技術(shù)領(lǐng)域

本發(fā)明涉及一種基于復(fù)雜網(wǎng)絡(luò)上的DNSSEC解析方法，屬于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域。

背景技術(shù)

近年來，為了解決DNS域名系統(tǒng)的安全漏洞問題(例如中間人攻擊)，DNSSEC(Domain Name System Security Extensions)協(xié)議逐漸得到廣泛部署并成為趨勢(shì)。它使用了公鑰加密技術(shù)和數(shù)字簽名技術(shù)來為DNS提供端點(diǎn)鑒別和數(shù)據(jù)完整性保護(hù)(RFC 4034，RFC 4035)，目前根節(jié)點(diǎn)、com、us和cn等頂級(jí)域名都已實(shí)施部署。

引入DNSSEC功能后，DNS報(bào)文將會(huì)明顯增大，數(shù)據(jù)報(bào)文的大小將會(huì)超過512字節(jié)，甚至?xí)^1500字節(jié)。雖然EDNS0技術(shù)擴(kuò)充了DNS報(bào)文的大小，但是一些路由器不支持大于1500字節(jié)的DNS數(shù)據(jù)包，一些防火墻不支持EDNS0協(xié)議。這些限制將直接阻塞DNSSEC數(shù)據(jù)報(bào)文在互聯(lián)網(wǎng)上的傳輸，最終導(dǎo)致相應(yīng)域名無法解析。

發(fā)明內(nèi)容

本發(fā)明的目的在于降低DNSSEC帶來的DNS解析失敗風(fēng)險(xiǎn)，提供一種復(fù)雜網(wǎng)絡(luò)上的DNSSEC解析方法。

本發(fā)明的技術(shù)方案為：

一種基于復(fù)雜網(wǎng)絡(luò)上的DNSSEC解析方法，其步驟為：

1)遞歸服務(wù)器根據(jù)用戶的DNS查詢請(qǐng)求查詢緩存數(shù)據(jù)，如果有對(duì)應(yīng)的緩存數(shù)據(jù)，則將該緩存數(shù)據(jù)返回給該用戶；如果沒有則進(jìn)行步驟2)；

2)遞歸服務(wù)器根據(jù)該DNS查詢請(qǐng)求使用DNSSEC查詢方式向權(quán)威服務(wù)器查詢DNS數(shù)據(jù)；如果沒有獲得該DNS查詢請(qǐng)求的DNS數(shù)據(jù)，則進(jìn)行步驟3)；如果獲得該DNS查詢請(qǐng)求的DNS數(shù)據(jù)，則使用DNSSEC協(xié)議驗(yàn)證該DNS數(shù)據(jù)，如果驗(yàn)證通過，則返回給該用戶含有AD位的DNS數(shù)據(jù)；如果驗(yàn)證失敗，則返回查詢失敗信息；

3)遞歸服務(wù)器使用動(dòng)態(tài)選擇策略挑選的傳輸協(xié)議向權(quán)威服務(wù)器查詢DNS數(shù)據(jù)；如果未獲得該DNS查詢請(qǐng)求的DNS數(shù)據(jù)，則進(jìn)行步驟4)；如果獲得該DNS查詢請(qǐng)求的DNS數(shù)據(jù)，則使用DNSSEC協(xié)議驗(yàn)證DNS數(shù)據(jù)，如果驗(yàn)證通過，返回給該用戶含有AD位的DNS數(shù)據(jù)；如果驗(yàn)證失敗，返回查詢失敗信息；

4)遞歸服務(wù)器使用動(dòng)態(tài)選擇策略挑選的傳輸協(xié)議，采用非DNSSEC方式向權(quán)威服務(wù)器查詢DNS數(shù)據(jù)，如果獲得該DNS查詢請(qǐng)求的DNS數(shù)據(jù)，則返回給該用戶不含AD位的DNS數(shù)據(jù)，完成查詢；否則返回查詢失敗信息。

進(jìn)一步的，所述步驟2)中，遞歸服務(wù)器采用UDP協(xié)議，使用DNSSEC查詢方式向權(quán)威服務(wù)器查詢DNSSEC數(shù)據(jù)。

進(jìn)一步的，所述步驟3)中，所述動(dòng)態(tài)選擇策略挑選的傳輸協(xié)議是指根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)行選擇傳輸協(xié)議,例如TCP、UDP等。動(dòng)態(tài)選擇策略可以根據(jù)網(wǎng)絡(luò)延時(shí)等等作為參數(shù)，選擇出適合當(dāng)前網(wǎng)絡(luò)狀態(tài)的通信協(xié)議。

進(jìn)一步的，所述步驟4)中，所述動(dòng)態(tài)選擇策略挑選的傳輸協(xié)議是指根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)行選擇傳輸協(xié)議,例如TCP、UDP等。動(dòng)態(tài)選擇策略可以根據(jù)網(wǎng)絡(luò)延時(shí)等等作為參數(shù)，同時(shí)考慮上次失敗的通信協(xié)議選擇結(jié)果，選擇出適合當(dāng)前網(wǎng)絡(luò)狀態(tài)的通信協(xié)議。

在DNSSEC技術(shù)中，遞歸服務(wù)將會(huì)根據(jù)DNS權(quán)威服務(wù)的數(shù)據(jù)進(jìn)行驗(yàn)證。在驗(yàn)證過程中，遞歸服務(wù)采用UDP協(xié)議作為默認(rèn)傳輸協(xié)議進(jìn)行通信，使用DNSSEC查詢方式獲得所需的DNS數(shù)據(jù)(即包含DNSSEC信息的DNS數(shù)據(jù)或DNSSEC數(shù)據(jù))。當(dāng)遞歸服務(wù)獲得來自權(quán)威服務(wù)的包含DNSSEC信息的DNS數(shù)據(jù)時(shí)，將會(huì)對(duì)該數(shù)據(jù)做DNSSEC驗(yàn)證。如果驗(yàn)證成功，將會(huì)給最終用戶返回含有“AD”位的DNS數(shù)據(jù)(即從客戶端角度考慮，表明該DNS數(shù)據(jù)是可信賴的)；如果驗(yàn)證失敗，將分為2種情況來處理，分別如下：

1)獲得DNS數(shù)據(jù)，但是發(fā)現(xiàn)數(shù)據(jù)被篡改

獲得DNS數(shù)據(jù)，但是根據(jù)DNSSEC協(xié)議發(fā)現(xiàn)數(shù)據(jù)被篡改時(shí)，將會(huì)為最終用戶返回“ServFail”，停止為該域名提供解析服務(wù)。

2)沒有獲得DNS數(shù)據(jù)

采用動(dòng)態(tài)選擇策略挑選的傳輸協(xié)議進(jìn)行重新查詢，獲得數(shù)據(jù)，然后重新驗(yàn)證DNS數(shù)據(jù)。當(dāng)重新查詢獲得數(shù)據(jù)時(shí)，將會(huì)繼續(xù)驗(yàn)證DNS報(bào)文，驗(yàn)證通過時(shí)，返回含有“AD”位的DNS報(bào)文，驗(yàn)證沒有通過時(shí)返回“ServFail”，停止為該域名提供服務(wù)；當(dāng)再次沒有獲得數(shù)據(jù)時(shí)，遞歸服務(wù)將會(huì)再次動(dòng)態(tài)選擇傳輸協(xié)議并且使用非DNSSEC查詢方式查詢權(quán)威服務(wù)。當(dāng)獲得來自權(quán)威服務(wù)的報(bào)文時(shí)，將不做DNSSEC驗(yàn)證，并且將不含有“AD”位的DNS報(bào)文返回給最終用戶，從而保證DNS能夠繼續(xù)工作，使得用戶請(qǐng)求訪問的URL依然可用；當(dāng)再次沒有獲得來自權(quán)威服務(wù)的報(bào)文時(shí)，遞歸服務(wù)將會(huì)返回“ServFail”的DNS報(bào)文。