System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种DNSSEC服务器递归查询方法、DNSSEC服务器和产品技术_技高网
当前位置: 首页 > 专利查询>互联网域名系统北京市工程研究中心有限公司专利>正文

一种DNSSEC服务器递归查询方法、DNSSEC服务器和产品技术

技术编号:44260711 阅读:5 留言:0更新日期:2025-02-14 22:05
本申请公开了一种DNSSEC服务器递归查询方法、DNSSEC服务器和产品,针对现有技术中DNSSEC服务器受到攻击时,不能及时识别非法应答数据导致消耗网络和硬件资源的问题,通过DNSSCE服务器迭代获取目标域名的A记录信息,并逐级验证签名;对于所述逐级验证签名,请求获取每一级域名的DS记录信息的数据传输过程均使用加密协议进行加密;获得并解析使用所述加密协议加密的DS记录信息,对收到的KSK签名进行验证;若验证签名通过,则继续使用所述加密协议加密向上一级DNS权威服务器获取DS记录信息;若验证签名失败,则停止本次DNSSEC递归请求,不再继续向上一级DNS权威服务器请求DS记录信息,及时发现非法应答,减少资源占用。

全部详细技术资料下载

【技术实现步骤摘要】

本申请涉及计算机,特别是涉及一种dnssec服务器递归查询方法。


技术介绍

1、传统的dns协议是基于udp+明文的方式进行数据传输,这种方式提升了域名解析的速度,但却容易受到外部欺骗或篡改数据记录值等攻击,造成dns缓存数据污染,破坏dns数据的完整和安全。

2、dnssec是一种增强dns安全性和可靠性的协议扩展,它通过数字签名的方式,对dns数据进行签名。dnssec在保证dns数据的安全性和可靠性的同时,也增加了受到ddos攻击的可能性。目前针对dnssec的ddos攻击的防护主要通过对攻击源ip进行过滤或者限速来实现。

3、并且当dnssec受到ddos攻击时,由于其自身查询过程的特点即存在复杂的签名校验过程,dnssec服务器需要一直向上一级dns服务器请求验证权威应答和ds记录签名的合法性。直到遇到根区公共信任证书或者自身配置的信任锚点,才会意识到应答数据是非法的。但此时已经占用了大量的硬件和网络资源,影响正常dns解析请求。


技术实现思路

1、本申请提供一种dnssec服务器递归查询方法、dnssec服务器和产品,旨在解决现有技术中dnssec服务器受到攻击时,不能及时识别非法应答数据导致消耗网络和硬件资源的问题。

2、第一方面,一种dnssec服务器递归查询方法,包括:dnssce服务器迭代获取目标域名的a记录信息,并逐级验证签名;所述方法包括:

3、对于所述逐级验证签名,请求获取每一级域名的ds记录信息的数据传输过程均使用加密协议进行加密;

4、获得并解析使用所述解密协议加密的ds记录信息,对收到的ksk签名进行验证;

5、若验证签名通过,则继续使用所述加密协议加密向上一级dns权威服务器获取ds记录信息;

6、若验证签名失败,则停止本次dnssec递归请求,不再继续向上一级dns权威服务器请求ds记录信息。

7、上述方案中,进一步可选地,所述加密协议为tls协议。

8、上述方案中,可选地,对收到的ksk签名进行验证,若验证签名失败,停止本次dnssec递归请求,还同时报告错误或异常。

9、上述方案中,可选地,使用所述加密协议对ds请求传输过程加密的步骤包括:

10、向dns权威服务器发起握手请求,并在握手阶段完成与dns权威服务器交换协议版本、协商共享密钥、身份验证、证书验证和密钥交换;

11、建立加密协议连接后,通过所述加密协议与dns权威服务器进行数据传输。

12、第二方面,一种dnssec服务器,包括存储器、处理器及存储在存储器上的计算机程序,所述dnssec服务器执行所述计算机程序以实现上述方法的步骤。

13、第三方面,一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。

14、第四方面,一种计算机程序产品,包括计算机程序/指令,所述计算机程序/指令被处理器执行时实现上述方法的步骤。

15、相比现有技术,本申请至少具有以下有益效果:

16、本申请基于对现有技术问题的进一步分析和研究,认识到虽然dnssec是提高dns数据安全性的一种好方法,但是它没有对传输过程做加密,仍然是采用udp+明文的方式进行数据传输,只是增加了复杂的签名校验过程,并且现有技术中dnssec服务器受到攻击时,不能及时识别非法应答数据会导致消耗网络和硬件资源的问题,通过将dns服务器获取ds记录的数据传输过程,改进为采用加密协议的方式进行加密,达到当dnssec服务器收到伪造的dns应答后,避免在向上一级dns服务器获取ds记录过程被伪造或篡改;并通过ds及时发现非法应答,减少资源占用。

17、本申请的dnssec递归过程,分为请求和签名认证两个阶段,尽管在签名认证阶段,需要做大量的计算,但本申请可以让dnssec服务器更早的识别到攻击行为,降低最少50%以上的系统资源占用。

本文档来自技高网...

【技术保护点】

1.一种DNSSEC服务器递归查询方法,包括:DNSSCE服务器迭代获取目标域名的A记录信息,并逐级验证签名;其特征在于:

2.根据权利要求1所述的DNSSEC服务器递归查询方法,其特征在于,包括:所述加密协议为TLS协议。

3.根据权利要求1所述的DNSSEC服务器递归查询方法,其特征在于,包括:对收到的KSK签名进行验证,若验证签名失败,停止本次DNSSEC递归请求,还同时报告错误或异常。

4.根据权利要求1所述的DNSSEC服务器递归查询方法,其特征在于,使用所述加密协议对DS请求传输过程加密的步骤包括:

5.一种DNSSEC服务器,包括存储器、处理器及存储在存储器上的计算机程序,其特征在于,所述DNSSEC服务器执行所述计算机程序以实现权利要求1所述方法的步骤。

6.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1所述方法的步骤。

7.一种计算机程序产品,包括计算机程序/指令,其特征在于,所述计算机程序/指令被处理器执行时实现权利要求1所述方法的步骤

...

【技术特征摘要】

1.一种dnssec服务器递归查询方法,包括:dnssce服务器迭代获取目标域名的a记录信息,并逐级验证签名;其特征在于:

2.根据权利要求1所述的dnssec服务器递归查询方法,其特征在于,包括:所述加密协议为tls协议。

3.根据权利要求1所述的dnssec服务器递归查询方法,其特征在于,包括:对收到的ksk签名进行验证,若验证签名失败,停止本次dnssec递归请求,还同时报告错误或异常。

4.根据权利要求1所述的dnssec服务器递归查询方法,其特征在...

【专利技术属性】
技术研发人员:张晓陈政璋田晓辉李剑邢志杰毛伟
申请(专利权)人:互联网域名系统北京市工程研究中心有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有