基于DNS的ENUM技术及其应用研究
微电子学与计算机2003年第1期基于DNS的ENUM技术及其应用研究ResearchonDNS-basedENUMTechnologyandit'sApplication中国科学院计算机网络信息中心摘
微电子学与计算机2003年第1期
基于DNS的ENUM技术及其应用研究
ResearchonDNS-basedENUMTechnologyandit'sApplication中国科学院计算机网络信息中心
摘
李晓东阎保平(北京100080)
要:文章阐述了计算机网络资源寻址定位技术,提出ENUM技术是计算机网络资源寻址定位技术的一
种,ENUM技术的研究和使用推广对于下一步网络应用的发展,尤其是对于电话网和数据通信网之间的基于VoIP通讯应用的融合具有十分重要的意义。此外,文章还简单分析了ENUM的技术要点和解析流程,重点设计了一套实验系统用来探讨ENUM技术和运行框架,并比较ENUM和现有典型目录服务系统之间的关系,分析并指出了此项技术在应用中面临的问题,结合当前的研究状况给出了发展建议和前景展望。关键词:ENUM,SIP,网络资源定位,目录服务,DNS,NAPTR
1引言
ENUM、DNS以及最近出现的IDN、UDDI、Han-dleSystem、Keyword、CommonName等技术都属于计算机网络资源寻址定位技术的范畴,它们旨在帮助用户(人或者是特定应用程序)以容易记忆或者接近自然语言的标识方式在互联网上检索或者是查询到用户想要的计算机网络资源。从互联网出现之初采用IP地址通信到目前多种多样的寻址定位方式,计算机网络资源寻址定位技术至今取得了长足的发展,ENUM便是应数据通信网和电信电话网之间融合而产生的一种新的计算机网络资源寻址定位方式。
ENUM技术是当今计算机网络资源寻址定位方式的热点,它是伴随三网合一、网络通讯技术和需求的发展应运而生的。它采用符合E.164标准的电话号码作为用户通讯的入口,采用DNS技术和运行框架为用户提供便捷的解析服务。用户可以采用电话号码完成VoIP的寻址定位,以及HTTP访问,电子邮件,目录服务等网络应用,并完成访问限制,查询重定向等一系列功能。伴随网络融合,尤其是VoIP应用的普及,ENUM技术的重要性就会逐步的体现出来。
2关键概念及技术分析
2.1计算机网络资源定位、地址、资源标识
计算机网络资源(ComputerNetworkResource)是指计算机通信网络上的一个实体,它可能是一个物理资源(交换机、路由器等devices),更多的是指一种服务(services),实体和实体间可以进行发现以及进一步的数据通信。发起通信的一方实体通过一定的寻找或者查询机制找到通信接受方的过程就是寻址/定位(Addressing),每个通信实体在计算机
收稿日期:2002-06-09
基金项目:中国互联网络信息中心! CNNIC" 资助项目
网络中必须是唯一可标识的,用来在寻址后进行进一步通信的标识就是地址(Address),而为了特定应用方便记忆和使用的,具有特定语法的,用来标识资源的特定字串就是资源标识(Name/Symbol)。目前计算机网络资源标识及其寻址定位技术已经广泛的汲取了搜索引擎、Web服务、人机接口等多方面的技术优势,此项研究的最终目的是为用户提供使用合理规范,技术符合标准的互联网访问入口。2.2
DNS(DomainNameSystem)
在网络建设之初,用户是采用IP地址来完成网络实体间的访问和通信的。然而,一长串的数字不利于人们使用和记忆,因此在20世纪70年代人们开发了主机表
Host.txtTable" 来完成主机名到IP!
地址的映射。随着网络的发展,网上主机数量的增长,通过查找主机表定位主机地址然后进行主机间通信的方式已经远远不能满足用户的需要,而且主机表的更新和维护也大大的增加了网络传输的负载和管理的复杂度。1984年PaulMockapetris发布
#$#$#$
了RFC8821和RFC8832(随后被RFC10343和#$RFC10354代替),系统地描述了DNS的基本思想,
标志着DNS的诞生。DNS采用树形结构以及分级授权的机制,它分布地完成主机名到IP地址的路由,有效地实现了域名数据的分布,并提高了查询和管理的效率,它的出现极大地推动了互联网络的发展。域名的基本语法以及配置数据的格式参见
4$#,RFC1034和RFC10353。其基本原理是:DNS客户
端(Resolver)根据查询得到的资源记录(ResourceRecord,RR)类型和关联数据(RDATA)来进行下一
#$步的通信或者检索3。
2.3NAPTR(NamingAuthorityPointer)到目前为止,DNS仍然主要用于域名到相应IP
地址的翻译,这已经成为网络发展的基础,然而随着网络应用的发展,人们希望用DNS完成更多内容的解析,从而制定了新的资源类型,NAPTR就是其
,2003年第1期微电子学与计算机
中之一。
NAPTR是一个新的DNSRR类型,它实际上是一个基于重写规则的正规表达式。它完成一个特定字符串到新域名标识或者URI(UniformResourceI-dentifier)的解析翻译。它允许DNS可以完成更为广泛的查询服务,比如完成ENUM到URI的解析6! ,
"
一个典型的用于ENUM应用的配置实例如下:
cid.urn.arpa.INNAPTR10010″″″″″/urn#cid#.+@
$!^\." +\.$.
" $/\2/i″$OR1G1N4! 0.6! 3! 5! 5! 2! 6.0.1.6.8.e164.arpa.
INNAPTR10010″u″″sip+E2U″″&^." $&sip#enumsip@cnnic.net.cn&″
.
INNAPTR10210″u″″mailto+E2U″″&^." $&mailto#enummail@cnnic.net.cn&″.2.4
E.164电话号码标准
根据CCITT的E.164标准的规定,标准的电话号码格式是由国家码(CountryCode)、区域码以及一般电话号码三部分所组成:国家码(1到3位数字)+区位码(M个数字)+一般电话(最多为15减M个数字)。比如电话号码+$86-10-62553604就是指“中国(国家码86)北京(地区码10)中国互联网络信息中心(一般号码62553604)”,国际电联将国家码授权给国家实体来进行管理,国家码之后的数字号码由这个国家进行管理和分配,但是基本的分配原则仍是遵循一定的分级授权管理策略。3
ENUM技术
ENUM技术的核心包含3个部分:电话号码预处理、ENUM解析以及DNS配置6! ,"
下面介绍一下
前两项技术,对于DNS的配置2.3节已做论述。
3.1电话号码预处理
用户输入电话号码,例如“+86-10-62553604”,“+”此时用来标识ENUM服务,用来区分其他基于数字的网络服务,如果用户输入的数串含有“+”,那么将执行ENUM服务预处理。首先去掉除“+”以外的字符,例如“-”,得到“+861062553604”;然后去掉“+”;接着在每个数字间加“.”,得到“8.6.1.0.6.2.5.5.3.6.0.4”(之所以简单地在每个数字间加点,是为了简化处理,因为DNS可以支持127级,E164标准的16位电话号码足够使用了);最后将其反转,并添加后缀“.e164.arpa”,得到符号串“4.0.6.3.5.5.2.6.0.1.6.8.e164.arpa”。3.2
ENUM解析流程
当用户用支持ENUM技术的特定设备或者程
序输入电话号码后,客户端应用程序根据预处理的流程对输入的电话号码进行处理之后,DNSRe-solver将处理后的字符串按DNS协议发出解析,从DNSServer得到与此ENUM相应的URI集合;然后,应用程序根据它自身的应用需求选择相应的URI,继续执行相应的协议,完成预期的操作。
以上面的DNS配置为例,用户想给拥有“+86-10-62553604”这个ENUM的单位发送Email,那么当他在支持ENUM技术的outlookexpress地址栏中输入这个电话号码,那么outlookexpress将电话号码预处理为“4.0.6.3.5.5.2.6.0.1.6.8.e164.arpa”,然后用户本机的DNSResolver将这个字串发给DNSServer作类似域名的解析,DNSServer将对应这个字串配置的两个URI(sip#enumsip@cn-nic.net.cn和mailto#enummail@cnnic.net.cn)都返回给outlookexpress,outlookexpress选择mailto#enummail@cnnic.net.cn进行下一步的通信,将E-mail发给enummail@cnnic.net.cn,其他应用的解析流程也与此类似。4系统设计与实现
根据上面的论述,ENUM技术实质上是完成了一种目录服务的查询工作,那么就可以用它来完成多种服务的目录查询,它的优点在于借助了成熟的DNS技术和广为使用的DNS系统(BIND),为了进一步研究ENUM技术面临的问题及其应用情况,设计了如图1所示的一套系统来验证和评价ENUM的应用。
这里采用了BIND作为DNSServer,并基于Web技术完成了一套简单的注册系统,用户可以通过这个注册系统登记自己的电话号码以及可与之对应的各种服务,我们的注册系统会在用户提交请求后修改DNSServer,将用户需要的各种服务注册到DNSServer中去,用以其他应用服务的查询。
采用了Vovida的Vocal软件作为SIPServer,QuickNet的LineJack作为Gateway,修改OpenH323Gatekeeper作为支持基于DNS的ENUM查询的Gatekeeper构建了一套可以完成PC2Phone,Phone2PC,PC2PC以及传统网络访问应用(Web,E-mail等)的实验环境,具体的实验系统结构图如图1所示。
用户用ENUM进行Web以及其他传统互联网应用的流程和上节关于Email的应用的流程类似,此处无庸赘述,本文以PC2PC、Phone2PC和
,微电子学与计算机2003年第1期
图1
ENUM实验结构示意图
PC2Phone方式的应用为例说明ENUM的工作流程,从而说明ENUM在VoIP中的应用情况。
PC2PC方式就是用户使用SIPClient软件(或者IPPhone硬件设备)进行通信,SIPClient在获得用户输入的电话号码后,向SIPServer发起通信,由SIPServer向DNSServer(即ENUMServer)查询,在DNSServer返回的URI集合中选取SIP类型的URI,继续发起下一步的SIP通信。
Phone2PC方式就是用普通电话机向互联网上的PC终端发起呼叫,用户拨打电话后,PSTN网将连接建立的请求发给Gateway(连接互联网与PSTN,主要是完成信号的转换),Gateway驱使Gate-keeper查询DNSServer,然后确定对方的SIPURI(此时URI类型为SIP),从而获得IP地址,通常是Gateway和SIPServer建立连接,用户此时就可以用普通电话和互联网上的PC终端(如Cisco的IPPhone)进行通讯。
PC2Phone方式的呼叫方向恰与上述Phone2PC方式相反,SIPServer此时查询获得的URI类型为TEL,查询后是由SIPServer向Gateway发起呼叫连接,然后进行通讯。在这种情况下,我们构建了简单的应用,如果SIPServer和Gateway分属不同服务商,或者有很多的Gateway,那么需要另外一个目录服务系统来完成特定号码与Gateway之间对应关系的查询,以便SIPServer可以获知与特定电话号码对应Gateway的IP地址,从而进行下一步的连接建
立和通讯7! 。
"
以上可以看出,在VoIP应用中,ENUM完成了电话号码到相应URI(SIP,TEL)的翻译功能。5
ENUM与其他目录服务系统的关系
根据以上的描述和实验系统的分析知道,ENUM实际上是一种专用的,具有特定服务内容的,以及具有特殊运行服务需求的目录服务系统,它的功能是完成检索电话号码与其对应的URI,充
当数据网和电话网之间通讯的桥梁。
目前有两种典型的而且已经广泛使用了的目录服务系统:一个是DNS,用来完成域名到IP地址的解析;一个是LDAP(LightweightDirectoryAccessProtocol),它是一种通用的目录服务系统,广泛的用
于各种系统中的用户管理,文件管理等方面8! 。
"
5.1
ENUM与DNS的关系
电话号码的编码是层次结构的,这和DNS的层
次结构是类似的,因此可以十分方便地将电话号码和因特网网络资源结合起来,输入E.164规则的电
话号码,输出URI(唯一资源标识符)9! 。" 因此,ENUM
技术的本质就在于采用业已成熟的DNS技术和体系结构来提供基于电话号码的目录服务。
ENUM服务首先提供了电话号码授权树到服务注册商之间的映射,这种授权不了解与电话号码相关的特定服务信息,但是它提供了到服务商的参考,而服务商了解这些信息。对于给定的电话号码,完成授权者到服务注册商的名字服务器之间的重定向。正是因为DNS这种层次结构,以及快速无连接查询和分布式管理模型,使得它可以比较理想的完成这种映射。5.2
ENUM与LDAP的关系
LDAP服务理论上提供统一的名字空间(namespace)#访问者在任何地方都能看到同样的数据视图。它为各种网络服务、管理系统、应用系统提供用户管理、配置信息管理、存取控制管理、客户桌面管理等管理的集中入口和操作界面,所有用户的信息被所有应用共享,减少了传统系统中的冗余信息并简化了管理的复杂度。目录服务已经逐渐成为网络服务以及网络操作系统的核心服务,是网络应用和分布式计算的基础,LDAP能以较低代价完成高读/写比的目录服务功能,目前主流的LDAP服务器均可以完成多种数据的目录服务功能
1! 0。
"
理论上讲,LDAP可以完成所有ENUM的功能,可以提供基于DNS技术的ENUM解析服务器所有可以提供的目录查询功能,但是遗憾的是,尽管LDAP已经相当简洁,但是它仍然无法与DNS相比,DNS系统构建简单和资源低耗的特点决定了它比LDAP有更好的快速稳定的目录查询服务。此外,最重要的一点,LDAP目前还没有全球一致的服务和运行体系,以及实际的全球一致的名字空间和运行检验,因此作者认为,这是ENUM没有选择LDAP的而选择DNS最主要原因,而且LDAP在相当长的时间内都不可能取代ENUM
技术来提供电话号码
,2003年第1期微电子学与计算机
到URI的全球目录服务。6
ENUM系统面临的挑战
由于涉及到与电信电话网的融合问题,二者在服务的要求上有诸多的不同。不同服务需要的服务质量是不同的,如何设计和管理以满足电信级的服务要求是很重要的。主要有以下3个方面的问题:6.1服务类型的选择与定义
服务资源记录(与ENUM对应的URI资源集合)直接定义了既定电话号码可以提供的服务。应用程序根据电话号码可以得到所有服务的集合,而采取何种服务进行下一步的操作则是由应用程序自己决定的,比如应用程序支持SIP,它可以根据电话号码获得SIP和mailto两种URI,但是它只采用SIP继续它下一步的动作。服务注册商必须确保能够提供对应同一个电话号码的多种服务,可能会有多个服务提供商,这就需要一个判优的功能。
此外,可提供ENUM解析的URI类型需要明确定义,还有由服务商自己提供的特定服务包含的是仅仅特定服务提供商才能了解的服务操作,如何保证服务内容的安全、稳定和有效性也是需要进一步考虑的问题。6.2关于TTL值
电话号码及其相关信息经常会改变,那么与之相对应的ENUM服务也要随之改变,必须尽可能及时地保持二者信息的一致性。有效的ENUM服务必须将TTL的值设置为适当的数值,从而保证电话号码再分配策略和ENUM服务的资源记录更新二者间的一致性,目前IETF的建议是60秒。
6.3电话号码可携性(TelephoneNumberPorta-bility)对ENUM服务的影响
如果电话号码转为其他授权者管理,那么也要修改相应的ENUM服务的NS记录。
服务注册商也可以再分配。当个人或者公司改变电话服务提供商,并且希望那个电话服务提供商也提供服务注册功能。那么新的服务注册商要重建NAPTR记录,并且授权者要完成从一个注册商到另一个注册商之间的转变。
如果一个电话号码的特定服务从一个服务提供商换到另一家服务提供商,那么表明此项特定服务的NAPTR记录也要改变。服务注册商要从一个服务提供商那里删除记录,并在另一个服务提供商那里添加一条记录。
7结论及其应用展望
目前IETF(InternetEngineeringTaskForce)ENUMWG和ITU(InternationalTelecommunicationUnion)ITU-TSG2对ENUM都在进行着极为积极和广泛的研究,我国信息产业部以及相关单位也投入了相当地人力进行了相关的研究,测试以及推广工作,可以说,ENUM将成为数据通信网和电话网融合的一个关键技术,加强对ENUM的技术特点和运行服务的研究,将有力地促进网络的发展,从而有效地利用现有的网络资源,尤其是宽带网络资源。
参考文献
1! " PMockapetris#D
omainNames-ConceptsandFacilities.RFC882#N
ovember,1983.2!
" PMockapetris.DomainNames-ImplementationandSpecification.RFC883#N
ovember,1983.3!
" PMockapetris.DomainNames-ConceptsandFacilities.RFC1034#N
ovember,1987.4!
" PMockapetris.DomainNames-ImplementationandSpecification.RFC1035#N
ovember,1987.5!
" PMockapetrisandKDunlap.DevelopmentoftheDomainNameSystem.InProceedingsSIGCOMM88#April,1988.6! " MMealling#RD
aniel.TheNamingAuthorityPointerN$APTRDNSResourceRecord.RFC2915#September,2000.
7!
" SLind.ENUMCallFlowsforVoIPInterworking.draft-lind-enum-callflows-03.txt#February,2002.8!
" LHoward.AnApproachforUsingLDAPasaNetworkIn-formationService.RFC2307,March,1998.
9! " PFaltstrom.E164numberandDNS.RFC2916#S
eptem-ber,2000.
1!
0" 李晓东,阎保平。基于CORBA的目录服务在基于Web的网络信息管理中的应用。计算机工程与应用,2001,371$
4,43~45。LIXiao-dong,YANBao-ping$ComputerNetworkInformationCenter#ChineseAcademyofSciences#Beijing100080Abstract! Thispaperexplainsthecomputernetworkresourceaddressingtechnologyfirstly#andpresentsthatENUMisoneofthesenetworkresourcesaddressingtechnologies.TheresearchandpromotiononENUMtechnologieswillbeverymeaningfulforthedevelopmentoffutureInternetapplications#andespeciallyfortheVoIP-basedinter-infiltrationofPSTNandInter-net.Moreover#weanalyzeENUMtechnologyandresolvingflow#
下"
转第53页#
,2003年第1期4.3取证
微电子学与计算机
参考文献
在网络遭到入侵后,取证和查找原因也是相当关键的。但是,正如以上的分析,对于使用了带有加密选项的IPv6协议进行通信的主机,几乎无证可取,无据可查。防火墙和基于网络的入侵检测系统不明白受害机器在做什么,所有的保护主机的工作几乎都交给了HIDS,而被攻破的主机上还能留下多少可信的证据,没有人能知道。保护用户的秘密和保护主机的安全之间变成了一对矛盾。4.4其他
尽管IPv6比IPv4具有明显的先进性,但是I-ETF认识到,要想在短时间内将Internet和各个企业网络中的所有系统全部从IPv4升级到IPv6是不可能的,换言之,IPv6与IPv4系统在Internet中长期共存是不可避免的现实。这也对现在的安全产品提出新的问题。因为对于同时支持IPv4和IPv6的主机,黑客可以同时用两种协议进行协调作战,逃避
! " 检测6。只有同时支持两种协议,并且可以把它们联
1" (美)ChristianHuitema著,陶文星,胡文才译.新因特网!
协议IPv6#第二版$.清华大学出版社,1999,4:98~116.
2" (美)PeteLdshin著.IPv6详解.北京:机械工业出版!
社.2000,4:69~79.
3" 李津生,洪佩琳著.下一代Internet的网络技术.北京:!
人民邮电出版社,2001,3.
4" 中科网威,许榕生,刘宝旭,毕学尧等.入侵防范研究的!
展望,互联网世界,2001,2http/ww.ciworld.com.cn//text/0102/0102_20.htm;
5" 林曼筠,钱华林.入侵检测系统:原理、入侵隐藏与对策.!
微电子学与计算机,2002,1.
6" Jun-ichiroitojunHagino.PossibleabuseagainstIPv6!
transitiontechnologies.
http/playground.iijlab.net/i-d/draft-itojun-pv6-/transition-abuse-01.txt.
ComputerNetworkInformationWANGLing,QIANHua-lin#hineseAcademyofScienceseijing100080$Center&C&BAbstractPv6#InternetProtocolversion6$isthesuccessorto! IIPv4hichisthecurrentIPprotocolversionusedontheIn-&wternet.IPv6notonlyeliminatetheaddressexhaustionproblem&butalsoimproveIPlayersecuritybecauseitsupportstwosecuritymechanismsuthenticationHeader#AH$andEncapsulating&AESP$.ButthesecuritymechanismsofIPv6SecurityPayload#alsomakegreatimpacttotoday'snetworksecurityarchitecture.Manyoftoday'snetworksecuritytoolssuchasfilterfirewall&NATfirewallandnetworkbasedintrudedetectionsystemcannotworkwithIPv6.ThesecurityexpertshavetofindnewwaytoprotectthesecurityofthenextgenerationInternet.omputer,Network,IPv6,SecurityKeywords! C
系起来分析,才能做到更安全。另外,2000年在日本国一个关于IPv6安全的草案上,提出了由于IPv4和IPv6地址转换不当而造成拒绝服务的例子值得我们考虑。5结束语
综上所述,IPv6解决了IP地址匮乏的问题,同时,它简化了协议报头,并且引入了两个新的扩展报头AH和ESP。它们帮助IPv6解决了身份认证,数据完整性和机密性的问题,使IPv6真正实现了网络层安全,这是一大进步。但是,这些安全机制对于当前的计算机网络安全体系造成了很大的冲击。使对于IPv6加密数据包的过滤,入侵检测和取证都处于一种真空状态。为了适应新的网络协议和新的发展方向,寻找新的解决安全问题的途径变得非常急迫。而安全专家也应该面对新情况,进一步研究和积累经验,尽快找出合适的解决方法。
钱华林王
玲
男,#1940—$,博士生导师。主要研究方向为计算机1973—$,博士研究生。主要研究方向为计算机女,#
网络体系结构、先进网络技术等。网络管理、网络安全。
6! "
,也
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
上接第49页#"
andhavedesignedanexperimentalsystemfterthatecom-&a&wpareENUMandthetypicaldirectoryservicesndpointoutthe&aproblemsencounteredinENUMoperation.Asaconclusion&basedoncurrentresearchanddeploymentomesuggestionsand&sresearchplansforENUMtechnologyarepresented.
KeywordsNUM&SIPomputernetworkresourceaddress-! E&C
李晓东阎保平
博士研究生。研究方向为计算机网络与通信协议,博士研究生,研究员,博士生导师。
计算机网络资源寻址定位技术。irectoryserviceNSAPTRing&D&D&N