基于Ｈａｎｄｌｅ名字解析系統(tǒng)的ＥＮＵＭ技術(shù)解決方案

摘 要：電信網(wǎng)絡(luò)資源如何與因特網(wǎng)結(jié)合以發(fā)揮更大的作用成為當(dāng)前人們所關(guān)注的問(wèn)題。為此，簡(jiǎn)單介紹了促進(jìn)融合的關(guān)鍵技術(shù)ENUM，然后對(duì)ENUM的研究現(xiàn)狀，ENUM技術(shù)在安全性和隱私保護(hù)方面存在的問(wèn)題作了較深入的探討;提出了一種更加安全可靠、易于管理的ENUM技術(shù)解決方案。

關(guān)鍵詞：ENUM；DNS；NAPTR；Handle；SIP

中圖法分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1001-3695(2006)10-0223-03

Project on Handlebased ENUM Technology

FENG Tao1，2，YAN Baoping1，ZHU Xiaolian3

(1．Center of Computer Network Information， Chinese Academy of Sciences， Beijing 100080， China;2.School of Graduate， Chinese Academy of Sciences， Beijing 100049， China;3.Hebei Normal University， Shijiazhuang Hebei 050016， China）

Abstract:The issues which how to converge the resource of telecommunication network with Internet to take more effect becomes the concerns of the multitude. The key technology about the convergence of Internet and telecommunication network is introduced in this article firstly， namely ENUM. Then the study status， security and privacy of ENUM is researched in depth. At the end of this article， a solution of more security and more reliable，easier management to ENUM is recommended.

Key words:ENUM;DNS;NAPTR;Handle;SIP

隨著全球信息產(chǎn)業(yè)的發(fā)展，互聯(lián)網(wǎng)與通信網(wǎng)的融合成為發(fā)展趨勢(shì)。隨著用戶通信方式的多樣化，單一號(hào)碼接入多種應(yīng)用并通過(guò)統(tǒng)一的管理點(diǎn)管理所有通信聯(lián)絡(luò)信息的需求凸現(xiàn)出來(lái)。ENUM技術(shù)就是在此基礎(chǔ)上發(fā)展起來(lái)的。

1 ENUM技術(shù)簡(jiǎn)介

ENUM是IETF電話號(hào)碼映射工作組定義的協(xié)議——RFC2916，RFC3761。該協(xié)議定義了將標(biāo)準(zhǔn)的E.164號(hào)碼轉(zhuǎn)換成域名格式的規(guī)則，以E.164電話號(hào)碼+8610-82683968為例，ENUM對(duì)電話號(hào)碼的處理過(guò)程如下：

(1)將一個(gè)電話號(hào)碼處理成一個(gè)標(biāo)準(zhǔn)的E.164號(hào)碼，其格式為+8610-82683968；

(2)去掉除最左端的“+”外的所有連接符，變成：+861082683968；

(3)去掉“+”號(hào)，并將號(hào)碼翻轉(zhuǎn)為869386280168；

(4)在每個(gè)數(shù)字之間加上域名分割符“.”：8.6.9.3.8.6.2.8.0.1.6.8；

(5)在這個(gè)串后面加上特定的ENUM域后綴。目前使用的后綴為“.e164.arpa”，得到一個(gè)域名格式的字符串：8.6.9.3.8.6.2.8.0.1.6.8. e164.arpa。

于是就可以為這個(gè)電話號(hào)碼在DNS中添加NAPTR資源記錄。NAPTR的資源記錄格式如下：

IN NAPTR 10 10 \"u\" \" E2U+mailto \" !^.*S!mailto:fengtao@cnnic.cn!\"

IN NAPTR 10 20 \"u\" \" E2U+sip \" \"!^.*S!sip:keli@sip.asrc.cn!\"

IN NAPTR 10 10 \"u\" \"http+E2U\" \"!^.*S!http://www.enum.cn!\"

這樣只需要通過(guò)一個(gè)電話號(hào)碼861082683968，支持ENUM技術(shù)的Web終端就可以訪問(wèn)網(wǎng)站http://www.enum.cn，郵件終端就可以向fengtao@cnnic.cn發(fā)送電子郵件，SIP終端也可以向keli@sip.asrc.cn發(fā)起呼叫等。也就是說(shuō)ENUM可以為這些不同的通信方式提供不同的地址，保證用戶能得到所請(qǐng)求的正確信息。現(xiàn)在ENUM支持的協(xié)議有HTTP，F(xiàn)TP，Email，SIP，H323，Msg，Tel，F(xiàn)ax，LDAP等。

2 ENUM的研究現(xiàn)狀和存在的問(wèn)題

ENUM的提出受到了國(guó)際標(biāo)準(zhǔn)組織和多個(gè)國(guó)家政府的重視，從2000年開(kāi)始，一些國(guó)家陸續(xù)開(kāi)始了ENUM試驗(yàn)和標(biāo)準(zhǔn)研究。IETF，ITU以及一些國(guó)家和地區(qū)性標(biāo)準(zhǔn)組織積極探索ENUM應(yīng)用和管理之道。目前，部分國(guó)家已經(jīng)開(kāi)始商用，如奧地利在2004年12月成為第一個(gè)開(kāi)始ENUM商業(yè)運(yùn)行的國(guó)家。運(yùn)行的號(hào)碼包括地區(qū)碼、移動(dòng)號(hào)碼及可攜號(hào)碼等，而其下一步工作就是要開(kāi)放+43780號(hào)碼段。德國(guó)也預(yù)計(jì)今年年底投入商用。

雖然經(jīng)過(guò)IETF，ITU等國(guó)際組織和各個(gè)國(guó)家的共同努力，ENUM已經(jīng)在技術(shù)上趨于成熟，但其他方面還存在著一些問(wèn)題，尤其是在安全性和隱私保護(hù)方面。

(1)安全性是指保護(hù)用戶信息的正確性，使其不被非法用戶攔截、中轉(zhuǎn)和修改。目前ENUM系統(tǒng)面臨著各種各樣的安全威脅。例如，欺騙性訪問(wèn)與應(yīng)答、非法入侵系統(tǒng)、竄改用戶數(shù)據(jù)、拒絕服務(wù)類(lèi)的攻擊、通信的竊聽(tīng)與破壞等。ENUM系統(tǒng)的安全問(wèn)題主要分為DNS系統(tǒng)的安全性和注冊(cè)信息的安全性。

①域名系統(tǒng)（Domain Name System，DNS）是計(jì)算機(jī)網(wǎng)絡(luò)中的一個(gè)基礎(chǔ)服務(wù)，DNS通常是作為眾多Internet服務(wù)（如WWW，F(xiàn)TP，Email，SIP等）的尋址基礎(chǔ)。但是現(xiàn)在通用的DNS是一種分布式的公開(kāi)查詢系統(tǒng)，幾乎任何人都可以查詢系統(tǒng)中的所有信息（除了一些簡(jiǎn)單的控制），而且對(duì)這些查詢沒(méi)有采取足夠的安全措施，其協(xié)議過(guò)于簡(jiǎn)單，所以DNS系統(tǒng)也較容易遭受到各種各樣的攻擊和破壞，可能的攻擊手段有:

●DNS欺騙攻擊。其目的是竄改網(wǎng)絡(luò)中的域名信息，以提供錯(cuò)誤的網(wǎng)址。攻擊方式可以是在DNS服務(wù)器的域里面加入大量偽造信息、假冒或修改DNS請(qǐng)求應(yīng)答的數(shù)據(jù)，從而使用戶獲得錯(cuò)誤的地址指向。DNS欺騙的過(guò)程如圖1所示。

當(dāng)攻擊者擁有一個(gè)或多個(gè)在Internet上的DNS服務(wù)器后，指定這些服務(wù)器負(fù)責(zé)解析的域名，如ahjone.com，并在上面?zhèn)卧炱銩記錄和NS記錄，然后攻擊某臺(tái)服務(wù)器：

攻擊者向欲攻擊的DNS服務(wù)器發(fā)送www.ahjone.com的遞歸查詢請(qǐng)求，引導(dǎo)該服務(wù)器去查詢攻擊者的DNS服務(wù)器;

被攻擊的DNS服務(wù)器將查詢請(qǐng)求轉(zhuǎn)發(fā)到攻擊者控制的DNS服務(wù)器上;

攻擊者控制的服務(wù)器返回該域名的查詢結(jié)果;

被攻擊的DNS服務(wù)器將返回的查詢結(jié)果保存在其緩存中并返回給攻擊者;

用戶向該DNS服務(wù)器發(fā)送域名為www.ahjone.com的查詢請(qǐng)求;

該DNS服務(wù)器查詢自己的緩存，并返回給用戶攻擊者偽造的數(shù)據(jù)。

●拒絕服務(wù)攻擊。其目的就是拒絕DNS服務(wù)器響應(yīng)正常的訪問(wèn)，破壞組織的正常運(yùn)行，最終使部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。其攻擊方式有多種，最基本的拒絕服務(wù)攻擊就是利用合理或不合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使其他合法用戶無(wú)法得到正常的服務(wù)。

針對(duì)這些缺陷，IETF及其他一些國(guó)際組織提出了很多關(guān)于DNS協(xié)議擴(kuò)展方面的技術(shù)，如DNSSEC，TSIG，DNS動(dòng)態(tài)更新等，使很多問(wèn)題得以解決。然而，這并沒(méi)有從根本上改變DNS協(xié)議的體系結(jié)構(gòu)。DNS服務(wù)仍然缺乏在訪問(wèn)控制、服務(wù)的可靠性等方面的能力。

②注冊(cè)信息的安全性是指ENUM用戶在向注冊(cè)商注冊(cè)和注冊(cè)商與DNS服務(wù)器之間交互信息的過(guò)程中，用戶信息有可能被攔截或竄改。例如通過(guò)信息攔截、中間人攻擊和重發(fā)攻擊等方式來(lái)破壞用戶信息的真實(shí)性和完整性。

(2)隱私保護(hù)是指有些用戶信息涉及個(gè)人隱私，應(yīng)保證這些信息不被不相干的人獲得。在ENUM系統(tǒng)中用戶注冊(cè)的大部分信息均涉及到了個(gè)人隱私，如手機(jī)號(hào)碼、家庭電話號(hào)碼、個(gè)人Email地址等。這些信息均存儲(chǔ)在開(kāi)放的DNS系統(tǒng)上，傳統(tǒng)的DNS服務(wù)對(duì)全球所有的用戶都是公開(kāi)的，任何人都可以通過(guò)網(wǎng)絡(luò)查詢注冊(cè)到DNS系統(tǒng)中的內(nèi)容。對(duì)于用戶而言，他們可能只希望公開(kāi)部分信息，其他信息僅僅只想讓他的親朋好友知道。要實(shí)現(xiàn)這種類(lèi)型用戶的需求，傳統(tǒng)的DNS服務(wù)就無(wú)能為力了。

3 基于Handle 系統(tǒng)的ENUM技術(shù)

通過(guò)以上的分析可以發(fā)現(xiàn)DNS 脆弱的安全性和可靠性缺乏對(duì)數(shù)據(jù)的訪問(wèn)控制機(jī)制是導(dǎo)致ENUM系統(tǒng)存在諸多問(wèn)題，難以大規(guī)模推廣的主要原因。為了從根本上解決ENUM的安全、管理和訪問(wèn)控制問(wèn)題，筆者結(jié)合現(xiàn)有的名字解析系統(tǒng)，提出了一種基于Handle系統(tǒng)的ENUM技術(shù)解決方案。

3．1 Handle系統(tǒng)介紹

Handle系統(tǒng)是一個(gè)通用全球名字服務(wù)，用于Internet上安全的名字解析和管理。Handle是Handle系統(tǒng)中被管理的對(duì)象，是對(duì)網(wǎng)絡(luò)資源的一種全局唯一的標(biāo)志。一個(gè)Handle 由兩部分構(gòu)成：名字權(quán)威（Naming Authority），稱為前綴；在該名字權(quán)威之下的唯一的本地名字，稱為后綴。

名字權(quán)威和本地名字被ASCII字符“／”所分割。

一個(gè)Handle可以定義如下：

::= \"/\"

該名字權(quán)威之下的所有本地名字，就形成了該名字權(quán)威下本地Handle名字空間。

Handle系統(tǒng)作為一種新的尋址技術(shù)具有較強(qiáng)的可擴(kuò)展性和包容性，與域名系統(tǒng)相比在安全性、數(shù)據(jù)文件的管理和訪問(wèn)控制等方面均有較大的改進(jìn)。

3．2 基于HandleENUM系統(tǒng)架構(gòu)

HandleENUM系統(tǒng)是一個(gè)分等級(jí)的服務(wù)模型，系統(tǒng)頂層由一個(gè)全局服務(wù)構(gòu)成，稱為GHS（Global Handle Service）；下層是注冊(cè)了ENUM服務(wù)的LHS（Local Handle Service）。

每個(gè)提供ENUM服務(wù)的LHS在GHS中注冊(cè)一個(gè)以e164.國(guó)家碼開(kāi)頭的名字權(quán)威，如在中國(guó)提供ENUM服務(wù)的名字權(quán)威可以注冊(cè)為e164.86。在本文開(kāi)頭的電話號(hào)碼861082683968對(duì)應(yīng)的Handle可定義為e164.86/1082683968。該Handle的索引號(hào)為1，2和3的數(shù)據(jù)類(lèi)型分別為URL+Email，URL+SIP和URL+ HTTP。其數(shù)據(jù)內(nèi)容分別為用戶的Email地址、SIP地址和主頁(yè)地址。下面舉例說(shuō)明HandleENUM系統(tǒng)的解析過(guò)程：①用戶在客戶端輸入一個(gè)提供ENUM服務(wù)的Handle后（如：e164.86/1082683968），客戶端向HandleENUM系統(tǒng)發(fā)出解析請(qǐng)求；②HandleENUM系統(tǒng)中的GHS接收到該解析請(qǐng)求后，返回給客戶端名字權(quán)威e164.86的LHS相關(guān)信息；③客戶端收到該LHS的信息后向其發(fā)出解析請(qǐng)求；④該LHS收到解析請(qǐng)求后，在本地名字空間查詢到相關(guān)信息并返回給客戶端，如圖2所示。

3．3 HandleENUM系統(tǒng)的安全性和隱私保護(hù)

HandleENUM系統(tǒng)采用了公鑰/私鑰技術(shù)和ChallengeResponse協(xié)議為ENUM用戶的信息提供權(quán)限認(rèn)證和信息完整性檢查。在HandleENUM系統(tǒng)中用戶將涉及個(gè)人隱私信息的記錄標(biāo)記為授權(quán)訪問(wèn)，為那些允許訪問(wèn)該記錄的人授予管理員的權(quán)限。當(dāng)客戶端訪問(wèn)該記錄時(shí)，服務(wù)器會(huì)要求對(duì)客戶端的身份進(jìn)行認(rèn)證，向客戶端發(fā)送一個(gè)Challenge消息，客戶端必須返回一個(gè)Response消息。服務(wù)器對(duì)客戶端的認(rèn)證成功后，表明此客戶端是該記錄的管理員，服務(wù)器就會(huì)返回給該客戶端此記錄的內(nèi)容，否則服務(wù)器不允許訪問(wèn)該記錄。圖3顯示了HandleENUM系統(tǒng)中查詢的認(rèn)證過(guò)程。

查詢認(rèn)證步驟：①客戶端發(fā)送ENUM查詢請(qǐng)求；②服務(wù)器收到客戶端查詢請(qǐng)求，查看相應(yīng)的ENUM記錄，需要管理員權(quán)限，服務(wù)器就向客戶端發(fā)一個(gè)Challenge消息；③為了認(rèn)證是管理員，客戶端必須返回一個(gè)Response消息，服務(wù)器收到Response消息后判斷是否為該記錄的管理員。④認(rèn)證成功，服務(wù)器返回該記錄的值。

HandleENUM系統(tǒng)使用預(yù)定義的數(shù)據(jù)類(lèi)型HS_ADMIN描述ENUM記錄的管理員（Administrator）或管理組（Administrator Groups）。每個(gè)ENUM記錄均有一個(gè)或多個(gè)管理員。任何管理操作（如添加、刪除或者修改ENUM記錄的內(nèi)容）只能由適當(dāng)權(quán)限的管理員來(lái)執(zhí)行。HandleENUM系統(tǒng)的這種對(duì)于每條記錄的安全認(rèn)證和訪問(wèn)控制機(jī)制，很好地解決了基于DNS的ENUM系統(tǒng)在個(gè)人隱私保護(hù)和訪問(wèn)控制權(quán)限方面存在的問(wèn)題。

4 HandleENUM系統(tǒng)的優(yōu)點(diǎn)和特性

基于HandleENUM系統(tǒng)與以DNS查詢?yōu)榛A(chǔ)的ENUM系統(tǒng)相比有以下的優(yōu)點(diǎn)和特性：

(1)可靠的安全性。HandleENUM系統(tǒng)通過(guò)ChallengeResponse、公鑰/私鑰機(jī)制來(lái)確保通信雙方身份的真實(shí)性。其他沒(méi)有認(rèn)證通過(guò)的用戶，將無(wú)法獲得需要授權(quán)的ENUM用戶的信息，更無(wú)法對(duì)此用戶信息進(jìn)行操作。這樣避免了未授權(quán)用戶對(duì)ENUM信息的非法修改。

(2)靈活的可管理性。對(duì)于每個(gè)HandleENUM系統(tǒng)中的記錄，該記錄的管理員可以在本地通過(guò)客戶端進(jìn)行遠(yuǎn)程管理。

(3)良好的私密性。HandleENUM系統(tǒng)提供對(duì)于每個(gè)記錄的訪問(wèn)控制功能，只允許用戶獲得允許公開(kāi)讀取和其管理權(quán)限范圍內(nèi)的記錄信息，有效地保護(hù)了用戶不希望公開(kāi)的數(shù)據(jù)記錄。

(4)成功地解決了ENUM頂級(jí)域之爭(zhēng)。

HandleENUM系統(tǒng)還存在著一些問(wèn)題：

(1)在一個(gè)記錄下，系統(tǒng)不能區(qū)分不同管理員的權(quán)限。在HandleENUM系統(tǒng)中，對(duì)同一個(gè)記錄只能區(qū)分管理員和普通用戶，所有的管理員具有相同的權(quán)限。

(2)HandleENUM系統(tǒng)是集中式授權(quán)，所有的名字權(quán)威都要在GHS上注冊(cè)，不能進(jìn)行分級(jí)管理，增加了GHS的壓力。

(3)因?yàn)镠andleENUM系統(tǒng)使用了較復(fù)雜的協(xié)議，所以解析速度不如基于DNS的ENUM系統(tǒng)。

5 結(jié)束語(yǔ)

作為互聯(lián)網(wǎng)與電信網(wǎng)融合的關(guān)鍵技術(shù)，ENUM在單一號(hào)碼接入、號(hào)碼可攜帶性和VoIP的應(yīng)用上顯示了巨大的優(yōu)勢(shì)。本文對(duì)ENUM技術(shù)進(jìn)行了簡(jiǎn)單的闡述，著重分析了基于DNS的ENUM技術(shù)在安全和隱私保護(hù)方面存在的問(wèn)題， 提出了一種基于Handle系統(tǒng)的ENUM技術(shù)解決方案。Handle系統(tǒng)是一種具有靈活的訪問(wèn)控制機(jī)制、管理機(jī)制和安全機(jī)制的網(wǎng)絡(luò)資源尋址定位技術(shù)，使用該系統(tǒng)的ENUM技術(shù)能較好地解決基于DNS的ENUM系統(tǒng)所面臨的問(wèn)題，具有廣闊的研究和應(yīng)用前景。

參考文獻(xiàn)：

［1］李曉東，閻保平．基于DNS的ENUM技術(shù)及其應(yīng)用研究［J］．微電子學(xué)與計(jì)算機(jī)，2003，20(1)：46-49.

［2］王峰，錢(qián)華林．ENUM系統(tǒng)以及解析服務(wù)的研究［J］．計(jì)算機(jī)應(yīng)用研究，2003，20(7)：41-45．

［3］毛偉，孫洵，王峰．一種互聯(lián)網(wǎng)資源標(biāo)志與尋址技術(shù)：Handle System［J］．計(jì)算機(jī)應(yīng)用研究，2004，21(5)：252-254．

［4］王峰，孫洵，毛偉，等．HandleDNS名字服務(wù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］．微電子學(xué)與計(jì)算機(jī)，2004，21（1）：39-44．

［5］毛偉，王艷峰，王峰．新一代互聯(lián)網(wǎng)資源標(biāo)志與尋址技術(shù)［J］．計(jì)算機(jī)應(yīng)用研究，2004，21(4)：233-235．

［6］RFC 3761，IETF，2004.The e.164 to Uniform Resource Identifiers (URI) Dynamic Delegation Discovery System (DDDS) Application (ENUM)［S］．

［7］RFC 3764，IETF，2004.ENUM Service Registration for SIP AddressesofRecord［S］．

［8］RFC2915，IETF，2000.The Naming Authority Pointer (NAPTR) DNS Resource Record［S］．

［9］RFC3482，IETF，2003.Number Portability in the Global Switched Telephone Network (GSTN):An Overview［S］．

作者簡(jiǎn)介：

封濤(1979-)，男，碩士研究生，主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)與通信、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)、互聯(lián)網(wǎng)尋址技術(shù)；閻保平(1950-)，女，研究員，博導(dǎo)，博士，主要研究方向?yàn)榇笠?guī)模科學(xué)數(shù)據(jù)共享技術(shù)、數(shù)據(jù)網(wǎng)格技術(shù)與應(yīng)用、下一代互聯(lián)網(wǎng)技術(shù)；朱曉蓮(1980-)，女，碩士，主要研究方向?yàn)橹悄軆x器與嵌入式系統(tǒng)。

注:本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文