CN104410728A - 一种MIPv6中基于网络的DNS安全更新方法 - Google Patents

一种MIPv6中基于网络的DNS安全更新方法 Download PDF

Info

Publication number
CN104410728A
CN104410728A CN201410708911.XA CN201410708911A CN104410728A CN 104410728 A CN104410728 A CN 104410728A CN 201410708911 A CN201410708911 A CN 201410708911A CN 104410728 A CN104410728 A CN 104410728A
Authority
CN
China
Prior art keywords
aaaa
mipv6
dns
key
record
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410708911.XA
Other languages
English (en)
Other versions
CN104410728B (zh
Inventor
延志伟
胡安磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Internet Network Information Center
Original Assignee
Computer Network Information Center of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Network Information Center of CAS filed Critical Computer Network Information Center of CAS
Priority to CN201410708911.XA priority Critical patent/CN104410728B/zh
Priority to PCT/CN2014/095171 priority patent/WO2016082273A1/zh
Publication of CN104410728A publication Critical patent/CN104410728A/zh
Application granted granted Critical
Publication of CN104410728B publication Critical patent/CN104410728B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5076Update or notification mechanisms, e.g. DynDNS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/503Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种MIPv6中基于网络的DNS安全更新方法,在MIPv6的绑定更新(Binding Upate,BU)中增加了新的选项,用于包含进行AAAA记录更新的密钥信息,并规定了该选项的使用规则;通过MIPv6信令消息将MN的AAAA更新密钥传递给HA,保证了AAAA记录和PTR记录更新的安全性。本发明使MN的DNS更新操作均由HA承担,以提高更新操作的效率,并可支持大规模节点的DNS动态更新,此外,本发明的操作流程完全向后兼容RFC5026中定义的更新操作。

Description

一种MIPv6中基于网络的DNS安全更新方法
技术领域
本发明属于域名系统(Domain Name System,DNS)技术领域,具体涉及一种MIPv6中基于网络的DNS安全更新方法。
背景技术
域名系统(Domain Name System,DNS)作为互联网最核心的基础服务,为大部分互联网应用提供了最基本的功能支撑。
但是在日益蓬勃的移动互联网发展趋势下,如何解决移动节点(MobileNode,MN)的DNS信息动态更新是移动互联网领域的重要课题。为此,Internet工程任务组(Internet Engineering Task Force,IETF)针对IP地址发生变化的主机提出动态域名系统(Dynamic Domain Name System,DDNS)协议——RFC2136,DDNS将用户的动态IP地址映射到一个固定的域名服务器上,用户每次连接网络的时候,客户端程序就会把该主机的动态IP地址传送给服务器,服务负责更新DNS记录。为了保证更新过程的安全性,IETF提出了保障DDNS安全的机制——RFC3007。基于RFC2136和RFC3007,RFC4704定义了DHCPv6环境中,客户端(Client)和服务器端(Server)如何就节点的DNS更新进行协商以及操作,该标准也成为DNS动态更新如何在实际网络中部署应用的重要基础协议。
同时,IETF对移动互联网的基本移动支持协议——移动IPv6(Mobile IPv6,MIPv6)如何支持MN的DNS动态更新提出了相应的扩展,即RFC5026。然而,RFC5026假设MN的AAAA和PTR记录均由家乡代理(Home Agent,HA)完成,MN通过DNS Update移动选项(DNS Update Mobility Option),向HA通告MN的完全合格域名/全称域名(Fully Qualified Domain Name,FQDN)信息。但该机制并没有解决HA如何获得AAAA记录安全更新所需密钥信息的问题。
发明内容
本发明的目的是针对上述问题,提出一种MIPv6中基于网络的DNS安全更新方法,在MIPv6环境中支持高效的DNS更新操作并保证DNS更新的安全。
为了实现上述目的,本发明具体技术方案如下:
一种MIPv6中基于网络的DNS安全更新方法,包括以下步骤:
1-1)MN接入MIPv6网络,从接入路由器(Access Router,AR)接收新的前缀信息以配置新的转交地址;
1-2)MN向HA发送BU(Binding Upate)消息进行绑定更新,所述BU消息中(除了MIPv6基本的选项外)包含DNS Update移动选项和DNSKEY移动选项,所述DNSKEY移动选项包含AAAA记录更新密钥信息;
1-3)HA接收到BU消息之后,提取并存储该MN对应的FQDN信息以及AAAA记录更新密钥信息,对MN的AAAA记录和PTR(Pointer Recore)记录进行安全动态更新(即只有经过身份验证的用户才能够更新DNS区域中的记录)。
进一步地,对于初次接入MIPv6网络的MN,步骤1-1)还包括获取新的家乡地址(Home Address,HoA),所述HoA是在DNS服务器(DNS server)上记录的AAAA记录。
进一步地,如果MN的家乡网络前缀发生变化,步骤1-1)中还包括HA向MN进行通告,使MN重新配置HoA,所述HoA是在DNS服务器上记录的AAAA记录。
进一步地,步骤1-1)中,MN通过和AR交互路由器请求/路由器通告(RouterSolicitation,RS/Router Advertisement,RA)接收新的前缀信息和新的HoA。
进一步地,步骤1-2)中,通过在BU消息中增加1比特的标志位,表明BU消息中包含了携带AAAA记录更新密钥的选项。
进一步地,本发明还包括以下步骤:
2-1)MN向HA发送仅包含DNS Update移动选项的BU消息;
2-2)HA根据缓存的MN对应的AAAA记录更新密钥(即步骤1-3)中所述AAAA记录更新密钥信息),对MN的AAAA记录和PTR记录进行安全动态更新。
进一步地,本发明还包括以下步骤:
3-1)当MN的AAAA记录更新密钥发生变更之后,MN通过向HA发送仅包含DNSKEY移动选项的BU消息进行同步;
3-2)HA接收上述BU消息,用新的AAAA记录更新密钥替换已有的AAAA记录更新密钥。
本发明的有益效果如下:
1)考虑到MN和HA可能分别具有AAAA记录和PTR记录更新的密钥,本发明通过MIPv6信令消息将MN的AAAA更新密钥传递给HA,保证了AAAA记录和PTR记录更新的安全性;
2)在MIPv6的绑定更新(Binding Update,BU)中增加了新的选项,用于包含进行AAAA记录更新的密钥信息,并规定了该选项的使用规则;
3)本发明使MN的DNS更新操作均由HA承担,以提高更新操作的效率,并可支持大规模节点的DNS动态更新,此外,本发明的操作流程完全向后兼容RFC5026中定义的更新操作。
附图说明
图1显示本发明扩展的BU消息格式。
图2显示本发明定义的密钥选项——DNSKEY移动选项格式。
图3显示本发明PMIPv6中的DNS更新过程。
具体实施方式
本发明在MIPv6的信令消息中增加了1比特的标志位——S,用于指示此信令消息中包含携带AAAA记录更新密钥的选项。扩展的绑定更新(Binding Upate,BU)消息格式如图1所示。
当S标志位置为1时,表明BU消息中包含了携带AAAA记录更新密钥的选项。
本发明定义的密钥选项——DNSKEY移动选项格式如图2所示。
此选项的使用规则如下:
1)如果BU消息中同时包含RFC5026所定义的DNS Update移动选项和DNSKEY移动选项,表明HA需要为MN的AAAA和PTR记录进行安全动态更新;
2)如果MN在BU中仅包含RFC5026所定义的DNS Update移动选项而没有DNSKEY移动选项,则表示MN默认HA为其进行动态更新,而没有安全需求;
3)如果BU消息中仅包含DNSKEY移动选项而没有RFC5026所定义的DNS Update移动选项,则表示MN产生了新的更新密钥,那么HA就用此新密钥替换对应MN的已有密钥。
该选项采用类型-长度-值(Type-Length-Value,TLV)格式,各字段意义如下:
1)DNSKEY:表示此移动选项的类型为DNSKEY;
2)Length:表示包含类型(DNSKEY)和长度(Length)字段的8字节单位的选项长度。HA忽略取值为0的选项;
3)Pad Length:密钥信息之后的padding长度;
4)Algorithm:此8bits字段表示DNS的AAAA记录动态更新所使用的密钥算法类型;
5)Lifetime:表示此密钥的有效生存期,HA依此缓存该密钥,过期后对其进行删除,这样MN就不必每次都在BU消息中包含此移动选项,从而节省协议开销并减小泄密风险。但是当MN更新密钥之后,要通过单独发送此密钥选项来向HA进行同步;
6)DNS Update Key:此可变长度字段用于存放MN的DNS安全动态更新密钥;
7)Padding:Padding字段是出于对MIPv6信令消息的对齐要求的考虑,其取值为0。没有实际含义。
本发明规定,MIPv6中的AAAA和PTR记录在默认情况下均由HA执行,而由MN向HA通告所需要的FQDN信息和AAAA更新密钥(MN如何获得动态更新密钥不在本发明规范范围)。具体操作如图3所示。
更新操作流程的具体解释如下:
1)DNS安全动态更新初始操作:
a)对于初次接入MIPv6网络的MN,除了在和接入路由器(AccessRouter)建立连接,并通过和AR交互路由器请求/路由器通告(RouterSolicitation,RS/Router Advertisement,RA)接收新的前缀信息以配置新的转交地址外,还需要获取新的家乡地址(Home Address,HoA)。为了保证MN在移动过程中上层应用的连续性以及其DNS记录信息的稳定性,在DNS服务器上记录的AAAA记录即为MN的HoA。因此,在初次接入网络或由于家乡网络renumbering以及其他原因引起HoA变更的情况下,需要实时更新MN的DNS条目,以保证其域名可达性。
b)根据本发明,MN随即向HA发送BU消息进行绑定更新,由于需要对DNS条目进行更新,MN在BU消息中携带DNS Update移动选项和DNSKEY移动选项,以示让HA代其进行AAAA记录的更新;
c)HA接收到BU消息之后,取出并存储该MN对应的FQDN以及动态更新的密钥信息;
d)HA根据MN提供的信息,发起DNS安全动态更新操作,对MN的AAAA和PTR记录进行安全动态更新。
2)DNS安全动态更新简化操作:
a)由于家乡网络renumbering等原因,MN接收到新的家乡前缀信息,重新配置HoA;
b)MN需要对其DNS条目进行相应的更新,于是向HA发送BU消息,由于HA之前缓存了MN的更新密钥,此时BU仅包含DNS Update移动选项;
c)HA根据缓存的MN的对应更新密钥,对MN的AAAA和PTR进行更新操作。
3)DNS动态更新密钥同步:
a)当MN的更新密钥发生变更之后,MN可以通过向HA发送仅包含DNSKEY移动选项的BU进行同步;
b)接收到此BU的HA,首先用新的密钥替换既有的密钥,由于没有在BU中发现DNS Update移动选项,HA无需对MN的DNS记录进行更新。

Claims (8)

1.一种MIPv6中基于网络的DNS安全更新方法,包括以下步骤:
1-1)MN接入MIPv6网络,从接入路由器接收新的前缀信息以配置新的转交地址;
1-2)MN向HA发送BU消息进行绑定更新,所述BU消息中包含DNS Update移动选项和DNSKEY移动选项,所述DNSKEY移动选项包含AAAA记录更新密钥信息;
1-3)HA接收到BU消息之后,提取并存储该MN对应的FQDN信息以及AAAA记录更新密钥信息,对MN的AAAA记录和PTR记录进行安全动态更新。
2.如权利要求1所述的MIPv6中基于网络的DNS安全更新方法,其特征在于,对于初次接入MIPv6网络的MN,步骤1-1)还包括获取新的HoA,所述HoA是在DNS服务器上记录的AAAA记录。
3.如权利要求1所述的MIPv6中基于网络的DNS安全更新方法,其特征在于,如果MN的家乡网络前缀发生变化,步骤1-1)中还包括HA向MN进行通告,使MN重新配置HoA,所述HoA是在DNS服务器上记录的AAAA记录。
4.如权利要求2或3所述的MIPv6中基于网络的DNS安全更新方法,其特征在于,步骤1-1)中,MN通过和接入路由器交互路由器请求/路由器通告接收新的前缀信息和新的HoA。
5.如权利要求1所述的MIPv6中基于网络的DNS安全更新方法,其特征在于,步骤1-2)中,通过在BU消息中增加1比特的标志位,表明BU消息中包含了携带AAAA记录更新密钥的选项。
6.如权利要求1所述的MIPv6中基于网络的DNS安全更新方法,其特征在于,还包括以下步骤:
2-1)MN向HA发送仅包含DNS Update移动选项的BU消息;
2-2)HA根据缓存的MN对应的AAAA记录更新密钥,对MN的AAAA记录和PTR记录进行安全动态更新。
7.如权利要求1所述的MIPv6中基于网络的DNS安全更新方法,其特征在于,还包括以下步骤:
3-1)当MN的AAAA记录更新密钥发生变更之后,MN通过向HA发送仅包含DNSKEY移动选项的BU消息进行同步;
3-2)HA接收上述BU消息,用新的AAAA记录更新密钥替换已有的AAAA记录更新密钥。
8.如权利要求1所述的MIPv6中基于网络的DNS安全更新方法,其特征在于,所述DNSKEY移动选项采用类型-长度-值格式,包括:
1)DNSKEY,表示此移动选项的类型为DNSKEY;
2)Length,表示包含类型和长度字段的8字节单位的选项长度,HA忽略取值为0的选项;
3)Pad Length,表示密钥信息之后的padding长度;
4)Algorithm,此8bits字段表示DNS的AAAA记录动态更新所使用的密钥算法类型;
5)Lifetime,表示此密钥的有效生存期,HA依此缓存该密钥,过期后对其进行删除;
6)DNS Update Key,此可变长度字段用于存放MN的DNS安全动态更新密钥;
7)Padding,取值为0。
CN201410708911.XA 2014-11-27 2014-11-27 一种MIPv6中基于网络的DNS安全更新方法 Active CN104410728B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201410708911.XA CN104410728B (zh) 2014-11-27 2014-11-27 一种MIPv6中基于网络的DNS安全更新方法
PCT/CN2014/095171 WO2016082273A1 (zh) 2014-11-27 2014-12-26 一种MIPv6中基于网络的DNS安全更新方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410708911.XA CN104410728B (zh) 2014-11-27 2014-11-27 一种MIPv6中基于网络的DNS安全更新方法

Publications (2)

Publication Number Publication Date
CN104410728A true CN104410728A (zh) 2015-03-11
CN104410728B CN104410728B (zh) 2017-10-10

Family

ID=52648323

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410708911.XA Active CN104410728B (zh) 2014-11-27 2014-11-27 一种MIPv6中基于网络的DNS安全更新方法

Country Status (2)

Country Link
CN (1) CN104410728B (zh)
WO (1) WO2016082273A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105376230A (zh) * 2015-11-16 2016-03-02 东北大学 一种面向多层MAP的HMIPv6网络双向接入认证方法

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107707682B (zh) * 2017-04-19 2018-07-06 贵州白山云科技有限公司 一种bind配置加载优化方法及装置
CN107124282B (zh) * 2017-05-18 2019-10-25 西安电子科技大学 基于MIPv6的云环境下RFID认证系统及方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040196797A1 (en) * 2003-04-04 2004-10-07 Samsung Electronics Co., Ltd. Home agent management apparatus and method
CN1770761A (zh) * 2004-11-01 2006-05-10 华为技术有限公司 一种基于网络密钥交换协议的地址更新方法
CN103634418A (zh) * 2013-11-14 2014-03-12 中国科学院计算机网络信息中心 一种PMIPv6的动态DNS更新方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101917715B (zh) * 2006-07-12 2012-11-21 华为技术有限公司 移动ip密钥的产生及分发方法和系统
CN101656959B (zh) * 2009-09-10 2012-02-29 中兴通讯股份有限公司 PMIP中HA获取MN-HA key的方法、设备及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040196797A1 (en) * 2003-04-04 2004-10-07 Samsung Electronics Co., Ltd. Home agent management apparatus and method
CN1770761A (zh) * 2004-11-01 2006-05-10 华为技术有限公司 一种基于网络密钥交换协议的地址更新方法
CN103634418A (zh) * 2013-11-14 2014-03-12 中国科学院计算机网络信息中心 一种PMIPv6的动态DNS更新方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105376230A (zh) * 2015-11-16 2016-03-02 东北大学 一种面向多层MAP的HMIPv6网络双向接入认证方法
CN105376230B (zh) * 2015-11-16 2018-05-04 东北大学 一种面向多层MAP的HMIPv6网络双向接入认证方法

Also Published As

Publication number Publication date
WO2016082273A1 (zh) 2016-06-02
CN104410728B (zh) 2017-10-10

Similar Documents

Publication Publication Date Title
CN102938735B (zh) 使用路由通告携带选项下发nat64地址前缀的方法
CN101019381B (zh) 在访问广域网期间维持为指定站点中的IPv6节点分配的唯一本地地址的机密性
AU2002300297B2 (en) Mobile internet protocol system and route optimization method therefor
CN101300889B (zh) 用于提供移动性密钥的方法和服务器
CN100556029C (zh) IPv6无状态地址配置中主机的DNS更新方法和装置
CN101127758B (zh) 移动节点的ip地址获取方法与获取系统
US8289862B2 (en) Method and apparatus for dynamic LMA assignment in proxy mobile IPv6 protocol
JP5680221B2 (ja) モバイル・ノードをネットワークに接続する方法
CN103249025B (zh) 一种PMIPv6环境中LMA动态发现方法
CN101588569B (zh) 在PMIPv6域内的移动节点切换过程中多LMA的选择方法
CN104410728A (zh) 一种MIPv6中基于网络的DNS安全更新方法
CN101977246B (zh) 一种PMIPv6移动性的支持方法和系统
CN101702800A (zh) 代理移动通信系统与方法
CN101237442B (zh) 一体化网络中终端标识解析和业务传输方法、系统及装置
CN101483636B (zh) 移动ip的建立方法、系统、客户端及锚点管理装置
Droms et al. Dhcpv6 prefix delegation for NEMO
KR101367387B1 (ko) 차세대 네트워크에서 PMIPv6를 지원하기 위한 사용자인증관리 장치 및 그 방법.
CN102958040A (zh) 移动性管理网络及移动管理域间切换方法
CN101945144A (zh) 一种ip地址重分配的方法和服务节点
CN103634418B (zh) 一种PMIPv6的动态DNS更新方法
CN103249026A (zh) 一种PMIPv6中支持HNP重编号的方法
CN101729291A (zh) 一种域名查询方法和系统
CN101754173B (zh) 分配家乡地址、利用该家乡地址传输报文的方法和系统
Liza et al. Implementation architecture of proxy mobile IPv6 protocol for NS2 simulator software
EP2568715A1 (en) Mobile node, care of address acquisition method and system thereof, and dhcp server

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210223

Address after: 100190 room 506, building 2, courtyard 4, South 4th Street, Zhongguancun, Haidian District, Beijing

Patentee after: CHINA INTERNET NETWORK INFORMATION CENTER

Address before: 100190 No. four, 4 South Street, Haidian District, Beijing, Zhongguancun

Patentee before: Computer Network Information Center, Chinese Academy of Sciences