CN106470248A - Dnssec签名服务的热备方法及系统 - Google Patents

Dnssec签名服务的热备方法及系统 Download PDF

Info

Publication number
CN106470248A
CN106470248A CN201510512714.5A CN201510512714A CN106470248A CN 106470248 A CN106470248 A CN 106470248A CN 201510512714 A CN201510512714 A CN 201510512714A CN 106470248 A CN106470248 A CN 106470248A
Authority
CN
China
Prior art keywords
dnssec
server
key
dns zone
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510512714.5A
Other languages
English (en)
Other versions
CN106470248B (zh
Inventor
高雷
毛伟
邢志杰
卢文哲
马迪
王伟
童小海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
INTERNET DOMAIN NAME SYSTEM BEIJING ENGINEERING RESEARCH CENTER
Original Assignee
BEILONG KNET (BEIJING) TECHNOLOGY Co Ltd
INTERNET DOMAIN NAME SYSTEM BEIJING ENGINEERING RESEARCH CENTER LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEILONG KNET (BEIJING) TECHNOLOGY Co Ltd, INTERNET DOMAIN NAME SYSTEM BEIJING ENGINEERING RESEARCH CENTER LLC filed Critical BEILONG KNET (BEIJING) TECHNOLOGY Co Ltd
Priority to CN201510512714.5A priority Critical patent/CN106470248B/zh
Publication of CN106470248A publication Critical patent/CN106470248A/zh
Application granted granted Critical
Publication of CN106470248B publication Critical patent/CN106470248B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0668Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种DNSSEC签名服务的热备方法及系统,该方法包括:监控主DNSSEC服务器的工作状态,若判断主DNSSEC服务器发生故障,则启动备DNSSEC服务器的密钥生命周期管理进程进行DNS区的密钥生命周期管理,其中,主DNSSEC服务器和备DNSSEC服务器中的签名进程的数据信息相同,并将备DNSSEC服务器切换设置为主服务器。本发明提供的DNSSEC服务的热备方法及系统,可以有效避免在主服务器故障的情况下,DNSSEC服务不可用时间过长,保证服务的连续性和完整性,可以有效保证DNSSEC服务的高可用性。

Description

DNSSEC签名服务的热备方法及系统
技术领域
本发明涉及网络安全技术,尤其涉及一种域名系统安全扩展(DomainName System Security Extensions,简称DNSSEC)签名服务的热备方法及系统,属于计算机技术领域。
背景技术
域名系统(Domain Name System,简称DNS)是因特网基础结构的一部分,是因特网上作为域名和互联网协议(Internet Protocol,简称IP)地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。DNS允许用户使用较容易记忆的域名(例如www.en.example.com)而不是数字IP地址(例如“123.4.56.78”)来访问网站和其他资源,数字IP地址是软件使用来与因特网上的计算机进行通信的机器可读地址。互联网名称与数字地址分配机构(The Internet Corporation forAssigned Names and Numbers,简称ICANN)负责在全球范围内对DNS进行协调,以确保所有地址都是唯一的。
然而,由于互联网环境异常复杂,充斥着各种欺诈、攻击,DNS协议的脆弱性也就浮出水面。攻击者可以利用其脆弱性劫持使用域名在互联网上搜寻某个站点的过程,例如使用户进入攻击者自己设立的欺骗性网站,以便收集用户的帐户和密码。可见DNS的最大缺陷是域名解析的请求者无法验证它所收到的应答信息的真实性。
DNSSEC是一套用于保护如IP网络上使用的DNS所提供的特定类型信息的因特网工程任务组(Internet Engineering Task Force,简称IETF)规范,其为解析服务器供了防上当受骗的武器,即一种可以验证应答信息真实性和完整性的机制。一般地,DNSSEC中提供的信息是经过数字签名的,以及通过检查该数字签名,DNS解析服务器能够检查该信息是否对应于权威DNS服务器上的信息。权威DNS服务器使用私有密钥,对所管理的DNS区的资源记录进行签名,并发布公钥到互联网络,DNS服务使用者可以使用公钥对资源记录签名进行验证,保证DNS资源记录发布者的身份可信任。
开源DNSSEC(OpenDNSSEC)可以实现对所管理的DNS区的密钥在线管理,并自动化完成所管理的DNS区的资源记录签名。现有的OpenDNSSEC技术,一旦出现安装DNSSEC软件的宿主机故障,将会导致签名数据丢失,无法保证密钥管理服务及资源记录签名服务的高可用性。
发明内容
本发明实施例提供一种DNSSEC签名服务的热备方法及系统,在极端情况下,依然可以保障DNSSEC服务可用,并保证DNSSEC数据的连续性和完整性,可以有效保证DNSSEC服务的高可用性。
本发明实施例提供的DNSSEC签名服务的热备方法,包括:监控主DNSSEC服务器的工作状态,若判断主DNSSEC服务器发生故障,则启动备DNSSEC服务器的密钥生命周期管理进程进行DNS区的密钥生命周期管理,其中,主DNSSEC服务器和备DNSSEC服务器中的签名进程的数据信息相同,并将备DNSSEC服务器切换设置为主服务器。
本发明实施例提供的DNSSEC签名服务的热备系统,包括:主DNSSEC服务器、备DNSSEC服务器和监测模块。其中,监测模块可以用于:监控所述主DNSSEC服务器的工作状态,若判断主DNSSEC服务器发生故障,则启动备DNSSEC服务器的密钥生命周期管理进程进行DNS区的密钥生命周期管理,其中主DNSSEC服务器和备DNSSEC服务器中的签名进程的数据信息保持一致,并将所述备DNSSEC服务器切换设置为主服务器。
基于上述,本发明实施例提供的DNSSEC签名服务的热备方法及系统,由于备DNSSEC服务器和主DNSSEC服务器的签名进程是保持数据同步的,当主DNSSEC服务器发生故障时,立即启动备DNSSEC服务器的密钥生命周期管理进程,可以保证密钥生命周期得到正常管理,而且签名区数据不必重新生成,有效避免在主服务器故障的情况下,DNSSEC服务不可用时间过长,保证DNSSEC数据的连续性和完整性,可以有效保证DNSSEC服务的高可用性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的DNSSEC签名服务的热备方法流程图;
图2为OpenDNSSEC服务器的应用示意图;
图3为本发明实施例提供的DNSSEC签名服务的热备系统示意图;
图4为DNSSEC服务的热备系统的应用示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的实施例提供的技术方案,以允许大规模DNSSEC提供商,以有效和连贯的方式处理大量DNSSEC签名数据。如上所述,DNSSEC被设计用来解决缓存中毒及一组其他DNS脆弱性,例如中间人攻击和在权威服务器上的未授权数据变更。其主要目的是提供来源鉴别和DNS数据完整性保护。DNSSEC提供了DNS数据的核实机制但不是加密机制,DNSSEC服务器通过为其所管理的DNS区中的数据添加数字签名信息,使得客户端在得到应答消息后,可以通过查询验证此签名信息来判断应答信息的真实性。即DNSSEC允许可感知安全性的解析器来核实接收到的DNS区域数据由持有私钥的区域管理员签名。
图1为本发明实施例提供的DNSSEC签名服务的热备方法流程图,该方法可以通过监测程序或控制装置来实现。如图1所示,本实施例提供的DNSSEC签名服务的热备方法包括如下步骤:
S10,监控主DNSSEC服务器的工作状态;
S20,判断主DNSSEC服务器是否故障,若是,则执行S30;若否,则继续执行S10;
S30,启动备DNSSEC服务器的密钥生命周期管理进程进行DNS区的密钥生命周期管理;
S40,将备DNSSEC服务器切换设置为主服务器。
在本实施例中,主DNSSEC服务器和备DNSSEC服务器以选用OpenDNSSEC服务器为最佳。为了更清楚地说明本发明的实施方案,本实施例将对OpenDNSSEC的签名服务过程为进行示例性的说明。
图2为OpenDNSSEC服务器的应用示意图,如图2所示,OpenDNSSEC服务器包括密钥生命周期管理模块E、数据签名模块S、第一节点B1和第二节点B2。其中,密钥生命周期管理模块E用于执行密钥生命周期管理进程来实现对所管理的DNS区的密钥生命周期管理,数据签名模块S、第一节点B1和第二节点B2用于执行签名进程来实现对所管理的DNS区的资源记录信息的签名。
具体地,OpenDNSSEC服务器要对创建的DNS区进行管理,一方面,OpenDNSSEC服务器执行密钥生命周期管理进程来实现对所管理的DNS区的密钥生命周期管理。示例性的,首先密钥生命周期管理模块E通过第一接口(pkcs#11)与硬件安全模块(Hardware Security Module,简称HSM)进行通信,请求HSM生成所管理的DNS区对应的密钥数据,该密钥数据用于对相应的DNS区的资源记录信息进行加密签名。该密钥数据包括密钥标识符和密钥生命周期参数,OpenDNSSEC服务器的密钥生命周期管理模块E通过第一接口(pkcs#11)从HSM获取DNS区对应的密钥数据的密钥标识符和密钥生命周期参数,并执行密钥生命周期管理进程对相应的密钥数据的生命周期进行管理。当某一DNS区的密钥数据到期时,密钥生命周期管理模块E就会删除该DNS区对应的密钥数据的密钥标识符和密钥生命周期参数,同时通过第一接口(pkcs#11)指示HSM删除该DNS区对应的密钥数据。
另一方面,OpenDNSSEC服务器执行签名进程实现对所管理的DNS区的资源记录信息的签名。示例性的,OpenDNSSEC服务器的第一节点B1获取域名注册数据库(Extensible Provisioning Protocol Data Base,简称EPPDB)中第一DNS区的初始资源记录信息并下发给签名模块S,签名模块S通过第一接口(pkcs#11)与HSM进行通信,HSM根据第一DNS区的初始资源记录信息查找第一DNS区对应的密钥数据。如果HSM中存在第一DNS区对应的密钥数据时,HSM利用该密钥数据对第一DNS区的初始资源记录信息进行加密签名,并将签名后的资源记录信息发送至签名模块S,签名模块S再将签名后的第一DNS区的资源记录信息下发至第二节点B2,再通过第二节点B2发送给下一级服务器。如果HSM中不存在第一DNS区对应的密钥数据时,HSM对第一DNS区的初始资源记录信息进行加密签名并根据该加密签名运算生成第一DNS区对应的新的密钥数据,再将第一DNS区对应的新的密钥数据的密钥标识符和密钥生命周期参数发送至OpenDNSSEC服务器的密钥生命周期管理模块E,以便可以对第一DNS区对应的新的密钥数据的生命周期状态进行管理。
本实施例提供的DNSSEC签名服务的热备方法在同一级DNSSEC服务中设置两个DNSSEC服务器,例如两个OpenDNSSEC服务器。在运行过程中,其中一个DNSSEC服务器作为主服务器,另一个DNSSEC服务器作为备用服务器。在主、备服务器均正常的状态下,可以控制主DNSSEC服务器和备DNSSEC服务器的签名进程均处于启动状态,同时控制主DNSSEC服务器的密钥生命周期管理进程处于启动状态,而备DNSSEC服务器的密钥生命周期管理进程处于非启动状态。这样可以保持所管理的DNS区的资源记录信息可以通过主、备两条通路都能正常生成签名数据,同时避免了密钥生命周期管理发生冲突。
进一步的,可以使用监控程序来监控主DNSSEC服务器的工作状态,当监测到主DNSSEC服务器发生故障时,立即启动备DNSSEC服务器的密钥生命周期管理进程,保证所管理的DNS区的密钥数据的生命周期得到正常管理,保证DNSSEC签名服务的连续性。
需要说明的是,在主、备两条通路都能正常生成签名数据的前提下,会默认只将主服务器的签名数据下发给权威DNS服务器。因此,当监测到主DNSSEC服务器发生故障时,立即启动备DNSSEC服务器的密钥生命周期管理进程后,还应该将备DNSSEC服务器切换设置为主服务器,以便可以通过备DNSSEC服务器将签名数据下发给权威DNS服务器。
作为一种可选的实施方式,可以在将备DNSSEC服务器切换设置为主服务器之后,监控该备DNSSEC服务器的工作状态,以便在该备DNSSEC服务器也出现故障时,可以及时采取相关措施来保障DNSSEC签名服务的连续性和可靠性。
作为另一种可选的实施方式,还可以在将备DNSSEC服务器切换设置为主服务器之后,同时监控主DNSSEC服务器和备DNSSEC服务器的工作状态,当监测到主DNSSEC服务器恢复正常时,再次将主DNSSEC服务器切换设置为主服务器。
如上所述,本实施例提供的技术方案,以允许大规模DNSSEC提供商,以有效和连贯的方式处理大量DNSSEC签名数据。为了提高DNSSEC签名服务的效率,加快资源记录信息的加密签名运算过程,在具体实施过程中,较佳的,可以利用HSM集群来生成所管理的DNS区对应的密钥数据。相应的,主DNSSEC服务器和备DNSSEC服务器可以与HSM集群进行通信实现所管理的DNS区的资源记录加密签名。
进一步的,作为一种较佳的实施方式,在具体实施过程中,还可以利用关联数据库管理系统(MySQL)集群来保存所述密钥标识符和密钥生命周期参数。
示例性的,在具体实施过程中,作为一种可能的实现方式,在主、备服务器均正常的状态下,启动主DNSSEC服务器和备DNSSEC服务器的签名进程进行所管理的DNS区的资源记录签名的过程可以包括如下步骤:
步骤1,指示主DNSSEC服务器和备DNSSEC服务器的签名进程从域名注册数据库中获取第一DNS区的初始资源记录;
步骤2,指示主DNSSEC服务器和备DNSSEC服务器的签名进程与MySQL集群进行通信,获取所述第一DNS区对应的密钥标识符;
步骤3,指示主DNSSEC服务器和备DNSSEC服务器的签名进程与HSM集群进行通信,获取HSM集群根据所述第一DNS区对应的密钥标识符对所述第一DNS区的初始资源记录进行加密签名后的签名数据;
步骤4,指示主DNSSEC服务器的签名进程将签名数据下发给权威DNS服务器。
基于图2所示的OpenDNSSEC服务器的应用过程,可以理解的是,在启动主DNSSEC服务器和备DNSSEC服务器的签名进程进行DNS区的资源记录签名之前,还可以指示主DNSSEC服务器的密钥生命周期管理进程与HSM集群通信,以使HSM集群生成所管理的DNS区对应的密钥数据,该密钥数据包括密钥标识符和密钥生命周期参数,其中,第一DNS区为所管理的DNS区中的一个。并指示主DNSSEC服务器的密钥生命周期管理进程将所管理的DNS区对应的密钥数据的密钥标识符和密钥生命周期参数保存至MySQL集群。
作为另一种可能的实现方式,在主、备服务器均正常的状态下,启动主DNSSEC服务器和备DNSSEC服务器的签名进程进行所管理的DNS区的资源记录签名的过程也可以包括如下步骤:
步骤1,指示主DNSSEC服务器和备DNSSEC服务器的签名进程从域名注册数据库中获取第一DNS区的初始资源记录;
步骤2,指示主DNSSEC服务器和备DNSSEC服务器的签名进程与MySQL集群进行通信,确定第一DNS区对应的密钥标识符已被删除;
步骤3,指示主DNSSEC服务器和备DNSSEC服务器的签名进程与HSM集群进行通信,以使HSM集群对第一DNS区的初始资源记录进行加密签名,生成签名数据以及第一DNS区对应的新的密钥数据,该新的密钥数据包括密钥标识符和密钥生命周期参数;
步骤4,指示主DNSSEC服务器的签名进程将签名数据下发给权威DNS服务器。
同样的,基于图2所示的OpenDNSSEC服务器的应用过程,可以理解的是,在HSM集群对第一DNS区的初始资源记录进行加密签名,生成签名数据以及第一DNS区对应的新的密钥数据之后,还可以指示主DNSSEC服务器的密钥生命周期管理进程将新的密钥数据的密钥标识符和密钥生命周期参数保存至所述MySQL集群中。
另外,基于图2所示的OpenDNSSEC服务器的应用过程,还可以理解的是,在具体实施过程中,在主、备服务器均正常的状态下,启动主DNSSEC服务器的密钥生命周期管理进程进行所管理的DNS区的密钥生命周期管理的过程可以包括如下步骤:
步骤1,指示主DNSSEC服务器的密钥生命周期管理进程监控所管理的DNS区对应的密钥数据的生命周期状态;
步骤2,当判断某一DNS区对应的密钥数据已到期,则删除HSM集群中该DNS区对应的密钥数据和MySQL集群中该DNS区对应的密钥标识符及密钥生命周期参数。
本实施例提供的DNSSEC签名服务的热备方法及系统,由于备DNSSEC服务器和主DNSSEC服务器的签名进程是保持数据同步的,当主DNSSEC服务器发生故障时,立即启动备DNSSEC服务器的密钥生命周期管理进程,可以保证密钥生命周期得到正常管理,而且签名区数据不必重新生成,有效避免在主服务器故障的情况下,DNSSEC服务不可用时间过长,保证DNSSEC数据的连续性和完整性,可以有效保证DNSSEC服务的高可用性。
图3为本发明实施例提供的DNSSEC签名服务的热备系统示意图,本实施例提供的DNSSEC签名服务的热备系统可以用来实现本发明图1所示实施例提供的DNSSEC签名服务的热备方法。如图3所示,该DNSSEC签名服务的热备系统包括:主DNSSEC服务器M1、备DNSSEC服务器M2和监测模块A。
其中,主DNSSEC服务器M1和备DNSSEC服务器M2分别包括密钥生命周期管理模块(E1、E2)、数据签名模块(S1、S2)、第一节点(B11、B21)和第二节点(B12、B22)。密钥生命周期管理模块可以用于执行密钥生命周期管理进程,数据签名模块、第一节点和第二节点可以用于执行签名进程。
具体的,监测模块A可以用于:监控主DNSSEC服务器的工作状态;若判断主DNSSEC服务器发生故障,则启动备DNSSEC服务器的密钥生命周期管理进程进行DNS区的密钥生命周期管理,其中,主DNSSEC服务器和备DNSSEC服务器中的签名进程的数据信息保持一致;将备DNSSEC服务器切换设置为主服务器。
在实际应用中,监测模块A还可以用于:启动主DNSSEC服务器和备DNSSEC服务器的签名进程进行DNS区的资源记录签名;启动主DNSSEC服务器的密钥生命周期管理进程进行DNS区的密钥生命周期管理。
为了更清楚地说明本发明的实施方案,可以参照图4所示的DNSSEC服务的热备系统的应用示意图进行示例性说明。如图4所示,主DNSSEC服务器和备DNSSEC服务器分别包括密钥生命周期管理模块(E1、E2)、数据签名模块(S1、S2)、第一节点(B11、B21)和第二节点(B12、B22)。密钥生命周期管理模块可以用于执行密钥生命周期管理进程,数据签名模块、第一节点和第二节点可以用于执行签名进程。具体的密钥生命周期管理进程和签名进程的执行过程,可以参照图2所示的OpenDNSSEC服务器的应用过程,此处不再赘述。
作为一种较佳的实施方式,本实施例提供的DNSSEC签名服务的热备系统还可以包括HSM集群和MySQL集群。
作为一种可能的实施方式,监测模块A具体可以用于:指示主DNSSEC服务器和备DNSSEC服务器的签名进程从域名注册数据库EPPDB中获取第一DNS区的初始资源记录;指示主DNSSEC服务器和备DNSSEC服务器的签名进程与MySQL集群进行通信,获取第一DNS区对应的密钥标识符;指示主DNSSEC服务器和备DNSSEC服务器的签名进程与HSM集群进行通信,获取HSM集群根据第一DNS区对应的密钥标识符对第一DNS区的初始资源记录进行加密签名后的签名数据;指示主DNSSEC服务器的签名进程将所述签名数据下发给权威DNS服务器。
进一步的,可以理解的是,监测模块A具体还可以用于:指示主DNSSEC服务器的密钥生命周期管理进程与HSM集群通信,以使HSM集群生成至少一个DNS区对应的密钥数据,该密钥数据包括密钥标识符和密钥生命周期参数,其中,至少一个DNS区也就是该热备系统所管理的DNS区,其包括上述的第一DNS区;指示主DNSSEC服务器的密钥生命周期管理进程将密钥标识符和密钥生命周期参数保存至MySQL集群。
作为另一种可能的实施方式,监测模块A具体可以用于:指示主DNSSEC服务器和备DNSSEC服务器的签名进程从域名注册数据库中获取第一DNS区的初始资源记录;指示主DNSSEC服务器和备DNSSEC服务器的签名进程与MySQL集群进行通信,确定第一DNS区对应的密钥标识符已被删除;指示主DNSSEC服务器和备DNSSEC服务器的签名进程与HSM集群进行通信,以使HSM集群对第一DNS区的初始资源记录进行加密签名,生成签名数据以及第一DNS区对应的新的密钥数据,该新的密钥数据包括密钥标识符和密钥生命周期参数;指示主DNSSEC服务器的签名进程将签名数据下发给权威DNS服务器。
进一步的,可以理解的是,监测模块A具体还可以用于:指示主DNSSEC服务器的密钥生命周期管理进程将上述新的密钥数据得密钥标识符和密钥生命周期参数保存至所述MySQL集群。
另外,可以理解的是,在实际应用中,监测模块A具体还可以用于:指示主DNSSEC服务器的密钥生命周期管理进程监控第一DNS区对应的密钥数据的生命周期状态;若判断第一DNS区对应的密钥数据已到期,则删除HSM集群中第一DNS区对应的密钥数据和MySQL集群中第一DNS区对应的密钥标识符及密钥生命周期参数。
本实施例提供的DNSSEC签名服务的热备系统,可以用来实现本发明图1所示实施例提供的数据处理方法,其实现原理和技术效果类似,此处不再赘述。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (14)

1.一种DNSSEC签名服务的热备方法,其特征在于,包括:
监控主DNSSEC服务器的工作状态;
若判断所述主DNSSEC服务器发生故障,则启动备DNSSEC服务器的密钥生命周期管理进程进行DNS区的密钥生命周期管理,其中,所述主DNSSEC服务器和所述备DNSSEC服务器中的签名进程的数据信息相同;
将所述备DNSSEC服务器切换设置为主服务器。
2.根据权利要求1所述的方法,其特征在于,所述监控主DNSSEC服务器的工作状态之前,还包括:
启动所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程进行DNS区的资源记录签名;
启动所述主DNSSEC服务器的密钥生命周期管理进程进行DNS区的密钥生命周期管理。
3.根据权利要求2所述的方法,其特征在于,所述启动所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程进行DNS区的资源记录签名,包括:
指示所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程从域名注册数据库中获取第一DNS区的初始资源记录;
指示所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程与MySQL集群进行通信,获取所述第一DNS区对应的密钥标识符;
指示所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程与HSM集群进行通信,获取所述HSM集群根据所述密钥标识符对所述第一DNS区的初始资源记录进行加密签名后的签名数据;
指示所述主DNSSEC服务器的签名进程将所述签名数据下发给权威DNS服务器。
4.根据权利要求3所述的方法,其特征在于,所述启用所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程进行DNS区的资源记录签名之前,还包括:
指示所述主DNSSEC服务器的密钥生命周期管理进程与所述HSM集群通信,以使所述HSM集群生成至少一个DNS区对应的密钥数据,所述密钥数据包括密钥标识符和密钥生命周期参数,其中,所述至少一个DNS区包括所述第一DNS区;
指示所述主DNSSEC服务器的密钥生命周期管理进程将所述密钥标识符和密钥生命周期参数保存至所述MySQL集群。
5.根据权利要求2所述的方法,其特征在于,所述启用所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程进行DNS区的资源记录签名,包括:
指示所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程从域名注册数据库中获取第一DNS区的初始资源记录;
指示所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程与MySQL集群进行通信,确定所述第一DNS区对应的密钥标识符已被删除;
指示所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程与HSM集群进行通信,以使所述HSM集群对所述第一DNS区的初始资源记录进行加密签名,生成签名数据以及所述第一DNS区对应的新的密钥数据,所述新的密钥数据包括密钥标识符和密钥生命周期参数;
指示所述主DNSSEC服务器的签名进程将所述签名数据下发给权威DNS服务器。
6.根据权利要求5所述的方法,其特征在于,所述指示所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程与HSM集群进行通信,以使所述HSM集群对所述第一DNS区的初始资源记录进行加密签名,生成签名数据以及所述第一DNS区对应的新的密钥数据之后,还包括:
指示所述主DNSSEC服务器的密钥生命周期管理进程将所述密钥标识符和密钥生命周期参数保存至所述MySQL集群。
7.根据权利要求4或6所述的方法,其特征在于,所述启用所述主DNSSEC服务器的密钥生命周期管理进程进行DNS区的密钥生命周期管理,包括:
指示所述主DNSSEC服务器的密钥生命周期管理进程监控所述第一DNS区对应的密钥数据的生命周期状态;
若判断所述第一DNS区对应的密钥数据已到期,则删除所述HSM集群中所述第一DNS区对应的密钥数据和所述MySQL集群中所述第一DNS区对应的密钥标识符及密钥生命周期参数。
8.一种DNSSEC签名服务的热备系统,其特征在于,包括:主DNSSEC服务器、备DNSSEC服务器和监测模块;所述监测模块用于:
监控所述主DNSSEC服务器的工作状态;
若判断所述主DNSSEC服务器发生故障,则启动所述备DNSSEC服务器的密钥生命周期管理进程进行DNS区的密钥生命周期管理,其中,所述主DNSSEC服务器和所述备DNSSEC服务器中的签名进程的数据信息保持一致;
将所述备DNSSEC服务器切换设置为主服务器。
9.根据权利要求8所述的系统,其特征在于,所述监测模块还用于:
启动所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程进行DNS区的资源记录签名;
启动所述主DNSSEC服务器的密钥生命周期管理进程进行DNS区的密钥生命周期管理。
10.根据权利要求9所述的系统,其特征在于,还包括HSM集群和MySQL集群;所述监测模块具体用于:
指示所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程从域名注册数据库中获取第一DNS区的初始资源记录;
指示所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程与MySQL集群进行通信,获取所述第一DNS区对应的密钥标识符;
指示所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程与HSM集群进行通信,获取所述HSM集群根据所述密钥标识符对所述第一DNS区的初始资源记录进行加密签名后的签名数据;
指示所述主DNSSEC服务器的签名进程将所述签名数据下发给权威DNS服务器。
11.根据权利要求10所述的系统,其特征在于,所述监测模块具体还用于:
指示所述主DNSSEC服务器的密钥生命周期管理进程与所述HSM集群通信,以使所述HSM集群生成至少一个DNS区对应的密钥数据,所述密钥数据包括密钥标识符和密钥生命周期参数,其中,所述至少一个DNS区包括所述第一DNS区;
指示所述主DNSSEC服务器的密钥生命周期管理进程将所述密钥标识符和密钥生命周期参数保存至所述MySQL集群。
12.根据权利要求9所述的系统,其特征在于,还包括HSM集群和MySQL集群;所述监测模块具体用于:
指示所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程从域名注册数据库中获取第一DNS区的初始资源记录;
指示所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程与MySQL集群进行通信,确定所述第一DNS区对应的密钥标识符已被删除;
指示所述主DNSSEC服务器和所述备DNSSEC服务器的签名进程与HSM集群进行通信,以使所述HSM集群对所述第一DNS区的初始资源记录进行加密签名,生成签名数据以及所述第一DNS区对应的新的密钥数据,所述新的密钥数据包括密钥标识符和密钥生命周期参数;
指示所述主DNSSEC服务器的签名进程将所述签名数据下发给权威DNS服务器。
13.根据权利要求12所述的系统,其特征在于,所述监测模块具体还用于:
指示所述主DNSSEC服务器的密钥生命周期管理进程将所述密钥标识符和密钥生命周期参数保存至所述MySQL集群。
14.根据权利要求11或13所述的系统,其特征在于,所述监测模块具体还用于:
指示所述主DNSSEC服务器的密钥生命周期管理进程监控所述第一DNS区对应的密钥数据的生命周期状态;
若判断所述第一DNS区对应的密钥数据已到期,则删除所述HSM集群中所述第一DNS区对应的密钥数据和所述MySQL集群中所述第一DNS区对应的密钥标识符及密钥生命周期参数。
CN201510512714.5A 2015-08-19 2015-08-19 Dnssec签名服务的热备方法及系统 Active CN106470248B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510512714.5A CN106470248B (zh) 2015-08-19 2015-08-19 Dnssec签名服务的热备方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510512714.5A CN106470248B (zh) 2015-08-19 2015-08-19 Dnssec签名服务的热备方法及系统

Publications (2)

Publication Number Publication Date
CN106470248A true CN106470248A (zh) 2017-03-01
CN106470248B CN106470248B (zh) 2019-08-27

Family

ID=58228765

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510512714.5A Active CN106470248B (zh) 2015-08-19 2015-08-19 Dnssec签名服务的热备方法及系统

Country Status (1)

Country Link
CN (1) CN106470248B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110445641A (zh) * 2019-07-11 2019-11-12 烽火通信科技股份有限公司 Dns代理服务器的主备切换方法及系统
US20210051002A1 (en) * 2019-08-15 2021-02-18 F5 Networks, Inc. Accessing Security Hardware Keys

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242426A (zh) * 2007-02-06 2008-08-13 华为技术有限公司 建立传输层安全连接的方法、系统及装置
US20120017090A1 (en) * 2010-07-13 2012-01-19 Verisign, Inc. System and method for zone signing and key management in a dns system
CN103314566A (zh) * 2010-11-05 2013-09-18 思杰系统有限公司 用于管理域名系统安全(dnssec)的系统和方法
CN103379116A (zh) * 2012-04-29 2013-10-30 弗里塞恩公司 Dnssec在线签名
CN103746817A (zh) * 2014-02-18 2014-04-23 互联网域名系统北京市工程研究中心有限公司 Dnssec签名方法及其系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242426A (zh) * 2007-02-06 2008-08-13 华为技术有限公司 建立传输层安全连接的方法、系统及装置
US20120017090A1 (en) * 2010-07-13 2012-01-19 Verisign, Inc. System and method for zone signing and key management in a dns system
CN103314566A (zh) * 2010-11-05 2013-09-18 思杰系统有限公司 用于管理域名系统安全(dnssec)的系统和方法
CN103379116A (zh) * 2012-04-29 2013-10-30 弗里塞恩公司 Dnssec在线签名
CN103746817A (zh) * 2014-02-18 2014-04-23 互联网域名系统北京市工程研究中心有限公司 Dnssec签名方法及其系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110445641A (zh) * 2019-07-11 2019-11-12 烽火通信科技股份有限公司 Dns代理服务器的主备切换方法及系统
US20210051002A1 (en) * 2019-08-15 2021-02-18 F5 Networks, Inc. Accessing Security Hardware Keys

Also Published As

Publication number Publication date
CN106470248B (zh) 2019-08-27

Similar Documents

Publication Publication Date Title
CN102769529B (zh) Dnssec签名服务器
US9219722B2 (en) Unclonable ID based chip-to-chip communication
WO2021114934A1 (zh) 可信计算集群的集群密钥获取方法及装置
CN105933315B (zh) 一种网络服务安全通信方法、装置和系统
CN111740966B (zh) 一种基于区块链网络的数据处理方法及相关设备
JP2013522795A (ja) 仮想機械によるソフトウェアテストを用いた電子ネットワークにおけるクライアントシステムの遠隔保守のためのシステム及び方法
US9325697B2 (en) Provisioning and managing certificates for accessing secure services in network
CN104715183A (zh) 一种虚拟机运行时的可信验证方法和设备
CN107528865A (zh) 文件的下载方法和系统
US11552948B1 (en) Domain management intermediary service
CN109842626B (zh) 分配安全区域访问凭证的方法和装置
CN111988275A (zh) 一种单点登录方法、单点登录服务器集群及电子设备
CN109359484A (zh) 云平台的安全审计终端日志的处理方法、装置、设备和介质
CN105245625A (zh) 跨多管理域的追溯系统
CN113194099B (zh) 一种数据代理方法及代理服务器
Li et al. Pistis: Issuing trusted and authorized certificates with distributed ledger and TEE
CN106470248A (zh) Dnssec签名服务的热备方法及系统
CN111597537B (zh) 基于区块链网络的证书签发方法、相关设备及介质
CN111404884B (zh) 安全通信方法、客户机及非公开服务器
CN113010897A (zh) 云计算安全管理方法及其系统
CN116388998A (zh) 一种基于白名单的审计处理方法和装置
CN109802927B (zh) 一种安全服务提供方法及装置
CN113472545B (zh) 设备入网方法、装置、设备、存储介质和通信系统
CN113810415B (zh) 一种通过堡垒机免托管主机账户运维的方法
CN113992387B (zh) 资源管理方法、装置、系统、电子设备和可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210510

Address after: 101407 room 322, building 1, yard 3, xingkenan 2nd Street, Yanqi Economic Development Zone, Huairou District, Beijing

Patentee after: INTERNET DOMAIN NAME SYSTEM BEIJING ENGINEERING RESEARCH CENTER

Address before: 101400 D9, 1st floor, 88 Yangyan Road, Yanqi Economic Development Zone, Huairou District, Beijing

Patentee before: INTERNET DOMAIN NAME SYSTEM BEIJING ENGINEERING RESEARCH CENTER

Patentee before: KNET Co.,Ltd.