技術領域

本發明涉及通信網絡領域的網絡安全技術，尤其涉及一種DNS動態更新的方法、裝置和系統。

背景技術

在Internet中，通常將IP地址作為主機的網絡層標識。然而IP地址只是一串數字，為了便于記憶，于是產生了主機名。在通信過程中，又需要使用通信實體的IP地址，因此需要能夠將主機名翻譯成相應的IP地址。最初的主機名與IP地址映射是保存在網絡接口卡(Network?Interface?Card，NIC)的hosts.txt文件中的，當時因為主機數量少，這個文件也不經常變化，因此其它主機幾天一次從NIC的主機上下載這個文件進行主機名和IP地址映射就可以了。但隨著網絡規模的擴展和主機數量的增多，頻繁的下載請求對NIC的主機造成巨大的壓力，同時也影響了服務質量。許多局域網用戶希望自己管理自己的主機名，而不希望等NIC許多天把自己的主機名加在hosts.txt文件中，有些組織也希望有自己的名字空間配置。最終決定使用層次式的名字空間組織方案，即域名系統(Domain?Name?System，DNS)。DNS是一個大型的分布式數據庫系統，它所執行的基本功能是網絡資源名稱(從最早簡單網絡上的每個主機名到后來的域名、郵件地址等)與IP地址之間的翻譯。DNS數據庫系統中的記錄被稱為資源記錄(Resource?Record，RR)，具有相同的Label、Class、Type，但Data不同的一組資源記錄稱為資源記錄集(RRSet)。

自治性與開放性是DNS設計的主要原則，在DNS的設計之初并沒考慮其安全問題。比如攻擊者在DNS中將某合法網站的IP地址篡改為假冒、惡意網站的IP地址，如果一個普通用戶打算訪問這一網站，但沒有該網站的IP地址時，首先要發起DNS查詢，這樣該用戶的網絡流量就會被引到一個惡意的網站，并且很有可能泄漏該用戶的保密信息。為了解決DNS相關的安全問題，域名系統安全擴展(DNS?Security?Extension，DNSSEC)提出了一系列措施，其主要思想是通過公鑰簽名技術對DNS中的信息進行簽名，對DNS信息進行數據源認證和完整性檢查。通過獲取驗證簽名的公鑰，域名解析器可以通過對簽名的驗證來判斷獲得的資源記錄的真實性和完整性。

為了更好的適應互聯網的發展，國際網絡標準組織IETF提出了新的IP版本IPv6，IPv6協議提供了巨大的地址空間，這成為推廣IPv6的最大動力。互聯網上的許多應用大都離不開域名系統(DNS)的支持，IPv6網絡中的DNS非常重要，一些IPv6的新特性和DNS的支持密不可分。IPv6支持地址自動配置，這是一種即插即用的機制，即在沒有任何手工干預的情況下，IPv6網絡接口可以獲得鏈路局部地址、站點局部地址和全局地址等，并且可以防止出現地址重復的沖突。IPv6支持無狀態地址自動配置和有狀態地址自動配置兩種方式，DHCP是一種有狀態自動配置的機制，RFC2462中描述了IPV6的無狀態自動配置。對于IPv6地址進行無狀態自動配置的節點首先確定自己的鏈路本地地址；然后驗證該鏈路本地地址在鏈路上的唯一性；最后確定需要配置的IPv6地址等信息。根據IPV6中的定義，狀態自動配置和無狀態自動配置可以共存并可一起操作。密碼學生成地址(Cryptographically?Generated?Addresses，CGA)是IPv6地址無狀態自動配置生成接口標識的一種機制，它主要是為了防止IP地址的盜用和欺騙，增強了IPv6地址的安全性。CGA的基本思想是通過計算公開密鑰的散列值來得到IPv6地址的接口標識符。相應的私鑰可以對從這個地址發送的報文進行數字簽名。為了驗證IP地址和公開密鑰之間的關聯，驗證器需要知道IP地址本身，公開密鑰和輔助參數的值。驗證器可以繼續驗證公開密鑰所有者簽名的報文。因為CGA機制本身沒有被公共的可信第三方認證，所以攻擊者可以用任意的子網前綴和他自己的公開密鑰生成新的CGA。但攻擊者不能使用其他人的CGA發送簽名的報文并通過驗證，除非可以獲得他人的私鑰。

對于網絡中的服務器，用戶可以通過固定的域名來訪問它，而不必關心它的IP地址是否變化，也不必記住它冗長難記的128位IPv6地址。這就要建立起域名和IP地址之間的對應關系。當用戶與服務器通信時，可以由域名獲得對應的IPv6地址。