技術(shù)領(lǐng)域

本發(fā)明屬于計(jì)算機(jī)技術(shù)領(lǐng)域，具體涉及一種DNSSEC簽名方法及其系統(tǒng)。

背景技術(shù)

域名系統(tǒng)(Domain Name System，簡(jiǎn)稱DNS)，與互聯(lián)網(wǎng)的其他協(xié)議或系統(tǒng)一樣，在一個(gè)可信的、純凈的環(huán)境里運(yùn)行得很好。但由于互聯(lián)網(wǎng)環(huán)境異常復(fù)雜，充斥著各種欺詐、攻擊，DNS協(xié)議的脆弱性也就浮出水面。對(duì)DNS的攻擊可能導(dǎo)致互聯(lián)網(wǎng)大面積的癱瘓，DNS的最大缺陷是解析的請(qǐng)求者無(wú)法驗(yàn)證它所收到的應(yīng)答信息的真實(shí)性。

域名系統(tǒng)的安全協(xié)議（DNS Security Extensions，簡(jiǎn)稱DNSSEC）給解析服務(wù)器提供了防止上當(dāng)受騙的武器，即一種可以驗(yàn)證應(yīng)答信息真實(shí)性和完整性的機(jī)制。現(xiàn)有DNS服務(wù)普遍缺少DNSSEC功能，國(guó)內(nèi)普及度更是極低，只能通過(guò)軟件方式在測(cè)試床進(jìn)行試驗(yàn)，達(dá)到生產(chǎn)環(huán)境運(yùn)行標(biāo)準(zhǔn)的高性能DNSSEC服務(wù)目前還沒(méi)有。

發(fā)明內(nèi)容

本發(fā)明提供一種DNSSEC簽名方法及其系統(tǒng)，其可以解決生產(chǎn)環(huán)境中DNSSEC硬件冗余部署的問(wèn)題，通過(guò)動(dòng)態(tài)監(jiān)控和主輔服務(wù)器的智能切換來(lái)保證DNSSEC數(shù)據(jù)的連續(xù)性和完整性。

為實(shí)現(xiàn)上述目的，本發(fā)明提供一種DNSSEC簽名方法，采用主服務(wù)器和輔服務(wù)器，所述主服務(wù)器中包括：第一節(jié)點(diǎn)、密鑰管理模塊和第二節(jié)點(diǎn)；所述輔服務(wù)器中包括：第一節(jié)點(diǎn)、密鑰管理模塊和第二節(jié)點(diǎn)，包括：

用戶從區(qū)域文件數(shù)據(jù)庫(kù)中獲取初始資源記錄，并將初始資源記錄發(fā)送至主服務(wù)器中的第一節(jié)點(diǎn)；

所述主服務(wù)器中的第一節(jié)點(diǎn)接收并下發(fā)所述初始資源記錄至密鑰管理模塊；

所述密鑰管理模塊通過(guò)第一接口與硬件加密簽名模塊進(jìn)行通信，在硬件加密簽名模塊中對(duì)所述初始資源記錄進(jìn)行加密簽名，并將所述加密簽名后的資源記錄發(fā)送至第二節(jié)點(diǎn)，其中，密鑰管理模塊默認(rèn)開(kāi)啟主服務(wù)器的服務(wù)；

所述第二節(jié)點(diǎn)將所述加密簽名后的資源記錄發(fā)送至各個(gè)權(quán)威DNS服務(wù)器中，遞歸服務(wù)器對(duì)加密簽名后的資源記錄進(jìn)行查詢和驗(yàn)證；

所述主服務(wù)器和所述輔服務(wù)器中的數(shù)據(jù)信息保持一致，當(dāng)所述主服務(wù)器中的服務(wù)不可用時(shí)，則啟動(dòng)輔服務(wù)器中的服務(wù)。

進(jìn)一步地，該方法還包括：

當(dāng)所述主服務(wù)器中的密鑰管理模塊的文件發(fā)生變化時(shí)，通過(guò)定時(shí)同步程序?qū)⑺鲎兓瘜?shí)時(shí)同步至所述輔服務(wù)器中的密鑰管理模塊中，以使所述主服務(wù)器中的密鑰管理模塊與所述輔服務(wù)器中的密鑰管理模塊中的數(shù)據(jù)信息相同。

進(jìn)一步地，所述主服務(wù)器中的第一節(jié)點(diǎn)和所述輔服務(wù)器中的第一節(jié)點(diǎn)所使用的初始資源記錄和序列值相同，且資源記錄的更新和序列值的增加保持一致。

進(jìn)一步地，所述主服務(wù)器和所述輔服務(wù)器的數(shù)據(jù)信息保持一致，包括：

所述主服務(wù)器中的第一節(jié)點(diǎn)的數(shù)據(jù)信息和所述輔服務(wù)器中的第一節(jié)點(diǎn)的數(shù)據(jù)信息一致；所述主服務(wù)器中的密鑰管理模塊的數(shù)據(jù)信息和所述輔服務(wù)器中的密鑰管理模塊的數(shù)據(jù)信息一致。

進(jìn)一步地，當(dāng)所述主服務(wù)器中的服務(wù)不可用時(shí)，則啟動(dòng)輔服務(wù)器中的服務(wù)包括：

當(dāng)所述主服務(wù)器中的第一節(jié)點(diǎn)、密鑰管理模塊和第二節(jié)點(diǎn)的服務(wù)不可用時(shí)，所述輔服務(wù)器的密鑰管理實(shí)時(shí)收到所述輔服務(wù)器的第一節(jié)點(diǎn)的初始資源記錄，通過(guò)第一接口與硬件加密簽名模塊進(jìn)行通信，在硬件加密簽名模塊中對(duì)所述初始資源記錄進(jìn)行加密簽名，并將所述加密簽名后的資源記錄發(fā)送至第二節(jié)點(diǎn)。

進(jìn)一步地，所述主服務(wù)器和所述輔服務(wù)器中的第二節(jié)點(diǎn)同時(shí)作為下一級(jí)的第一節(jié)點(diǎn)，默認(rèn)下一級(jí)節(jié)點(diǎn)首先去請(qǐng)求主服務(wù)器中的第二節(jié)點(diǎn)，當(dāng)主服務(wù)器的服務(wù)不可用時(shí)，則從輔服務(wù)器中的第二節(jié)點(diǎn)獲取資源記錄。

進(jìn)一步地，當(dāng)輔服務(wù)器中的密鑰管理模塊關(guān)閉的狀態(tài)下，輔服務(wù)器中的第二節(jié)點(diǎn)的序列值小于主服務(wù)器中的第二節(jié)點(diǎn)的序列值。

為實(shí)現(xiàn)上述目的，本發(fā)明提供一種DNSSEC簽名系統(tǒng)，包括主服務(wù)器、輔服務(wù)器、硬件加密簽名模塊，所述主服務(wù)器中包括：第一節(jié)點(diǎn)、密鑰管理模塊和第二節(jié)點(diǎn)；所述輔服務(wù)器中包括：第一節(jié)點(diǎn)、密鑰管理模塊和第二節(jié)點(diǎn)，包括：

用戶從區(qū)域文件數(shù)據(jù)庫(kù)中獲取初始資源記錄，并將初始資源記錄發(fā)送至主服務(wù)器中的第一節(jié)點(diǎn)；

所述主服務(wù)器中的第一節(jié)點(diǎn)接收并下發(fā)所述初始資源記錄至密鑰管理模塊；

所述密鑰管理模塊通過(guò)第一接口與硬件加密簽名模塊進(jìn)行通信，在硬件加密簽名模塊中對(duì)所述初始資源記錄進(jìn)行加密簽名，并將所述加密簽名后的資源記錄發(fā)送至第二節(jié)點(diǎn)，其中，密鑰管理模塊默認(rèn)開(kāi)啟主服務(wù)器的服務(wù)；