[发明专利]一个基于开源DNS软件的自证根实现方法

说明书

一个基于开源DNS软件的自证根实现方法，涉及DNS安全改进技术领域。本发明为了解决现有的DNSSEC方案中不提供针对根区胶水记录的签名机制，致使根区胶水记录面临被篡改的问题。本发明包含在根服务器和顶级域服务器中生成区域密钥及其对胶水记录的签名，将顶级域密钥及其对胶水记录签名发布到根服务器中替代根区原有的胶水记录，在递归解析器上向根服务器查询顶级域胶水记录并进行DNSSEC验证。自证根方案是对DNSSEC方案中胶水记录可能被篡改的安全隐患进行的改进，通过添加对根区胶水记录的签名，提高了根区胶水记录安全性。本发明通过修改一个开源DNS软件的源码，在根区中建立了一条由根到顶级域胶水记录的信任链，实现了自证根。

技术领域

本发明涉及DNS安全改进技术领域，具体为涉及一个基于开源DNS软件的自证根实现方法。

背景技术

域名系统(DNS)是人们使用TCP/IP协议访问因特网时的一项基础核心服务，它通过将主机名映射到IP地址，提供更加便捷的互联网服务方式。DNSSEC安全扩展的主要思想是通过公钥加密技术对DNS中的信息创建密码签名，为DNS内部的信息同时提供权限认证和信息完整性检查。DNSSEC的设计思想是由上到下或自下而上，逐级对签名进行验证。DNSSEC的实现依赖于DS记录，即子域的公共密钥的摘要。DS记录存储的位置在父域中，通过信任委托的方式，实现将信任从父域的密钥传递到子域的密钥上。这其中的安全隐患在于，一个域只对其中的权威数据签名，胶水记录的安全性无法得到保障。

发明内容

本发明的目的是提供一种基于开源DNS软件的自证根实现方法，为了解决现有的DNSSEC方案中不提供针对根区胶水记录的签名机制，致使根区胶水记录面临被篡改的问题。

本发明为解决上述技术问题采取的技术方案是：

一个基于开源DNS软件的自证根实现方法，所述自证根为一个根区数据本身可自证来源真实性的安全DNS加密方案(针对现有DNSSEC方案中根区胶水记录因不提供签名机制而面临可能被篡改的隐患而提出)，自证根主要包含三个设计目标：

一、胶水签名：对胶水记录添加来自顶级域权威的数字签名，令根区胶水记录来源可公开验证；自证根在开源DNS软件bind中实现服务器端胶水签名；

二、公钥钉：解析器采用公钥白名单或首用信任的方法来获得顶级域公钥；

三、双重签名：当顶级域密钥滚动时，新的顶级域公钥证书需要来自根权威和顶级域权威(使用旧密钥)的两个签名；

胶水签名、公钥钉以及双重签名在开源DNS软件bind中实现的；

自证根在开源DNS软件bind中实现服务器端胶水签名的过程包括：

(1)服务器配置：

(1.1)先进行顶级域服务器的配置，包含配置系统环境、配置顶级域区文件、配置named服务器中的选项；其中，配置顶级域区文件的步骤如下：

(1.1.1)建立区文件，添加TTL记录、顶级域SOA记录、顶级域NS记录和对应的A记录；

(1.1.2)使用dnssec-keygen工具生成顶级域DNSKEY记录(DNSKEY记录包含KSK和ZSK密钥)，将生成的密钥添加到所述顶级域区文件中；

(1.1.3)使用dnssec-signzone工具生成对顶级域区文件进行签名，生成相关记录的RRSIG和NSEC记录，所述的相关记录包含根区的胶水记录；

(1.2)再进行根服务器的配置，因为根服务器的区文件中的顶级域DS记录需要在完成顶级域服务器配置后才能获得；