DNS信道传输加密技术:现状、趋势和挑战

作     者：张曼 姚健康 李洪涛 董科军 延志伟 ZHANG Man;YAO Jian-Kang;LI Hong-Tao;DONG Ke-Jun;YAN Zhi-Wei

作者机构：中国互联网络信息中心北京100190 

出 版 物：《软件学报》 (Journal of Software)

年 卷 期：2024年第35卷第1期

页      面：309-332页

核心收录：

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：北京市科技新星计划(Z191100001119113) 

主　　题：隐私 安全 QUIC TLS 1.3 DoH DoT DoQ 

摘      要：DNS作为重要的互联网基础设施,其明文传输的特点带来很多隐私安全风险.DoH、DoT、DoQ等DNS信道传输加密技术致力于防止DNS数据被泄露或篡改,并保证DNS消息来源的可靠性.首先从DNS消息格式、数据存储和管理、系统架构和部署等6个方面分析明文DNS存在的隐私安全问题,并对已有的相关技术和协议进行总结.其次分析DNS信道传输加密技术的实现原理及应用现状,进而基于多角度评测指标对各加密协议在不同网络条件下的性能表现进行讨论.同时通过填充机制的局限性、加密流量识别和基于指纹的加密活动分析等方向探讨DNS信道传输加密技术的隐私保护效果.此外从部署规范、恶意流量对加密技术的利用和攻击、隐私和网络安全管理之间的矛盾,以及加密后影响隐私安全的其他因素等方面总结DNS信道传输加密技术存在的问题、挑战和相关解决方案.最后总结加密DNS服务的发现、递归解析器到权威服务器之间的加密、服务器端的隐私保护、基于HTTP/3的DNS等后续需要着重关注的研究方向.