DNSSEC技术原理及应用研究

DNS作为互联网服务的重要基础设施,存在着严重的安全漏洞,近年来针对这些安全漏洞的网络攻击给DNS和互联网带来了巨大损失。基于此,本文讨论了DNS安全扩展协议问题。文中首先对DNS的安全漏洞进行了分析,然后详细介绍了DNSSEC,主要从技术原理、实施过程、验证方法等方面进行了探讨;最后,对当前全球DNSSEC部署情况及发展趋势进行了总结和预测。     

DNSSEC域名解析的形式化描述及量化分析研究

DNSSEC将公钥体系引入DNS,实现了对数据的完整性、数据来源等验证,有效地保护了域名服务体系的安全.采用扩展的有限自动机对DNSSEC域名解析过程进行了形式化描述,引入DNSKEY,DS,NSEC3信任关系来刻画信任链建立中的信任传递过程.在此基础上,提出了DNSSEC域名解析的量化分析方法,并评估了影响其解析成功率的主要因素.分析发现,DNSSEC解析成功率与递归服务器的响应率基本呈线性关系,而信任链的长度对解析成功率的影响有限,为了保持较高的解析成功率,每级的权威服务器应部署3台以上,DNSSEC请求过程的成功率和DNSSEC验证过程中对特定资源的请求成功率应达到60%以上.上述结论对于深入分析DNSSEC解析成功率的制约因素,对DNSSEC的部署等均有重要的参考价值.     

基于区块链和DNSSEC的身份认证模型

身份认证是网络安全的重要组成部分,当前身份认证技术通过PKI体系为服务端颁发证书实现,应用广泛,但存在对CA依赖较强、存在密钥泄露和单点失败等风险.本文基于区块链和DNSSEC技术,提出了一种新的身份认证模型,支持不依赖CA的服务端和用户端的双向身份认证,同时改进了用户证书,实现了对用户设备的授权管理,在安全性和灵活性方面具有一定优势.本文首先简要介绍了身份认证技术研究现状,随后详细描述了身份认证模型整体架构、工作流程和主要功能,最后对该模型进行了分析并提出了应用实例.     

改进DNS64域名解析机制在IVI过渡方案中的应用

IVI过渡方案是IPv4/IPv6网络过渡时期实现两种不同协议网络互联互通的重要机制,而对IVI DNS64域名解析机制的设计和部署是IVI过渡方案中的重要研究课题.本文针对IVI过渡方案中现有的域名解析机制存在的IPv6主机访问IPv4环境中双栈服务器时DNS64代理对双栈服务器的合成AAAA类型记录和真实AAAA类型记录的选择而造成的无法访问的问题和IPv6环境下的双栈主机查询IPv4服务器A类型记录却得到合成AAAA类型记录应答等缺陷,提出一种改进的域名解析机制,能够有效解决现有解析机制存在的缺陷,从而完善IVI DNS64域名解析机制.仿真结果表明,改进后的机制可使得IPv6环境中的主机通过IVI DNS64代理来共享IPv4环境中的DNS服务,同时避免了原方案中存在的问题.改进的IVI DNS64机制已应用在CNGI-CERNET2网络的实际部署中.     

一种基于区块链的DNSSEC公钥验证机制

针对中心化域名安全扩展(Domain name system security extensions, DNSSEC)架构所导致的信任链复杂性和单边控制模式, 提出了一种去中心化的DNSSEC公钥验证机制. 该机制结合区块链结构、密码学累加器和共识算法设计, 创新性地实现使用区块链技术的密钥绑定、轮转和验证操作, 无需中心化权威节点即可使用可信公钥验证域名记录. 进一步分析和实验表明, 所提出的机制在保证密钥管理安全性的同时, 提高了密钥验证的效率.     

免密钥托管的基于身份的分层加密机制研究

为解决基于身份加密的密钥托管问题,提出了一种针对密钥生成中心的密文不可区分性ACI-KGC的安全性的改进方案。该方案首先描述了如何改进架构,以达到ACI-KGC安全性。引入第三方信任机构ICA,通过匿名密钥生成协议联合生成用户私钥,在这一过程中,可以确保私钥生成器无法获知用户身份信息,从而无法伪造用户私钥。然后将改进的机制应用到现有的基于身份的分层加密方案中,并且分析证明,在保持性能的前提下达到了更好的安全性。     

Zeroconf网络的安全性分析及改进

分析并指出Zeroconf（Zero configuration）网络易受到DNS欺骗攻击,提出并实现了一种增强其安全性的改进策略。该策略通过DNSSEC对Zeroconf网络中DNS消息收发提供权限认证和信息完整性检查,同时针对Zeroconf网络无中心、自组织的特点,改进DNSSEC原有的公钥分配和管理机制以适应其特性。实验结果证实该策略提高了Zeroconf网络的安全性。     

微课的设计与制作——以“DNS域名解析服务”微课制作为例

正微课作为一种全新的资源类型,以其短小精悍的特点,为课堂教学改革和个性化学习创造了条件。本文以DNS域名解析服务微课的设计与制作,谈谈对微课程的理解及制作的注意事项。1什么是微课程微课程中的微基本字义是小、细小,主要体现在时间上,微课的时间一般控制在5-8分钟。黎加厚老师对微课程的理解是指时间在10分钟以内,有明确教学目标,内容短小,集中说明一个问题的小课程。微课程的核心是微视频,但微视频并不等同于微课程,微视频需要与学习单、学生的学习活动结合起来,这才是一个完整的微课程。     

基于信任链的系统安全免疫机制

恶意代码的传播和破坏已经成为当前最严重的信息安伞威胁之一,计算机终端缺乏对町执行代码的控制机制使得恶意代码的破坏变得异常容易.本文提出一种基于信任链的系统安全免疫机制,保证计算平台在启动以及运行过程中始终阻止恶意代码(含已知和未知)的执行,使计算平台处于一个可信的状态中,从而保证终端的安全性.作者在Windows操作系统上对这一机制进行了实现和优化,证明了该机制的有效性.     

嵌入式系统的安全启动机制研究与实现

针对目前移动智能平台系统面临的安全威胁,利用可信计算技术解决嵌入式系统的安全问题,是一种可行且高效的安全解决方案。在不改变现有移动设备硬件架构的前提下,提出了一种嵌入式平台系统的安全启动机制,将安全TF卡作为外置可信平台模块,构建了一条从Bootloader到上层应用程序的完整的信任链,该信任链的起点保护在安全TF卡的安全区域内,启动过程中各个组件的度量标准值由安全TF卡中的密钥签名存放。描述了该机制的实现过程,并对其安全性、效率进行了详细的分析测试。实验结果显示,该机制能够抵御针对嵌入式平台的多种攻击,有效保护嵌入式系统安全。     

域名信息主动获取及备份系统的设计和实现*

为解决因国外根/顶级域名系统无法提供域名解析服务而影响我国互联网正常运行的问题,设计并实现了一种高效的DNS信息获取及备份恢复系统。通过被动获取DNS数据包与主动发送DNS请求相结合的方式,可获取网络中活跃的域名信息。利用基于可变长请求队列的发送速度自适应方法来有效控制请求效率,以适应网络带宽和DNS服务器负载。详细介绍了整个系统的设计和实现,并进行了性能测试与分析。该系统对建设国家根/顶级域名备份恢复系统具有重要参考价值。     

NAT-PT网关域名解析缺陷与改进

DNS-ALG(DNS应用层网关)被设计用来使NAT-PT网关更具实用性,并围绕它设定了域名解析规则.但现有NAT-PT网关域名解析模块的设计及规则在实际使用中暴露出不适应现实复杂网络的问题.在对以DNS-ALG为核心的域名解析模块进行说明的基础上,针对NAT-PT网关域名解析模块存在的问题进行分析并提出改进方案,方案对模块设计与规则进行了修改,提高了NAT-PT网关的适应能力和使用效率.     

基于命名及解析行为特征的异常域名检测方法

设计了DNS解析统计向量和检测特征向量,提出了一种基于命名及解析行为特征的异常域名检测方法,通过应用真实DNS解析数据的实验验证了该方法的有效性和可行性。实验表明,该方法较现有方法能够发现更多的异常域名,且具有较低的误报率。该方法是对现有方法检测能力的补充和提高,为僵尸网络等安全事件的检测与控制提供有效的信息支持和技术手段。     

Handle系统与域名系统互联互通机制:一种基于标记语言描述协议数据单元的实现

基于对理论和实践两个层面的认识，Handle系统和域名系统将在未来很长一段时间内共存，而两种标志解析系统的解析协议和编码规则并不兼容，导致两者之间的数据空间无法共享，信息无法流通，降低了用户体验。因此，两种标志符解析系统的互联互通是当前亟需解决的一个问题。通过分析已有解决方案的利弊，发现协议数据单元与协议本身的分离可解决两个系统的解析协议和编码规则不兼容问题。利用这一分离机制，设计并实现了一种基于代理服务器的Handle系统与域名系统互联互通机制。实验结果表明，相对于传统客户端-服务器模式而言，该机制在不同应用场景下解析响应时间增量占比小，均在可接受范围内。     

Enlarging the domain of attraction and maximising convergence rate for delta operator systems with actuator saturation

In this paper, we present some new approaches to improve the feedback property of delta operator systems with actuator saturation. Both enlarging the domain of attraction and maximising the convergence rate are the desired feedback properties. The lifting technique is used to enlarge the domain of attraction for the delta operator systems subject to actuator saturation. The maximisation of convergence rate is realised by designing control gain inside a given ellipsoid. A necessary and sufficient condition is proposed for the contractive invariance of the given ellipsoid. Simulation results are provided to demonstrate the effectiveness of the developed techniques.