WO2016082273A1

WO2016082273A1 - 一种MIPv6中基于网络的DNS安全更新方法

Info

Publication number: WO2016082273A1
Application number: PCT/CN2014/095171
Authority: WO
Inventors: 延志伟; 胡安磊
Original assignee: 中国科学院计算机网络信息中心
Priority date: 2014-11-27
Filing date: 2014-12-26
Publication date: 2016-06-02
Also published as: CN104410728B; CN104410728A

Abstract

本发明公开了一种MIPv6中基于网络的DNS安全更新方法，在MIPv6的绑定更新（BU）中增加了新的选项，用于包含进行AAAA记录更新的密钥信息，并规定了该选项的使用规则；通过MIPv6信令消息将MN的AAAA更新密钥传递给HA，保证了AAAA记录和PTR记录更新的安全性。本发明使MN的DNS更新操作均由HA承担，以提高更新操作的效率，并可支持大规模节点的DNS动态更新，此外，本发明的操作流程完全向后兼容RFC5026中定义的更新操作。

Description

一种MIPv6中基于网络的DNS安全更新方法

技术领域

本发明属于域名系统(Domain Name System，DNS)技术领域，具体涉及一种MIPv6中基于网络的DNS安全更新方法。

背景技术

域名系统(Domain Name System，DNS)作为互联网最核心的基础服务，为大部分互联网应用提供了最基本的功能支撑。

但是在日益蓬勃的移动互联网发展趋势下，如何解决移动节点(Mobile Node，MN)的DNS信息动态更新是移动互联网领域的重要课题。为此，Internet工程任务组(Internet Engineering Task Force，IETF)针对IP地址发生变化的主机提出动态域名系统(Dynamic Domain Name System，DDNS)协议——RFC2136，DDNS将用户的动态IP地址映射到一个固定的域名服务器上，用户每次连接网络的时候，客户端程序就会把该主机的动态IP地址传送给服务器，服务负责更新DNS记录。为了保证更新过程的安全性，IETF提出了保障DDNS安全的机制——RFC3007。基于RFC2136和RFC3007，RFC4704定义了DHCPv6环境中，客户端(Client)和服务器端(Server)如何就节点的DNS更新进行协商以及操作，该标准也成为DNS动态更新如何在实际网络中部署应用的重要基础协议。

同时，IETF对移动互联网的基本移动支持协议——移动IPv6(Mobile IPv6，MIPv6)如何支持MN的DNS动态更新提出了相应的扩展，即RFC5026。然而，RFC5026假设MN的AAAA和PTR记录均由家乡代理(HomeAgent，HA)完成，MN通过DNS Update移动选项(DNS Update Mobility Option)，向HA通告MN的完全合格域名/全称域名(Fully Qualified Domain Name，FQDN)信息。但该机制并没有解决HA如何获得AAAA记录安全更新所需密钥信息的问题。

发明内容

本发明的目的是针对上述问题，提出一种MIPv6中基于网络的DNS安全更新方法，在MIPv6环境中支持高效的DNS更新操作并保证DNS更新的安全。

为了实现上述目的，本发明具体技术方案如下：

一种MIPv6中基于网络的DNS安全更新方法，包括以下步骤：

1-1)MN接入MIPv6网络，从接入路由器(Access Router，AR)接收新的前缀信息以配置新的转交地址；

1-2)MN向HA发送BU(Binding Upate)消息进行绑定更新，所述BU消息中(除了MIPv6基本的选项外)包含DNS Update移动选项和DNSKEY移动选项，所述DNSKEY移动选项包含AAAA记录更新密钥信息；

1-3)HA接收到BU消息之后，提取并存储该MN对应的FQDN信息以及AAAA记录更新密钥信息，对MN的AAAA记录和PTR(Pointer Recore)记录进行安全动态更新(即只有经过身份验证的用户才能够更新DNS区域中的记录)。

进一步地，对于初次接入MIPv6网络的MN，步骤1-1)还包括获取新的家乡地址(Home Address，HoA)，所述HoA是在DNS服务器(DNS server)上记录的AAAA记录。

进一步地，如果MN的家乡网络前缀发生变化，步骤1-1)中还包括HA向MN进行通告，使MN重新配置HoA，所述HoA是在DNS服务器上记录的AAAA记录。

进一步地，步骤1-1)中，MN通过和AR交互路由器请求/路由器通告(Router Solicitation，RS/RouterAdvertisement，RA)接收新的前缀信息和新的HoA。

进一步地，步骤1-2)中，通过在BU消息中增加1比特的标志位，表明BU消息中包含了携带AAAA记录更新密钥的选项。

进一步地，本发明还包括以下步骤：

2-1)MN向HA发送仅包含DNS Update移动选项的BU消息；

2-2)HA根据缓存的MN对应的AAAA记录更新密钥(即步骤1-3)中所述AAAA记录更新密钥信息)，对MN的AAAA记录和PTR记录进行安全动态更新。

进一步地，本发明还包括以下步骤：

3-1)当MN的AAAA记录更新密钥发生变更之后，MN通过向HA发送仅包含DNSKEY移动选项的BU消息进行同步；

3-2)HA接收上述BU消息，用新的AAAA记录更新密钥替换已有的AAAA记录更新密钥。

本发明的有益效果如下：

1)考虑到MN和HA可能分别具有AAAA记录和PTR记录更新的密钥，本发明通过MIPv6信令消息将MN的AAAA更新密钥传递给HA，保证了AAAA记录和PTR记录更新的安全性；

2)在MIPv6的绑定更新(Binding Update，BU)中增加了新的选项，用于包含进行AAAA记录更新的密钥信息，并规定了该选项的使用规则；

3)本发明使MN的DNS更新操作均由HA承担，以提高更新操作的效率，并可支持大规模节点的DNS动态更新，此外，本发明的操作流程完全向后兼容RFC5026中定义的更新操作。

附图说明

图1显示本发明扩展的BU消息格式。

图2显示本发明定义的密钥选项——DNSKEY移动选项格式。

图3显示本发明PMIPv6中的DNS更新过程。

具体实施方式

本发明在MIPv6的信令消息中增加了1比特的标志位——S，用于指示此信令消息中包含携带AAAA记录更新密钥的选项。扩展的绑定更新(Binding Upate，BU)消息格式如图1所示。

当S标志位置为1时，表明BU消息中包含了携带AAAA记录更新密钥的选项。

本发明定义的密钥选项——DNSKEY移动选项格式如图2所示。

此选项的使用规则如下：

1)如果BU消息中同时包含RFC5026所定义的DNS Update移动选项和DNSKEY移动选项，表明HA需要为MN的AAAA和PTR记录进行安全动态更新；

2)如果MN在BU中仅包含RFC5026所定义的DNS Update移动选项而没有DNSKEY移动选项，则表示MN默认HA为其进行动态更新，而没有安全需求；

3)如果BU消息中仅包含DNSKEY移动选项而没有RFC5026所定义的DNS Update移动选项，则表示MN产生了新的更新密钥，那么HA就用此新密钥替换对应MN的已有密钥。

该选项采用类型-长度-值(Type-Length-Value，TLV)格式，各字段意义如下：

1)DNSKEY：表示此移动选项的类型为DNSKEY；

2)Length：表示包含类型(DNSKEY)和长度(Length)字段的8字节单位的选项长度。HA忽略取值为0的选项；

3)Pad Length：密钥信息之后的padding长度；

4)Algorithm:此8bits字段表示DNS的AAAA记录动态更新所使用的密钥算法类型；

5)Lifetime：表示此密钥的有效生存期，HA依此缓存该密钥，过期后对其进行删除，这样MN就不必每次都在BU消息中包含此移动选项，从而节省协议开销并减小泄密风险。但是当MN更新密钥之后，要通过单独发送此密钥选项来向HA进行同步；

6)DNS Update Key：此可变长度字段用于存放MN的DNS安全动态更新密钥；

7)Padding：Padding字段是出于对MIPv6信令消息的对齐要求的考虑，其取值为0。没有实际含义。

本发明规定，MIPv6中的AAAA和PTR记录在默认情况下均由HA执行，而由MN向HA通告所需要的FQDN信息和AAAA更新密钥(MN如何获得动态更新密钥不在本发明规范范围)。具体操作如图3所示。

更新操作流程的具体解释如下：

1)DNS安全动态更新初始操作：

a)对于初次接入MIPv6网络的MN，除了在和接入路由器(Access Router)建立连接，并通过和AR交互路由器请求/路由器通告(Router Solicitation，RS/Router Advertisement，RA)接收新的前缀信息以配置新的转交地址外，还需要获取新的家乡地址(Home Address，HoA)。为了保证MN在移动过程中上层应用的连续性以及其DNS记录信息的稳定性，在DNS服务器上记录的AAAA记录即为MN的HoA。因此，在初次接入网络或由于家乡网络renumbering以及其他原因引起HoA变更的情况下，需要实时更新MN的DNS条目，以保证其域名可达性。

b)根据本发明，MN随即向HA发送BU消息进行绑定更新，由于需要对DNS条目进行更新，MN在BU消息中携带DNS Update移动选项和DNSKEY移动选项，以示让HA代其进行AAAA记录的更新；

c)HA接收到BU消息之后，取出并存储该MN对应的FQDN以及动态更新的密钥信息；

d)HA根据MN提供的信息，发起DNS安全动态更新操作，对MN的AAAA和PTR记录进行安全动态更新。

2)DNS安全动态更新简化操作：

a)由于家乡网络renumbering等原因，MN接收到新的家乡前缀信息，重新配置HoA；

b)MN需要对其DNS条目进行相应的更新，于是向HA发送BU消息，由于HA之前缓存了MN的更新密钥，此时BU仅包含DNS Update移动选项；

c)HA根据缓存的MN的对应更新密钥，对MN的AAAA和PTR进行更新操作。

3)DNS动态更新密钥同步：

a)当MN的更新密钥发生变更之后，MN可以通过向HA发送仅包含DNSKEY移动选项的BU进行同步；

b)接收到此BU的HA，首先用新的密钥替换既有的密钥，由于没有在BU中发现DNS Update移动选项，HA无需对MN的DNS记录进行更新。

Claims

一种MIPv6中基于网络的DNS安全更新方法，包括以下步骤：

1-1)MN接入MIPv6网络，从接入路由器接收新的前缀信息以配置新的转交地址；

1-2)MN向HA发送BU消息进行绑定更新，所述BU消息中包含DNS Update移动选项和DNSKEY移动选项，所述DNSKEY移动选项包含AAAA记录更新密钥信息；

1-3)HA接收到BU消息之后，提取并存储该MN对应的FQDN信息以及AAAA记录更新密钥信息，对MN的AAAA记录和PTR记录进行安全动态更新。
如权利要求1所述的MIPv6中基于网络的DNS安全更新方法，其特征在于，对于初次接入MIPv6网络的MN，步骤1-1)还包括获取新的HoA，所述HoA是在DNS服务器上记录的AAAA记录。
如权利要求1所述的MIPv6中基于网络的DNS安全更新方法，其特征在于，如果MN的家乡网络前缀发生变化，步骤1-1)中还包括HA向MN进行通告，使MN重新配置HoA，所述HoA是在DNS服务器上记录的AAAA记录。
如权利要求2或3所述的MIPv6中基于网络的DNS安全更新方法，其特征在于，步骤1-1)中，MN通过和接入路由器交互路由器请求/路由器通告接收新的前缀信息和新的HoA。
如权利要求1所述的MIPv6中基于网络的DNS安全更新方法，其特征在于，步骤1-2)中，通过在BU消息中增加1比特的标志位，表明BU消息中包含了携带AAAA记录更新密钥的选项。
如权利要求1所述的MIPv6中基于网络的DNS安全更新方法，其特征在于，还包括以下步骤：

2-1)MN向HA发送仅包含DNS Update移动选项的BU消息；

2-2)HA根据缓存的MN对应的AAAA记录更新密钥，对MN的AAAA记录和PTR记录进行安全动态更新。
如权利要求1所述的MIPv6中基于网络的DNS安全更新方法，其特征在于，还包括以下步骤：

3-1)当MN的AAAA记录更新密钥发生变更之后，MN通过向HA发送仅包含DNSKEY移动选项的BU消息进行同步；

3-2)HA接收上述BU消息，用新的AAAA记录更新密钥替换已有的AAAA记录更新密钥。
如权利要求1所述的MIPv6中基于网络的DNS安全更新方法，其特征在于，所述DNSKEY移动选项采用类型-长度-值格式，包括：

1)DNSKEY，表示此移动选项的类型为DNSKEY；

2)Length，表示包含类型和长度字段的8字节单位的选项长度，HA忽略取值为0的选项；

3)Pad Length，表示密钥信息之后的padding长度；

4)Algorithm，此8bits字段表示DNS的AAAA记录动态更新所使用的密钥算法类型；

5)Lifetime，表示此密钥的有效生存期，HA依此缓存该密钥，过期后对其进行删除；

6)DNS Update Key，此可变长度字段用于存放MN的DNS安全动态更新密钥；

7)Padding，取值为0。