[发明专利]基于区块链的域名分布式认证方法、装置及区块链网络

说明书

本发明公开了一种基于区块链的域名分布式认证方法、装置及区块链网络，方法包括：接收域名写入请求；其中，所述域名写入请求包括域名以及由该域名的有效私钥对更新的域名记录进行运算后得到的签名；从区块链账本上查询与所述域名对应的有效公钥；利用所述有效公钥对所述签名进行验证，以判断所述域名写入请求是否有效；当判断所述域名写入请求有效时，则将该域名写入的记录写入到到区块链账本中，其中，每条记录包括写入域名的名字、写入时间戳、认证数据以及所述签名。实施本发明，能实现去中心化的分布式的域名认证。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于区块链的域名分布式认证方法、装置及区块链网络。

背景技术

域名解析服务(Domain Name Service，DNS)是一种将域名解析成IP地址的网络服务。DNS本身不考虑安全问题，因此用户无法辨别域名解析数据是否受到了官方授权。为解决上述问题，人们开发DNSsec作为DNS的替代。相比DNS，DNSsec有3个关键区别：1)每个域名服务器维护一对公私钥，用以对域名数据进行签名，并将公钥存于DNS系统中对应的上层域名服务器；2)每个域名服务器用自己的私钥对域名签名，并将签名存储在本地；3)用户本机存储根服务器公钥(以下简称信任锚)。

基于上述特点，DNSsec对域名的认证流程如下：1)用户访问根服务器，请求顶级域名数据(包括解析数据和顶级域名公钥)和顶级域名数据签名，并用本机存储的公钥验证签名是否有效；2)如果顶级域名数据通过验证(表示数据有效)，根据解析数据内容访问顶级域名服务器，请求二级域名服务器数据(解析数据和公钥)和数据签名(用顶级域名私钥实现的签名)，并根据从根获得的顶级域名公钥验证二级域名数据签名有效性；3)如果有效，重复第2步直至完成域名解析迭代过程，获得可以认证的目标域名解析数据。

本质上，DNSsec构建了一条从本机信任锚到目标域名解析数据的信任链，即天然相信信任锚，从而顶级域名解析数据及公钥可信，从而二级域名解析数据及公钥可信…从而目标域名解析数据可信。对于每一个发起DNSsec请求的域名解析递归服务器来讲，其信任的来源是存储于本机的信任锚，也就是说，信任来源是中心化的。

然而无论DNS还是DNSsec，其管理和解析系统架构都是中心化的，这导致域名解析服务存在严重的权利滥用风险。即，当上层服务器删除其管理的下层域名时，下层域名将从Internet上彻底消失，尤其对于根服务器，当ICANN决定删除某个国家的顶级域名，以该国所有顶级域名为后缀的域名将无法被解析。目前这个问题的解决方案为用互连根替代现有根，每个互连根参与的实体维护若干互连根节点，且通过协商共同决定存储的根区文件，并实时在互连根节点间同步根区文件。从而，原有根的中心化管理转化为分布式的管理方案。

虽然互连根解决了现有根的中心化管理带来的权利滥用问题，但是互连根并没有给出一个可靠的域名认证方案。对比DNSsec之于DNS，互连根需要一个类似于DNSsec的认证方案。也就是说，在分布式域名管理的前提下，域名解析如何构建一条到目标域名的信任链？显然，信任锚的管理是中心化的，它不能作为分布式域名认证的解决方案。

发明内容

有鉴于此，本发明的目的在于提供一种基于区块链的域名分布式认证方法、装置及区块链网络，能实现去中心化的分布式的域名认证。

本发明实施例提供了一种基于区块链的域名分布式认证方法，包括：

接收域名写入请求；其中，所述域名写入请求包括域名以及由该域名的有效私钥对更新的域名记录进行运算后得到的签名；

从区块链账本上查询与所述域名对应的有效公钥；

利用所述有效公钥对所述签名进行验证，以判断所述域名写入请求是否有效；

当判断所述域名写入请求有效时，则将该域名写入的记录写入到到区块链账本中，其中，每条记录包括写入域名的名字、写入时间戳、认证数据以及所述签名。