[发明专利]基于DNS及其扩展协议的CCN可信寻址方法及系统

说明书

技术领域

本发明属于网络技术领域，涉及一种基于DNS及其扩展协议的内容中心网络(Content-Centric Networking，CCN)可信寻址方法，以及采用该方法的系统。

背景技术

随着信息技术的飞速发展，新的互联网应用层出不穷，致使传统IP技术面临众多挑战。特别是移动通信技术的飞速发展以及物联网和云计算等新兴数据应用的涌现，正在逐渐改变互联网用户获取服务资源的传统模式，使互联网逐步从互联互通的基本功能向支撑海量数据交互的需求发展，并对网络安全、高效移动等都提出新的挑战。

近些年，研究者使用了很多方法和手段来完善和优化现有互联网，使其支持更大规模、更高效率的数据资源获取，如在互联网架构方面建设了越来越多的数据中心，在传输层面越来越广泛地使用P2P等优化数据传输的技术。但是这些“打补丁”的方式使得传统互联网体系结构越来越冗余，功能越来越复杂。为此，国内外学者开展了对未来网络架构重新设计的诸多研究，并将其提升到了国家战略高度，旨在从根本上考虑解决当前互联网支撑高效数据传输的问题。以信息为中心的未来网络体系（Information Centric Networking，ICN），通过以标识的内容取代主机的地址，实现基于内容名字寻址与路由的新型网络架构，得到了广泛的关注，其中“内容中心网络”(Content-Centric Networking，CCN)是最为典型的代表方案。与传统方式相比，CCN基于内容名字的寻址路由致力于改变现有的网络通信模式，从关注于“资源在哪里”转变为“资源是什么”，从实现基于端地址的转发转变为基于资源名字的转发，从而能一定程度上解决路由可扩展性、数据分发效率等问题。

但是，CCN并没有提出一种能支撑未来海量业务的数据管理模型，特别是考虑到未来CCN在移动互联网中部署时，如何有效地支持动态的内容管理。此外，虽然CCN基于逐跳的寻址方式具有非常高的效率，但是缺乏有效的边界管理，从而可能造成内容寻址过程中的巨大开销。最后，CCN的寻址过程没有很好地结合当前互联网的既有基础设施，不能很好地支撑其平滑的演进。而这些正是本发明的主要出发点。

下面简要介绍一下本发明用到的当前互联网的基础设施及其核心技术：

1）DNS（Domain Name System）就是常说的域名系统。作为Internet上的每一台主机，都是用IP来标识的，然而这些烦琐的数字不仅难以记忆，又不能代表什么意义，所以应有一种便于记忆的又有意义的方式来标识Internet上的主机，那就是域名，如网易的域名是http://www.163.com/。那么域名又是怎样与IP对应起来的呢？在Internet上有许多DNS服务器，在DNS服务器的数据库中记录着IP与域名的对应关系，当你要访问某台主机时，只要提供该主机的域名，DNS就会帮你解析该主机的IP。DNS是互联网的重要基础资源，几乎所有的互联网应用都依赖于DNS解析。

2）DNS安全扩展（Domain Name System Security Extensions，DNSSEC）：DNSSEC协议是一个针对DNS协议的安全扩展，它通过给DNS的应答消息添加基于非对称加密算法的数字签名，来保证数据未经篡改且来源正确；再通过域名体系自下而上逐级向父域提交自己的公共密钥，来实现整个域名体系的逐级安全认证。具体而言，DNSSEC为DNS数据提供了三方面的安全保障：

a）数据来源验证：保证DNS应答消息来自被授权的权威服务器；

b）数据完整性验证：保证DNS应答消息在传输途中未经篡改；

c）否定存在验证：当用户请求一个不存在的域名时，DNS服务器也能够给出包含数字签名的否定应答消息，以保证这个否定应答的可靠性。

综上所述，DNSSEC本质上是在域名系统树形授权体系的基础上，再建立一套基于密码学手段的签名/验证体系，也就是信任链体系，通过信任链上的逐级安全验证，来确保DNS查询结果的真实可靠（数据完整性和非否认性）。

ICANN第一次DNSSEC根密钥生成仪式后，互联网顶级域根的密钥在2010年正式生成。目前，VeriSign等管理gTLD的大公司以及美国、英国、德国、法国、保加利亚、巴西、瑞典、捷克等国的ccTLD已开始实施DNSSEC，未来必将有更多的TLD部署和实施DNSSEC。DNSSEC支撑下的互联网将更加安全可靠。