基于隐私保护技术的DNS通信协议

域名体系(DNS)是互联网基本处事，是互联网会见的重要进口，域名隐私掩护是 DNS安详的研究热门。本文提出了一种基于用户数据报协议的DNS传输顶用户隐私掩护的加密要领：DNSDEA。该要领回收PKI加密系统与DNS协议相融合，不只办理了域名隐私掩护题目，并且与传统DNS系统相兼容，保持了DNS体系的简朴、高效的技能特点。

域名体系(domain name system，DNS)是互联网的重要基本处事之一，首要通过域名和互联网协议地点(IP)等互联网基本资源之间的映射与转换，实现标识和定位互联网上处事器和处事进口。DNS是一个相对成熟的环球性漫衍式数据库，为互联网提供高效不变的互联网标识理会处事。

1983 年，Mockapetris提出 DNS 架构，随后该构架在不绝地一连演进和优化。在计划之初，域名体系在域名协议方面并没有思量完整的安详机制。1999年，DNS安详扩展协议(domain name system security extensions，DNSSEC)被提出，其可以或许有用低落中间人进攻的风险，担保 DNS传输数据的完备性，从而晋升 DNS体系的安详处事手段。2010年，互联网域名的根处事开始陈设 DNSSEC处事，符号着域名处事开始向安详处事偏向迈进，DNS 也从一个简朴的名址转换处事向伟大的、可信的理会处事成长，传输层安详协议DANE(DNS-based authentication of named entities)就是基于 DNSSEC协议将数字证书通过 DNS处事举办宣布，以确担保书来自特定的证书揭晓机构。

跟着互联网遍及率的不绝进步及其对出发糊口的不绝渗出，人们已经对互联网发生了越来越强的依靠性，当前的互联网已不只是获取和分享信息的途径，并且已成为大大都传统行业营业体系的基本载体，因此隐私题目已经成为互联网亟待办理的一个重要题目。DNS 首要回收用户数据报协议(user datagram protocol，UDP)协议明文传输方法举办名址转换，固然DNSSEC协议晋升了数据改动难度，可是依然回收明文方法提供理会处事。作为互联网基本处事，DNS 对付用户隐私掩护依然示意出了懦弱性。今朝 DNS 有关安详的命题被真正办理得还较少，而个中的隐私题目也已成为行业存眷的核心题目并逐渐获得重视。一方面，行业内回收查询最小化(query minimization)要领低落隐私窃取风险，行使数据最小化(data minimization)道理镌汰 DNS势力巨子处事网络小我私人隐私信息;另一方面，针对 DNS理会处事进程中隐私泄漏的题目，国际组织Internet Engineering Task Force(IETF)于2014年专门创立 The DNS PRIVate Exchange(DPRIVE)事变组接头并拟定 DNS 隐私掩护协议，但愿回收数据加密传输的方法实现 DNS隐私掩护。基于此配景，本文提出一种基于UDP的DNS传输顶用户隐私掩护的加密要领。

研究近况

当前，绝大大都 DNS 处事和终端之间的数据互换(首要包括哀求和反馈)回收明文、非加密的方法举办，这将导致用户隐私袒露在互联网通讯中，其隐私方面的懦弱性将会被黑客所操作，譬喻黑客可以网络用户的会见陈迹(查询时刻、会见内容、用户IP地点等)等信息说明用户风俗等。针对这个题目，今朝首要有以下两种要领掩护DNS查询进程中的用户隐私。

DNS数据报文加密

Dempsky 提出了 DNSCurve 要领，该要领基于现有 DNS 系统架构，行使Curve25519 在客户端和处事器端互换密钥以及提招供证和数据加密。处事端的公钥存放在“NS”记录中发送给客户端，因此行使 DNSCurve加密DNS报文并不会带来特殊查询耽误。DNSCrypt是DNSCurve较量著名的一个实现，已在 OpenDNS的处事上获得普及陈设，用来办理终端用户的隐私掩护题目。相同的ConfidentialDNS也行使了 DNS的扩展机制为 DNS协议增进加密成果。它提出一种新的资源记录范例“ENCRYPT”来传送 DNS处事器的公钥到客户端。然后客户端行使处事器公钥加密 DNS 查询哀求，以及用来加密 DNS相应的客户端公钥，从而实现对 DNS哀求和反馈数据举办加密掩护。这两种方案固然能有用办理DNS 明文传输所带来的懦弱性题目，可是必要在DNS通讯两头都陈设安装插件(或进级理会软件)实现DNS通讯从明文到密文的方针，推广本钱较大，以是今朝行使并不普及。

DNS通讯链路加密

TLS(transport layer security)是一种为收集通讯提供数据保密以及完备性的安详协议，它在传输层对收集毗连举办加密。今朝 TLS 最常见的一种应用是HTTPS协议，它行使公钥加密对网站举办认证，同时行使对称加密对数据传输举办加密。TLS必要 TCP协议来担保信道的靠得住传输，不能直接用来加密掩护 UDP协议的数据，假如 DNS但愿行使 TLS加密掩护数据，就必需行使 TCP协议。然而近况是绝大部门的 DNS查询行使 UDP协议，切换为 TCP协议是一个恒久的进程，而且价钱庞大。因此，就现阶段来说，DNS-over-TLS并不是一个可行的隐私掩护方案。

DTLS(datagram transport layer security)数据包传输层安详协议是在TLS架构上提出的一种扩展，可以或许支持 UDP 协议。DTLS 使得直接加密 UDP 协议的 DNS 查询报文变得可行。IETF草案提出的DNS-over-DTLS具体描写了怎样行使DTLS技能加密DNS报文。

DNS-over-TLS 和 DNS-over-DTLS 行使互联网尺度协议 TLS 和 DTLS 来实现 DNS 密文通讯。这两种要领都是回收 TLS 协议举办 DNS 改造，但该要领必要在通讯之前必要成立握手、认证等一系列伟大收集通讯才气实现，对付会见量庞大、开销相对较小的 DNS处事提出了较高的收集开销和机能要求。

上述两种要领对付耽误敏感、高吞吐量的互联网基本处事DNS来说，都带来了较大挑衅。

DNS密文通讯要领

提出了一种新的 DNS加密通讯要领DNSDEA(DNS data encryption algorithm)，该要领在现有 DNS架构和报文名目下回收非对称加密算法的密文方法通讯。通过DNS查询传输客户端的公钥，以低落基于TLS等要领成立链接的开销，减低查询延时。同时，操作其无状态特征进步处事端的并发性。

报文布局

1)加密标志位。为标志一个 DNS 报文是否为加密报文，将 DNS 报文头部后的第一个字节定位为加密标志位。对付一个正常的未加密 DNS 报文，该字节暗示查询域名第一段的长度，凭证互联网协议尺度(request for comments，RFC)，长度应小于 64。将该字节拓展为加密标志位，若该字节小于 64，暗示 DNS报文为非加密报文，若大于64，暗示该报文为加密报文。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!