[发明专利]可信DNS解析设备和方法

说明书

本发明提供了一种用于安全解析域名的设备。在一个实施例中，所述用于安全解析域名的设备包括解析器单元101和认证器单元102。所述解析器单元101用于将从存根解析器103接收到的查询解析为多个域名服务器(domain name server，DNS)记录，其中，所述多个DNS记录包括使用域名系统安全扩展(Domain Name System Security Extensions，DNSSEC)技术进行签名的DNS记录，并向认证器单元102提供验证所述经DNSSEC签名的DNS记录所需的所述多个DNS记录和DNS验证数据。所述认证器单元102用于在可信执行环境中运行，使用所述DNS验证数据重新验证所述经DNSSEC签名的记录，并通过认证通信信道104将所述多个DNS记录发送到所述存根解析器103。

技术领域

本发明涉及通信领域，并且涉及一种用于保证域名服务器提供给客户端的记录的完整性的设备和方法。

背景技术

域名服务器在因特网上等同于电话本。它们维护域名目录，并将其转换为因特网协议(Internet Protocol，IP)地址。这是必要的，因为尽管域名容易让人记住，但是计算机或机器还是基于IP地址访问网站。然而，域名系统(domain name system，DNS)的一个基本问题在于结果的完整性。DNS服务器常常是攻击的目标，攻击者操控这些服务器将网站流量导至用于收集帐户或凭据的恶意服务器。

域名系统安全扩展(Domain Name System Security Extensions，DNSSEC)是一套因特网工程任务组(Internet Engineering Task Force，IETF)规范，旨在保证因特网协议(Internet Protocol，IP)网络中使用的DNS服务器提供的信息的完整性。DNSSEC使得DNS记录可以由密钥签名，可以将其信任关系追溯到DNS根服务器，从而建立信任链。支持DNSSEC技术的递归解析器(Recursive Resolver，RR)可以执行此验证，因此，只要RR操作和检索记录的域名空间或DNS区域的一部分正在使用DNSSEC技术，就可以确保解析过程中结果的完整性。

然而，这种方法存在一个问题。

存根解析器(stub resolver，SR)作为通过DNS请求IP地址的客户端，仅接收到了表明结果是否已通过DNSSEC验证的答复，即所需的DNS记录和标记。它没有接收到任何证据表明验证确实已执行，或者表明此答复是真实的，即它是由递归解析器提供的，而不是由恶意中间人(man in the middle，MIM)提供的。

针对不确定性的问题，如果确实执行了DNSSEC验证，则可以使用DNSSEC验证方案。DNSSEC验证过程是指SR重放由RR完成的解析过程，以便得到验证过程中所需的所有DNSSEC记录。这样，SR可以执行自身的递归认证和签名验证，并自行确定从RR接收到的答复是否确实是通过DNSSEC验证。然而，这种方式导致每次查找域名时的计算量和网络调用量增加了一倍。

针对不确定性的问题，如果接收到的答复是真实的，则可以使用DNSCrypt和DNSover TLS。

在DNSCrypt技术中，递归解析器使用私钥对答复进行签名，以便任何调用存根解析器都可以验证结果的真实性。这种方式防止了MIM攻击，因此可以确保真实性，但不能保证完整性，因为递归解析器仍然可能被黑客攻击或劫持，或者其DNSCrypt密钥可能被窃取。

DNS over TLS安全协议具有类似的优点和缺点。代替私钥，与单个递归解析器相匹配的证书分配给了客户端。DNS over TLS也防止了MIM攻击，因此可以确保真实性，但不能保证完整性，因为递归解析器仍然可能被黑客攻击或劫持，或者其证书可能被窃取。

发明内容