[发明专利]一个基于开源DNS软件的自证根实现方法

摘要

一个基于开源DNS软件的自证根实现方法，涉及DNS安全改进技术领域。本发明为了解决现有的DNSSEC方案中不提供针对根区胶水记录的签名机制，致使根区胶水记录面临被篡改的问题。本发明包含在根服务器和顶级域服务器中生成区域密钥及其对胶水记录的签名，将顶级域密钥及其对胶水记录签名发布到根服务器中替代根区原有的胶水记录，在递归解析器上向根服务器查询顶级域胶水记录并进行DNSSEC验证。自证根方案是对DNSSEC方案中胶水记录可能被篡改的安全隐患进行的改进，通过添加对根区胶水记录的签名，提高了根区胶水记录安全性。本发明通过修改一个开源DNS软件的源码，在根区中建立了一条由根到顶级域胶水记录的信任链，实现了自证根。

主权项

1.一个基于开源DNS软件的自证根实现方法，所述自证根为一个根区数据本身可自证来源真实性的安全DNS加密方案，自证根主要包含三个设计目标：一、胶水签名：对胶水记录添加来自顶级域权威的数字签名，令根区胶水记录来源可公开验证；自证根在开源DNS软件bind中实现服务器端胶水签名；二、公钥钉：解析器采用公钥白名单或首用信任的方法来获得顶级域公钥；三、双重签名：当顶级域密钥滚动时，新的顶级域公钥证书需要来自根权威和顶级域权威的两个签名；水签名、公钥钉以及双重签名在开源DNS软件bind中实现的；于，自证根在开源DNS软件bind中实现服务器端胶水签名的过程包括：(1)服务器配置：(1.1)先进行顶级域服务器的配置，包含配置系统环境、配置顶级域区文件、配置named服务器中的选项；其中，配置顶级域区文件的步骤如下：(1.1.1)建立区文件，添加TTL记录、顶级域SOA记录、顶级域NS记录和对应的A记录；(1.1.2)使用dnssec‑keygen工具生成顶级域DNSKEY记录(DNSKEY记录包含KSK和ZSK密钥)，将生成的密钥添加到所述顶级域区文件中；(1.1.3)使用dnssec‑signzone工具生成对顶级域区文件进行签名，生成相关记录的RRSIG和NSEC记录，所述的相关记录包含根区的胶水记录；(1.2)再进行根服务器的配置，因为根服务器的区文件中的顶级域DS记录需要在完成顶级域服务器配置后才能获得；根服务器的配置包含配置系统环境、配置区文件、配置named服务器中的options；其中，区文件内容除包含根区本身的TTL记录、SOA记录、NS记录和名称服务器对应的A记录外，还需要加入顶级域NS记录和顶级域名称服务器对应的A记录，以及顶级域区文件签名成功后生成的DS记录；(2)信任链合成，其过程为：(2.1)建立根服务器的区文件时添加顶级域密钥；(2.2)对根区文件进行签名后，生成顶级域NSEC记录；(2.3)在签名后的根区文件中，添加顶级域DNSKEY记录的签名和NS记录的签名，生成一条由根到顶级域的信任链；(3)查询验证，在递归解析器上向根服务器查询顶级域NS记录，并进行DNSSEC验证，验证成功即得到一条由根到顶级域的完整信任链，其过程具体包括：(3.1)配置递归解析器，开启递归选项，配置信任锚为根服务器的KSK；(3.2)在递归解析器中，使用dig工具向根服务器查询顶级域NS记录，并使用sigchase选项进行DNSSEC验证。