基于dhcp的dns服務(wù)器公鑰分發(fā)機(jī)制的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于互聯(lián)網(wǎng)技術(shù)領(lǐng)域，特別涉及一種基于DHCP的DNS服務(wù)器公鑰分發(fā)機(jī)制。
【背景技術(shù)】
[0002]DNS (Domain Name System，域名系統(tǒng))，提供域名到地址相互映射，是用戶訪問互聯(lián)網(wǎng)的關(guān)鍵服務(wù)之一。用戶與DNS服務(wù)器之間通過發(fā)送DNS請(qǐng)求和回復(fù)消息，進(jìn)行地址查詢。然而，DNS消息中攜帶的域名信息會(huì)暴露用戶的個(gè)人隱私。因此，為了防止攻擊者對(duì)DNS消息的竊聽，需要對(duì)DNS消息內(nèi)容進(jìn)行加密。
[0003]用戶在發(fā)送DNS請(qǐng)求時(shí)，會(huì)先將請(qǐng)求消息發(fā)到本地的DNS服務(wù)器。本地DNS服務(wù)器先去詢問根域名服務(wù)器，再一級(jí)級(jí)向下查詢，直到得到查詢結(jié)果返回給用戶。本地DNS服務(wù)器發(fā)送DNS請(qǐng)求時(shí)使用的是自己的IP地址作為源地址，所以可以一定程度上隱藏實(shí)際的請(qǐng)求用戶。用戶與本地DNS服務(wù)器之間的通信使用的是用戶自己的IP地址，同時(shí)它們之間的通信是不受域名緩存限制的，所以這段路徑是攻擊者竊聽的理想目標(biāo)。為了保護(hù)隱私，需要將用戶與本地DNS服務(wù)器之間的DNS消息內(nèi)容進(jìn)行加密。這意味著用戶與DNS服務(wù)器之間需要某種方式安全地共享加密和解密的密鑰。
[0004]基于公鑰體制的密鑰分配是實(shí)現(xiàn)密鑰安全發(fā)送的一種有效途徑。假設(shè)通信雙方為A和B，A通過一定方式獲得B的公鑰。然后A隨機(jī)產(chǎn)生一個(gè)對(duì)稱密鑰k，并用B的公鑰加密對(duì)稱密鑰K發(fā)送給B。B接收到加密的密鑰后，用自己的私鑰解密，得到密鑰k。為了實(shí)現(xiàn)用戶與DNS服務(wù)器之間的密鑰分配，需要某種方式對(duì)DNS服務(wù)器的公鑰進(jìn)行分發(fā)，讓用戶能夠得到。
[0005]如今很多時(shí)候用戶主機(jī)上配置的本地DNS服務(wù)器地址都是由DHCP服務(wù)器下發(fā)的。這類DNS服務(wù)器一般都是由用戶所在網(wǎng)絡(luò)的ISP提供的。這為本發(fā)明提供了可行性基礎(chǔ)。

【發(fā)明內(nèi)容】

[0006]為了克服上述現(xiàn)有技術(shù)的缺點(diǎn)，本發(fā)明的目的在于提供一種基于DHCP的DNS服務(wù)器公鑰分發(fā)機(jī)制，ISP為每一個(gè)DNS服務(wù)器配置唯一的公鑰和私鑰，將公鑰記錄存在DHCP服務(wù)器中；如果用戶需要ISP為自己的DNS查詢過程提供加密措施(增值業(yè)務(wù))，ISP可以在通過DHCP給用戶配置本地DNS服務(wù)器地址的時(shí)候?qū)NS服務(wù)器的公鑰發(fā)給用戶，用戶用這個(gè)公鑰實(shí)現(xiàn)對(duì)稱密鑰的安全發(fā)送，然后用對(duì)稱密鑰加密用戶與DNS服務(wù)器之間的DNS通信。
[0007]為了實(shí)現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案是:
[0008]基于DHCP的DNS服務(wù)器公鑰分發(fā)機(jī)制，包括:
[0009]ISP為每一個(gè)DNS服務(wù)器配置唯一的公鑰和私鑰，私鑰由各個(gè)DNS服務(wù)器自己保管，公鑰均存放于DHCP服務(wù)器上；DHCP服務(wù)器上存有每一個(gè)DNS服務(wù)器的公鑰記錄。
[0010]DHCP服務(wù)器通過將包含DNS服務(wù)器公鑰的公鑰選項(xiàng)加在DHCP消息中發(fā)給用戶，為用戶配置DNS服務(wù)器的公鑰。
[0011]公鑰選項(xiàng)為一個(gè)用于發(fā)送DNS服務(wù)器公鑰的DHCP選項(xiàng)。
[0012]其中，DHCP服務(wù)器中維護(hù)著一個(gè)DNS服務(wù)器IP地址/DNS服務(wù)器公鑰的綁定表，在DHCP服務(wù)器為用戶配置IP地址時(shí)將與DNS服務(wù)器IP地址綁定的公鑰同時(shí)發(fā)給用戶，或者，在用戶請(qǐng)求DNS服務(wù)器配置參數(shù)時(shí)，DHCP服務(wù)器將與DNS服務(wù)器IP地址綁定的公鑰發(fā)給用戶。
[0013]用戶主機(jī)上維護(hù)著DNS服務(wù)器IP地址/DNS服務(wù)器公鑰/用于加密DNS消息的密鑰的綁定表，用于區(qū)別不同DNS服務(wù)器的公鑰，以及向不同DNS服務(wù)器發(fā)送DNS消息時(shí)使用的加密密鑰。
[0014]在DHCP場(chǎng)景下:
[0015]有兩種情況DHCP服務(wù)器會(huì)為用戶配置DNS服務(wù)器地址。第一種是當(dāng)DHCP服務(wù)器在給用戶配置IP地址時(shí)，用戶在DHCPDISCOVER消息的Parameter Request List選項(xiàng)中包含了 Domain Name Server字段。在DHCP服務(wù)器返回的DHCPACK消息中就會(huì)包含DomainName Server Opt1n選項(xiàng)。第二種情況是當(dāng)用戶發(fā)送DHCPINFORM消息請(qǐng)求DNS服務(wù)器配置參數(shù)時(shí)，用戶在DHCPINFORM消息的Parameter Request List選項(xiàng)中包含了 Domain NameServer 字段。
[0016]DHCP服務(wù)器在為用戶配置DNS服務(wù)器地址時(shí)，如果要為用戶提供DNS消息的加密服務(wù)，則將包含DNS服務(wù)器公鑰的選項(xiàng)加在DHCPACK消息中，且選項(xiàng)中的公鑰要與DomainName Server Opt1n選項(xiàng)中的DNS服務(wù)器IP地址相對(duì)應(yīng)。
[0017]在DHCPv6 場(chǎng)景下:
[0018]有三種情況DHCPv6服務(wù)器會(huì)為用戶配置DNS服務(wù)器地址。第一種是當(dāng)DHCPv6服務(wù)器在給用戶配置IPv6地址時(shí)，用戶在SOLICIT消息的Opt1n Request Opt1n選項(xiàng)中包含了 DNS Recursive Name Server字段。在DHCPv6服務(wù)器返回的REPLY消息中就會(huì)包含DNS Recursive Name Server opt1n選項(xiàng)。第二種是當(dāng)用戶發(fā)送RENEW或者REBIND消息更新配置參數(shù)時(shí)，會(huì)請(qǐng)求DNS服務(wù)器地址。第三種情況是當(dāng)用戶發(fā)送INFORMAT1N-QUEST消息請(qǐng)求配置DNS服務(wù)器地址時(shí)，用戶在INFORMAT1N-QUEST消息的Opt1n Request Opt1n選項(xiàng)中包含了 DNS Recursive Name Server 字段。
[0019]DHCPv6服務(wù)器在為用戶配置DNS服務(wù)器地址時(shí)，如果要為用戶提供DNS消息的加密服務(wù)，則將包含DNS服務(wù)器公鑰的選項(xiàng)加在DHCPREPLY消息中且選項(xiàng)中的公鑰要與DNSRecursive Name Server opt1n選項(xiàng)中的DNS服務(wù)器IP地址相對(duì)應(yīng)。
[0020]DHCPv6服務(wù)器通過REC0NFI⑶RE消息通知用戶DHCPv6服務(wù)器有新的配置參數(shù)，觸發(fā)用戶發(fā)送RENEW或INFORMAT1N-RQUEST消息更新配置參數(shù)。
[0021]出于安全考慮，所述DNS服務(wù)器的公鑰和私鑰可設(shè)定一個(gè)有效期，當(dāng)DNS服務(wù)器的公鑰和私鑰更新時(shí)，DHCPv6服務(wù)器發(fā)送REC0NFI⑶RE消息通知用戶，為用戶配置新的DNS服務(wù)器公鑰。
[0022]本發(fā)明的加密流程如下:
[0023]3.加密流程:
[0024]I) DHCP將DNS服務(wù)器對(duì)應(yīng)的公鑰發(fā)給用戶。
[0025]2)用戶主機(jī)上存有唯一的對(duì)稱密鑰，這個(gè)對(duì)稱密鑰可以是隨機(jī)生成的或手動(dòng)配置的，但對(duì)每個(gè)用戶是唯一的。用戶在自己主機(jī)上維護(hù)一個(gè)DNS服務(wù)器IP地址/DNS服務(wù)器公鑰/對(duì)稱密