合网络系统 | |
Kent | An infrastructure supporting secure internet routing | |
Schwenk | Dns security | |
Chetioui et al. | Security of the DNS protocol-Implementation and weaknesses analyses of DNSSEC | |
CN114826654B (zh) | 一种基于域名系统命名的客户端认证方法及系统 | |
Chandramouli et al. | Open issues in secure DNS deployment | |
Guillard | DNSSEC operational impact and performance |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120201 Termination date: 20160326 |
|
CF01 | Termination of patent right due to non-payment of annual fee |