本發明公開了一種DNS安全查詢方法和裝置，其中，方法包括：捕獲客戶端待發送的DNS請求數據包，將DNS請求數據包轉換為對應的DNSSEC請求數據包；發送DNSSEC請求數據包至DNS服務器，以接收DNS服務器返回的DNSSEC響應數據包；捕獲客戶端接收的DNSSEC響應數據包，利用DNS服務器提供的公鑰驗證DNSSEC響應數據包中的數字簽名；若數字簽名驗證通過，將DNSSEC響應數據包轉換為對應的DNS響應數據包，依據DNS響應數據包進行DNS查詢處理。根據上述方案，將DNSSEC中的驗證過程應用于客戶端，在客戶端與最近的DNS服務器之間配置信任關系，從而與各級DNS服務器形成完整的信任鏈，能夠在客戶端驗證數據的真實性和完整性，進一步避免出現DNS劫持和欺騙問題。

技術領域

本發明涉及計算機網絡領域，具體涉及一種DNS安全查詢方法和裝置。

背景技術

域名系統(Domain Name System，簡稱：DNS)是因特網上作為域名和IP地址相互映射的一個分布式數據庫，能夠使用戶更方便的訪問互聯網，而不用去記住能夠被機器直接讀取的IP數串。通過主機名，最終得到該主機名對應的IP地址的過程叫做域名解析(或主機名解析)過程。

DNS協議運行在用戶數據報協議(User Datagram Protocol，簡稱：UDP)之上，與互聯網的其他協議或系統一樣，在一個可信的、純凈的環境里運行得很好。但是今天的互聯網環境異常復雜，充斥著各種欺詐、攻擊，DNS協議表現出其脆弱性。

為避免上述的DNS劫持、欺騙等問題，提高互聯網安全性，互聯網服務提供商開始布署支持DNS安全擴展(Domain Name System Security Extensions，簡稱：DNSSEC)的解析服務器。DNSSEC利用數字簽名在各級解析服務器之間配置信任鏈，保證各級解析服務器之間的數據完整性和真實性。

然而，即使在上述各級解析服務器上部署了DNSSEC，但在客戶端和直接與客戶端交互的解析服務器節點之間并不存在信任鏈或數據真實性、完整性的驗證過程。因此，DNSSEC無法識別出此處發生的DNS欺騙，客戶端得到的域名解析結果仍然具有風險。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的DNS安全查詢方法和裝置。

根據本發明的一個方面，提供了一種DNS安全查詢方法，包括：

捕獲客戶端待發送的DNS請求數據包，將DNS請求數據包轉換為對應的DNSSEC請求數據包；

發送DNSSEC請求數據包至DNS服務器，以接收DNS服務器返回的DNSSEC響應數據包；

捕獲客戶端接收的DNSSEC響應數據包，利用DNS服務器提供的公鑰驗證DNSSEC響應數據包中的數字簽名；若數字簽名驗證通過，將DNSSEC響應數據包轉換為對應的DNS響應數據包，依據DNS響應數據包進行DNS查詢處理。

根據本發明的另一方面，提供了一種DNS安全查詢裝置，包括：

第一捕獲模塊，適于捕獲客戶端待發送的DNS請求數據包；

收發模塊，適于發送DNSSEC請求數據包至DNS服務器，以接收DNS服務器返回的DNSSEC響應數據包；

第二捕獲模塊，適于捕獲客戶端接收的DNSSEC響應數據包；

驗證模塊，適于利用DNS服務器提供的公鑰驗證DNSSEC響應數據包中的數字簽名；

轉換模塊，適于在第一捕獲模塊捕獲DNS請求數據包后，將DNS請求數據包轉換為對應的DNSSEC請求數據包；以及，在驗證模塊對數字簽名驗證通過后，將DNSSEC響應數據包轉換為對應的DNS響應數據包；