CN110289969A - 一种采用加密签名和加速解析防止dns被劫持的方法 - Google Patents

一种采用加密签名和加速解析防止dns被劫持的方法 Download PDF

Info

Publication number
CN110289969A
CN110289969A CN201910589800.4A CN201910589800A CN110289969A CN 110289969 A CN110289969 A CN 110289969A CN 201910589800 A CN201910589800 A CN 201910589800A CN 110289969 A CN110289969 A CN 110289969A
Authority
CN
China
Prior art keywords
dns
signature
hostage
held
parsing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910589800.4A
Other languages
English (en)
Other versions
CN110289969B (zh
Inventor
宋丽芳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Cloud Information Technology Co Ltd
Original Assignee
Inspur Cloud Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Cloud Information Technology Co Ltd filed Critical Inspur Cloud Information Technology Co Ltd
Priority to CN201910589800.4A priority Critical patent/CN110289969B/zh
Publication of CN110289969A publication Critical patent/CN110289969A/zh
Application granted granted Critical
Publication of CN110289969B publication Critical patent/CN110289969B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明特别涉及一种采用加密签名和加速解析防止DNS被劫持的方法。该采用加密签名和加速解析防止DNS被劫持的方法,采用数字签名认证加密DNS解析过程,设置TTL值,增加域名的缓存命中率;使用DNS‑prefetch让DNS预读取,将DNS域名解析拆分为多个域名增加并行下载量,加速DNS域名解析,进而达到防止DNS被劫持和加速DNS解析的目的。该采用加密签名和加速解析防止DNS被劫持的方法,采用加密签名认证和适当设置TTL值来防止DNS被劫持,加速DNS解析速度,极大地改善了用户访问网站被拦截跳转到非目的网站以及网站访问速度降低的问题。

Description

一种采用加密签名和加速解析防止DNS被劫持的方法
技术领域
本发明涉及计算机网络技术领域,特别涉及一种采用加密签名和加速解析防止DNS被劫持的方法。
背景技术
在计算机网络技术时代,DNS(Domain Name System,域名系统)劫持是指劫持方在某网络中拦截域名解析的请求,给请求方返回错误的IP地址或者什么都不做使请求失去响应,结果造成对特定的网站不能访问或者返回错误网址,也称域名劫持。
针对DNS被劫持的问题,目前已经出现了几种解决办法:
一、使用区块链技术将DNS数据入链,从App端进行校验,同本地DNS结合,利用区块链的共识机制解决个人用户路由上的DNS安全问题;
二、在移动端,通过保证域名解析的准确性、可靠性,提高数据安全性;
三、以路由器为依托,向路由器发出域名解析请求后,路由器收到请求,做判断处理,路由器与防劫持服务器通过建立秘钥进行通信,防止DNS被劫持。
虽然上述几种方法能够避免DNS被劫持的问题,但是着几种DNS防劫持方法在一定程度上延长了DNS的请求处理时长。在信息化快速发展的时代,用户对网站的响应速度有一定的需求,如果为了防止DNS被劫持采用一些方法后,降低了网站的响应速度,这也是不太可取的。
基于上述问题,本发明提出了一种采用加密签名和加速解析防止DNS被劫持的方法,通过加速DNS解析速度和签名认证来降低DNS被劫持概率的方法,防止DNS被劫持的同时不影响DNS的解析速度。
发明内容
本发明为了弥补现有技术的缺陷,提供了一种简单高效的采用加密签名和加速解析防止DNS被劫持的方法。
本发明是通过如下技术方案实现的:
一种采用加密签名和加速解析防止DNS被劫持的方法,其特征在于:采用数字签名认证加密DNS解析过程,设置TTL(Time-To-Live,一条域名解析记录在DNS服务器中的存留时间)值,增加域名的缓存命中率;使用DNS-prefetch让DNS预读取,将DNS域名解析拆分为多个域名增加并行下载量,加速DNS域名解析,进而达到防止DNS被劫持和加速DNS解析的目的。
该采用加密签名和加速解析防止DNS被劫持的方法,包括以下几个步骤:
步骤一:将具有相同资源类型的所有记录分组到一个资源记录集RRset(ResourceRecords Set)中;
步骤二:在受加密的区域中都有一个区域签名密钥对ZSK(Zone Signing Key),密钥对的私有部分以数字方式对区域中的每个资源记录集RRset进行签名,而公共部分则验证签名;
步骤三:采用秘钥签名秘钥对KSK(Key Signing Key)保护其余RRset,签署公共区域签名密钥对ZSK,为DNSKey(DNS密钥)创建RRSIG记录;
步骤四:利用TTL值增加域名的缓存命中率,在网站设置DNS-prefetch标签,加速DNS解析。
所述步骤一中,如果在一个区域中有四个都是BBBB记录在同一标签上,则将全部捆绑到BBBB RRset中,然后这个完整的资源记录集RRset可以进行数字签名,请求验证时,验证相同标签的区域中的所有BBBB记录。
所述步骤二中,具体步骤如下:
(1)启用DNSSec(Domain Name System Security Extensions,域名系统安全扩展),区域操作员使用私有区域签名密钥对ZSK为每个资源记录集RRset创建数字签名,并将创建的数字签名作为RRSIG记录存储在其名称服务器中;
(2)区域操作员将RRSIG记录添加到DNSKey记录中的名称服务器来使其公共区域签名密钥对ZSK可用;
(3)当DNSSec解析器请求特定记录类型时,名称服务器也返回相应的RRSIG;
(4)解析器从名称服务器中提取包含公共区域签名密钥对ZSK的DNSKey记录。
所述步骤三中,解析器的验证过程,具体步骤如下:
(1)请求所需的资源记录集RRset,返回响应的RRSIG记录;
(2)请求包含公共区域签名密钥对ZSK和公共秘钥签名秘钥对KSK的DNSKey记录;
(3)使用公共区域签名密钥对ZSK验证所请求的资源记录集RRset的RRSIG记录;
(4)使用公共秘钥签名秘钥对KSK验证DNSKey资源记录集RRset的RRSIG记录;
(5)DNSKey资源记录集RRset和RRSIG记录被缓存,减少请求数量。
所述步骤四中,在保证DNS服务器缓存空间和缓存效率的前提下,增大TTL值可以让DNS服务器缓存域名更长时间,增加缓存的命中率。
所述DNS服务器采用递归或迭代来处理客户端查询,能够发现并获得大量DNS命名空间的重要信息,这些信息由DNS服务器缓存,从而为DNS解析流行名称的后续查询提供加速性能的方法,减少网络上与DNS相关的查询通信量;当信息缓存时,生存时间TTL适用于所有缓存的资源记录,只要缓存资源记录的TTL没有到期,DNS服务器就可以继续缓存并再次使用资源记录来应答与这些资源记录相匹配的客户端提出的查询。
所述步骤四中,在网站第一次打开时,在网站页面的头部标签head中的link标签的rel属性设置DNS-prefetch值,无需每个网站都使用。
本发明的有益效果是:该采用加密签名和加速解析防止DNS被劫持的方法,采用加密签名认证和适当设置TTL值来防止DNS被劫持,加速DNS解析速度,极大地改善了用户访问网站被拦截跳转到非目的网站以及网站访问速度降低的问题。
附图说明
附图1为本发明采用加密签名和加速解析防止DNS被劫持的方法示意图。
具体实施方式
为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合实施例,对本发明进行详细的说明。应当说明的是,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
该采用加密签名和加速解析防止DNS被劫持的方法,采用数字签名认证加密DNS解析过程,设置TTL(Time-To-Live,一条域名解析记录在DNS服务器中的存留时间)值,增加域名的缓存命中率;使用DNS-prefetch让DNS预读取,将DNS域名解析拆分为多个域名增加并行下载量,加速DNS域名解析,进而达到防止DNS被劫持和加速DNS解析的目的。
该采用加密签名和加速解析防止DNS被劫持的方法,包括以下几个步骤:
步骤一:将具有相同资源类型的所有记录分组到一个资源记录集RRset(ResourceRecords Set)中;
步骤二:在受加密的区域中都有一个区域签名密钥对ZSK(Zone Signing Key),密钥对的私有部分以数字方式对区域中的每个资源记录集RRset进行签名,而公共部分则验证签名;
步骤三:采用秘钥签名秘钥对KSK(Key Signing Key)保护其余RRset,签署公共区域签名密钥对ZSK,为DNSKey(DNS密钥)创建RRSIG记录;
步骤四:利用TTL值增加域名的缓存命中率,在网站设置DNS-prefetch标签,加速DNS解析。
所述步骤一中,如果在一个区域中有四个都是BBBB记录在同一标签上,则将全部捆绑到BBBB RRset中,然后这个完整的资源记录集RRset可以进行数字签名,请求验证时,验证相同标签的区域中的所有BBBB记录。
所述步骤二中,具体步骤如下:
(1)启用DNSSec(Domain Name System Security Extensions,域名系统安全扩展),区域操作员使用私有区域签名密钥对ZSK为每个资源记录集RRset创建数字签名,并将创建的数字签名作为RRSIG记录存储在其名称服务器中;
(2)区域操作员将RRSIG记录添加到DNSKey记录中的名称服务器来使其公共区域签名密钥对ZSK可用;
(3)当DNSSec解析器请求特定记录类型时,名称服务器也返回相应的RRSIG;
(4)解析器从名称服务器中提取包含公共区域签名密钥对ZSK的DNSKey记录。
所述步骤三中,解析器的验证过程,具体步骤如下:
(1)请求所需的资源记录集RRset,返回响应的RRSIG记录;
(2)请求包含公共区域签名密钥对ZSK和公共秘钥签名秘钥对KSK的DNSKey记录;
(3)使用公共区域签名密钥对ZSK验证所请求的资源记录集RRset的RRSIG记录;
(4)使用公共秘钥签名秘钥对KSK验证DNSKey资源记录集RRset的RRSIG记录;
(5)DNSKey资源记录集RRset和RRSIG记录被缓存,减少请求数量。
所述步骤四中,在保证DNS服务器缓存空间和缓存效率的前提下,增大TTL值可以让DNS服务器缓存域名更长时间,增加缓存的命中率。
所述DNS服务器采用递归或迭代来处理客户端查询,能够发现并获得大量DNS命名空间的重要信息,这些信息由DNS服务器缓存,从而为DNS解析流行名称的后续查询提供加速性能的方法,减少网络上与DNS相关的查询通信量;当信息缓存时,生存时间TTL适用于所有缓存的资源记录,只要缓存资源记录的TTL没有到期,DNS服务器就可以继续缓存并再次使用资源记录来应答与这些资源记录相匹配的客户端提出的查询。
所述步骤四中,在网站第一次打开时,在网站页面的头部标签head中的link标签的rel属性设置DNS-prefetch值,无需每个网站都使用。
所述DNS Prefetch是一种DNS预解析技术。当浏览网页时,浏览器会在加载网页时对网页中的域名进行解析缓存,这样在单击当前网页中的连接时就无需进行DNS的解析,减少了用户等待时间,提高了用户体验。
该采用加密签名和加速解析防止DNS被劫持的方法,通过提供身份认证在DNS之上添加一层信任。例如,在解析www.inspur.com时,.com服务器帮助DNS解析器验证为inspur返回的记录,而inspur帮助验证为www返回的记录;根DNS有助于验证.com,根目录发布的信息完全由安全程序审查,包括根签名仪式。
以上所述的实施例,只是本发明具体实施方式的一种,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。

Claims (8)

1.一种采用加密签名和加速解析防止DNS被劫持的方法,其特征在于:采用数字签名认证加密DNS解析过程,设置TTL值,增加域名的缓存命中率;使用DNS-prefetch让DNS预读取,将DNS域名解析拆分为多个域名增加并行下载量,加速DNS域名解析,进而达到防止DNS被劫持和加速DNS解析的目的。
2.根据权利要求1所述的采用加密签名和加速解析防止DNS被劫持的方法,其特征在于,包括以下几个步骤:
步骤一:将具有相同资源类型的所有记录分组到一个资源记录集RRset中;
步骤二:在受加密的区域中都有一个区域签名密钥对ZSK,密钥对的私有部分以数字方式对区域中的每个资源记录集RRset进行签名,而公共部分则验证签名;
步骤三:采用秘钥签名秘钥对KSK保护其余RRset,签署公共区域签名密钥对ZSK,为DNSKey创建RRSIG记录;
步骤四:利用TTL值增加域名的缓存命中率,在网站设置DNS-prefetch标签,加速DNS解析。
3.根据权利要求2所述的采用加密签名和加速解析防止DNS被劫持的方法,其特征在于:所述步骤一中,如果在一个区域中有四个都是BBBB记录在同一标签上,则将全部捆绑到BBBB RRset中,然后这个完整的资源记录集RRset可以进行数字签名,请求验证时,验证相同标签的区域中的所有BBBB记录。
4.根据权利要求2所述的采用加密签名和加速解析防止DNS被劫持的方法,其特征在于:所述步骤二中,具体步骤如下:
(1)启用DNSSec(Domain Name System Security Extensions,域名系统安全扩展),区域操作员使用私有区域签名密钥对ZSK为每个资源记录集RRset创建数字签名,并将创建的数字签名作为RRSIG记录存储在其名称服务器中;
(2)区域操作员将RRSIG记录添加到DNSKey记录中的名称服务器来使其公共区域签名密钥对ZSK可用;
(3)当DNSSec解析器请求特定记录类型时,名称服务器也返回相应的RRSIG;
(4)解析器从名称服务器中提取包含公共区域签名密钥对ZSK的DNSKey记录。
5.根据权利要求2所述的采用加密签名和加速解析防止DNS被劫持的方法,其特征在于:所述步骤三中,解析器的验证过程,具体步骤如下:
(1)请求所需的资源记录集RRset,返回响应的RRSIG记录;
(2)请求包含公共区域签名密钥对ZSK和公共秘钥签名秘钥对KSK的DNSKey记录;
(3)使用公共区域签名密钥对ZSK验证所请求的资源记录集RRset的RRSIG记录;
(4)使用公共秘钥签名秘钥对KSK验证DNSKey资源记录集RRset的RRSIG记录;
(5)DNSKey资源记录集RRset和RRSIG记录被缓存,减少请求数量。
6.根据权利要求2所述的采用加密签名和加速解析防止DNS被劫持的方法,其特征在于:所述步骤四中,在保证DNS服务器缓存空间和缓存效率的前提下,增大TTL值可以让DNS服务器缓存域名更长时间,增加缓存的命中率。
7.根据权利要求6所述的采用加密签名和加速解析防止DNS被劫持的方法,其特征在于:所述DNS服务器采用递归或迭代来处理客户端查询,能够发现并获得大量DNS命名空间的重要信息,这些信息由DNS服务器缓存,从而为DNS解析流行名称的后续查询提供加速性能的方法,减少网络上与DNS相关的查询通信量;当信息缓存时,生存时间TTL适用于所有缓存的资源记录,只要缓存资源记录的TTL没有到期,DNS服务器就可以继续缓存并再次使用资源记录来应答与这些资源记录相匹配的客户端提出的查询。
8.根据权利要求2所述的采用加密签名和加速解析防止DNS被劫持的方法,其特征在于:所述步骤四中,在网站第一次打开时,在网站页面的头部标签head中的link标签的rel属性设置DNS-prefetch值,无需每个网站都使用。
CN201910589800.4A 2019-07-02 2019-07-02 一种采用加密签名和加速解析防止dns被劫持的方法 Active CN110289969B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910589800.4A CN110289969B (zh) 2019-07-02 2019-07-02 一种采用加密签名和加速解析防止dns被劫持的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910589800.4A CN110289969B (zh) 2019-07-02 2019-07-02 一种采用加密签名和加速解析防止dns被劫持的方法

Publications (2)

Publication Number Publication Date
CN110289969A true CN110289969A (zh) 2019-09-27
CN110289969B CN110289969B (zh) 2022-03-22

Family

ID=68021793

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910589800.4A Active CN110289969B (zh) 2019-07-02 2019-07-02 一种采用加密签名和加速解析防止dns被劫持的方法

Country Status (1)

Country Link
CN (1) CN110289969B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114006724A (zh) * 2021-09-18 2022-02-01 中国互联网络信息中心 一种加密dns解析器发现及认证的方法与系统
CN115002072A (zh) * 2022-05-31 2022-09-02 济南浪潮数据技术有限公司 一种基于jmx的获取数据方法、装置及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130179555A1 (en) * 2012-01-10 2013-07-11 Thomson Licensing Method and device for timestamping data and method and device for verification of a timestamp
CN104079534A (zh) * 2013-03-27 2014-10-01 中国移动通信集团北京有限公司 一种http缓存实现方法和系统
CN109413076A (zh) * 2018-11-06 2019-03-01 北京奇虎科技有限公司 域名解析方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130179555A1 (en) * 2012-01-10 2013-07-11 Thomson Licensing Method and device for timestamping data and method and device for verification of a timestamp
CN104079534A (zh) * 2013-03-27 2014-10-01 中国移动通信集团北京有限公司 一种http缓存实现方法和系统
CN109413076A (zh) * 2018-11-06 2019-03-01 北京奇虎科技有限公司 域名解析方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
荷花微笑: "DNS预解析DNS-PREFETCH是什么及怎么使用", 《HTTPS://BLOG.CSDN.NET/QQ_35432904/ARTICLE/DETAILS/83988726》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114006724A (zh) * 2021-09-18 2022-02-01 中国互联网络信息中心 一种加密dns解析器发现及认证的方法与系统
CN114006724B (zh) * 2021-09-18 2023-08-29 中国互联网络信息中心 一种加密dns解析器发现及认证的方法与系统
CN115002072A (zh) * 2022-05-31 2022-09-02 济南浪潮数据技术有限公司 一种基于jmx的获取数据方法、装置及介质

Also Published As

Publication number Publication date
CN110289969B (zh) 2022-03-22

Similar Documents

Publication Publication Date Title
US7861087B2 (en) Systems and methods for state signing of internet resources
US11140177B2 (en) Distributed data authentication and validation using blockchain
CN101938473B (zh) 单点登录系统及单点登录方法
Jakobsson et al. Invasive browser sniffing and countermeasures
US8572712B2 (en) Device independent authentication system and method
US20230328071A1 (en) Method and device for securely accessing intranet application
CN109981675B (zh) 一种数字身份认证和属性加密的身份信息保护方法
US20030163691A1 (en) System and method for authenticating sessions and other transactions
US20080270578A1 (en) Method, Device And Data Download System For Controlling Effectiveness Of A Download Transaction
EP3253026B1 (en) Cdn-based access control method and relevant device
CN109639711A (zh) 一种基于私有链会话id的分布式cas认证方法
CN107872455A (zh) 一种跨域单点登录系统及其方法
CN109495486B (zh) 一种基于JWT的单页Web应用集成CAS的方法
CN109688133A (zh) 一种基于免账号登录的通信方法
CN108632241A (zh) 一种多应用系统统一登录方法和装置
CN104683306A (zh) 一种安全可控的互联网实名认证机制
CN113536250B (zh) 令牌生成方法、登录验证方法及相关设备
CN110336807A (zh) 一种基于Web服务的身份认证方法、设备以及存储介质
CN110289969A (zh) 一种采用加密签名和加速解析防止dns被劫持的方法
CN108449348B (zh) 一种支持用户身份隐私保护的在线认证系统及方法
CN112242898A (zh) 一种针对洋葱网络系统共识文件的加密方法
Khieu et al. CBPKI: cloud blockchain-based public key infrastructure
WO2023221719A1 (zh) 一种数据处理方法、装置、计算机设备以及可读存储介质
Zhao et al. DCG: A Client-side Protection Method for DNS Cache.
CN106685979A (zh) 基于STiP模型的安全终端标识及认证方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 250100 No. 1036 Tidal Road, Jinan High-tech Zone, Shandong Province, S01 Building, Tidal Science Park

Applicant after: Inspur cloud Information Technology Co.,Ltd.

Address before: 250100 No. 1036 Tidal Road, Jinan High-tech Zone, Shandong Province, S01 Building, Tidal Science Park

Applicant before: Tidal Cloud Information Technology Co.,Ltd.

GR01 Patent grant
GR01 Patent grant