技術領域

本發明涉及一種網絡框架下的部署方法，特別涉及TLSA在C/S網絡架構下的部署方法，屬于計算機網絡信息領域。

背景技術

最幾年，網絡通信安全問題頻發，黑客利用CA審核的疏漏，獲取到了不屬于他自己的證書，再利用這些證書竊聽政府網站的通信，造成了很嚴重的危害。2012年8月，IETF發布了RFC6698定義了基于DANE（The?DNS-Based?Authentication?of?Named?Entities）的TLSA協議，可以解決這個問題。但是RFC中定義的協議只能用于用域名建立連接的場景，而大多數C/S架構的網絡都是通過IP來建立連接的，該協議不能支持，例如百度注冊登錄系統、CNNIC域名注冊系統。

現在，美國已經開始局部部署TLSA技術，Verisign也成立了專門研究DANE的實驗室。而在國內，互聯網通信安全問題很嚴重，TLSA協議只能用于用域名建立連接的場景，而在C/S的網絡結構下，主機之間的通信大多都使用IP地址。所以，如何對IP做TLSA記錄，如何對IP進行TLSA解析，這些規則都需要重新定義。

現有技術中有人提出將IP+證書做出TLSA記錄的解決方案，但是該方案不合理，TLSA記錄是保存在DNS服務器上的，它是將域名和證書做關聯生成的，只有域名的所有者有權限來提交這個域名的TLSA記錄。而DNS體系無法識別和證明某個靜態的IP地址是否屬于某個域名注冊人，如果允許域名注冊人將任意的IP生成TLSA記錄是極其危險的，會產生嚴重的安全問題。

現有技術中還有人提出和有TLSA保護的服務器server建立SSL連接的時候不支持用IP，只支持用域名。該方案同樣不合理，只用域名來建立連接，可能會有黑客通過篡改用戶PC上的hosts文件，將某個域名重定向到某個非法的IP。由于在C/S模式下，建立SSL連接的時候用IP地址非常廣泛，所以，用IP通信的網絡也需要有TLSA的保護。

所以既能夠使基于DANE的TLSA協議支持IP建立連接的網絡架構，又能夠使方案合理可行，成為了需要解決的技術問題。

發明內容

基于現有技術中的不足，本發明的目的在于提出一種不依賴于其他系統，只在DNS范圍內操作的TLSA部署到C/S架構網絡的通信方法。

本發明的技術方案為：在C/S網絡架構下基于TLSA協議的安全通信方法，其步驟包括：

（1）分配至少一個域名以及域名的DNS服務器、至少一個與所述域名對應的靜態IP地址、申請至少一個證書與所述域名關聯進行驗證；

（2）用戶對所述域名申請IP反向解析，同時所述域名對應的靜態IP持有人向網絡運營商申請IP反向解析并在DNS服務器中保存PTR記錄；

（3）采用域名和/或IP建立方式建立連接，在建立通信前，對所述IP建立方式中的IP進行反向解析，根據DNS服務器中的PTR記錄得到反向解析對應的域名；

（4）將步驟（3）中得到的域名和/或域名建立方式中的域名與證書關聯在客戶端生成新的TLSA記錄，并在所述DNS服務器中查找對應的TLSA記錄，進行TLSA驗證。

更進一步，TLSA記錄的是在RFC6698進行定義的資源記錄。

更進一步，建立通信為SSL通信方式。

更進一步，建立連接時若連接既不是通過IP建立也不是域名建立，則進行報錯。

更進一步，建立連接時，如果反向解析失敗，IP地址無法被反向解析到域名，無法進行TLSA驗證，則進行報錯。

更進一步，所述PTR記錄，根據互聯網標準文件RFC1035所定義。

更進一步，所述DNS服務器記錄整個部署過程中A記錄、NS記錄、TLSA記錄以及PTR記錄。

本發明的有益效果：

因為不依賴其他的系統，只是在DNS范圍內的操作，所以本發明建議的方案實現起來很簡單。并且此方案對現有TLSA協議的架構改變不大，只是在做TLSA驗證之前進行了預處理，將IP反向解析到域名后再做TLSA驗證，是對TLSA協議的一個擴展。

附圖說明

圖1是現有技術中IP反向解析的示意圖。

圖2是本發明新增加的IP反向解析到域名的流程示意圖。

具體實施方式

為了清楚地說明本發明，先對以下概念進行解釋：

PTR記錄，電子郵件系統中的一種數據類型，被互聯網標準文件RFC1035所定義，常被用于反向地址解析。

TLSA記錄，類似于DNS體系中的A記錄，是RFC6698中定義的一種資源記錄。