本發(fā)明提供一種帶取證分析擴(kuò)展的DNSSEC系統(tǒng)實(shí)現(xiàn)方法，包括如下步驟：S1：進(jìn)行DNS系統(tǒng)域名規(guī)劃，確定DNS系統(tǒng)的域名分區(qū)，以及域名從根、頂級到各級域名的層次結(jié)構(gòu)；S 2：利用各級域名服務(wù)器所管理域名分區(qū)的定義，分別生成配置文件；S 3：針對根域名服務(wù)器和非根域名服務(wù)器分別進(jìn)行網(wǎng)絡(luò)與運(yùn)行環(huán)境的基礎(chǔ)配置；S 4：針對根域名服務(wù)器和非根域名服務(wù)器分別規(guī)劃取證分析通道；S 5：針對服務(wù)器管理的域名分區(qū)中域名數(shù)據(jù)的數(shù)字簽名；S 6：域名服務(wù)器中權(quán)威域名服務(wù)器的簽署；S 7：建立DNS系統(tǒng)簽名驗證的信任鏈，并完成配置；S 8：定義日志優(yōu)先級別和定義通道文件，實(shí)現(xiàn)取證分析數(shù)據(jù)的提取。

技術(shù)領(lǐng)域

本發(fā)明具體涉及一種帶取證分析擴(kuò)展的DNSSEC系統(tǒng)實(shí)現(xiàn)方法。

背景技術(shù)

DNS服務(wù)已經(jīng)成為互聯(lián)網(wǎng)服務(wù)中最重要的基礎(chǔ)服務(wù)之一，它提供了域名到IP的轉(zhuǎn)換服務(wù)，通過DNS系統(tǒng)，用戶無需記憶大量抽象的無實(shí)際意義的IP地址，而只需要記住直觀的域名，這極大地方便了用戶訪問互聯(lián)網(wǎng)。但是，DNS作為“互聯(lián)網(wǎng)的地址簿”，其重要性讓其成了黑客主要攻擊對象，比如DDOS攻擊、DNS劫持、緩存投毒和DNS欺騙等。為此，提升DNS系統(tǒng)擴(kuò)展安全性的策略，成為DNS系統(tǒng)部署和升級的主要目標(biāo)之一，其核心思想是通過加強(qiáng)檢查響應(yīng)消息中的域名資源記錄RR與原始查詢的相關(guān)性的相關(guān)測試和策略，實(shí)現(xiàn)DNS系統(tǒng)防御性能。

目前DNS系統(tǒng)的安全性策略有基于RFC 2845提出來的DNS的密鑰事務(wù)認(rèn)證(TSIG)、基于RFC 3645中提出了DNS密鑰交易認(rèn)證的通用安全服務(wù)算法(GSS-TSIG)，以及2020年RFC8945更新的TSIG，在傳統(tǒng)DNS系統(tǒng)的安全升級中得到了一定的推廣應(yīng)用。另外一種安全策略就是基于RFC 2535提出的DNS安全擴(kuò)展DNSSEC技術(shù)，在RFC4033和RFC4034中對DNSSEC技術(shù)和實(shí)現(xiàn)進(jìn)行了完善，并對資源記錄進(jìn)行了更詳細(xì)定義，促進(jìn)了DNS系統(tǒng)進(jìn)入到新的發(fā)展階段，但是存在實(shí)際部署緩慢的現(xiàn)實(shí)。為此對基于DNSSEC的安全擴(kuò)展部署或傳統(tǒng)DNS系統(tǒng)的安全升級換代部署成為研究熱點(diǎn)。

此外，鑒于黑客技術(shù)的發(fā)展，特別是針對DNS系統(tǒng)的攻擊的常態(tài)化和復(fù)雜化，建立DNS系統(tǒng)的取證分析成為了DNS系統(tǒng)部署的一個重要目標(biāo)。如何構(gòu)架低資源消耗、且能向受害者提供簽名證據(jù)，允許向第三方(如法院或處置機(jī)構(gòu))證明針對DNS系統(tǒng)違規(guī)行為的取證分析通道成為DNS安全擴(kuò)展的研究熱點(diǎn)。

發(fā)明內(nèi)容

本發(fā)明的目的在于針對現(xiàn)有技術(shù)的不足，提供一種帶取證分析擴(kuò)展的DNSSEC系統(tǒng)實(shí)現(xiàn)方法，該帶取證分析擴(kuò)展的DNSSEC系統(tǒng)實(shí)現(xiàn)方法可以很好地解決上述問題。

為達(dá)到上述要求，本發(fā)明采取的技術(shù)方案是：提供一種帶取證分析擴(kuò)展的DNSSEC系統(tǒng)實(shí)現(xiàn)方法，該帶取證分析擴(kuò)展的DNSSEC系統(tǒng)實(shí)現(xiàn)方法包括如下步驟：

S1：進(jìn)行DNS系統(tǒng)域名規(guī)劃，確定DNS系統(tǒng)的域名分區(qū)，以及域名從根、頂級到各級域名的層次結(jié)構(gòu)；

S 2：利用各級域名服務(wù)器所管理域名分區(qū)的定義，分別生成配置文件；

S 3：針對根域名服務(wù)器和非根域名服務(wù)器分別進(jìn)行網(wǎng)絡(luò)與運(yùn)行環(huán)境的基礎(chǔ)配置；

S 4：針對根域名服務(wù)器和非根域名服務(wù)器分別規(guī)劃取證分析通道；

S 5：針對服務(wù)器管理的域名分區(qū)中域名數(shù)據(jù)的數(shù)字簽名；

S 6：域名服務(wù)器中權(quán)威域名服務(wù)器的簽署；

S 7：建立DNS系統(tǒng)簽名驗證的信任鏈，并完成配置；

S 8：定義日志優(yōu)先級別和定義通道文件，實(shí)現(xiàn)取證分析數(shù)據(jù)的提取。