基于隐私保护技术的DNS通信协议

2)密钥名目。DNSDEA 回收非对称加密要领，在 DNS 终端和DNS 处事端别离独立天生通讯密钥对(含公钥和私钥)。DNS 处事端的公钥通过现有的证书揭晓架构(certificate authority infrastructure)宣布，行使该 DNS 处事端的客户需手动设置该公钥。DNS客户端行使的密钥在查询过冲中姑且天生。思量到查询服从等身分，DNS客户端密钥在一段时刻内可一再行使。

客户端的公钥由客户端在DNS 报文的附加段以EDNS0 名目添加，通过 DNS 查询发送给 DNS 处事端。详细名目如图1所示。

图1 EDNS0名目传输PKI公钥密钥

密钥的详细内容存放在上面的选项数据中，个中前两个字节为算法标志位，标识该密钥行使的加密算法，之后两个字节为预留的标识位，最后一部门为详细的公钥数据。详细名目如图2所示。

图2 密钥名目

3)密报文名目。加密的 DNS报文的头部与平凡的 DNS报文保持同等，头部后一个字节为加密标志位。标志位后两个字节为加密数据的长度，最后一部门为的加密数据，详细名目如图3所示。

图3 加密后的DNS报文名目

加刺探问要领

行使 DNSDEA 要领时，DNS 终端必要手动设置DNS处事端的公钥。处事端的公钥可通过 PKI系统举办验证。在 DNS终端向 DNS处事端发送查询哀求时，行使 DNS 处事端的公钥对哀求资源记录(RRset)举办加密，将DNS终端的公钥建造成RRset并行使DNS处事端的公钥将其加密，天生 DNS 报文名目数据，传输给DNS处事端。

DNS 终端将凭证 DNS 协议要求，将天生的 DNS 查询报文发送给 DNS 处事端，DNS处事端行使自身私钥举办解密还原待查询的域名记录和 DNS终端的公钥信息，凭证 DNS查询逻辑探求查询功效，行使还原出来的DNS终端公钥对查询功效举办加密，发送给DNS终端。

DNS 终端吸取到应答报文后，行使其私钥信息将应答报文的应答资源记录(RRset)举办解密，并凭证DNS协议举办处理赏罚。

详细流程如图 4所示。以 www.example.com查询为例，实现加刺探问要领，首要分以下步调：(1)处事端通过 PKI宣布公钥，客户端手动设置处事端公钥;(2)客户端天生密钥对;(3)客户端结构 www.example.com 的查询包，将客户端的公钥添加在查询包的附加段，并用处事端公钥加密后，将查询包发送给处事端;(4)处事端收到加密的查询包，行使处事端私钥解密，获取 DNS查询内容和客户端公钥;(5)处事端结构www.example.com的应答包，并用客户端的公钥加密后，将应答包发送给客户端;(6)客户端收到加密的应答包，行使客户端私钥解密，得到www.example.com的应答内容。

图4 加密DNS查询流程

尝试及说明

为测试 DNSDEA 的可行性，举办了相干尝试，对DNSDEA 和基于 TLS、DTLS 加密要领的 DNS 查询举办比拟，以验证DNSDEA 的可行性及相对付今朝较风行加密要领的低耽误上风。

尝试要领

因为 DNS 查询首要通过 UDP 传输，因此尝试首要存眷 DNSDEA 和基于 DTLS 加密要领下 DNS 查询包耽误。尝试别离测试了两种加密要领行使RSA和ECC算法环境下差异巨细数据包的机能示意，通过提倡多次DNS查询取均匀值，计较各要领下DNS查询时延，较量两种要领在DNS加密行使上的特点。

尝试行使openssl-0.9.8 和crypto++5.6.5 加密库实现 RSA和 ECDSA加密，通过编程模仿了两种加密要领下DNS处事端和客户端的软件举动。客户端DNS查询均通过剧本按时轮回挪用实现，因此基于 DTLS加密的查询每次触发新的 DTLS毗连，未行使汗青会话。尝试运行情形为CentOS 5.7，处事端和客户端别离陈设在北京同城的差异节点。

尝试功效与说明

1)牢靠通讯字节时延比拟。回收10 Bit的通讯数据，操作差异强度的密钥举办测试，尝试功效如图5所示。

图5 两种DNS加密要领时延较量

从尝试功效来看，在密钥长度相称的环境下，基于DTLS 加密的 DNS 查询因为在成立毗连的进程中密钥协商耗时较大，DNS 查询整体延时大于 DNSDEA 要领下DNS延时。在RSA加密算法下，加密强度越小，密钥越短，与 DTLS要领较量，DNSDEA机能是 DTLS要领的2.79倍(界说加快比为DTLS要领与DNSDEA时延之比，其比率越高则声名 DNSDEA 时延越低，速率越快);跟着RSA密钥长度的增添到2048 Bit时，因为DNSDEA必要将客户端的密钥加密后，通过 DNS 报文传送给处事端，加密耗时明明增添，但总时延仍低于 DTLS 加密要领(图6(a))。

图6 ECDSA算法下两种DNS加密要领加快比

行使 ECDSA 加密算法环境下，密钥长度为 112、160、256 Bit时，DNSDEA对密钥加密的开销小于DTLS密钥协商的通讯开销，因此总体收集延时优于 DTLS要领，但跟着加密强度增进到521Bit时，DNSDEA对密钥自己加密的开销明显增添，明明大于 DTLS密钥协商的通讯开销，造成加密后的 DNS 查询时延急剧增添，在ECDSA 512下，机能低于DTLS要领(图6(b))。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!