[发明专利]一种基于复杂网络上的DNSSEC解析方法

说明书

技术领域

本发明涉及一种基于复杂网络上的DNSSEC解析方法，属于计算机网络技术领域。

背景技术

近年来，为了解决DNS域名系统的安全漏洞问题(例如中间人攻击)，DNSSEC(Domain Name System Security Extensions)协议逐渐得到广泛部署并成为趋势。它使用了公钥加密技术和数字签名技术来为DNS提供端点鉴别和数据完整性保护(RFC 4034，RFC 4035)，目前根节点、com、us和cn等顶级域名都已实施部署。

引入DNSSEC功能后，DNS报文将会明显增大，数据报文的大小将会超过512字节，甚至会超过1500字节。虽然EDNS0技术扩充了DNS报文的大小，但是一些路由器不支持大于1500字节的DNS数据包，一些防火墙不支持EDNS0协议。这些限制将直接阻塞DNSSEC数据报文在互联网上的传输，最终导致相应域名无法解析。

发明内容

本发明的目的在于降低DNSSEC带来的DNS解析失败风险，提供一种复杂网络上的DNSSEC解析方法。

本发明的技术方案为：

一种基于复杂网络上的DNSSEC解析方法，其步骤为：

1)递归服务器根据用户的DNS查询请求查询缓存数据，如果有对应的缓存数据，则将该缓存数据返回给该用户；如果没有则进行步骤2)；

2)递归服务器根据该DNS查询请求使用DNSSEC查询方式向权威服务器查询DNS数据；如果没有获得该DNS查询请求的DNS数据，则进行步骤3)；如果获得该DNS查询请求的DNS数据，则使用DNSSEC协议验证该DNS数据，如果验证通过，则返回给该用户含有AD位的DNS数据；如果验证失败，则返回查询失败信息；

3)递归服务器使用动态选择策略挑选的传输协议向权威服务器查询DNS数据；如果未获得该DNS查询请求的DNS数据，则进行步骤4)；如果获得该DNS查询请求的DNS数据，则使用DNSSEC协议验证DNS数据，如果验证通过，返回给该用户含有AD位的DNS数据；如果验证失败，返回查询失败信息；

4)递归服务器使用动态选择策略挑选的传输协议，采用非DNSSEC方式向权威服务器查询DNS数据，如果获得该DNS查询请求的DNS数据，则返回给该用户不含AD位的DNS数据，完成查询；否则返回查询失败信息。

进一步的，所述步骤2)中，递归服务器采用UDP协议，使用DNSSEC查询方式向权威服务器查询DNSSEC数据。

进一步的，所述步骤3)中，所述动态选择策略挑选的传输协议是指根据网络环境进行选择传输协议,例如TCP、UDP等。动态选择策略可以根据网络延时等等作为参数，选择出适合当前网络状态的通信协议。

进一步的，所述步骤4)中，所述动态选择策略挑选的传输协议是指根据网络环境进行选择传输协议,例如TCP、UDP等。动态选择策略可以根据网络延时等等作为参数，同时考虑上次失败的通信协议选择结果，选择出适合当前网络状态的通信协议。

在DNSSEC技术中，递归服务将会根据DNS权威服务的数据进行验证。在验证过程中，递归服务采用UDP协议作为默认传输协议进行通信，使用DNSSEC查询方式获得所需的DNS数据(即包含DNSSEC信息的DNS数据或DNSSEC数据)。当递归服务获得来自权威服务的包含DNSSEC信息的DNS数据时，将会对该数据做DNSSEC验证。如果验证成功，将会给最终用户返回含有“AD”位的DNS数据(即从客户端角度考虑，表明该DNS数据是可信赖的)；如果验证失败，将分为2种情况来处理，分别如下：

1)获得DNS数据，但是发现数据被篡改

获得DNS数据，但是根据DNSSEC协议发现数据被篡改时，将会为最终用户返回“ServFail”，停止为该域名提供解析服务。

2)没有获得DNS数据

采用动态选择策略挑选的传输协议进行重新查询，获得数据，然后重新验证DNS数据。当重新查询获得数据时，将会继续验证DNS报文，验证通过时，返回含有“AD”位的DNS报文，验证没有通过时返回“ServFail”，停止为该域名提供服务；当再次没有获得数据时，递归服务将会再次动态选择传输协议并且使用非DNSSEC查询方式查询权威服务。当获得来自权威服务的报文时，将不做DNSSEC验证，并且将不含有“AD”位的DNS报文返回给最终用户，从而保证DNS能够继续工作，使得用户请求访问的URL依然可用；当再次没有获得来自权威服务的报文时，递归服务将会返回“ServFail”的DNS报文。