DNS 協(xié)議分析與安全檢測吳海濤，郭麗紅（南京工程學院 通信工程學院， 江蘇 南京 211167）摘 要:DNS 是Internet 上解決網上機器命名的一種系統(tǒng)。在Internet 上，當一臺主機

DNS 協(xié)議分析與安全檢測

吳海濤，郭麗紅

（南京工程學院 通信工程學院， 江蘇 南京 211167）

摘 要:DNS 是Internet 上解決網上機器命名的一種系統(tǒng)。在Internet 上，當一臺主機要訪問另外一臺主機時，必須首先獲知其地址，這就是DNS 所要解決的問題。在對DNS 的報文格式詳細分析的基礎上，研究了DNS 服務及應用所面臨的安全問題及存在的漏洞，最后提出了一些防范措施和相關建議。關鍵詞: 域名系統(tǒng)；資源記錄；DNS安全

The Protocol Analysis and Security Detection of DNS

WU Hai-tao GUO Li-hong

(School of Communications Engineering, Nanjing Institute of Technology, Nanjing，jiangsu 211167, China)

Abstract: DNS is a kind of system that solves the machine’s name in internet. When a machine wants to visite another machine in internet ,it must know another machine’s address at first .this article analyses the DNS’s message format in detail.In this basis,researches the security and loophole of DNS，at last,gives some defanding means and corresponding advice.Key words: domain name system； resource record；DNS Security

域名系統(tǒng)（DN S）是一種用于T C P /I P 的分布式數(shù)據庫，它是多種Internet 應用的基礎，如E-mail、www、t e l n e t 等，DN S 的應用極為廣泛而且非常重要。近幾年來，DNS遭受到了一系列的攻擊，導致Internet 的通信受到嚴重影響。在某些嚴重的情況下導致數(shù)據被騙取，造成一些公司、機構等遭受巨大損失。因此，眾多業(yè)內人士開始關注D N S 的安全問題, 并且D N S 的安全已經成為互聯(lián)網安全研究的焦點。本文在分析D N S 報文格式基礎上，著重討論了D N S 的安全問題，并且在綜合運用多種網絡安全技術的基礎上提出了一系列的安全解決方案。

資源記錄是與名字相關的一些數(shù)據。從概念上說，每個結點和域名空間樹的葉子結點都有一定的信息，而查詢是要查詢出一些與之相關的特定信息。

(2) 域名服務器是服務器程序，它保留域名樹結構和相應的信息，它可以緩沖各種數(shù)據，保存域名樹中的任何部分，但是通常它保存域名空間的一個子集，如果需要查詢其他信息, 可以通過指向其他域名服務器的地址尋找。這個域名服務器是這一部分的認證權威，所有的認證信息組成一個單元稱為區(qū)，這些區(qū)可以分布于不同的服務器上以保證數(shù)據的冗余。

(3) resolver 是向域名服務器提出查詢請求并將結果返回給客戶的程序，它必須可以訪問至少一個域名服務器，并將結果直接返回給用戶或向別的域名服務器進行查詢。

1 DNS基本信息

1.1 DNS的概念

所謂DNS，是Domain Name System 的英文縮寫，又稱域名系統(tǒng)，它是一種組織成層次結構的計算機和網絡服務的命名系統(tǒng)。DN S 命名用于T C P /I P 網絡，如I n t e r n e t，用來通過用戶友好的名稱（比如"www.enanshan.com"）代替難記的IP 地址（比如"202.101.139.188"），以定位計算機和服務。

[1]

1.3 DNS服務器的工作原理

客戶機將域名查詢請求發(fā)送到本地D N S 服務器，D N S 服務器將在本地數(shù)據庫中查找客戶機要求的映射；如果本地D N S 服務器不能在本地找到客戶機查詢的信息，則將客戶機請求發(fā)送到根域名DNS 服務器。根域名DNS 服務器負責解析客戶機請求的根域部分，它將包含下一級域名信息的D N S 服務器地址返回給客戶機的D N S 服務器；客戶機的D N S 服務器利用根域名服務器解析的地址

1.2 DNS的組成

(1) 域名空間和資源記錄，域名空間是一種樹狀結構，

訪問下一級DNS 服務器，得到維護再下一級域名的DNS 服務器地址；按照上述遞歸方法逐級接近查找目標，最后在維護有目標域名的DNS 服務器上找到相應的IP 地址信息；客戶機的本地D N S 服務器將遞歸查詢結果返回客戶機；客戶機利用從本地DNS 服務器查詢得到的IP 地址訪問目標主機。

2 DNS報文分析

D N S 定義了兩種報文[2]，一種為查詢報文；另一種是對查詢報文的響應，稱為響應報文。

2.1 查詢報文格式

查詢報文格式如圖1所示。

圖1 DNS查詢報文格式

2.2 響應報文格式

響應報文格式如圖2所示。

圖2 DNS響應報文格式

2.3報文細節(jié)分析

無論是查詢報文還是響應報文，都有12個字節(jié)的頭和查詢問題。

(1)標識：占兩個字節(jié)，同一個問題的查詢和響應標識必須相同。

(2)標志：占兩個字節(jié)，表示如圖3所示。

圖3 DNS報文標志

Q R：這一位是查詢和響應報文的標志，0表示查詢報文，1表示響應報文；Opcode：操作碼占4 bit， 值為

萬方數(shù)據

0表示標準查詢，值為1表示反向查詢，值為2表示服務器狀態(tài)請求。標準查詢是給出主機名查詢其對應的I P；反向查詢是給出IP 查詢其對應的主機名；AA：占1 bit，表示該域名服務器是否是授權給該域的，1表示授權，0表示未授權；TC：占1 b i t，表示是否可截斷。當使用UDP 時，若此位為1，表示當響應報文的總長度超過512字節(jié)時，只返回前512個字節(jié)，是可截斷的；RD：占1 b i t，表示是否期望遞歸。為1時表示查詢方式是遞歸查詢；如果該位為0，且被請求的域名服務器沒有一個授權回答，則查詢方式為迭代查詢；RA：占1 bit，表示是否可用遞歸。如果域名服務器支持遞歸查詢，則在響應中將該比特設置為1，大多數(shù)名字服務器都提供遞歸查詢，除了某些根服務器；隨后的3 b i t 字段必須為0；Rc o d e：結果代碼占4 b i t，值為0表明沒有差錯，值為1表明報文格式出錯，值為2表明服務器查詢失敗，值為3表明名字出錯。

(3) 問題數(shù)、回答資源記錄數(shù)、授權資源記錄數(shù)、附

加資源記錄數(shù)分別描述各自的記錄數(shù)目。對于查詢報文，問題數(shù)通常是1，而其他三項則均為0。響應報文隨問題不同而變化。

(4)查詢問題：由查詢名、查詢類型、查詢類三部分組成。查詢名是要查找的名字，它是一個或多個標識符的序列，它的存儲方法是先存儲每個子域的字符數(shù)，再存儲相應的字符，依次存儲，最后填寫一個0字節(jié)；查詢類型占兩個字節(jié)，常用的有（A，1）代表I P 地址、（NS，2）代表名字服務器、（PT R，12）代表指針記錄；查詢類占兩個字節(jié)，通常為（IN，1），指互聯(lián)網地址。

(5)資源記錄：只出現(xiàn)在響應報文中，它們有一種統(tǒng)一的格式如圖4所示。

圖4 資源記錄格式

2.4 DNS報文解析

下面分析一個正向解析

[3，4]的查詢和響應報文：即已

知主機名

www.safepro.com.cn 查詢其對應的IP 值。查詢報文（用嗅探器抓的包），如圖5所示。

圖5 DNS查詢報文實例

DNS 查詢報文

header： Opcode=standard query, query question： qname= www.safepro.com.cn，qtype= A， qclass=IN

響應報文：

header： Opcode=standard query, responsequestion： qname= www.safepro.com.cn, qtype= A,qclass=IN

answer： www.safepro.com.cn 8093 IN A 211.154.170.7

authority1：safepro.com.cn 23343 IN NS ns1.cendata.net

authority2：safepro.com.cn 23343 IN NS ns2.cendata.net

additional1：ns1.cendata.net 98296 A 211.154.160.4

a d d i t o n a l2：ns2. c e n d a t a. n e t 159916 A 211.154.168.4

響應報文中的回答資源記錄列出了查詢結果，即www.safepro.com.cn 對應的IP 為211.154.170.7；授權資源記錄列出了該主機名所屬域由ns1.cendata.net 和ns2.cendata.net 這兩個域名服務器來進行管理；附加資源記錄列出了這兩個域名服務器所對應的I P 地址，也就說執(zhí)行主機名www.safepro.com.cn 查詢的可以是這兩個域名服務器之一。

3 DNS安全問題及解決方案

3.1 DNS安全問題

D N S 安全一直是人們關注的焦點。但是直到今天，大部分的D N S 服務器還沒有采取足夠的措施來防止這一類的D N S 攻擊，惡意的攻擊者可以很容易地通過D N S 欺騙取得用戶的賬號密碼、個人信息、商務機密等等資料。

D N S 系統(tǒng)目前遭受到的最主要的攻擊手段，主要包括拒絕服務攻擊、誤導目的地址和DNS 緩存中毒。

(1)拒絕服務攻擊(Denial of Service)

D N S 采用層次化的樹狀結構，由樹葉走向樹根就可以形成一個全資格域名。每個全資格域名都是惟一的。D N S 的網絡拓撲結構如圖6所示：DN S 服務器A2為網絡節(jié)點a、b、c、d工作，如果A2不能正常工作，則其

所轄的所有節(jié)點都無法通過域名連接到網絡，A2成為該子網的瓶頸，存在單點故障風險問題。并且A2不能正常工作時，其所管轄的子域都無法解析域名，僅能通過難以記憶的I P 地址訪問網絡，對多數(shù)網絡用戶而言，無法接入網絡，甚至還會被利用來對其他主機進行反彈式攻擊。

圖6 DNS網絡拓撲結構圖

(2)誤導目的地址

當用戶需要取得D N S 服務時，被攻擊者提供了一條虛假D N S 響應，讓解析器認為是來自本地D N S 名字服務器的正確響應，于是用戶得到的I P 地址是一個偽造的地址。接著，用戶在客戶端輸入賬號密碼，攻擊者輕易地得到了該用戶的賬號密碼。這類攻擊的發(fā)生，主要在于目前的路由器沒有能力禁止錯誤的源地址，因此，只要攻擊者能夠路由到你的主機，他就能夠偽造一個看起來像是從一個值得信賴的名字服務器返回的響應報文。在上述例子中，攻擊者只需要采用D o S 攻擊名字服務器，使得名字服務器不能回應給客戶的請求，而攻擊者這時候偽造響應報文就很容易得手了。

(3)DNS緩存中毒(DNS Cache Poisoning)

D N S 為了提高查詢的效率, 普遍采用了高速緩存技術, 這項技術能夠帶來查詢的高效率，但是也給攻擊者提供了一個良好的場所。具體過程：在D N S 的緩存數(shù)據還沒有過期之前, 如果D N S 的緩存區(qū)中已存在的記錄一旦被客戶查詢,DNS 服務器將把緩存區(qū)中的記錄直接返回給客戶。DNS緩存區(qū)中毒就是利用了

DNS

的緩存機制，在緩存區(qū)中存入錯誤的數(shù)據使其被其他查詢客戶所獲得。在緩存數(shù)據的生存期內，緩存區(qū)中毒的機器又可能將錯誤的

數(shù)據傳播出去，導致更多的服務器緩存中毒。如果減少緩存數(shù)據的生存期，可以減少緩存中毒的影響范圍，但過于頻繁的緩存數(shù)據更新將大大增加服務器的負擔。

3.2 DNS安全解決方案

3.2.1 采用DNSSEC 技術保護DNS 系統(tǒng)

針對DNS 的安全特點，IETF于1999年3月發(fā)布了DNSSEC，它是一個DNS 協(xié)議的擴展。DNSSEC并不是針對DNS 協(xié)議本身的補丁，而是一個DNS 的安全協(xié)議[5]。從對D N S 幾種攻擊方法的分析中知道，DN S 系統(tǒng)之所以容易受到欺騙的一個最根本原因就是D N S 服務器或者解析器無法分辨出D N S 報文來源的真?zhèn)我约盁o法分辨出DNS 報文是否被修改過。所以對于DNS 系統(tǒng)，最主要的是需要保護數(shù)據包的完整性和數(shù)據源的合法性。DNSSEC的根本目標就是保護D N S 查詢報文的數(shù)據完整性和數(shù)據源的正確性。它主要采用的機制是非對稱加密機制和數(shù)字簽名機制，DN S S E C 采用非對稱加密算法中的公鑰加密機制以及基于Hash 函數(shù)的數(shù)字簽名技術，在某些特殊情況下，DN S S E C 也采用共享密鑰和M A C 機制來保證消息完整性。

3.2.2 利用主機的cookie 緩存功能

對一臺主機而言，利用瀏覽器本身的緩存能力，可以做到保存經常訪問的網站的c o o k i e 記錄, 當下次訪問時即可快速訪問, 僅當與W e b 站點建立初次連接時需要進行DNS 查詢。所以，即使DNS 服務器暫時不能提供服務，主機也可以通過c o o k i e 記錄訪問到經常訪問的網站, 并通過Web 站點的超鏈接訪問Web 站點內容。擴展主機的cookie 緩存功能, 即相當于為DNS 服務器提供了一條旁路。此方法采用弱化D N S 功能的策略，將D N S 所承擔的單點故障風險分散到網絡的各個層次，包括主機、其他服務器、路由器等。它主要是利用主機的c o o k i e 緩存功能, 采用網狀延伸的辦法將D N S 體系單點故障的風險大大降低, 改變了原有的主機只能通過查詢固定D N S 服務器訪問Internet 的單路徑結構, 增加了旁路, 同時減小了DNS 服務器的負荷。

3.2.3 通過D N S 服務器本身的配置以及與防火墻等的合作來加強DNS 的安全性

(1)包過濾防護[6]

：限制訪問D N S 服務器的網絡數(shù)據包的類型，實施包過濾的依據主要是端口、IP、流量。端口過濾指僅允許對53端口的訪問；IP 地址限制指只允許具有合法I P 地址的用戶訪問該I D S 服務器；流量限制指

萬方數(shù)據

對每個IP 地址的DNS 請求加以流量限制，正常用戶數(shù)據包的長度應不大于512字節(jié)。

(2)防火墻保護：該技術把D N S 系統(tǒng)劃分為內部和外部兩部分，外部D N S 負責對外的正常解析工作；內部D N S 系統(tǒng)則專門負責解析內部網絡的主機。僅當內部主機要查詢Internet 上的域名，而內部DNS 上沒有緩存記錄時，內部DNS 才將查詢任務轉發(fā)到外部DNS 服務器上，由外部D N S 服務器完成查詢任務，以保護內部服務器免受攻擊，同時減少了信息泄漏。

(3)網絡拓撲限制：為了減少單點故障的威脅，從網

絡拓撲結構角度應避免將D N S 服務器置于無旁路的環(huán)境下，不應將所有的D N S 服務器置于同一子網、同一租用鏈路、同一路由器、同一自治域甚至同一物理位置。

4 結束語

本文在介紹DNS 的基本概念、工作原理、DNS協(xié)議的工作流程基礎上，研究了D N S 服務及應用所面臨的安全問題及存在的漏洞，同時給出了一些保護D N S 安全的措施。在DNS 應用極為廣泛的今天有一定的現(xiàn)實意義。

參考文獻：

[1]Mockapetris P. Domain names-concepts and facilities. STD13,RFC 1034,November 1987.

[2]Mockapetris.P. Domain names-implementation and specification. STD13,RFC 1035,November 1987.

[3] Eastlake D,Kaufman C. Domain name system security extensions. RFC 2535,March 1999.

[4]Douglas E. Comer. TCP/IP網絡互聯(lián)技術(卷1)[M]. 北京：清華大學出版社, 2002.

[5]Rob Scrimger 等著. TCP/IP寶典[M]. 北京：電子工業(yè)出版社, 2002.

[6]鐘樂海. D N S :域名系統(tǒng)分析與研究[J ]. 計算機科學,2002,29(8):54-56.

作者簡介：吳海濤（1974-），男，碩士，講師，研究方向：數(shù)據安全與計算機網絡。收稿日期：2008-09-20

DNS協(xié)議分析與安全檢測

作者：

作者單位：

刊名：

英文刊名：

年，卷(期)：

引用次數(shù)：吳海濤， 郭麗紅， WU Hai-tao， GUO Li-hong南京工程學院通信工程學院,江蘇,南京,211167計算機安全NETWORK AND COMPUTER SECURITY2009，(4)0次

參考文獻(6條)

1. Mockapetris P Domain names-concepts and facilities.STD13 1987

2. Mockapetris P Domain names-implementation and specification.STD13 1987

3. Eastlake D. Kaufman C Domain name system security extensions 1999

4. Douglas E Comer TCP/IP網絡互聯(lián)技術 2002

5. Rob Scrimger TCP/IP寶典 2002

6. 鐘樂海 DNS:域名系統(tǒng)分析與研究[期刊論文]-計算機科學 2002(8)

相似文獻(8條)

1.期刊論文 劉立杰. LIU Lijie 域名系統(tǒng)協(xié)議分析 -吉林農業(yè)科技學院學報2008,17(2)

DNS是Internet上解決網上機器命名的一種系統(tǒng).在Internet上,當一臺主機要訪問另外一臺主機時,必須首先獲知其地址,這就是DNS所要解決的問題.本文介紹了DNS的概念、DNS的組成并對DNS的查詢報文和響應報文作了詳細分析,從而進一步了解DNS的工作原理.

2.期刊論文 林曼筠. Lin Manyun 域名服務器的安全保護 -網絡安全技術與應用2001(1)

域名系統(tǒng)使用域名空間中便于人們理解和記憶的名稱來代替枯燥而難以記憶的數(shù)字--IP地址來定位Internet中的資源,它所提供的名字解析服務,是目前多種Internet服務正常運轉、實施的基礎.本文介紹了域名系統(tǒng)及其工作原理,從系統(tǒng)設計、軟件實現(xiàn)和系統(tǒng)配置等方面對其安全脆弱性進行分析,強調保護其核心設施--域名服務器安全的重要性,并在此基礎上指出域名服務器的安全保護措施.

3.期刊論文 盧曉軒. 王順曄. LU Xiaoxuan. WANG Shunye ENUM體系中NAPTR資源記錄的研究 -科學技術與工程2006,6(3)

下一代網絡是一個融合的網絡,要實現(xiàn)網絡的融合,網絡標識和尋址技術是至關重要的.ENUM就是作為電信網和互聯(lián)網的尋址技術出現(xiàn)的.ENUM是DDDS算法的一個具體應用,采用DNS系統(tǒng)中的NAPTR類型存儲算法規(guī)則庫.介紹了ENUM體系的功能原理,就其功能范圍進行了討論.然后分析了DDDS算法,詳細闡述了NAPTR資源記錄,根據定義給出了更加嚴格的enumservice服務分類.

4.會議論文 劉晨光. 秦華 基于P2P的下一代互聯(lián)網域名系統(tǒng)節(jié)點管理和功能設計 2009

域名系統(tǒng)是Internet的基礎。IPv6網絡的新特性，要求基于IPv6的域名系統(tǒng)提供動態(tài)高效的域名服務。鑒于傳統(tǒng)的域名系統(tǒng)模型使得DNS服務器容易成為網絡的瓶頸和攻擊目標，提出了采用P2P對等網絡思想構建動態(tài)高效的IPv6 DNS域名系統(tǒng)，著重討論了系統(tǒng)中的節(jié)點管理策略，并針對超節(jié)點選擇、資源記錄存儲、域名注冊、域名更新、域名解析等關鍵問題提出了解決方案。最后分析并指出了今后的研究方向。

5.期刊論文 張愛華. 鄭雪峰. 靳鳳榮 IPv6 協(xié)議下域名系統(tǒng)的擴展與實現(xiàn) -微機發(fā)展2004,14(7)

為了實現(xiàn)對IPv6協(xié)議的支持,需要對現(xiàn)有IPv4協(xié)議下的域名系統(tǒng)進行相應的擴展,以使其能在IPv6協(xié)議下正確地進行IP地址與域名的正向或反向解析.域名系統(tǒng)的擴展主要包括以下兩方面:一是增加了兩個新的資源記錄AAAA和A6來存儲IPv6地址,以實現(xiàn)域名到IPv6地址的正向解析;二是增加了兩個新域:ip6.int和ip6.arpa,以實現(xiàn)IPv6地址到域名的反向解析.文中以著名的域名系統(tǒng)軟件BIND為對象,以Linux操作系統(tǒng)Redhat 9作為實驗平臺,詳細介紹了基于Linux平臺的域名系統(tǒng)對IPv6協(xié)議的擴展與實現(xiàn),從而為實現(xiàn)IPv4到IPv6的平穩(wěn)過渡打下了堅實基礎.

6.期刊論文 鄒臣嵩 在WINDOWS 2003 SERVER下配置DNS服務器 -科技資訊2007(11)

DNS是網絡建設中首要解決的問題之一,是實現(xiàn)Internet應用的基礎,其作用是實現(xiàn)域名與IP地址之間的轉換.本文介紹了DNS的基本概念、應用范圍,并分步說明如何在WindowsServer 2003產品中為域名系統(tǒng)(DNS)配置Internet訪問.

7.期刊論文 郭麗楠 支持IPv6地址聚合和重編號的DNS擴展 -平原大學學報2004,21(3)

本文檔定義了對域名系統(tǒng)的修改以支持可重編號和可聚合IPv6尋址.這些修改包括用一種加速網絡重編號和修改已有查詢類型定義的方式,以一種新的資源記錄類型來存儲IPv6地址,這些已有的查詢類型返回Internet地址作為部分附加開銷.

8.學位論文 楊水根 主機標識協(xié)議的移動性管理研究 2008

在傳統(tǒng)互聯(lián)網的傳輸控制協(xié)議/互聯(lián)網協(xié)議（Transmission Control Protocol/Internet Protocol，TCP/IP）體系中，IP地址既代表節(jié)點的位置標識，又代表節(jié)點的主機標識：網絡層使用IP地址作為節(jié)點在網絡中的位置標識，用于路由；傳輸層使用IP地址作為節(jié)點的主機標識，用于建立傳輸層的連接。當節(jié)點由于發(fā)生移動而改變其IP地址時，傳輸層連接中斷，需要重新建立連接。因此，傳統(tǒng)互聯(lián)網的TCP/IP協(xié)議體系不利于支持節(jié)點的移動。 @@ 解決傳統(tǒng)互聯(lián)網移動性問題的關鍵在于把IP地址的主機標識和位置標識進行分離。由互聯(lián)網工程任務組（Internet Engineering Task Force，IETF）和互聯(lián)網研究任務組（Internet Research Task Force，IRTF）聯(lián)合提出的主機標識協(xié)議（Host IdentityProtocol，HIP）通過在網絡層和傳輸層之間增加新的主機標識層，以及引入經過加密的主機標識標簽作為節(jié)點的主機標識，把IP地址的雙重功能分離，從而可以較好地支持移動性。本文對HIP的移動性管理機制，包括HIP的位置管理機制和切換管理機制，進行了深入的研究，取得如下研究成果： @@ 1． 設計一種支持HIP的域名系統(tǒng)（Domain NameSystem，DNS）資源記錄，用于解析節(jié)點的域名、主機標識標簽和IP地址三者之間的映射關系。在此基礎上，建立一種基于DNS的HIP位置管理機制。該機制將互聯(lián)網劃分成多個區(qū)域網絡，使用集合服務點管理每個區(qū)域網絡中節(jié)點的主機標識標簽和IP地址之間的映射關系，使用DNS管理節(jié)點的主機標識標簽和對應集合服務點的IP地址之間的映射關系。 @@

2．提出一種基于動態(tài)層次位置管理的HIP微移動性支持機制。該機制引入網關集合服務點將區(qū)域網絡劃分成多個自治域，引入本地集合服務點將每個自治域劃分成多個注冊域，形成三層的層次體系結構，從而將節(jié)點移動時的位置更新消息限制在一定的位置管理域內。另外，節(jié)點根據自己的移動速度和會話到達速度，動態(tài)地選取注冊域并計算該注冊域的最佳范圍。性能分析表明，當節(jié)點的移動速度大于會話到達速度時，該機制可以顯著降低總的信令開銷，從而較好的支持節(jié)點的微移動性。 @@ 3．針對移動節(jié)點能量受限的問題，對基于動態(tài)層次位置管理的HIP微移動性支持機制進行尋呼功能的擴展，提出支持尋呼的HIP位置管理機制。該機制將網絡中的移動節(jié)點分成處于激活狀態(tài)的移動節(jié)點和處于空閑狀態(tài)的移動節(jié)點兩類，通過減少處于空閑狀態(tài)移動節(jié)點的位置注冊和位置更新消息數(shù)量，降低了網絡中的冗余信令，同時也節(jié)省了移動節(jié)點的能量消耗。性能分析表明，該機制可 以降低總的信令開銷，并且支持大量移動節(jié)點的位置管理。@@ 4．對傳統(tǒng)端到端的HIP機制進行擴展，引入支持HIP機制的移動路由器，并在此基礎上提出一種基于HIP的子網移動性支持機制。在該機制中，移動路由器給每個移動子網節(jié)點分配一個私有IP地址，保存移動子網節(jié)點的主機標識標簽及其私有IP地址之間的映射關系，并對移動子網節(jié)點和通信節(jié)點之間的數(shù)據報文進行相應的IP地址替換。當節(jié)點在移動子網內移動時，只需要在移動路由器中進行位置更新。性能分析表明，和基于移動IPv6的子網移動性支持機制相比，基于HIP的子網移動性支持機制可以顯著降低總的信令開銷。 @@ 5． 提出一種基于HIP和會話初始協(xié)議（Session Initiation Protocol，SIP）的跨層切換管理機制，使用通信雙方的主機標識標簽建立SIP會話連接，并利用HIP快速感知底層網絡狀況變換的能力以及HIP的位置更新機制，進行節(jié)點移動時的切換管理。性能分析表明，該機制可以降低節(jié)點移動時的切換時延、報文丟失個數(shù)以及切換阻塞率。 @@關鍵詞：主機標識協(xié)議；移動性管理；位置管理；切換管理；尋呼

本文鏈接：http://d.g.wanfangdata.com.cn/Periodical_dzzwyjc200904008.aspx

下載時間：2010年4月21日