技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，特別是涉及一種對DNS報文中的身份信息進行認證的方法、服務(wù)器和系統(tǒng)。

背景技術(shù)

伴隨著科學技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)在人們的工作和生活中得到了越來越廣泛的應用，作為互聯(lián)網(wǎng)中的重要組成部分，域名系統(tǒng)(Domain?NameSystem，簡稱DNS)提供了在方便人類記憶的域名和計算機使用的IP地址之間進行映射查詢的服務(wù)。

圖1為現(xiàn)有技術(shù)支持遞歸查詢的域名系統(tǒng)結(jié)構(gòu)示意圖。如圖1所示，域名系統(tǒng)包括主機終端、遞歸服務(wù)器和多個權(quán)威服務(wù)器，如權(quán)威服務(wù)器A、權(quán)威服務(wù)器B和權(quán)威服務(wù)器C等。在圖1所示的域名系統(tǒng)中進行一次遞歸查詢的可能過程如下：

步驟11：主機終端會向遞歸服務(wù)器發(fā)送一個DNS報文，該DNS報文用于請求查詢某域名對應的IP地址。

步驟12：遞歸服務(wù)器向權(quán)威服務(wù)器A轉(zhuǎn)發(fā)DNS報文。

步驟13：如果權(quán)威服務(wù)器A上存有該未知域名對應的IP地址，則將相應IP地址應答給遞歸服務(wù)器。

步驟14：遞歸服務(wù)器將相應IP地址發(fā)送給發(fā)起查詢的主機終端。

如果權(quán)威服務(wù)器A沒有相關(guān)的記錄卻知道權(quán)威服務(wù)器B可能具有該紀錄的話，會在應答中向遞歸服務(wù)器建議其向權(quán)威服務(wù)器B進行查詢。同樣地，如果權(quán)威服務(wù)器B具有相關(guān)記錄，會應答給遞歸服務(wù)器；如果權(quán)威服務(wù)器B不具有相關(guān)記錄但是知道權(quán)威服務(wù)器C可能具有相關(guān)記錄，則會向遞歸服務(wù)器建議其向權(quán)威服務(wù)器C查詢。以此類推，直至具有該記錄的權(quán)威服務(wù)器將查詢結(jié)果返回給遞歸服務(wù)器，再由遞歸服務(wù)器將該查詢結(jié)果轉(zhuǎn)發(fā)給最初發(fā)起查詢的主機終端。如果所有權(quán)威服務(wù)器都不具有相關(guān)記錄，則最后被查詢到的權(quán)威服務(wù)器會回答一條該域名不存在的應答給遞歸服務(wù)器，遞歸服務(wù)器將該應答轉(zhuǎn)回給發(fā)起查詢的主機終端，至此完成了一次遞歸查詢過程。

發(fā)明人在實現(xiàn)本發(fā)明實施例過程中發(fā)現(xiàn)，現(xiàn)有技術(shù)域名系統(tǒng)提供服務(wù)時缺少對DNS報文的認證機制，因此域名系統(tǒng)存在安全隱患。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種對DNS報文中的身份信息進行認證的方法、服務(wù)器和系統(tǒng)，以提高域名系統(tǒng)的安全性。

本發(fā)明實施例提供了一種對DNS報文中的身份信息進行認證的方法，包括：

接收DNS報文，所述DNS報文包括簽名信息和校驗信息；所述簽名信息通過對所述校驗信息采用第一密鑰加密后得到，所述校驗信息包括所述查詢終端的身份信息；

獲取與所述第一密鑰對應的第二密鑰；

采用所述第二密鑰對所述簽名信息進行解密，得到解密結(jié)果；

在所述解密結(jié)果與所述校驗信息一致時，對所述查詢終端的身份信息的認證成功。

本發(fā)明實施例還提供了一種服務(wù)器，包括：

報文接收模塊，用于接收DNS報文，所述DNS報文包括簽名信息和校驗信息；所述簽名信息通過對所述校驗信息采用第一密鑰加密后得到，所述校驗信息包括所述查詢終端的身份信息；

密鑰獲取模塊，用于獲取與所述第一密鑰對應的第二密鑰；

解密模塊，用于采用所述第二密鑰對所述簽名信息進行解密，得到解密結(jié)果；

認證模塊，用于在所述解密結(jié)果與所述校驗信息一致時，對所述查詢終端的身份信息的認證成功。

本發(fā)明實施例還提供了一種對DNS報文中的身份信息進行認證的系統(tǒng)，包括上述服務(wù)器。

本發(fā)明實施例引入對DNS報文中的身份信息進行認證的機制，通過對DNS報文中攜帶的查詢終端身份信息進行安全認證，保證DNS報文中攜帶的查詢終端ID信息真實可靠，有效防止了服務(wù)器在利用查詢終端的身份信息進行訪問控制時，其他終端假冒具有訪問權(quán)限的查詢終端的身份信息來騙取服務(wù)，從而提高了域名系統(tǒng)的安全性。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為現(xiàn)有技術(shù)支持遞歸查詢的域名系統(tǒng)結(jié)構(gòu)示意圖；

圖2為本發(fā)明第一實施例提供的DNS報文中的身份信息進行認證的方法流程圖；

圖3為本發(fā)明第二實施例提供的DNS報文中的身份信息進行認證的方法流程圖；

圖4為本發(fā)明第三實施例提供的DNS報文中的身份信息進行認證的方法流程圖；

圖5為本發(fā)明第四實施例提供的DNS報文中的身份信息進行認證的方法流程圖；

圖6為本發(fā)明第五實施例提供的DNS報文中的身份信息進行認證的方法流程圖；