CN110049049B

CN110049049B - 一种dns区数据校验的方法和装置

Info

Publication number: CN110049049B
Application number: CN201910325346.1A
Authority: CN
Inventors: 叶崛宇; 贺明; 张海阔; 岳巧丽; 闫夏莉
Original assignee: China Internet Network Information Center
Current assignee: China Internet Network Information Center
Priority date: 2019-04-22
Filing date: 2019-04-22
Publication date: 2021-05-11
Anticipated expiration: 2039-04-22
Also published as: CN110049049A

Abstract

本申请公开了一种DNS区数据校验的方法和装置，该方法包括：每次辅DNS服务器完成增量更新后，从增量数据文件最新的更新事务中获取对应最新序列号的最新的更新事务数字指纹为第一校验数字指纹；第k个更新事务数字指纹是基于本地区文件和增量数据文件中第1至k个更新事务的资源记录查询哈希值利用数字指纹编码算法预先生成并存储的；从主DNS服务器的区文件中获取对应最新序列号的数字指纹为第一标准数字指纹；若第一校验数字指纹与第一标准数字指纹不一致，确定辅DNS服务器的DNS区数据异常。可见，将数字指纹技术应用于DNS区数据校验，建立DNS区数据一致性校验方法，及时发现DNS区数据不一致的安全隐患。

Description

一种DNS区数据校验的方法和装置

技术领域

本申请涉及数据处理技术领域，尤其涉及一种DNS区数据校验的方法和装置。

背景技术

随着计算机科学技术的快速发展，互联网业务逐渐渗透至社会各个领域，在各个领域中的应用越来越广泛。全球互联网域名数量已十分庞大并与日俱增，其中，传统顶级域名的数据量已达数千万或上亿，随着新顶级域名(英文：new generic top-level domains，缩写：New gTLD)的不断推广，其数据量也在极速增长。

面对当今极端复杂多变的网络环境，域名系统(英文：Domain Name System，缩写：DNS)作为全球互联网域名的管理和解析系统，确保大量域名数据的安全性对互联网业务的发展具有重要意义。由于DNS是典型的分布式系统，保障各级DNS节点间需要同步的区数据的一致性对确保域名数据的安全性至关重要。

但是，发明人经过研究发现，现阶段DNS中并未引入区数据一致性校验机制，攻击者可通过技术手段篡改未经签名的DNS报文中的数据，对重要域名数据进行破坏；导致DNS节点管理的区数据存在安全隐患。即，目前DNS尚不能确保区数据在多级分布式系统中的一致性，给域名数据的安全造成巨大威胁。

发明内容

本申请所要解决的技术问题是，提供一种DNS区数据校验的方法和装置，建立行之有效的、操作性和实用性较好的DNS区数据一致性校验方法，有效甄别、及时发现DNS区数据不一致的安全隐患。

第一方面，本申请实施例提供了一种DNS区数据校验的方法，应用于辅DNS服务器，该方法包括：

每次所述辅DNS服务器完成增量更新后，从增量数据文件最新的更新事务中获取最新的更新事务数字指纹作为第一校验数字指纹，所述第一校验数字指纹对应最新序列号；所述更新事务包括区数据更新操作涉及的资源记录，第k个所述更新事务数字指纹是基于本地区文件的资源记录查询哈希值和所述增量数据文件中第1至k个所述更新事务的资源记录查询哈希值利用数字指纹编码算法预先生成并存储的；

从主DNS服务器的区文件中获得对应所述最新序列号的数字指纹作为第一标准数字指纹；

若所述第一校验数字指纹与所述第一标准数字指纹不一致，确定所述辅DNS服务器的DNS区数据异常。

可选的，若所述主DNS服务器未完成增量数据文件向本地区文件的合并回写操作，所述从主DNS服务器的区文件中获得对应所述最新序列号的数字指纹作为第一标准数字指纹，包括：

从所述主DNS服务器的增量数据文件中确定对应所述最新序列号的目标更新事务；

从所述目标更新事务中获得目标更新事务数字指纹作为所述第一标准数字指纹。

可选的，若所述主DNS服务器完成增量数据文件向本地区文件的合并回写操作，所述从主DNS服务器的区文件中获得对应所述最新序列号的数字指纹作为第一标准数字指纹，具体为：

基于所述主DNS服务器的本地区文件的资源记录查询哈希值利用所述数字指纹编码算法生成对应所述最新序列号的本地区文件数字指纹作为所述第一标准数字指纹。

可选的，还包括：

当所述辅DNS服务器加载DNS区数据至内存时，基于所述本地区文件的资源记录查询哈希值和所述增量数据文件中各个更新事务的资源记录查询哈希值利用所述数字指纹编码算法生成各个更新事务数字指纹形成第二校验数字指纹；

从增量数据文件的各个更新事务中获取各个更新事务数字指纹形成第二标准数字指纹；

若所述第二校验数字指纹与所述第二标准数字指纹不一致，确定所述辅DNS服务器的DNS区数据异常。

可选的，所述数字指纹编码算法为异或算法。

第二方面，本申请实施例提供了一种DNS区数据校验的装置，应用于辅DNS服务器，包括：

第一获取单元，用于每次所述辅DNS服务器完成增量更新后，从增量数据文件最新的更新事务中获取最新的更新事务数字指纹作为第一校验数字指纹，所述第一校验数字指纹对应最新序列号；所述更新事务包括区数据更新操作涉及的资源记录，第k个所述更新事务数字指纹是基于本地区文件的资源记录查询哈希值和所述增量数据文件中第1至k个所述更新事务的资源记录查询哈希值利用数字指纹编码算法预先生成并存储的；

获得单元，用于从主DNS服务器的区文件中获取对应所述最新序列号的数字指纹作为第一标准数字指纹；

第一确定单元，用于若所述第一校验数字指纹与所述第一标准数字指纹不一致，确定所述辅DNS服务器的DNS区数据异常。

可选的，若所述主DNS服务器未完成增量数据文件向本地区文件的合并回写操作，所述获得单元包括：

确定子单元，用于从所述主DNS服务器的增量数据文件中确定对应所述最新序列号的目标更新事务；

获得子单元，用于从所述目标更新事务中获得目标更新事务数字指纹作为所述第一标准数字指纹。

可选的，若所述主DNS服务器完成增量数据文件向本地区文件的合并回写操作，所述获得单元具体为：

可选的，还包括：

生成单元，用于当所述辅DNS服务器加载DNS区数据至内存时，基于所述本地区文件的资源记录查询哈希值和所述增量数据文件中各个更新事务的资源记录查询哈希值利用所述数字指纹编码算法生成各个更新事务数字指纹形成第二校验数字指纹；

第二获取单元，用于从增量数据文件的各个更新事务中获取各个更新事务数字指纹形成第二标准数字指纹；

第二确定单元，用于若所述第二校验数字指纹与所述第二标准数字指纹不一致，确定所述辅DNS服务器的DNS区数据异常。

可选的，所述数字指纹编码算法为异或算法。

与现有技术相比，本申请至少具有以下优点：

采用本申请实施例的技术方案，每次辅DNS服务器完成增量更新后，从增量数据文件最新的更新事务中获取对应最新序列号的最新的更新事务数字指纹作为第一校验数字指纹；更新事务包括区数据更新操作涉及的资源记录，第k个更新事务数字指纹是基于本地区文件的资源记录查询哈希值和增量数据文件中第1至k个更新事务的资源记录查询哈希值利用数字指纹编码算法预先生成并存储的；从主DNS服务器的区文件中获取对应最新序列号的数字指纹作为第一标准数字指纹；若第一校验数字指纹与第一标准数字指纹不一致，确定辅DNS服务器的DNS区数据异常。由此可见，将数字指纹技术应用于DNS区数据校验，建立行之有效的DNS区数据一致性校验方法，有效甄别、及时发现DNS区数据不一致的安全隐患，且数字指纹嵌入在增量数据文件中与DNS无缝对接，具有较好的操作性和实用性。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本申请实施例中一种应用场景所涉及的系统框架示意图；

图2为本申请实施例提供的一种DNS区数据校验的方法的流程示意图；

图3为本申请实施例提供的DNS区数据数字指纹生成示意图；

图4为本申请实施例提供的更新事务数字指纹存储示意图；

图5为本申请实施例提供的主DNS服务器未完成增量数据文件向本地区文件的合并回写操作时第一标准数字指纹的示意图；

图6为本申请实施例提供的主DNS服务器完成增量数据文件向本地区文件的合并回写操作时第一标准数字指纹的示意图；

图7为本申请实施例提供的另一种DNS区数据校验的方法的流程示意图；

图8为本申请实施例提供的辅DNS服务器加载载DNS区数据至内存时第二校验数字指纹和第二标准数字指纹的示意图；

图9为本申请实施例提供的一种DNS区数据校验的装置的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

现阶段，DNS管理大量的通用顶级域名(英文：generic top-level domains，缩写：gTLDs)和国家和地区顶级域名(英文：country code top-level domains，缩写：ccTLDs)，New gTLD数据量也在极速增长，由于网络环境复杂多变，确保大量域名数据的安全性尤为重要。但是，发明人经过研究发现，目前DNS中并未引入区数据一致性校验机制，无法确保区数据在多级分布式系统中的一致性，攻击者可通过技术手段篡改未经签名的DNS报文中的数据，对重要域名数据进行破坏；使得DNS节点管理的区数据存在较大的安全隐患。

为了解决这一问题，在本申请实施例中，每次辅DNS服务器完成增量更新后，从增量数据文件最新的更新事务中获取对应最新序列号的最新的更新事务数字指纹作为第一校验数字指纹；更新事务包括区数据更新操作涉及的资源记录，第k个更新事务数字指纹是基于本地区文件的资源记录查询哈希值和增量数据文件中第1至k个更新事务的资源记录查询哈希值利用数字指纹编码算法预先生成并存储的；从主DNS服务器的区文件中获取对应最新序列号的数字指纹作为第一标准数字指纹；若第一校验数字指纹与第一标准数字指纹不一致，确定辅DNS服务器的DNS区数据异常。由此可见，将数字指纹技术应用于DNS区数据校验，建立行之有效的DNS区数据一致性校验方法，有效甄别、及时发现DNS区数据不一致的安全隐患，且数字指纹嵌入在增量数据文件中与DNS无缝对接，具有较好的操作性和实用性。

举例来说，本申请实施例的场景之一，可以是应用到如图1所示的场景中，该场景中包括主DNS服务器101和辅DNS服务器102，主DNS服务器101向辅DNS服务器102发送更新数据，辅DNS服务器102基于更新数据进行增量更新，在其增量数据文件添加最新的更新事务，并基于本地区文件的资源记录查询哈希值和增量数据文件中各个更新事务的资源记录查询哈希值利用数字指纹编码算法预先生成最新的更新事务数字指纹存储在最新的更新事务中，辅DNS服务器完成增量更新后采用本申请实施例的方式进行DNS区数据校验。

可以理解的是，在上述应用场景中，虽然将本申请实施方式的动作描述由辅DNS服务器102执行，但是，本申请在执行主体方面不受限制，只要执行了本申请实施方式所公开的动作即可。

可以理解的是，上述场景仅是本申请实施例提供的一个场景示例，本申请实施例并不限于此场景。

下面结合附图，通过实施例来详细说明本申请实施例中DNS区数据校验的方法和装置的具体实现方式。

示例性方法

参见图2，示出了本申请实施例中一种DNS区数据校验的方法的流程示意图。在本实施例中，所述方法例如可以包括以下步骤：

步骤201：每次所述辅DNS服务器完成增量更新后，从增量数据文件最新的更新事务中获取最新的更新事务数字指纹作为第一校验数字指纹，所述第一校验数字指纹对应最新序列号；所述更新事务包括区数据更新操作涉及的资源记录，第k个所述更新事务数字指纹是基于本地区文件的资源记录查询哈希值和所述增量数据文件中第1至k个所述更新事务的资源记录查询哈希值利用数字指纹编码算法预先生成并存储的。

可以理解的是，由于目前DNS中尚未引入区数据一致性校验机制，当主DNS服务器对辅DNS服务器下发更新数据时，攻击者可通过技术手段篡改其中未经签名的DNS报文中的数据，尤其是破坏重要域名数据，导致法DNS多级分布式系统中各级DNS服务器(各级DNS节点)的DNS区数据不一致，存在较大的DNS区数据安全隐患，因此，需要在DNS中引入DNS区数据一致性校验机制，在本申请实施例中，考虑到DNS区数据的存储特点等，将数字指纹技术应用于DNS，进行DNS区数据一致性校验。由于辅DNS服务器接收主DNS服务器下发的更新数据完成增量更新是指在增量数据文件添加最新的更新事务，则辅DNS服务器和主DNS服务器中DNS区数据是否一致需要校验辅DNS服务器的增量数据文件最新的更新事务数字指纹与主DNS服务器对应的区数据数字指纹是否一致。

由上述说明可知，在辅DNS服务器完成增量更新后，首先应该获取增量数据文件最新的更新事务数字指纹，而考虑到DNS区数据的存储特点、数字指纹技术在DNS中的操作性和实用性，更新事务数字指纹预先生成存储在对应的更新事务中，从增量数据文件最新的更新事务中即可直接获取待校验的最新的更新事务数字指纹作为第一校验数字指纹。

还可以理解的是，由于辅DNS服务器的本地区文件包括资源记录，更新事务包括区数据更新操作涉及的资源记录，更新事务数字指纹需要反应数据更新变化，则对于第k个更新事务数字指纹，可以基于本地区文件的资源记录查询哈希值和增量数据文件中第1至k个更新事务的资源记录查询哈希值利用数字指纹编码算法预先生成的。

需要说明的是，考虑到DNS区数据对增量更新校验的特点，更新事务数字指纹编码算法需要累积更新运算能正确反映更新数据变化，不同更新事务数字指纹对多条不同资源记录的新增操作体现差异性，以及更新事务数字指纹对同一条资源记录增删操作可进行抵消等，生成数字指纹所利用的数字指纹编码算法可以为异或算法。

其中，异或运算满足交换律，即A⊕B…A⊕C＝A⊕A…B⊕C，即使续前后交换运算仍然可以得到正确结果，满足累积更新运算正确反映更新数据变化的特点。异或运算本身满足

(A≠B)，同时由于资源记录的查询哈希值采用32位，不同更新事务的不同资源记录的异或运算得到数字指纹相等概率极小，即

(A、B、C、D互不相等)的情况概率极大，满足不同更新事务数字指纹对多条不同资源记录的新增操作体现差异性的特点。异或运算本身满足

即增、删操作对象为同一资源记录时，异或结果为0，相互抵消对最终结果无影响，满足更新事务数字指纹对同一条资源记录增删操作可进行抵消的特点。而且异或码算法运算效率较高，可快速生成数字指纹。

例如，如图3所示的DNS区数据数字指纹生成示意图，区文件包括本地区文件和增量数据文件，其中，本地区文件包括本地的资源记录，增量数据文件包括更新事务，更新事务包括区数据更新操作涉及的资源记录。本地区文件中所有资源记录查询哈希值进行异或运算得到异或码作为本地区文件数字指纹，其对应的序列号例如可以为sn＝1。更新事务1包括本地区文件至更新事务1区数据更新操作涉及的资源记录，更新事务1中所有资源记录查询哈希值与本地区文件数字指纹进行异或运算得到异或码作为更新事务1数字指纹，其对应的对应序列号则为sn＝2。更新事务k包含更新事务k-1至更新事务k区数据更新操作涉及的资源记录，更新事务k中所有资源记录查询哈希值与更新事务k-1数字指纹进行异或运算得到异或码作为更新事务k数字指纹，其对应的对应序列号则为sn＝k+1。在得到更新事务数字指纹后需要将其存储，例如，图4所示的更新事务数字指纹存储示意图，其中，更新事务数字指纹存储在对应的更新事务的头部。

步骤202：从主DNS服务器的区文件中获得对应所述最新序列号的数字指纹作为第一标准数字指纹。

可以理解的是，步骤201获取作为第一校验数字指纹的最新的更新事务数字指纹是为了与主DNS服务器对应的区数据数字指纹进行比较，从而辅DNS服务器完成增量更新后，校验辅DNS服务器和主DNS服务器中DNS区数据是否一致，则在步骤201后需要基于第一校验数字指纹对应的最新序列号从主DNS服务器的区文件中获得对应的区数据数字指纹作为校验标准，即第一标准数字指纹。

需要说明的是，考虑到增量数据文件的存储压力，主DNS服务器的增量数据文件可以向本地区文件合并回写，则步骤202从主DNS服务器的区文件中获得对应最新序列号的数字指纹时，主DNS服务器可能还未完成增量数据文件向本地区文件的合并回写操作，也可能已经完成增量数据文件向本地区文件的合并回写操作。对应不同状态下的主DNS服务器，步骤202的具体实施方式不同，具体实施方式如下所示：

第一，当主DNS服务器未完成增量数据文件向本地区文件的合并回写操作时，首先，在主DNS服务器的增量数据文件中直接找到对应最新序列号的更新事务，表示该更新事务对应辅DNS服务器增量数据文件最新的更新事务，称为目标更新事务；然后，直接从目标更新事务中提取目标更新事务数字指纹，该目标更新事务数字指纹即为第一校验数字指纹的校验标准，称为第一标准数字指纹，例如，如图5所示的主DNS服务器未完成增量数据文件向本地区文件的合并回写操作时第一标准数字指纹的示意图。因此，在本申请实施例的一些实施方式中，若所述主DNS服务器未完成增量数据文件向本地区文件的合并回写操作，所述步骤202例如可以包括以下步骤：

步骤A：从所述主DNS服务器的增量数据文件中确定对应所述最新序列号的目标更新事务；

步骤B：从所述目标更新事务中获得目标更新事务数字指纹作为所述第一标准数字指纹。

第二，当主DNS服务器完成增量数据文件向本地区文件的合并回写操作时，增量数据文件中各个更新事务全部合并回写至本地区文件，则需要重新生成本地区文件数字指纹，即，基于合并回写后本地区文件中所有资源记录的查询哈希值采用上述数字指纹编码算法生成本地区文件数字指纹，该本地区文件数字指纹对应上述最新序列号作为第一标准数字指纹，例如，如图6所示的主DNS服务器完成增量数据文件向本地区文件的合并回写操作时第一标准数字指纹的示意图。因此，在本申请实施例的一些实施方式中，若所述主DNS服务器完成增量数据文件向本地区文件的合并回写操作，所述步骤202例如具体可以为：基于所述主DNS服务器的本地区文件的资源记录查询哈希值利用所述数字指纹编码算法生成对应所述最新序列号的本地区文件数字指纹作为所述第一标准数字指纹。

步骤203：若所述第一校验数字指纹与所述第一标准数字指纹不一致，确定所述辅DNS服务器的DNS区数据异常。

可以理解的是，由于步骤202获得的第一标准数字指纹是骤201获取的第一校验数字指纹的校验标准，当第一校验数字指纹与第一标准数字指纹不一致时，表示第一校验数字指纹不满足校验标准，则可以确定辅DNS服务器的DNS区数据存在异常情况。

通过本实施例提供的各种实施方式，每次辅DNS服务器完成增量更新后，从增量数据文件最新的更新事务中获取对应最新序列号的最新的更新事务数字指纹作为第一校验数字指纹；更新事务包括区数据更新操作涉及的资源记录，第k个更新事务数字指纹是基于本地区文件的资源记录查询哈希值和增量数据文件中第1至k个更新事务的资源记录查询哈希值利用数字指纹编码算法预先生成并存储的；从主DNS服务器的区文件中获取对应最新序列号的数字指纹作为第一标准数字指纹；若第一校验数字指纹与第一标准数字指纹不一致，确定辅DNS服务器的DNS区数据异常。由此可见，将数字指纹技术应用于DNS区数据校验，建立行之有效的各级DNS节点之间DNS区数据一致性校验方法，有效甄别、及时发现DNS区数据不一致的安全隐患，且数字指纹嵌入在增量数据文件中与DNS无缝对接，具有较好的操作性和实用性。

需要说明的是，辅DNS服务器可能存在重启的情况，此时需要将磁盘中的DNS区数据加载至内存，攻击者通过技术手段直接篡改DNS区数据，对重要域名数据进行破坏；或网络环境差导致DNS节点丢失部分区数据，因此，辅DNS服务器重启时DNS区数据也存在安全隐患。因此，基于上述实施例，还需要验证加载至内存的DNS区数据是否与下发并存储的DNS区数据一致，则需要基于加载至内存的DNS区数据(本地区文件的资源记录和增量数据文件中各个更新事务的资源记录)利用数字指纹技术重新生成各个更新事务数字指纹与增量数据文件中各个更新事务中存储的各个更新事务数字指纹进行校验。下面结合附图7，通过下述实施例来详细说明本申请实施例中另一种DNS区数据校验的方法的具体实现方式。

参见图7，示出了本申请实施例中另一种DNS区数据校验的方法的程示意图。在本实施例中，所述方法例如可以包括以下步骤：

步骤701：当所述辅DNS服务器加载DNS区数据至内存时，基于所述本地区文件的资源记录查询哈希值和所述增量数据文件中各个更新事务的资源记录查询哈希值利用所述数字指纹编码算法生成各个更新事务数字指纹形成第二校验数字指纹。

同理，考虑到DNS区数据对增量更新校验的特点，在本申请实施例的一些实施方式中，所述数字指纹编码算法为异或算法。

步骤702：从增量数据文件的各个更新事务中获取各个更新事务数字指纹形成第二标准数字指纹。

步骤703：若所述第二校验数字指纹与所述第二标准数字指纹不一致，确定所述辅DNS服务器的DNS区数据异常。

例如，如图8所示的辅DNS服务器加载载DNS区数据至内存时第二校验数字指纹和第二标准数字指纹的示意图。第二校验数字指纹是基于本地区文件的资源记录查询哈希值和增量数据文件中各个更新事务的资源记录查询哈希值利用进行异或运算生成各个更新事务数字指纹所形成的；第二标准数字指纹是从各个更新事务中提取各个更新事务数字指纹所形成的。

通过本实施例提供的各种实施方式，当辅DNS服务器加载DNS区数据至内存时，基于本地区文件的资源记录查询哈希值和增量数据文件中各个更新事务的资源记录查询哈希值利用数字指纹编码算法生成各个更新事务数字指纹形成第二校验数字指纹；从增量数据文件的各个更新事务中获取各个更新事务数字指纹形成第二标准数字指纹；比较第二校验数字指纹与第二标准数字指纹，若不一致则确定辅DNS服务器的DNS区数据异常。由此可见，将数字指纹技术应用于DNS区数据校验，建行之有效的DNS区数据重启加载校验方法，有效甄别、及时发现DNS区数据被破坏、篡改的安全隐患，且数字指纹嵌入在增量数据文件中与DNS无缝对接，具有较好的操作性和实用性。

示例性装置

参见图9，示出了本申请实施例中一种DNS区数据校验的装置的结构示意图，应用于辅DNS服务器。在本实施例中，所述装置例如具体可以包括：

第一获取单元901，用于每次所述辅DNS服务器完成增量更新后，从增量数据文件最新的更新事务中获取最新的更新事务数字指纹作为第一校验数字指纹，所述第一校验数字指纹对应最新序列号；所述更新事务包括区数据更新操作涉及的资源记录，第k个所述更新事务数字指纹是基于本地区文件的资源记录查询哈希值和所述增量数据文件中第1至k个所述更新事务的资源记录查询哈希值利用数字指纹编码算法预先生成并存储的；

获得单元902，用于从主DNS服务器的区文件中获取对应所述最新序列号的数字指纹作为第一标准数字指纹；

第一确定单元903，用于若所述第一校验数字指纹与所述第一标准数字指纹不一致，确定所述辅DNS服务器的DNS区数据异常。

在本申请实施例一种可选的实施方式中，若所述主DNS服务器未完成增量数据文件向本地区文件的合并回写操作，所述获得单元902包括：

在本申请实施例一种可选的实施方式中，若所述主DNS服务器完成增量数据文件向本地区文件的合并回写操作，所述获得单元902具体为：

在本申请实施例一种可选的实施方式中，还包括：

在本申请实施例一种可选的实施方式中，所述数字指纹编码算法为异或算法。

通过本实施例提供的各种实施方式，每次辅DNS服务器完成增量更新后，从增量数据文件最新的更新事务中获取对应最新序列号的最新的更新事务数字指纹作为第一校验数字指纹；更新事务包括区数据更新操作涉及的资源记录，第k个更新事务数字指纹是基于本地区文件的资源记录查询哈希值和增量数据文件中第1至k个更新事务的资源记录查询哈希值利用数字指纹编码算法预先生成并存储的；从主DNS服务器的区文件中获取对应最新序列号的数字指纹作为第一标准数字指纹；若第一校验数字指纹与第一标准数字指纹不一致，确定辅DNS服务器的DNS区数据异常。由此可见，将数字指纹技术应用于DNS区数据校验，建立行之有效的DNS区数据一致性校验方法，有效甄别、及时发现DNS区数据不一致的安全隐患，且数字指纹嵌入在增量数据文件中与DNS无缝对接，具有较好的操作性和实用性。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述，仅是本申请的较佳实施例而已，并非对本申请作任何形式上的限制。虽然本申请已以较佳实施例揭露如上，然而并非用以限定本申请。任何熟悉本领域的技术人员，在不脱离本申请技术方案范围情况下，都可利用上述揭示的方法和技术内容对本申请技术方案做出许多可能的变动和修饰，或修改为等同变化的等效实施例。因此，凡是未脱离本申请技术方案的内容，依据本申请的技术实质对以上实施例所做的任何简单修改、等同变化及修饰，均仍属于本申请技术方案保护的范围内。

Claims

1.一种DNS区数据校验的方法，其特征在于，应用于辅DNS服务器，包括：

2.根据权利要求1所述的方法，其特征在于，若所述主DNS服务器未完成增量数据文件向本地区文件的合并回写操作，所述从主DNS服务器的区文件中获得对应所述最新序列号的数字指纹作为第一标准数字指纹，包括：

3.根据权利要求1所述的方法，其特征在于，若所述主DNS服务器完成增量数据文件向本地区文件的合并回写操作，所述从主DNS服务器的区文件中获得对应所述最新序列号的数字指纹作为第一标准数字指纹，具体为：

4.根据权利要求1所述的方法，其特征在于，还包括：

5.根据权利要求1-4任一项所述的方法，其特征在于，所述数字指纹编码算法为异或算法。

6.一种DNS区数据校验的装置，其特征在于，应用于辅DNS服务器，包括：

7.根据权利要求6所述的装置，其特征在于，若所述主DNS服务器未完成增量数据文件向本地区文件的合并回写操作，所述获得单元包括：

8.根据权利要求6所述的装置，其特征在于，若所述主DNS服务器完成增量数据文件向本地区文件的合并回写操作，所述获得单元具体为：

9.根据权利要求6所述的装置，其特征在于，还包括：

10.根据权利要求6-9任一项所述的装置，其特征在于，所述数字指纹编码算法为异或算法。