CN106470195B - 消息的签名方法和域名服务器 - Google Patents
消息的签名方法和域名服务器 Download PDFInfo
- Publication number
- CN106470195B CN106470195B CN201510514636.2A CN201510514636A CN106470195B CN 106470195 B CN106470195 B CN 106470195B CN 201510514636 A CN201510514636 A CN 201510514636A CN 106470195 B CN106470195 B CN 106470195B
- Authority
- CN
- China
- Prior art keywords
- domain name
- server
- name server
- resource record
- record corresponding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种消息的签名方法和域名服务器,该方法适用于域名系统,域名系统包括至少一级域名服务器;该方法包括:域名服务器接收查询请求消息;其中,查询请求消息中包括所请求查询的第一域名;域名服务器根据第一域名,获取第一域名对应的资源记录;域名服务器对第一域名对应的资源记录进行数字签名,并向递归服务器发送第一应答消息,第一应答消息包括第一域名对应的资源记录和数字签名后的第一域名对应的资源记录。本发明提供的消息的签名方法和域名服务器,能够降低域名服务器的资源的开销。
Description
技术领域
本发明涉及计算机技术,尤其涉及一种消息的签名方法和域名服务器。
背景技术
用户通过客户端访问某一个网站时,通常会把网站对应的域名包含在查询请求消息中发送给递归服务器,递归服务器在接收到该查询请求消息后,可以将该查询请求消息通过递归查询的方式依次转发给域名系统(Domain Name System,简称:DNS)中的根域名服务器、顶级域名服务器、二级域名服务器、权威域名服务器,最终从域名系统中的最后一级域名服务器(即权威服务器)获得网站的服务器的互联网协议地址(Internet ProtocolAddress,简称:IP地址),并转发给用户的客户端,进而使用户可以根据网站的服务器的IP地址通过客户端访问网站。
上述递归服务器与域名系统在交互的过程中,攻击者可以假冒域名系统中的某一域名服务器给递归服务器发送伪造的应答消息。由于上述伪造的应答消息中通常包含错误的IP地址,导致用户的客户端会通过错误的IP地址连接至非法的网站,进而导致用户的个人信息会被窃取,例如:用户的用户名和密码被窃取等。因此,现有技术中,为了避免攻击者假冒域名服务器给递归服务器发送伪造的应答消息,上述DNS采用了DNS安全扩展(DNSSecurity Extension,简称:DNSSEC)的机制来保证DNS应答信息真实性和完整性。
然而,上述DNS在采用DNSSEC的机制时,需要对每个域名服务器中存储的与上述域名对应的资源记录进行数字签名,并将与该域名对应的资源记录和数字签名后的资源记录一同存储在域名服务器中,导致域名服务器的资源的开销较大。
发明内容
本发明提供一种消息的签名方法和域名服务器,以克服现有技术中DNS在采用DNSSEC的机制时,导致域名服务器的资源的开销较大的技术问题。
第一方面,本发明提供一种消息的签名方法,所述方法适用于域名系统,所述域名系统包括至少一级域名服务器;所述方法包括:
所述域名服务器接收查询请求消息;其中,所述查询请求消息中包括所请求查询的第一域名;
所述域名服务器根据所述第一域名,获取所述第一域名对应的资源记录;
所述域名服务器对所述第一域名对应的资源记录进行数字签名,并向递归服务器发送第一应答消息,所述第一应答消息包括所述第一域名对应的资源记录和数字签名后的第一域名对应的资源记录。
进一步地,所述第一域名对应的资源记录包括:访问所述第一域名时对应的IP地址记录或者下一级域名服务器的域名服务器记录。
进一步地,所述查询请求消息中还包括数字签名指示;所述数字签名指示用于指示所述域名服务器是否对所述第一域名对应的资源记录进行数字签名;
则所述域名服务器对所述第一域名对应的资源记录进行数字签名,并向递归服务器发送第一应答消息,具体包括:
所述域名服务器根据所述数字签名指示确定对所述第一域名对应的资源记录进行数字签名,并向递归服务器发送所述第一应答消息。
进一步地,所述方法还包括:
所述域名服务器缓存所述第一域名和所述第一应答消息。
进一步地,所述方法还包括:
所述域名服务器判断所述域名服务器中是否存在所述第一域名的相关信息,所述相关信息包括所述第一域名和/或所述第一域名对应的资源记录;
若否,则所述域名服务器向所述递归服务器发送第二应答消息,所述第二应答消息包括标志位和所述第一域名,所述标志位用于向所述递归服务器指示所述第一域名的相关信息不存在。
第二方面,本发明提供一种域名服务器,所述域名服务器适用于域名系统,所述域名系统包括至少一级域名服务器;所述域名服务器包括:
接收模块,用于接收查询请求消息;其中,所述查询请求消息中包括所 请求查询的第一域名;
获取模块,用于根据所述接收模块接收的所述第一域名,获取所述第一域名对应的资源记录;
签名模块,用于对获取模块获取的所述第一域名对应的资源记录进行数字签名,并指示发送模块向递归服务器发送第一应答消息,所述第一应答消息包括所述第一域名对应的资源记录和数字签名后的第一域名对应的资源记录;
发送模块,用于根据所述签名模块的指示,向递归服务器发送所述第一应答消息。
进一步地,所述第一域名对应的资源记录包括:访问所述第一域名时对应的IP地址记录或者下一级域名服务器的域名服务器记录。
进一步地,所述查询请求消息中还包括数字签名指示;所述数字签名指示用于指示所述域名服务器是否对所述第一域名对应的资源记录进行数字签名;
所述签名模块,具体用于根据所述数字签名指示确定对所述第一域名对应的资源记录进行数字签名。
进一步地,所述域名服务器还包括:
缓存模块,用于缓存所述第一域名和所述第一应答消息。
进一步地,所述域名服务器还包括:
判断模块,用于判断所述域名服务器中是否存在所述第一域名的相关信息,所述相关信息包括所述第一域名和/或所述第一域名对应的资源记录;
则发送模块,还用于当所述判断模块判断所述域名服务器中不存在所述第一域名的相关信息时,向所述递归服务器发送第二应答消息,所述第二应答消息包括标志位和所述第一域名,所述标志位用于向所述递归服务器指示所述第一域名的相关信息不存在。
本发明提供的消息的签名方法和域名服务器,域名服务器中不存储数字签名后的第一域名对应的资源记录,而是在根据查询请求消息中包括的第一域名获取到第一域名所对应的资源记录之后,先对该资源记录进行数字签名,再将资源记录和数字签名后的资源记录携带在第一应答消息中发送给递归服务器,以使得递归服务器可以对第一应答消息中的资源记录的合法性进行验 证,降低了域名服务器的资源开销。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的消息的签名方法实施例一的流程图;
图2为本发明提供的消息的签名方法实施例四的流程图;
图3为本发明提供的域名服务器实施例一的结构示意图;
图4为本发明提供的域名服务器实施例二的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供的消息的签名方法和域名服务器,可以适用于域名系统,用于解决现有技术中DNS在采用DNSSEC的机制时,导致域名服务器的资源的开销较大的技术问题。
下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图1为本发明提供的消息的签名方法实施例一的流程图,本实施例涉及的是域名服务器对所接收到的查询请求消息如何应答的具体过程。在本实施例中,本实施例的方法适用于域名系统,所述域名系统包括至少一级域名服务器,如图1所示,该方法可以包括:
S101:域名服务器接收查询请求消息;其中,查询请求消息中包括所请求查询的第一域名。
具体的,上述域名服务器可以为DNS中的根域名服务器、顶级域名服务器、二级域名服务器或权威域名服务器。上述域名服务器所接收的查询请求消息可以为递归服务器所发送的查询请求消息,该查询请求消息,用于向域名服务器请求获取域名服务器的下一级域名服务器的物理IP地址或访问第一域名时对应的IP地址。其中,上述查询请求消息中所包括的第一域名可以为用户所请求访问的网站所对应的域名。
当用户通过客户端需要访问某一网站时,可以将该网站所对应的第一域名包括在查询请求消息中发送给递归服务器,递归服务器在接收到该查询请求消息以后,可以将该查询请求消息通过递归查询的方式发给域名系统中的根域名服务器、顶级域名服务器、二级域名服务器和权威域名服务器。
S102:域名服务器根据第一域名,获取第一域名对应的资源记录。
具体的,当域名服务器获取到第一域名后,可以在自身所存储的资源记录中进行查找。其中,上述第一域名对应的资源记录可以为IP地址记录、域名服务器记录、文本记录等,其中,域名服务器具体存储的资源记录,与域名服务器在域名系统中位于哪一级服务器有关。因此,当域名服务器获取到第一域名后,就可以根据该第一域名获取与所述第一域名对应的资源记录。
S103:域名服务器对第一域名对应的资源记录进行数字签名,并向递归服务器发送第一应答消息,第一应答消息包括第一域名对应的资源记录和数字签名后的第一域名对应的资源记录。
具体的,在本实施例中,域名服务器中存储有第一域名以及第一域名对应的资源记录,并没有存储第一域名对应的资源记录的数字签名,则当上述域名服务器获取到第一域名对应的资源记录之后,先对第一域名对应的资源记录进行数字签名,具体实现时,可以采用现有技术中任一加密算法对第一域名对应的资源记录进行数字签名。
当域名服务器将第一域名对应的资源记录和数字签名后的第一域名对应的资源记录携带在第一应答消息中,发送给递归服务器之后,递归服务器就可以对数字签名后的第一域名对应的资源记录进行解密,并将解密后的第一域名对应的资源记录与第一应答消息中所包括的第一域名对应的资源记录进行比较,若相同,则说明第一应答消息中所包括的第一域名对应的资源记录为合法的资源记录,若不同,则说明第一应答消息中所包括的第一域名对应 的资源记录为非法的资源记录。进而使得递归服务器在收到第一应答消息后,可以通过上述验证方式,确定所得到的第一应答消息中的资源记录的合法性,避免攻击者向递归服务器发送伪造的应答消息,从而避免了用户通过伪造的应答消息中的非法的资源记录(例如:非法的IP地址)连接至非法网站。
示例性的,上述域名服务器可以采用椭圆加密算法中的私钥对第一域名对应的资源记录进行数字签名,并在第一应答消息中注明该消息中数字签名所使用的加密算法,则当递归服务器接收到该第一应答消息后,递归服务器就可以根据第一应答消息中所注明的加密算法,使用该椭圆加密算法的公钥对数字签名后的第一域名对应的资源记录进行解密,并将解密后的第一域名对应的资源记录与第一应答消息中所包括的第一域名对应的资源记录进行比较,以确保递归服务器所获得的资源记录的合法性。
现有技术中,域名服务器中存储有与第一域名对应的资源记录、以及数字签名后的第一域名对应的资源记录,这样,当域名服务器在接收到查询请求消息以后,就可以根据第一域名,获取到自身所存储的第一域名对应的资源记录、以及数字签名后的第一域名对应的资源记录,并将获取到的第一域名对应的资源记录、以及数字签名后的第一域名对应的资源记录携带在第一应答消息中,发送给递归服务器。由于域名服务器中所存储的每个第一域名对应的资源记录均包括该资源记录的数字签名,导致域名服务器的资源开销较大,即资源占用过多;同时,由于资源记录的数字签名通常是采用加密算法来实现的,由于加密算法中的密钥需要定期轮转,使得所有域名服务器需要定期对资源记录采用新的密钥进行数字签名并存储,进而使得域名服务器的运维工作量较大。而本发明提供的消息的签名方法,域名服务器在根据查询请求消息中包括的第一域名获取到第一域名所对应的资源记录之后,才会对该资源记录进行数字签名,并将该资源记录和数字签名后的资源记录携带在第一应答消息中发送给递归服务器,而并不需要存储数字签名后的资源记录,因此,降低了域名服务器的资源开销;同时,由于域名服务器中并不需要存储数字签名后的资源记录,所以域名服务器不需要定期对资源记录采用新的密钥进行数字签名并存储,降低了域名服务器的运维工作量。
本发明提供的消息的签名方法,域名服务器中不存储数字签名后的第一域名对应的资源记录,而是在根据查询请求消息中包括的第一域名获取到第 一域名所对应的资源记录之后,先对该资源记录进行数字签名,再将资源记录和数字签名后的资源记录携带在第一应答消息中发送给递归服务器,以使得递归服务器可以对第一应答消息中的资源记录的合法性进行验证,降低了域名服务器的资源开销。
进一步地,在上述实施例的基础上,本实施方式涉及的是上述域名服务器在接收到查询请求消息以后,获取第一域名对应的资源记录的具体过程。上述第一域名对应的资源记录包括:访问第一域名时对应的IP地址记录或者下一级域名服务器的域名服务器记录,则当域名服务器为域名系统中的最后一级域名服务器时,第一域名对应的资源记录包括访问第一域名时对应的IP地址记录;当域名服务器不是域名系统中的最后一级服务器时,第一域名对应的资源记录包括下一级域名服务器的域名服务器记录。
具体的,上述下一级域名服务器的域名服务器记录可以为下一级域名服务器的域名和物理IP地址。
上述域名系统可以包括根域名服务器、顶级域名服务器、二级域名服务器和权威域名服务器等,其中,根域名服务器的下一级域名服务器为顶级域名服务器,顶级域名服务器的下一级域名服务器为二级域名服务器,二级域名服务器的下一级域名服务器为权威域名服务器。也就是说,域名系统中的最后一级域名服务器可以为权威服务器。
当上述域名服务器为根域名服务器时,则当递归服务器根据自身存储的根域名服务器的物理IP地址,将用户的客户端发送的查询请求消息转发给根域名服务器后,根域名服务器可以根据查询请求消息中的第一域名,获取根域名服务器中存储的下一级域名服务器的域名服务器记录,即顶级域名服务器的域名服务器记录。
当上述域名服务器为顶级域名服务器时,则当递归服务器根据根域名服务器所返回的顶级域名服务器的域名服务器记录中包括的物理IP地址,将用户的客户端发送的查询请求消息转发给顶级域名服务器后,顶级域名服务器可以根据查询请求消息中的第一域名,获取顶级域名服务器的下一级域名服务器的域名服务器记录,即二级域名服务器的域名和物理IP地址。
当上述域名服务器为二级域名服务器时,则当递归服务器根据顶级域名服务器所返回的二级域名服务器的域名服务器记录中包括的物理IP地址,将 用户的客户端发送的查询请求消息转发给二级域名服务器后,二级域名服务器可以根据查询请求消息中的第一域名,获取到自身存储的二级域名服务器的下一级域名服务器的域名服务器记录,即权威域名服务器的域名和物理IP地址。
当上述域名服务器为权威域名服务器时,即该域名服务器为域名系统中的最后一级服务器,则当递归服务器根据二级域名服务器所返回的权威域名服务器的域名服务器记录中包括的物理IP地址,将用户的客户端发送的查询请求消息转发给权威域名服务器后,权威域名服务器可以根据查询请求消息中的第一域名,获取到自身存储的访问第一域名时对应的IP地址记录。
进一步地,在上述实施例的基础上,本实施例二涉及的上述域名服务器根据查询请求消息中的数字签名指示,对查询请求消息进行应答的具体过程。在本实施例中,查询请求消息中还包括数字签名指示,其中,数字签名指示用于指示所述域名服务器是否对第一域名对应的资源记录进行数字签名,则上述S103具体包括:域名服务器根据数字签名指示确定对第一域名对应的资源记录进行数字签名,并向递归服务器发送第一应答消息。
具体的,上述数字签名指示可以由一个或多个比特数组成,具体实现时,为了降低查询请求消息的开销,可以在查询请求消息中设置一个比特数作为上述数字签名指示,该一个比特数的取值可以为0或1,可选的,当数字签名指示为0时,即指示所述域名服务器对第一域名对应的资源记录进行数字签名,当数字签名指示为1时,即指示所述域名服务器不对第一域名对应的资源记录进行数字签名。可选的,也可以为当数字签名指示为1时,即指示所述域名服务器对第一域名对应的资源记录进行数字签名,当数字签名指示为0时,即指示所述域名服务器不对第一域名对应的资源记录进行数字签名。
当用户通过客户端需要访问某一网站时,可以通过设置查询请求消息中的数字签名指示,以告知递归服务器应该接收何种第一应答消息,从而当上述域名服务器在接收到查询请求消息以后,可以根据查询请求消息中的数字签名指示,确定是否对第一域名对应的资源记录进行数字签名。当域名服务器根据数字签名指示的比特位确定对第一域名对应的资源记录进行数字签名时,则域名服务器对第一域名对应的资源记录进行数字签名,并向递归服务器发送包括第一域名对应的资源记录和数字签名后的第一域名对应的资源记录的第一应答消息;当域名服务器根据数字签名指示的比特位确定不需要对第一域名对应的资源记录进行数字签名时,则域名服务器直接向递归服务器发送第包括第一域名对应的资源记录的第一应答消息。
本发明提供的消息的签名方法,通过在查询请求消息中设置有数字签名指示,使得域名服务器可以根据该数字签名指示,确定是否对第一域名对应的资源记录进行数字签名。因此,本发明提供的消息的签名方法,可以根据用户的需求选择是否对第一域名对应的资源记录进行数字签名,在降低了域名服务器的资源开销,还提高了用户体验。
进一步地,在上述实施例的基础上,本实施例三涉及的上述域名服务器根据缓存的消息,对查询请求消息进行应答的具体过程,在本实施例中,域名服务器中设置有缓存区,其中,缓存区中缓存有第一域名和第一应答消息。查询请求消息中包括第一域名和数字签名指示,则在上述S102之前,该方法还包括:
域名服务器根据第一域名,在域名服务器的缓存区中查找缓存区中是否缓存有第一域名对应的第一应答消息,若是,则直接将缓存区中缓存的第一域名对应的第一应答消息直接发送给递归服务器;若否,则执行S102。
具体的,上述域名服务器中设置有缓存区,该缓存区用于缓存发送给域名服务器的历史查询请求消息中的域名,以及与该域名对应的应答消息。当然,该缓存区也可以缓存发送给域名服务器的查询请求消息,以及与该查询请求消息对应的应答消息。其中,上述域名缓存区中所缓存的域名以及该域名对应的应答消息的数量可以以根据缓存区的大小来确定。
当上述域名服务器接收到递归服务器发送的查询请求消息,就可以根据查询请求消息中的第一域名,先在缓存区中查找是否缓存有与该第一域名对应的第一应答消息,若缓存区中缓存有第一域名对应的第一应答消息,则直接将缓存区中缓存的第一域名对应的第一应答消息发送给递归服务器;若缓存区中不存在第一域名对应的第一应答消息,则执行S102,即域名服务器根据第一域名,在自身查找第一域名对应的资源记录。
本发明提供的消息的签名方法,通过在域名服务器中设置有缓存区,并在缓存区中缓存有发送给域名服务器的历史查询请求消息中的域名,以及与该域名对应的应答消息,使得域名服务器可以根据查询请求消息中的第一域 名,先在缓存区中查找是否缓存有与该第一域名对应的第一应答消息,若缓存区中存在第一域名对应的第一应答消息,则将缓存区中缓存的第一域名对应的第一应答消息直接发送给递归服务器。因此,本发明提供的消息的签名方法,在降低了域名服务器的资源开销,还提高了应答速度,提高了用户体验。
图2为本发明提供的消息的签名方法实施例四的流程图,本实施例涉及的上述域名服务器根据查询请求消息中的第一域名,找不到第一域名的相关信息的具体过程,如图2所示,该方法还包括:
S201:域名服务器判断该域名服务器中是否存在第一域名的相关信息,相关信息包括第一域名和/或第一域名对应的资源记录。若是,则执行S203,若否,则执行S202。
具体的,上述第一域名对应的资源记录可以为第一域名对应的IP地址记录、域名服务器记录、文本记录等。由于上述查询请求消息中所包括的第一域名为用户通过客户端输入的,因此,当用户在查询请求消息中输入了第一域名时,有可能会输入错误的第一域名,则递归服务器在将该错误的第一域名发送给域名服务器后,域名服务器可以先判断自己是否存在第一域名的相关信息。具体实现时,域名服务器可以将第一域名作为索引,通过查找的方式确定是否存在第一域名的相关信息,若是,说明域名服务器中存储有第一域名的相关信息,则执行S203,若否,说明域名服务器中没有第一域名的相关信息,则执行S202。
S202:域名服务器向递归服务器发送第二应答消息,第二应答消息包括标志位和第一域名,标志位用于向递归服务器指示第一域名的相关信息不存在。
具体的,上述标志位可以由一个或多个字节组成,例如:000等。具体实现时,上述标志位可以设置在第一域名中,也可以为独立于第一域名的一个标志位。
当上述域名服务器通过判断得出域名服务器中没有存储第一域名的相关信息时,则域名服务器就可以将该第一域名和标志位包括在第二应答消息中发送给递归服务器,以使得递归服务器根据第二应答消息中包括的标志位可以获知该第一域名的相关信息不存在。执行完上述S202,则结束。
现有技术中,当域名服务器通过判断得出域名服务器中没有存储第一域名的相关信息时,则域名服务器为了向用户说明自己并没有存储第一域名的相关信息,会将自己存储的与第一域名相近的两个域名信息以及第一域名包括在第二应答消息中返回给递归服务器,导致第二应答消息的开销较大。而在本发明实施例中,当域名服务器通过判断得出域名服务器中没有存储第一域名的相关信息,域名服务器只是将第一域名和标志位包括在第二应答消息,并不需要将与第一域名相近的两个域名信息包括在第二应答消息中,降低了第二应答消息的开销。
S203:域名服务器根据第一域名,在域名服务器的缓存区中查找缓存区中是否缓存有第一域名对应的第一应答消息,若是,则执行S204,若否,则执行S205。
其中,本步骤的具体过程可以参见上述实施例三的描述,在此不再赘述。
S204:域名服务器直接将缓存区中缓存的第一域名对应的第一应答消息发送给递归服务器。
其中,本步骤的具体过程可以参见上述实施例三的描述,在此不再赘述。
执行完上述S204,则结束。
S205:域名服务器根据第一域名,获取第一域名对应的资源记录。
其中,本步骤的描述可以参见上述S102的描述,在此不再赘述。
S206:域名服务器对第一域名对应的资源记录进行数字签名,并向递归服务器发送第一应答消息,第一应答消息包括第一域名对应的资源记录和数字签名后的第一域名对应的资源记录。
其中,本步骤的描述可以参见上述S103的描述,在此不再赘述。
执行完上述S206,则结束。
可选的,为了避免上述域名服务器向递归服务器发送第二应答消息的过程中,攻击者会假冒域名服务器给递归服务器发送伪造的第二应答消息。上述S202具体可以包括如下步骤:域名服务器对标志位和第一域名进行数字签名,并将数字签名后的标志位和第一域名携带在所述第二应答消息中发送给递归服务器。
其中,域名服务器对标志位和第一域名进行数字签名的具体实现方式可以参考上述S103中对第一域名对应的资源记录进行数字签名的描述,本发明 对此不再赘述。
本发明提供的消息的签名方法,当域名服务器通过判断域名服务器中不存在第一域名的相关信息时,仅将用于标志位和第一域名包括在第二应答消息中发送给递归服务器,降低了第二应答消息的开销。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图3为本发明提供的域名服务器实施例一的结构示意图,如图3所示,本实施例的域名服务器适用于域名系统,域名系统包括至少一级域名服务器;该域名服务器包括:
接收模块11,用于接收查询请求消息;其中,查询请求消息中包括所请求查询的第一域名;
获取模块12,用于根据接收模块11接收的查询请求消息中的第一域名,获取第一域名对应的资源记录。
签名模块13,用于对获取模块12获取的第一域名对应的资源记录进行数字签名,并指示发送模块14向递归服务器发送第一应答消息,第一应答消息包括第一域名对应的资源记录和数字签名后的第一域名对应的资源记录;
发送模块14,用于根据签名模块13的指示,向递归服务器发送第一应答消息。
本发明提供的域名服务器,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
进一步地,在上述实施例的基础上,上述第一域名对应的资源记录包括:访问第一域名时对应的IP地址记录或者下一级域名服务器的域名服务器记录。
进一步地,在上述实施例的基础上,上述查询请求消息中还包括数字签名指示;该数字签名指示用于指示域名服务器是否对第一域名对应的资源记录进行数字签名;
则签名模块13,具体用于根据数字签名指示确定对第一域名对应的资源 记录进行数字签名。
进一步地,在上述图3所示实施例的基础上,图4为本发明提供的域名服务器实施例二的结构示意图,如图4所示,上述域名服务器还包括:
缓存模块15,用于缓存第一域名和第一应答消息。
进一步地,继续参照图4,上述域名服务器还包括:
判断模块16,用于判断域名服务器中是否存在第一域名的相关信息,相关信息包括第一域名和/或第一域名对应的资源记录;
则发送模块14,还用于当判断模块16判断域名服务器中不存在第一域名的相关信息时,向递归服务器发送第二应答消息,第二应答消息包括标志位和第一域名,标志位用于向递归服务器指示第一域名的相关信息不存在。
本发明提供的域名服务器,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,在此不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (8)
1.一种消息的签名方法,其特征在于,所述方法适用于域名系统,所述域名系统包括至少一级域名服务器;所述方法包括:
所述域名服务器接收查询请求消息;其中,所述查询请求消息中包括所请求查询的第一域名以及数字签名指示,所述数字签名指示用于指示所述域名服务器是否对所述第一域名对应的资源记录进行数字签名;
所述域名服务器根据所述第一域名,获取所述第一域名对应的资源记录;
所述域名服务器根据所述数字签名指示确定对所述第一域名对应的资源记录进行数字签名,并向递归服务器发送第一应答消息,所述第一应答消息包括所述第一域名对应的资源记录和数字签名后的第一域名对应的资源记录。
2.根据权利要求1所述的方法,其特征在于,所述第一域名对应的资源记录包括:访问所述第一域名时对应的IP地址记录或者下一级域名服务器的域名服务器记录。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述域名服务器缓存所述第一域名和所述第一应答消息。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述域名服务器判断所述域名服务器中是否存在所述第一域名的相关信息,所述相关信息包括所述第一域名和/或所述第一域名对应的资源记录;
若否,则所述域名服务器向所述递归服务器发送第二应答消息,所述第二应答消息包括标志位和所述第一域名,所述标志位用于向所述递归服务器指示所述第一域名的相关信息不存在。
5.一种域名服务器,其特征在于,所述域名服务器适用于域名系统,所述域名系统包括至少一级域名服务器;所述域名服务器包括:
接收模块,用于接收查询请求消息;其中,所述查询请求消息中包括所请求查询的第一域名以及数字签名指示,所述数字签名指示用于指示所述域名服务器是否对所述第一域名对应的资源记录进行数字签名;
获取模块,用于根据所述接收模块接收的所述第一域名,获取所述第一域名对应的资源记录;
签名模块,用于根据所述数字签名指示确定对获取模块获取的所述第一域名对应的资源记录进行数字签名,并指示发送模块向递归服务器发送第一应答消息,所述第一应答消息包括所述第一域名对应的资源记录和数字签名后的第一域名对应的资源记录;
发送模块,用于根据所述签名模块的指示,向递归服务器发送所述第一应答消息。
6.根据权利要求5所述的域名服务器,其特征在于,所述第一域名对应的资源记录包括:访问所述第一域名时对应的IP地址记录或者下一级域名服务器的域名服务器记录。
7.根据权利要求5或6所述的域名服务器,其特征在于,所述域名服务器还包括:
缓存模块,用于缓存所述第一域名和所述第一应答消息。
8.根据权利要求7所述的域名服务器,其特征在于,所述域名服务器还包括:
判断模块,用于判断所述域名服务器中是否存在所述第一域名的相关信息,所述相关信息包括所述第一域名和/或所述第一域名对应的资源记录;
则发送模块,还用于当所述判断模块判断所述域名服务器中不存在所述第一域名的相关信息时,向所述递归服务器发送第二应答消息,所述第二应答消息包括标志位和所述第一域名,所述标志位用于向所述递归服务器指示所述第一域名的相关信息不存在。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510514636.2A CN106470195B (zh) | 2015-08-20 | 2015-08-20 | 消息的签名方法和域名服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510514636.2A CN106470195B (zh) | 2015-08-20 | 2015-08-20 | 消息的签名方法和域名服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106470195A CN106470195A (zh) | 2017-03-01 |
CN106470195B true CN106470195B (zh) | 2019-12-17 |
Family
ID=58228952
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510514636.2A Active CN106470195B (zh) | 2015-08-20 | 2015-08-20 | 消息的签名方法和域名服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106470195B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107819895B (zh) * | 2017-11-16 | 2019-12-31 | 哈尔滨工业大学(威海) | 基于域资源记录的顶级域名配置及安全的分析方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1756263A (zh) * | 2004-09-27 | 2006-04-05 | 上海贝尔阿尔卡特股份有限公司 | 域名解析方法、域名服务器及域名系统 |
CN101841520A (zh) * | 2010-01-22 | 2010-09-22 | 中国科学院计算机网络信息中心 | 域名系统以及域名系统的信息处理方法、装置 |
CN103746817A (zh) * | 2014-02-18 | 2014-04-23 | 互联网域名系统北京市工程研究中心有限公司 | Dnssec签名方法及其系统 |
CN104702714A (zh) * | 2015-03-31 | 2015-06-10 | 北京奇虎科技有限公司 | Dns安全查询方法和装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120254386A1 (en) * | 2011-04-01 | 2012-10-04 | Verisign, Inc. | Transfer of DNSSEC Domains |
-
2015
- 2015-08-20 CN CN201510514636.2A patent/CN106470195B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1756263A (zh) * | 2004-09-27 | 2006-04-05 | 上海贝尔阿尔卡特股份有限公司 | 域名解析方法、域名服务器及域名系统 |
CN101841520A (zh) * | 2010-01-22 | 2010-09-22 | 中国科学院计算机网络信息中心 | 域名系统以及域名系统的信息处理方法、装置 |
CN103746817A (zh) * | 2014-02-18 | 2014-04-23 | 互联网域名系统北京市工程研究中心有限公司 | Dnssec签名方法及其系统 |
CN104702714A (zh) * | 2015-03-31 | 2015-06-10 | 北京奇虎科技有限公司 | Dns安全查询方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN106470195A (zh) | 2017-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108476246B (zh) | 计算机网络中的安全域名解析 | |
US9774708B2 (en) | Network node and method of operating the network node | |
CN105939326B (zh) | 处理报文的方法及装置 | |
EP3170091B1 (en) | Method and server of remote information query | |
TWI503690B (zh) | 身份合法性驗證的方法、裝置及伺服器 | |
US7937586B2 (en) | Defending against denial of service attacks | |
RU2016136668A (ru) | Кэширование зашифрованного содержимого | |
CN110213263B (zh) | 基于联盟区块链的身份验证方法、设备及存储介质 | |
CN110958249B (zh) | 信息处理方法、装置、电子设备及存储介质 | |
US9954815B2 (en) | Domain name collaboration service using domain name dependency server | |
EP3253026A1 (en) | Cdn-based access control method and relevant device | |
EP3289519B1 (en) | Acquisition of a device fingerprint from an instance of a client application | |
WO2015200416A1 (en) | Nsec3 performance in dnssec | |
CN111988262B (zh) | 认证方法、装置及服务器、存储介质 | |
US20190124111A1 (en) | Responding and processing method for dnssec negative response | |
US20120180125A1 (en) | Method and system for preventing domain name system cache poisoning attacks | |
CN108055299B (zh) | Portal页面推送方法、网络接入服务器及Portal认证系统 | |
US20180144122A1 (en) | Platform for generation of passwords and/or email addresses | |
CN106470195B (zh) | 消息的签名方法和域名服务器 | |
WO2018203223A1 (en) | Conditional removal of advertisements from web content | |
US9769193B2 (en) | Advanced security for domain names | |
CN107707532B (zh) | Url生成、查询参数验证方法、装置、设备及存储介质 | |
US20150365434A1 (en) | Rotation of web site content to prevent e-mail spam/phishing attacks | |
JP6233846B2 (ja) | 可変長ノンスの生成 | |
CN113420241A (zh) | 页面访问方法及装置、电子设备、存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20210510 Address after: 101407 room 322, building 1, yard 3, xingkenan 2nd Street, Yanqi Economic Development Zone, Huairou District, Beijing Patentee after: INTERNET DOMAIN NAME SYSTEM BEIJING ENGINEERING RESEARCH CENTER Address before: 101400 D9, 1st floor, 88 Yangyan Road, Yanqi Economic Development Zone, Huairou District, Beijing Patentee before: INTERNET DOMAIN NAME SYSTEM BEIJING ENGINEERING RESEARCH CENTER Patentee before: KNET Co.,Ltd. |
|
TR01 | Transfer of patent right |