基于隐私保护技术的DNS通信协议( 三 ) _DNS

文章插图
图4 加密DNS查询流程

实验及分析

为测试 DNSDEA 的可行性，进行了相关实验，对DNSDEA 和基于 TLS、DTLS 加密方法的 DNS 查询进行对比，以验证DNSDEA 的可行性及相对于目前较流行加密方法的低延迟优势。

实验方法

由于 DNS 查询主要通过 UDP 传输，因此实验主要关注 DNSDEA 和基于 DTLS 加密方法下 DNS 查询包延迟。实验分别测试了两种加密方法使用RSA和ECC算法情况下不同大小数据包的性能表现，通过发起多次DNS查询取平均值，计算各方法下DNS查询时延，比较两种方法在DNS加密使用上的特点。

实验使用openssl-0.9.8 和crypto++5.6.5 加密库实现 RSA和 ECDSA加密，通过编程模拟了两种加密方法下DNS服务端和客户端的软件行为。客户端DNS查询均通过脚本定时循环调用实现，因此基于 DTLS加密的查询每次触发新的 DTLS连接，未使用历史会话。实验运行环境为centos 5.7，服务端和客户端分别部署在北京同城的不同节点。

实验结果与分析

1）固定通信字节时延对比。采用10 Bit的通信数据，利用不同强度的密钥进行测试，实验结果如图5所示。

文章插图
图5 两种DNS加密方法时延比较

从实验结果来看，在密钥长度相等的情况下，基于DTLS 加密的 DNS 查询由于在建立连接的过程中密钥协商耗时较大，DNS 查询整体延时大于 DNSDEA 方法下DNS延时。在RSA加密算法下，加密强度越小，密钥越短，与 DTLS方法比较，DNSDEA性能是 DTLS方法的2.79倍（定义加速比为DTLS方法与DNSDEA时延之比，其比率越高则说明 DNSDEA 时延越低，速度越快）；随着RSA密钥长度的增长到2048 Bit时，由于DNSDEA需要将客户端的密钥加密后，通过 DNS 报文传送给服务端，加密耗时明显增长，但总时延仍低于 DTLS 加密方法（图6（a））。

文章插图
图6 ECDSA算法下两种DNS加密方法加速比

使用 ECDSA 加密算法情况下，密钥长度为 112、160、256 Bit时，DNSDEA对密钥加密的开销小于DTLS密钥协商的通信开销，因此总体网络延时优于 DTLS方法，但随着加密强度增加到521Bit时，DNSDEA对密钥本身加密的开销显著增长，明显大于 DTLS密钥协商的通信开销，造成加密后的 DNS 查询时延急剧增长，在ECDSA 512下，性能低于DTLS方法（图6（b））。

2）固定密钥长度时延对比。使用RSA算法，选取密钥长度为1024位，测试了不同长度的DNS报文在DNSDEA、DTLS方法的时延情况，实验结果如图7所示。

文章插图
图7 RSA在1024位密钥长度下的时延对比

由于 DTLS在密钥协商成功后，采用对称密钥加密数据，因此随着 DNS报文的加大，基于 DTLS 的 DNS加密方法时延增长不明显，而 DNSDEA 在 DNS 报文较大时，其传输时延明显增长（图8）。

文章插图
图8 1024位密钥长度下DTLS与DNSDEA的加速比

实验可以看出，在 1024 位密钥加密条件下，采用DNSDEA 传输时延整体明显低于基于DTLS 的 DNS 加密方法。

综上所述，在密钥长度和传输报文较小时，DNSDEA时延明显低于 DTLS方法；基于DTLS加密的方法，由于在连接建立后，双方采用对称密钥加密，其耗时的增长幅度要小于DNSDEA；由于多数 DNS 报文的大小一般都在 200Byte 以内，因此相较于 DTLS 方法，DNSDEA 可以明显降低 DNS 加密传输时延。此外，DNSDEA 基于 DNS传输，其无状态的特性也可以明显提升服务端的并发性。

随着互联网个人隐私问题得到更多人的关注，DNS隐私泄露问题将会越发突出。针对DNS个人隐私问题的现有技术进行分析，在现有技术解决方法基础上提出了一种新的DNS加密通信方法：DNSDEA 。与传统方法相比，该方法在现有 DNS 架构和报文格式下采用非对称加密算法的密文方式通信，不仅完成了 DNS 个人隐私保护，而且提升了域名解析核心算法的并行粒度，降低了 DNS终端与 DNS服务端之间的通信开销，有效保持了DNS低延迟的特性。

针对 RSA、椭圆加密算法（ECC）等加密算法进行了实验，以期为后续通信加密应用研究和 DNS 安全解析并行化研究提供一定参考，并且深入探索 DNSDEA 方法针对 DNSSEC TLSA协议的扩展，提升加密通信安全水平。后续将深入研究 DNSDEA方法对于网络社交和大数据交换领域的改进与影响，进一步减小互联网隐私泄露风险。（责任编辑刘志远）