[发明专利]DNS域名解析方法、DNS服务器及计算机可读存储介质

说明书

本发明涉及网络通信技术领域，具体地涉及到一种DNS域名解析方法、DNS服务器及计算机可读存储介质，能够通过在服务器中配置旁路认证的验证路线，对采用目标加密算法如国密算法的公钥和/或签名进行解析，以解决DNSSEC和DNS解析系统采用不同加密算法时无法相互兼容的问题。本发明提供的DNS域名解析方法，DNS服务器中配置有基于目标加密算法的旁路认证的认证中心的信任锚，包括：步骤S1，进行DNS域名请求解析，在DNS域名请求解析的过程中接收数据来源安全认证的数字签名信息；步骤S2，判断数字签名信息是否采用目标加密算法，若是，则将数字签名旁路到认证中心进行认证，若否，则继续进行数据来源安全认证。

技术领域

本发明涉及网络通信技术领域，具体地涉及到一种DNS域名解析方法、DNS服务器及计算机可读存储介质。

背景技术

DNS安全扩展(Domain Name System Security Extensions，简称DNSSEC)是由IETF提供的一系列DNS安全认证的机制，DNSSEC通过为DNS中的数据添加数字签名信息，使得递归服务器在得到应答消息后可以通过检查此签名信，使得递归服务器在得到应答消息后可以通过检查此签名信息来判断应答数据是否权威和真实，从而为DNS数据提供数据来源验证和数据完整性检验，可以防止针对DNS的相关攻击。

在利用DNS安全扩展进行DNS数据的数据来源验证时，同样需要建立信任链，信任链由DNS域名解析过程中的各个节点组成，上一个节点为下一个节点的公钥散列值进行数字签名，从而保证信任链中的每个节点都是值得信任的。公钥和签名的加密算法是多种多样的，而且各个DNS服务器支持的加密算法也是不同的，实际应用中DNSSEC若要采用某种加密算法，则需要全链路支持该类型的加密算法，即需要从根开始支持该类型的加密算法，否则就会面临解析过程中数据来源验证失败的问题。

现有技术中，常见的密码算法包括对称密码算法、非对称算法和杂凑算法三种，其中对称算法包括ZUC、SM1、SM4、SM7、DES、TDES、AES，非对称算法包括SM2、SM9、RSA、ECC等，密码杂凑算法包括SM3、SHA1、SHA256、SHA512、MD5等。上述算法中ZUC、SM1、SM2、SM3、SM4、SM7、SM9是国内目前认可的商密算法即国密算法，其余为国际算法。而目前的DNS解析体系仅支持国际加密算法的DNSSEC，支持国密算法的DNS系统无法兼容现有DNS解析体系。

发明内容

针对以上问题，本发明提供了一种DNS域名解析方法、DNS服务器及计算机可读存储介质，能够通过在服务器中配置旁路认证的验证路线，对采用目标加密算法如国密算法的公钥和/或签名进行解析，以解决DNSSEC和DNS解析系统采用不同加密算法时无法相互兼容的问题，进而方便进行DNS解析系统原本不支持的类型的加密算法的推广应用。

在本发明的技术方案中，提供了一种DNS域名解析方法，DNS服务器中配置有基于目标加密算法的旁路认证的认证中心的信任锚，包括：步骤S1，进行DNS域名请求解析，在DNS域名请求解析的过程中接收数据来源安全认证的数字签名信息；步骤S2，判断数字签名信息是否采用目标加密算法，若是，则将数字签名旁路到认证中心进行认证，若否，则继续进行数据来源安全认证。

根据本发明的技术方案，DNS域名解析时会对返回的DNS解析结果进行数据来源验证，DNSSEC使用公钥加密对DNS资源记录集(RRset)进行签名和身份验证，但若公钥采取了不兼容的加密算法进行加密就会导致数据来源验证失败。在本发明的技术方案中，DNSSEC进行数据来源验证时，任意节点返回采用不兼容的加密算法即目标加密算法加密的报文，都可以通过在DNS服务器中预设的基于目标加密算法的旁路认证的认证中心的信任锚直接旁路到认证中心进行数字签名验证，无需到节点对应的父域中请求DNSSEC公钥的散列值验证密钥，使得所有采用目标加密算法签名的域名都旁路到目标加密算法对应的认证中心去验证，兼容不同加密算法的同时，使得验证配置更加简单高效。