基于隐私保护技术的DNS通信协议

由于 DTLS在密钥协商成功后，采用对称密钥加密数据，因此随着 DNS报文的加大，基于 DTLS 的 DNS加密方法时延增长不明显，而 DNSDEA 在 DNS 报文较大时，其传输时延明显增长(图8)。

图8 1024位密钥长度下DTLS与DNSDEA的加速

实验可以看出，在 1024 位密钥加密条件下，采用DNSDEA 传输时延整体明显低于基于DTLS 的 DNS 加密方法。

综上所述，在密钥长度和传输报文较小时，DNSDEA时延明显低于 DTLS方法;基于DTLS加密的方法，由于在连接建立后，双方采用对称密钥加密，其耗时的增长幅度要小于DNSDEA;由于多数 DNS 报文的大小一般都在 200Byte 以内，因此相较于 DTLS 方法，DNSDEA 可以明显降低 DNS 加密传输时延。此外，DNSDEA 基于 DNS传输，其无状态的特性也可以明显提升服务端的并发性。

随着互联网个人隐私问题得到更多人的关注，DNS隐私泄露问题将会越发突出。针对DNS个人隐私问题的现有技术进行分析，在现有技术解决方法基础上提出了一种新的DNS加密通信方法：DNSDEA。与传统方法相比，该方法在现有 DNS 架构和报文格式下采用非对称加密算法的密文方式通信，不仅完成了 DNS 个人隐私保护，而且提升了域名解析核心算法的并行粒度，降低了 DNS终端与 DNS服务端之间的通信开销，有效保持了DNS低延迟的特性。

针对 RSA、椭圆加密算法(ECC)等加密算法进行了实验，以期为后续通信加密应用研究和 DNS 安全解析并行化研究提供一定参考，并且深入探索 DNSDEA 方法针对 DNSSEC TLSA协议的扩展，提升加密通信安全水平。后续将深入研究 DNSDEA方法对于网络社交和大数据交换领域的改进与影响，进一步减小互联网隐私泄露风险。

本文作者：张海阔，陆忠华，陈闻宇，陈连栋，左鹏，王珏，徐彦之

作者简介：张海阔，中国科学院计算机网络信息中心，中国科学院大学，中国互联网络信息中心，博士研究生，研究方向为计算机系统结构;陈闻宇(通信作者)，中国科学院计算机网络信息中心，中国科学院大学，中国互联网络信息中心，高级工程师，研究方向为计算机系统结构。

（编辑：青岛站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!