[发明专利]一种基于RPZ的递归侧域名保全方法及系统

说明书

本申请公开了一种基于RPZ的递归侧域名保全方法及系统。其中方法包括：配置递归服务器，包括：添加RPZ区；为DNS软件启用RPZ选项；在RPZ区文件中增加指定域名相关的可信记录；将RPZ区下的域名解析转发给RPZ服务器；所述递归服务器用于应答客户端对任意域名的解析请求；配置RPZ服务器，包括：添加可信区；在可信区文件中增加指定域名相关的可信记录；所述RPZ服务器是指网络中支持下发RPZ规则的服务器；递归服务器和RPZ服务器在网络上连通，且二者的DNS软件配置文件可修改；所述RPZ区是指包含被保护域名的别名记录的一个可信区；可信区是指存放可信记录的区域。本发明可用于为互联网用户提供使用互联网时的安全保障，以防止域名无法被正确解析。

技术领域

本发明涉及域名保全技术领域，具体涉及一种基于RPZ的递归侧域名保全方法及系统。

背景技术

当前的DNS(Domain Name System)体系中存在权力滥用的风险。在RFC7720中规定：所有的根服务器都要使用IANA(The Internet Assigned Numbers Authority，互联网数字分配机构)提供的根区，那么这样存在的风险就是：如果因为IANA的职能受到破坏，而在根区中删除或篡改了一个ccTLD(Country Code Top-level Domain，国家代码顶级域)，那么就会导致该ccTLD下的域名无法被解析或者被错误地解析，也就会导致互联网用户无法正常地访问该ccTLD下的域名对应的服务。

发明内容

本申请的目的在于克服上述问题或者至少部分地解决或缓减解决上述问题。

根据本发明的一方面，提供一种基于RPZ的递归侧域名保全方法，该方法包括：

配置递归服务器，包括：添加RPZ区；为DNS软件启用RPZ选项；在RPZ区文件中增加指定域名相关的可信记录；将RPZ区下的域名解析转发给RPZ服务器；所述递归服务器用于应答客户端对任意域名的解析请求；

配置RPZ服务器，包括：添加可信区；在可信区文件中增加指定域名相关的可信记录；所述RPZ服务器是指网络中支持下发RPZ规则的服务器；

所述递归服务器和所述RPZ服务器在网络上连通，且二者的DNS软件配置文件可修改；

所述RPZ区是指包含被保护域名的别名记录的一个可信区；所述可信区是指存放可信记录的区域；所述RPZ区文件和所述可信区文件是指可信区中由DNS名称空间中的单个区域或紧密相邻的多个子域组成的管理单位所对应的内容文件。

进一步地，所述添加RPZ区或所述添加可信区的具体步骤包括：对输入的区域信息进行格式处理；寻找目的本地区域配置文件所在路径；对目的本地区域配置文件进行修改，追加该区域信息；输出目的本地区域配置文件。

进一步地，所述在RPZ区文件中增加指定域名相关的可信记录或所述在可信区文件中增加指定域名相关的可信记录的具体步骤包括：获取该指定域名相关的资源记录；在DNS软件配置文件中搜索是否存在该指定域名的相关资源记录，若存在且相同则直接保存；若存在但矛盾则将原有资源记录覆盖；若不存在则将该指定域名相关的资源记录添加到DNS软件配置文件的末尾，不做其他修改。

根据本发明的另一方面，提供一种基于RPZ的递归侧域名保全系统，该系统包括递归服务器和RPZ服务器，所述递归服务器和所述RPZ服务器在网络上连通，且二者的DNS软件配置文件可修改；

所述递归服务器用于应答客户端对任意域名的解析请求；所述递归服务器包括第一区添加模块、RPZ启用模块、转发配置模块和RPZ配置模块；其中，

所述第一区添加模块用于添加RPZ区；所述RPZ启用模块用于为DNS软件启用RPZ选项；所述转发配置模块用于将RPZ区下的域名解析转发给RPZ服务器；所述RPZ配置模块用于在RPZ区文件中增加指定域名相关的可信记录；