本發明提供了一種用于安全解析域名的設備。在一個實施例中，所述用于安全解析域名的設備包括解析器單元101和認證器單元102。所述解析器單元101用于將從存根解析器103接收到的查詢解析為多個域名服務器(domain name server，DNS)記錄，其中，所述多個DNS記錄包括使用域名系統安全擴展(Domain Name System Security Extensions，DNSSEC)技術進行簽名的DNS記錄，并向認證器單元102提供驗證所述經DNSSEC簽名的DNS記錄所需的所述多個DNS記錄和DNS驗證數據。所述認證器單元102用于在可信執行環境中運行，使用所述DNS驗證數據重新驗證所述經DNSSEC簽名的記錄，并通過認證通信信道104將所述多個DNS記錄發送到所述存根解析器103。

技術領域

本發明涉及通信領域，并且涉及一種用于保證域名服務器提供給客戶端的記錄的完整性的設備和方法。

背景技術

域名服務器在因特網上等同于電話本。它們維護域名目錄，并將其轉換為因特網協議(Internet Protocol，IP)地址。這是必要的，因為盡管域名容易讓人記住，但是計算機或機器還是基于IP地址訪問網站。然而，域名系統(domain name system，DNS)的一個基本問題在于結果的完整性。DNS服務器常常是攻擊的目標，攻擊者操控這些服務器將網站流量導至用于收集帳戶或憑據的惡意服務器。

域名系統安全擴展(Domain Name System Security Extensions，DNSSEC)是一套因特網工程任務組(Internet Engineering Task Force，IETF)規范，旨在保證因特網協議(Internet Protocol，IP)網絡中使用的DNS服務器提供的信息的完整性。DNSSEC使得DNS記錄可以由密鑰簽名，可以將其信任關系追溯到DNS根服務器，從而建立信任鏈。支持DNSSEC技術的遞歸解析器(Recursive Resolver，RR)可以執行此驗證，因此，只要RR操作和檢索記錄的域名空間或DNS區域的一部分正在使用DNSSEC技術，就可以確保解析過程中結果的完整性。

然而，這種方法存在一個問題。

存根解析器(stub resolver，SR)作為通過DNS請求IP地址的客戶端，僅接收到了表明結果是否已通過DNSSEC驗證的答復，即所需的DNS記錄和標記。它沒有接收到任何證據表明驗證確實已執行，或者表明此答復是真實的，即它是由遞歸解析器提供的，而不是由惡意中間人(man in the middle，MIM)提供的。

針對不確定性的問題，如果確實執行了DNSSEC驗證，則可以使用DNSSEC驗證方案。DNSSEC驗證過程是指SR重放由RR完成的解析過程，以便得到驗證過程中所需的所有DNSSEC記錄。這樣，SR可以執行自身的遞歸認證和簽名驗證，并自行確定從RR接收到的答復是否確實是通過DNSSEC驗證。然而，這種方式導致每次查找域名時的計算量和網絡調用量增加了一倍。

針對不確定性的問題，如果接收到的答復是真實的，則可以使用DNSCrypt和DNSover TLS。

在DNSCrypt技術中，遞歸解析器使用私鑰對答復進行簽名，以便任何調用存根解析器都可以驗證結果的真實性。這種方式防止了MIM攻擊，因此可以確保真實性，但不能保證完整性，因為遞歸解析器仍然可能被黑客攻擊或劫持，或者其DNSCrypt密鑰可能被竊取。

DNS over TLS安全協議具有類似的優點和缺點。代替私鑰，與單個遞歸解析器相匹配的證書分配給了客戶端。DNS over TLS也防止了MIM攻擊，因此可以確保真實性，但不能保證完整性，因為遞歸解析器仍然可能被黑客攻擊或劫持，或者其證書可能被竊取。

發明內容