CN104410728A - 一种MIPv6中基于网络的DNS安全更新方法 - Google Patents
一种MIPv6中基于网络的DNS安全更新方法 Download PDFInfo
- Publication number
- CN104410728A CN104410728A CN201410708911.XA CN201410708911A CN104410728A CN 104410728 A CN104410728 A CN 104410728A CN 201410708911 A CN201410708911 A CN 201410708911A CN 104410728 A CN104410728 A CN 104410728A
- Authority
- CN
- China
- Prior art keywords
- aaaa
- mipv6
- dns
- key
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5076—Update or notification mechanisms, e.g. DynDNS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/503—Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种MIPv6中基于网络的DNS安全更新方法,在MIPv6的绑定更新(Binding Upate,BU)中增加了新的选项,用于包含进行AAAA记录更新的密钥信息,并规定了该选项的使用规则;通过MIPv6信令消息将MN的AAAA更新密钥传递给HA,保证了AAAA记录和PTR记录更新的安全性。本发明使MN的DNS更新操作均由HA承担,以提高更新操作的效率,并可支持大规模节点的DNS动态更新,此外,本发明的操作流程完全向后兼容RFC5026中定义的更新操作。
Description
技术领域
本发明属于域名系统(Domain Name System,DNS)技术领域,具体涉及一种MIPv6中基于网络的DNS安全更新方法。
背景技术
域名系统(Domain Name System,DNS)作为互联网最核心的基础服务,为大部分互联网应用提供了最基本的功能支撑。
但是在日益蓬勃的移动互联网发展趋势下,如何解决移动节点(MobileNode,MN)的DNS信息动态更新是移动互联网领域的重要课题。为此,Internet工程任务组(Internet Engineering Task Force,IETF)针对IP地址发生变化的主机提出动态域名系统(Dynamic Domain Name System,DDNS)协议——RFC2136,DDNS将用户的动态IP地址映射到一个固定的域名服务器上,用户每次连接网络的时候,客户端程序就会把该主机的动态IP地址传送给服务器,服务负责更新DNS记录。为了保证更新过程的安全性,IETF提出了保障DDNS安全的机制——RFC3007。基于RFC2136和RFC3007,RFC4704定义了DHCPv6环境中,客户端(Client)和服务器端(Server)如何就节点的DNS更新进行协商以及操作,该标准也成为DNS动态更新如何在实际网络中部署应用的重要基础协议。
同时,IETF对移动互联网的基本移动支持协议——移动IPv6(Mobile IPv6,MIPv6)如何支持MN的DNS动态更新提出了相应的扩展,即RFC5026。然而,RFC5026假设MN的AAAA和PTR记录均由家乡代理(Home Agent,HA)完成,MN通过DNS Update移动选项(DNS Update Mobility Option),向HA通告MN的完全合格域名/全称域名(Fully Qualified Domain Name,FQDN)信息。但该机制并没有解决HA如何获得AAAA记录安全更新所需密钥信息的问题。
发明内容
本发明的目的是针对上述问题,提出一种MIPv6中基于网络的DNS安全更新方法,在MIPv6环境中支持高效的DNS更新操作并保证DNS更新的安全。
为了实现上述目的,本发明具体技术方案如下:
一种MIPv6中基于网络的DNS安全更新方法,包括以下步骤:
1-1)MN接入MIPv6网络,从接入路由器(Access Router,AR)接收新的前缀信息以配置新的转交地址;
1-2)MN向HA发送BU(Binding Upate)消息进行绑定更新,所述BU消息中(除了MIPv6基本的选项外)包含DNS Update移动选项和DNSKEY移动选项,所述DNSKEY移动选项包含AAAA记录更新密钥信息;
1-3)HA接收到BU消息之后,提取并存储该MN对应的FQDN信息以及AAAA记录更新密钥信息,对MN的AAAA记录和PTR(Pointer Recore)记录进行安全动态更新(即只有经过身份验证的用户才能够更新DNS区域中的记录)。
进一步地,对于初次接入MIPv6网络的MN,步骤1-1)还包括获取新的家乡地址(Home Address,HoA),所述HoA是在DNS服务器(DNS server)上记录的AAAA记录。
进一步地,如果MN的家乡网络前缀发生变化,步骤1-1)中还包括HA向MN进行通告,使MN重新配置HoA,所述HoA是在DNS服务器上记录的AAAA记录。
进一步地,步骤1-1)中,MN通过和AR交互路由器请求/路由器通告(RouterSolicitation,RS/Router Advertisement,RA)接收新的前缀信息和新的HoA。
进一步地,步骤1-2)中,通过在BU消息中增加1比特的标志位,表明BU消息中包含了携带AAAA记录更新密钥的选项。
进一步地,本发明还包括以下步骤:
2-1)MN向HA发送仅包含DNS Update移动选项的BU消息;
2-2)HA根据缓存的MN对应的AAAA记录更新密钥(即步骤1-3)中所述AAAA记录更新密钥信息),对MN的AAAA记录和PTR记录进行安全动态更新。
进一步地,本发明还包括以下步骤:
3-1)当MN的AAAA记录更新密钥发生变更之后,MN通过向HA发送仅包含DNSKEY移动选项的BU消息进行同步;
3-2)HA接收上述BU消息,用新的AAAA记录更新密钥替换已有的AAAA记录更新密钥。
本发明的有益效果如下:
1)考虑到MN和HA可能分别具有AAAA记录和PTR记录更新的密钥,本发明通过MIPv6信令消息将MN的AAAA更新密钥传递给HA,保证了AAAA记录和PTR记录更新的安全性;
2)在MIPv6的绑定更新(Binding Update,BU)中增加了新的选项,用于包含进行AAAA记录更新的密钥信息,并规定了该选项的使用规则;
3)本发明使MN的DNS更新操作均由HA承担,以提高更新操作的效率,并可支持大规模节点的DNS动态更新,此外,本发明的操作流程完全向后兼容RFC5026中定义的更新操作。
附图说明
图1显示本发明扩展的BU消息格式。
图2显示本发明定义的密钥选项——DNSKEY移动选项格式。
图3显示本发明PMIPv6中的DNS更新过程。
具体实施方式
本发明在MIPv6的信令消息中增加了1比特的标志位——S,用于指示此信令消息中包含携带AAAA记录更新密钥的选项。扩展的绑定更新(Binding Upate,BU)消息格式如图1所示。
当S标志位置为1时,表明BU消息中包含了携带AAAA记录更新密钥的选项。
本发明定义的密钥选项——DNSKEY移动选项格式如图2所示。
此选项的使用规则如下:
1)如果BU消息中同时包含RFC5026所定义的DNS Update移动选项和DNSKEY移动选项,表明HA需要为MN的AAAA和PTR记录进行安全动态更新;
2)如果MN在BU中仅包含RFC5026所定义的DNS Update移动选项而没有DNSKEY移动选项,则表示MN默认HA为其进行动态更新,而没有安全需求;
3)如果BU消息中仅包含DNSKEY移动选项而没有RFC5026所定义的DNS Update移动选项,则表示MN产生了新的更新密钥,那么HA就用此新密钥替换对应MN的已有密钥。
该选项采用类型-长度-值(Type-Length-Value,TLV)格式,各字段意义如下:
1)DNSKEY:表示此移动选项的类型为DNSKEY;
2)Length:表示包含类型(DNSKEY)和长度(Length)字段的8字节单位的选项长度。HA忽略取值为0的选项;
3)Pad Length:密钥信息之后的padding长度;
4)Algorithm:此8bits字段表示DNS的AAAA记录动态更新所使用的密钥算法类型;
5)Lifetime:表示此密钥的有效生存期,HA依此缓存该密钥,过期后对其进行删除,这样MN就不必每次都在BU消息中包含此移动选项,从而节省协议开销并减小泄密风险。但是当MN更新密钥之后,要通过单独发送此密钥选项来向HA进行同步;
6)DNS Update Key:此可变长度字段用于存放MN的DNS安全动态更新密钥;
7)Padding:Padding字段是出于对MIPv6信令消息的对齐要求的考虑,其取值为0。没有实际含义。
本发明规定,MIPv6中的AAAA和PTR记录在默认情况下均由HA执行,而由MN向HA通告所需要的FQDN信息和AAAA更新密钥(MN如何获得动态更新密钥不在本发明规范范围)。具体操作如图3所示。
更新操作流程的具体解释如下:
1)DNS安全动态更新初始操作:
a)对于初次接入MIPv6网络的MN,除了在和接入路由器(AccessRouter)建立连接,并通过和AR交互路由器请求/路由器通告(RouterSolicitation,RS/Router Advertisement,RA)接收新的前缀信息以配置新的转交地址外,还需要获取新的家乡地址(Home Address,HoA)。为了保证MN在移动过程中上层应用的连续性以及其DNS记录信息的稳定性,在DNS服务器上记录的AAAA记录即为MN的HoA。因此,在初次接入网络或由于家乡网络renumbering以及其他原因引起HoA变更的情况下,需要实时更新MN的DNS条目,以保证其域名可达性。
b)根据本发明,MN随即向HA发送BU消息进行绑定更新,由于需要对DNS条目进行更新,MN在BU消息中携带DNS Update移动选项和DNSKEY移动选项,以示让HA代其进行AAAA记录的更新;
c)HA接收到BU消息之后,取出并存储该MN对应的FQDN以及动态更新的密钥信息;
d)HA根据MN提供的信息,发起DNS安全动态更新操作,对MN的AAAA和PTR记录进行安全动态更新。
2)DNS安全动态更新简化操作:
a)由于家乡网络renumbering等原因,MN接收到新的家乡前缀信息,重新配置HoA;
b)MN需要对其DNS条目进行相应的更新,于是向HA发送BU消息,由于HA之前缓存了MN的更新密钥,此时BU仅包含DNS Update移动选项;
c)HA根据缓存的MN的对应更新密钥,对MN的AAAA和PTR进行更新操作。
3)DNS动态更新密钥同步:
a)当MN的更新密钥发生变更之后,MN可以通过向HA发送仅包含DNSKEY移动选项的BU进行同步;
b)接收到此BU的HA,首先用新的密钥替换既有的密钥,由于没有在BU中发现DNS Update移动选项,HA无需对MN的DNS记录进行更新。
Claims (8)
1.一种MIPv6中基于网络的DNS安全更新方法,包括以下步骤:
1-1)MN接入MIPv6网络,从接入路由器接收新的前缀信息以配置新的转交地址;
1-2)MN向HA发送BU消息进行绑定更新,所述BU消息中包含DNS Update移动选项和DNSKEY移动选项,所述DNSKEY移动选项包含AAAA记录更新密钥信息;
1-3)HA接收到BU消息之后,提取并存储该MN对应的FQDN信息以及AAAA记录更新密钥信息,对MN的AAAA记录和PTR记录进行安全动态更新。
2.如权利要求1所述的MIPv6中基于网络的DNS安全更新方法,其特征在于,对于初次接入MIPv6网络的MN,步骤1-1)还包括获取新的HoA,所述HoA是在DNS服务器上记录的AAAA记录。
3.如权利要求1所述的MIPv6中基于网络的DNS安全更新方法,其特征在于,如果MN的家乡网络前缀发生变化,步骤1-1)中还包括HA向MN进行通告,使MN重新配置HoA,所述HoA是在DNS服务器上记录的AAAA记录。
4.如权利要求2或3所述的MIPv6中基于网络的DNS安全更新方法,其特征在于,步骤1-1)中,MN通过和接入路由器交互路由器请求/路由器通告接收新的前缀信息和新的HoA。
5.如权利要求1所述的MIPv6中基于网络的DNS安全更新方法,其特征在于,步骤1-2)中,通过在BU消息中增加1比特的标志位,表明BU消息中包含了携带AAAA记录更新密钥的选项。
6.如权利要求1所述的MIPv6中基于网络的DNS安全更新方法,其特征在于,还包括以下步骤:
2-1)MN向HA发送仅包含DNS Update移动选项的BU消息;
2-2)HA根据缓存的MN对应的AAAA记录更新密钥,对MN的AAAA记录和PTR记录进行安全动态更新。
7.如权利要求1所述的MIPv6中基于网络的DNS安全更新方法,其特征在于,还包括以下步骤:
3-1)当MN的AAAA记录更新密钥发生变更之后,MN通过向HA发送仅包含DNSKEY移动选项的BU消息进行同步;
3-2)HA接收上述BU消息,用新的AAAA记录更新密钥替换已有的AAAA记录更新密钥。
8.如权利要求1所述的MIPv6中基于网络的DNS安全更新方法,其特征在于,所述DNSKEY移动选项采用类型-长度-值格式,包括:
1)DNSKEY,表示此移动选项的类型为DNSKEY;
2)Length,表示包含类型和长度字段的8字节单位的选项长度,HA忽略取值为0的选项;
3)Pad Length,表示密钥信息之后的padding长度;
4)Algorithm,此8bits字段表示DNS的AAAA记录动态更新所使用的密钥算法类型;
5)Lifetime,表示此密钥的有效生存期,HA依此缓存该密钥,过期后对其进行删除;
6)DNS Update Key,此可变长度字段用于存放MN的DNS安全动态更新密钥;
7)Padding,取值为0。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410708911.XA CN104410728B (zh) | 2014-11-27 | 2014-11-27 | 一种MIPv6中基于网络的DNS安全更新方法 |
PCT/CN2014/095171 WO2016082273A1 (zh) | 2014-11-27 | 2014-12-26 | 一种MIPv6中基于网络的DNS安全更新方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410708911.XA CN104410728B (zh) | 2014-11-27 | 2014-11-27 | 一种MIPv6中基于网络的DNS安全更新方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104410728A true CN104410728A (zh) | 2015-03-11 |
CN104410728B CN104410728B (zh) | 2017-10-10 |
Family
ID=52648323
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410708911.XA Active CN104410728B (zh) | 2014-11-27 | 2014-11-27 | 一种MIPv6中基于网络的DNS安全更新方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN104410728B (zh) |
WO (1) | WO2016082273A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105376230A (zh) * | 2015-11-16 | 2016-03-02 | 东北大学 | 一种面向多层MAP的HMIPv6网络双向接入认证方法 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107707682B (zh) * | 2017-04-19 | 2018-07-06 | 贵州白山云科技有限公司 | 一种bind配置加载优化方法及装置 |
CN107124282B (zh) * | 2017-05-18 | 2019-10-25 | 西安电子科技大学 | 基于MIPv6的云环境下RFID认证系统及方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040196797A1 (en) * | 2003-04-04 | 2004-10-07 | Samsung Electronics Co., Ltd. | Home agent management apparatus and method |
CN1770761A (zh) * | 2004-11-01 | 2006-05-10 | 华为技术有限公司 | 一种基于网络密钥交换协议的地址更新方法 |
CN103634418A (zh) * | 2013-11-14 | 2014-03-12 | 中国科学院计算机网络信息中心 | 一种PMIPv6的动态DNS更新方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101917715B (zh) * | 2006-07-12 | 2012-11-21 | 华为技术有限公司 | 移动ip密钥的产生及分发方法和系统 |
CN101656959B (zh) * | 2009-09-10 | 2012-02-29 | 中兴通讯股份有限公司 | PMIP中HA获取MN-HA key的方法、设备及系统 |
-
2014
- 2014-11-27 CN CN201410708911.XA patent/CN104410728B/zh active Active
- 2014-12-26 WO PCT/CN2014/095171 patent/WO2016082273A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040196797A1 (en) * | 2003-04-04 | 2004-10-07 | Samsung Electronics Co., Ltd. | Home agent management apparatus and method |
CN1770761A (zh) * | 2004-11-01 | 2006-05-10 | 华为技术有限公司 | 一种基于网络密钥交换协议的地址更新方法 |
CN103634418A (zh) * | 2013-11-14 | 2014-03-12 | 中国科学院计算机网络信息中心 | 一种PMIPv6的动态DNS更新方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105376230A (zh) * | 2015-11-16 | 2016-03-02 | 东北大学 | 一种面向多层MAP的HMIPv6网络双向接入认证方法 |
CN105376230B (zh) * | 2015-11-16 | 2018-05-04 | 东北大学 | 一种面向多层MAP的HMIPv6网络双向接入认证方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2016082273A1 (zh) | 2016-06-02 |
CN104410728B (zh) | 2017-10-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102938735B (zh) | 使用路由通告携带选项下发nat64地址前缀的方法 | |
CN101019381B (zh) | 在访问广域网期间维持为指定站点中的IPv6节点分配的唯一本地地址的机密性 | |
AU2002300297B2 (en) | Mobile internet protocol system and route optimization method therefor | |
CN101300889B (zh) | 用于提供移动性密钥的方法和服务器 | |
CN100556029C (zh) | IPv6无状态地址配置中主机的DNS更新方法和装置 | |
CN101127758B (zh) | 移动节点的ip地址获取方法与获取系统 | |
US8289862B2 (en) | Method and apparatus for dynamic LMA assignment in proxy mobile IPv6 protocol | |
JP5680221B2 (ja) | モバイル・ノードをネットワークに接続する方法 | |
CN103249025B (zh) | 一种PMIPv6环境中LMA动态发现方法 | |
CN101588569B (zh) | 在PMIPv6域内的移动节点切换过程中多LMA的选择方法 | |
CN104410728A (zh) | 一种MIPv6中基于网络的DNS安全更新方法 | |
CN101977246B (zh) | 一种PMIPv6移动性的支持方法和系统 | |
CN101702800A (zh) | 代理移动通信系统与方法 | |
CN101237442B (zh) | 一体化网络中终端标识解析和业务传输方法、系统及装置 | |
CN101483636B (zh) | 移动ip的建立方法、系统、客户端及锚点管理装置 | |
Droms et al. | Dhcpv6 prefix delegation for NEMO | |
KR101367387B1 (ko) | 차세대 네트워크에서 PMIPv6를 지원하기 위한 사용자인증관리 장치 및 그 방법. | |
CN102958040A (zh) | 移动性管理网络及移动管理域间切换方法 | |
CN101945144A (zh) | 一种ip地址重分配的方法和服务节点 | |
CN103634418B (zh) | 一种PMIPv6的动态DNS更新方法 | |
CN103249026A (zh) | 一种PMIPv6中支持HNP重编号的方法 | |
CN101729291A (zh) | 一种域名查询方法和系统 | |
CN101754173B (zh) | 分配家乡地址、利用该家乡地址传输报文的方法和系统 | |
Liza et al. | Implementation architecture of proxy mobile IPv6 protocol for NS2 simulator software | |
EP2568715A1 (en) | Mobile node, care of address acquisition method and system thereof, and dhcp server |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20210223 Address after: 100190 room 506, building 2, courtyard 4, South 4th Street, Zhongguancun, Haidian District, Beijing Patentee after: CHINA INTERNET NETWORK INFORMATION CENTER Address before: 100190 No. four, 4 South Street, Haidian District, Beijing, Zhongguancun Patentee before: Computer Network Information Center, Chinese Academy of Sciences |