CN112655186B - 可信dns解析设备和方法 - Google Patents
可信dns解析设备和方法 Download PDFInfo
- Publication number
- CN112655186B CN112655186B CN201880097360.4A CN201880097360A CN112655186B CN 112655186 B CN112655186 B CN 112655186B CN 201880097360 A CN201880097360 A CN 201880097360A CN 112655186 B CN112655186 B CN 112655186B
- Authority
- CN
- China
- Prior art keywords
- dns
- dnssec
- records
- domain name
- signed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
- G06F21/645—Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Abstract
本发明提供了一种用于安全解析域名的设备。在一个实施例中,所述用于安全解析域名的设备包括解析器单元101和认证器单元102。所述解析器单元101用于将从存根解析器103接收到的查询解析为多个域名服务器(domain name server,DNS)记录,其中,所述多个DNS记录包括使用域名系统安全扩展(Domain Name System Security Extensions,DNSSEC)技术进行签名的DNS记录,并向认证器单元102提供验证所述经DNSSEC签名的DNS记录所需的所述多个DNS记录和DNS验证数据。所述认证器单元102用于在可信执行环境中运行,使用所述DNS验证数据重新验证所述经DNSSEC签名的记录,并通过认证通信信道104将所述多个DNS记录发送到所述存根解析器103。
Description
技术领域
本发明涉及通信领域,并且涉及一种用于保证域名服务器提供给客户端的记录的完整性的设备和方法。
背景技术
域名服务器在因特网上等同于电话本。它们维护域名目录,并将其转换为因特网协议(Internet Protocol,IP)地址。这是必要的,因为尽管域名容易让人记住,但是计算机或机器还是基于IP地址访问网站。然而,域名系统(domain name system,DNS)的一个基本问题在于结果的完整性。DNS服务器常常是攻击的目标,攻击者操控这些服务器将网站流量导至用于收集帐户或凭据的恶意服务器。
域名系统安全扩展(Domain Name System Security Extensions,DNSSEC)是一套因特网工程任务组(Internet Engineering Task Force,IETF)规范,旨在保证因特网协议(Internet Protocol,IP)网络中使用的DNS服务器提供的信息的完整性。DNSSEC使得DNS记录可以由密钥签名,可以将其信任关系追溯到DNS根服务器,从而建立信任链。支持DNSSEC技术的递归解析器(Recursive Resolver,RR)可以执行此验证,因此,只要RR操作和检索记录的域名空间或DNS区域的一部分正在使用DNSSEC技术,就可以确保解析过程中结果的完整性。
然而,这种方法存在一个问题。
存根解析器(stub resolver,SR)作为通过DNS请求IP地址的客户端,仅接收到了表明结果是否已通过DNSSEC验证的答复,即所需的DNS记录和标记。它没有接收到任何证据表明验证确实已执行,或者表明此答复是真实的,即它是由递归解析器提供的,而不是由恶意中间人(man in the middle,MIM)提供的。
针对不确定性的问题,如果确实执行了DNSSEC验证,则可以使用DNSSEC验证方案。DNSSEC验证过程是指SR重放由RR完成的解析过程,以便得到验证过程中所需的所有DNSSEC记录。这样,SR可以执行自身的递归认证和签名验证,并自行确定从RR接收到的答复是否确实是通过DNSSEC验证。然而,这种方式导致每次查找域名时的计算量和网络调用量增加了一倍。
针对不确定性的问题,如果接收到的答复是真实的,则可以使用DNSCrypt和DNSover TLS。
在DNSCrypt技术中,递归解析器使用私钥对答复进行签名,以便任何调用存根解析器都可以验证结果的真实性。这种方式防止了MIM攻击,因此可以确保真实性,但不能保证完整性,因为递归解析器仍然可能被黑客攻击或劫持,或者其DNSCrypt密钥可能被窃取。
DNS over TLS安全协议具有类似的优点和缺点。代替私钥,与单个递归解析器相匹配的证书分配给了客户端。DNS over TLS也防止了MIM攻击,因此可以确保真实性,但不能保证完整性,因为递归解析器仍然可能被黑客攻击或劫持,或者其证书可能被窃取。
发明内容
鉴于上述问题和缺点,本发明意图在存根解析器和递归解析器之间引入信任。具体地,本发明的目的在于提供一种新的递归解析器架构,其确保来自DNSSEC签名区域的结果确实经过了验证,并且如果RR被劫持,则不能制造虚假的DNSSEC验证结果。
本发明的目的通过所附独立权利要求中提供的方案来实现。本发明的有利实现方式在从属权利要求中进一步定义。
本发明的主要思路在于递归解析器,通过RR完全在可信执行环境(trustedexecution environment,TEE)中运行或者至少将处理与客户端之间的认证通信(DNSCrypt和/或SSL/TSL)的代码移至RR的新组件(在TEE中运行的认证器),从而确保DNS记录的验证和完整性。
本发明的第一方面提供了一种用于安全解析域名的设备,包括:解析器单元,用于将从存根解析器接收到的查询解析为多个域名服务器(domain name server,DNS)记录,其中,所述多个DNS记录包括使用域名系统安全扩展(Domain Name System SecurityExtensions,DNSSEC)技术进行签名的DNS记录,并向认证器单元提供验证经DNSSEC签名的DNS记录所需的多个DNS记录和DNS验证数据;所述认证器单元,用于在可信执行环境(trusted execution environment,TEE)中运行,使用所述DNS验证数据重新验证所述经DNSSEC签名的记录,并通过认证通信信道将所述多个DNS记录发送到所述存根解析器。
为了使得验证单元无缝执行所述重新验证经DNSSEC签名的记录的任务,所述解析器单元将所述经DNSSEC签名的记录和相关的DNS验证数据传递给所述认证器单元,所述认证器单元不需要自行获取这些数据。
在第一方面的一种实现方式中,所述认证器单元还用于根据DNSSEC规范,使用包括DNS记录类型的DNS验证数据重新验证所述经DNSSEC签名的记录,从而重新验证DNSSEC信任链。
由于可以通过认证会话(DNSCrypt和/或SSL/TSL)与客户端进行通信以确保通信伙伴的真实性的认证器在可信执行环境中运行,因此可以确保从DNSSEC签名区域中检索到的每个结果也经过验证,只有建立了信任链,结果才会标记为经DNSSEC验证的。
在第一方面的另一种实现方式中,所述认证器单元还用于通过使用确保整个服务器解析链上的DNS记录均有效的信任锚,来重新验证所述经DNSSEC签名的记录,其中,所述信任锚包括沿所述服务器解析链遇到的多个域名服务器中的一个域名服务器的证书。
信任锚可以是在解析DNS查询的过程中遇到的域名服务器中的一个域名服务器(可以是根DNS服务器、TLD服务器或者仅仅是普通域名服务器)的证书。这在DNSSEC链断开的情况下可能会涉及到,因为该链中的一个链接未由其父节点签名。然后,即使缺少沿链的服务器中的一个服务器的签名,信任锚也可以确保沿解析链的DNS记录的有效性。
在第一方面的另一种实现方式中,所述认证器单元还用于将所述经验证的DNS记录标记为经DNSSEC验证的,并将标记的DNS记录发送到所述存根解析器。
在第一方面的另一种实现方式中,所述认证器单元还用于根据所述DNSSEC规范,使用认证数据位将所述经验证的DNS记录标记为经DNSSEC验证的。
这样,如果认证器已经成功地重新验证了DNSSEC签名区域的记录,则认证器可以在DNS响应中设置标记。
在第一方面的另一种实现方式中,通往所述存根解析器的所述认证通信信道包括DNSCrypt和/或安全套接字层(secure socket layer,SSL)技术。
为了确保通信伙伴的真实性,通往所述存根解析器的所述认证通信信道包括DNSCrypt和/或安全套接字层(secure socket layer,SSL)技术。这种方式通过确保DNS结果是由递归解析器而不是恶意“中间人”提供的,可以避免MIM攻击。
在第一方面的另一种实现方式中,所述TEE基于由软件防护扩展(software guardextensions,SGX)技术提供的指令代码。
可信执行环境提供了主处理器的安全区域。它确保内部加载的代码和数据的机密性和完整性。可信执行环境是一个隔离的执行环境,它具有执行隔离、TEE中执行的应用的完整性以及其资产的机密性等安全特性。例如,英特尔的SGX提供了一套特定的CPU指令代码,这些代码允许用户级代码分配内存的私有区域(称为飞地(enclave)),以更高权限级别运行的进程禁止在这些飞地运行。
本发明的第二方面提供了一种用于安全解析域名的设备,用于在可信执行环境(trusted execution environment,TEE)中运行;将从存根解析器接收到的查询解析为多个域名服务器(domain name server,DNS)记录,其中,所述多个DNS记录包括使用域名系统安全扩展(Domain Name System Security Extensions,DNSSEC)技术进行签名的DNS记录;验证所述经DNSSEC签名的记录;通过认证通信信道将所述多个DNS记录发送到所述存根解析器。
在用于递归解析器的该替代性新架构中,不仅仅是认证器单元,RR的全部功能都在TEE中运行。整个RR在TEE中运行还提供了所需的DNS记录完整性。在这种情况下,认证器不必重新验证DNSSEC信任链,因为RR代码中的解析器部分已确信可以根据DNSSEC规范正确验证DNS记录。
本发明的第三方面提供了一种用于安全解析域名的方法,包括以下步骤:解析器单元将从存根解析器接收到的查询解析为多个域名服务器(domain name server,DNS)记录,其中,所述多个DNS记录包括使用域名系统安全扩展(Domain Name System SecurityExtensions,DNSSEC)技术进行签名的DNS记录;所述解析器单元向认证器单元提供验证所述经DNSSEC签名的DNS记录所需的多个DNS记录和DNS验证数据;所述认证器单元使用所述DNS验证数据重新验证所述经DNSSEC签名的记录;所述认证器单元通过认证通信信道将所述多个DNS记录发送到所述存根解析器,其中,所述认证器单元在可信执行环境中运行。
第三方面所述的方法可以具有与上述针对第一方面中的设备描述的实现方式相对应的实现方式。因此,第三方面所述的方法分别实现了上述针对第一方面中的设备及其实现方式的所有优点和效果。
本发明的第四方面提供了一种用于安全解析域名的方法,包括以下步骤:设备在可信执行环境(trusted execution environment,TEE)中运行;所述设备将从存根解析器接收到的查询解析为多个域名服务器(domain name server,DNS)记录,其中,所述多个DNS记录包括使用域名系统安全扩展(Domain Name System Security Extensions,DNSSEC)技术进行签名的DNS记录;所述设备验证所述经DNSSEC签名的记录;所述设备通过认证通信信道将所述多个DNS记录发送到所述存根解析器。
第四方面所述的方法可以具有与上述针对第二方面中的设备描述的实现方式相对应的实现方式。因此,第四方面所述的方法分别实现了上述针对第二方面中的设备及其实现方式的所有优点和效果。
本发明的第五方面提供了一种计算机程序产品,包括程序代码,用于控制根据第一方面或第二方面所述的设备,或者用于在处理器上实现时执行所述根据第三方面或第四方面的方法。
需要注意的是,本申请中所描述的所有设备、元件、单元和装置可以在软件或硬件元件或其任意组合中实现。由本申请中所描述的各个实体执行的所有步骤以及所描述的由各个实体执行的功能旨在表示各实体适于或用于执行相应的步骤和功能。即使在以下特定实施例的描述中,由外部实体执行的特定功能或步骤未在执行该特定步骤或功能的实体的特定具体元件的描述中反映出来,本领域技术人员也应该清楚,这些方法和功能可以在相应的软件或硬件元件或其任意组合中实现。
附图说明
本发明的上述方面和实现方式将在以下具体实施例的描述中结合附图进行解释,其中:
图1示出了本发明实施例提供的设备的架构。
图2示出了本发明实施例提供的认证器的执行过程。
图3示出了本发明实施例提供的设备。
图4示出了本发明实施例提供的另一设备。
图5示出了本发明实施例提供的方法。
图6示出了本发明实施例提供的另一方法。
具体实施方式
图1示出了根据本发明实施例的用于安全解析域名的设备101的架构100。由于该设备包括现有技术中已知的递归DNS解析器的功能,因此以下将设备101也称为“新递归解析器”,或简称为“递归解析器”(recursive resolver,RR)。根据本发明实施例,RR 101的代码可以进行划分,以便将处理与客户端103(通常称为存根解析器(stub resolver,SR))之间的认证通信的代码移至新组件,即认证器102。
认证器的代码,或者说,认证器102的代码,在可信执行环境(例如英特尔的SGX飞地)中运行,并处理所有需要客户端103提供信任以确保存根解析器103所查询的DNS记录的完整性的活动。
可信执行环境提供了主处理器的安全区域。它确保内部加载的代码和数据的机密性和完整性。可信执行环境是一个隔离的执行环境,它具有执行隔离、TEE中执行的应用的完整性以及其资产的机密性等安全特性。例如,英特尔的SGX提供了一套特定的CPU指令代码,这些代码允许用户级代码分配内存的私有区域(称为飞地),以更高权限级别运行的进程禁止在这些飞地运行。
为了确保通信伙伴(即在RR 101或特别是认证器102和SR 103之间)的真实性,所述伙伴可以基于DNSCrypt和/或安全套接字层(secure socket layer,SSL)技术在认证通信信道104中进行通信。在本实施例中,提供给SR 103的所有答复将经由认证器的一部分发送,该部分处理在认证通信信道104上的认证会话管理(authenticated sessionmanagement)105,因为它可能是RR 101的唯一组件,它可以访问会话的密钥或证书。这种方式通过确保DNS结果是由递归解析器101而不是恶意“中间人”提供的,可以避免MIM攻击。
认证器102的另一部分可以是DNSSEC记录验证部分106,其使用DNS验证数据重新验证来自DNSSEC签名区域的DNS记录。为此,认证器102需要解析器单元,解析器单元提供请求的DNS记录并驻留在RR 101中,但位于认证器102的外部,从而向认证器102提供108DNS解析的最终结果(请求的DNS记录),并且如果请求的DNS记录具有因特网DNSSEC签名区域107,则还提供验证过程所需的所有DNSSEC记录(例如DS和RRSIG)。这种方式使得认证器102向SR103发送响应之前,可以通过重新验证DNSSEC信任链来确保DNS结果的真实性。SR获得以下事实的证明:每个接收到的属于DNSSEC签名区域的DNS记录确实已经由DNSSEC记录验证部分106进行了验证,因为它正在认证器的TEE中运行。
图2示出了根据本发明实施例的采用认证器102安全地解析驻留在DNSSEC签名区域中的域名的控制方案200。在此方法中,“存根解析器”与“认证器”建立认证会话并发送查询,该查询将必要的参数作为输入提供给答复查询所需的操作,即“解析(“example.com”)”。由于解析过程可以在RR的解析器单元中执行,而RR不一定如上文所述在TEE中运行,因此解析请求将转发到解析器单元,解析器单元在本方案中称为“递归解析器”。DNS请求的后续解析过程涉及其它实体/服务器“根DNS服务器”、“‘com’的DNS TLD服务器”以及“‘example.com’的权限域名服务器”,这属于最新技术,不会在此详细解释。一旦涉及上述实体的DNS解析过程结束,其结果将由“递归解析器”传递给“认证器”。所述结果不仅包括针对“example.com”所请求的DNSSEC记录,还包括在DNSSEC验证过程中使用过的,并且是认证器现在重新验证整个服务器信任链所必需的所有收集到的DNSSEC数据。认证器现在可以使用“信任锚”来重新验证整个DNSSEC信任链,信任锚是它在解析过程中遇到的域名服务器中的一个域名服务器(可以是根DNS服务器、TLD服务器或者仅仅是普通域名服务器)的证书。这在DNSSEC链断开的情况下可能很重要,因为该链中的一个链接未由其父节点签名。通过使用所述信任锚,例如DNS根服务器证书,认证器对信任链下的记录进行验证,并确保它们是端到端有效的。仅在DNSSEC重新验证通过的情况下,认证器才可以使用所需的DNSSEC记录答复“存根解析器”,同时在响应中设置AD标记以指示验证成功。然后,根据选定的协议(DNSCrypt、TLS或用于在“存根解析器”和“认证器”之间建立认证会话的任何其它认证通信机制)对“存根解析器”的答复进行认证。
图3示出了根据本发明实施例的用于安全解析域名的设备300。该设备包括解析器单元301和认证器单元302,它们相互连接以交换数据,以便一旦来自存根解析器(未示出)的查询到达设备300就执行安全的域名解析,该设备在下文中也将称为递归解析器。
解析器单元301用于将从存根解析器接收到的查询解析为多个域名服务器(domain name server,DNS)记录,其中,多个DNS记录包括使用DNSSEC技术进行签名的DNS记录。这样,解析器单元301可以根据现有技术中的标准实践,通过将所请求的域名(可以由用户在浏览器中键入)转换为IP地址来进行DNS解析。这种通常的DNS解析过程还可以包括根据DNSSEC规范验证来自DNSSEC签名区域的DNS记录的子集。解析器单元301可以从认证器单元302接收此类查询,一旦认证器302从存根解析器接收到该查询,可以将该查询转发或委托给解析器单元301。解析器单元301还用于向认证器单元302提供多个DNS记录和DNS验证数据,其中,多个DNS记录包括所请求的DNS记录,DNS验证数据包括沿服务器链的DNSSEC验证过程中使用过的一组记录,服务器链形成了IP地址链,指向所请求的DNS记录。
认证器单元302还用于在可信执行环境(trusted execution environment,TEE)中运行;使用所述DNS验证数据重新验证所述经DNSSEC签名的记录;通过认证通信信道将所述多个DNS记录发送到所述存根解析器。由于认证器302在TEE中运行并且自行通过使用解析器单元301提供的DNS验证数据来重新验证经DNSSEC签名的记录,因此可以确保针对DNSSEC签名区域发送的每个结果确实都经过了验证。由于TEE中的记录进行了重新验证,认证器单元302不仅能够提供所需的DNS记录和指示结果是否已经过DNSSEC验证/证实的标记,而且更重要的是向存根解析器提供DNSSEC验证确实已执行的证据。
在设备300的一个实施例中,认证器单元302还用于通过使用信任锚来重新验证经DNSSEC签名的记录。信任锚可以包括沿域名服务器的DNS解析链遇到的域名服务器中的一个域名服务器的证书。沿DNS解析路径的任何域名服务器,无论是根服务器、顶级域名(top-level-domain,TLD)服务器还是解析路径末尾针对所请求域名的权限域名服务器,都可以视为权限实体,权限实体认为是可信的(通常仅信任根服务器),并且不需要根据DNSSEC规范进行验证,只要提供的链接是经由所涉及的服务器的密钥签名过的授权签名者(delegation signer,DS)记录和公钥记录,其中,所涉及的服务器位于DNSSEC层级结构中较高的位置,依此类推直至根服务器。
在设备300的另一实施例中,认证器单元还用于:如果认证器单元成功执行了重新验证,将经验证的DNS记录标记为经DNSSEC验证的,并将标记的DNS记录发送到存根解析器。为此,认证器单元可以根据DNSSEC规范,使用认证数据位将经验证的DNS记录标记为经DNSSEC验证的。
图4示出了根据本发明实施例的用于安全解析域名的另一设备400。根据本实施例,设备400用于在TEE中运行401;将从存根解析器接收到的查询解析402为多个域名服务器(domain name server,DNS)记录,其中,多个DNS记录包括使用域名系统安全扩展(Domain Name System Security Extensions,DNSSEC)技术进行签名的DNS记录;验证403经DNSSEC签名的记录;通过认证通信信道将多个DNS记录发送404到存根解析器。
在该替代实施例中,不仅仅是设备300的认证器单元302,整个设备400都在TEE中运行。由于设备400的全部代码在TEE中运行,因此不需要执行类似设备300中的重新验证,因为RR用于执行包括DNSSEC签名区域的DNS解析的部分已视为可信的。
图5示出了根据本发明实施例的方法500。该方法包括以下步骤:解析器单元将从存根解析器接收到的查询解析501为多个域名服务器(domain name server,DNS)记录,其中,多个DNS记录包括使用域名系统安全扩展(Domain Name System SecurityExtensions,DNSSEC)技术进行签名的DNS记录;解析器单元向认证器单元提供502验证经DNSSEC签名的DNS记录所需的多个DNS记录和DNS验证数据;认证器单元使用DNS验证数据重新验证503经DNSSEC签名的记录;认证器单元通过认证通信信道将多个DNS记录发送504到存根解析器,其中,认证器单元在可信执行环境中运行。方法500可以由根据本发明实施例的设备300执行。
图6示出了根据本发明实施例的方法600。该方法包括以下步骤:设备在可信执行环境中运行601;设备将从存根解析器接收到的查询解析602为多个域名服务器(domainname server,DNS)记录,其中,多个DNS记录包括使用域名系统安全扩展(Domain NameSystem Security Extensions,DNSSEC)技术进行签名的DNS记录;设备验证603经DNSSEC签名的记录;设备通过认证通信信道将多个DNS记录发送604到存根解析器。方法600可以由根据本发明实施例的设备400执行。
本发明已结合各种示例性实施例以及实现方式进行了说明。然而,根据对附图、本公开和独立权利要求的研究,实践本发明的本领域技术人员可以理解和实现其它变型。在权利要求书以及说明书中,词语“包括”不排除其它元素或步骤,不定冠词“一”或“一个”不排除多个。单个元件或其它单元可满足权利要求中描述的几项的功能。在仅凭某些措施被记载在相互不同的从属权利要求书中这个单纯的事实并不意味着这些措施的结合不能被有效地使用。
Claims (10)
1.一种用于安全解析域名的设备,其特征在于,包括:
解析器单元,用于:
将从存根解析器接收到的查询解析为多个域名服务器DNS记录,其中,所述多个DNS记录包括使用域名系统安全扩展DNSSEC技术进行签名的DNS记录;
向认证器单元提供验证所述经DNSSEC签名的DNS记录所需的所述多个DNS记录和DNS验证数据;
所述认证器单元,用于:
在可信执行环境TEE中运行;
使用所述DNS验证数据重新验证所述经DNSSEC签名的记录;
通过认证通信信道将所述多个DNS记录发送到所述存根解析器。
2.根据权利要求1所述的设备,其特征在于,
所述认证器单元还用于:
根据DNSSEC规范,使用包括DNS记录类型的所述DNS验证数据重新验证所述经DNSSEC签名的记录,从而重新验证DNSSEC信任链。
3.根据权利要求1所述的设备,其特征在于,
所述认证器单元还用于:
通过使用确保整个服务器解析链上的DNS记录均有效的信任锚,来重新验证所述经DNSSEC签名的记录,其中,所述信任锚包括沿所述服务器解析链遇到的多个域名服务器中的一个域名服务器的证书。
4.根据权利要求1所述的设备,其特征在于,
所述认证器单元还用于:
将所述经验证的DNS记录标记为经DNSSEC验证的;
将所述标记的DNS记录发送到所述存根解析器。
5.根据权利要求4所述的设备,其特征在于,
所述认证器单元还用于:
根据所述DNSSEC规范,使用认证数据位将所述经验证的DNS记录标记为经DNSSEC验证的。
6.根据权利要求1所述的设备,其特征在于,
通往所述存根解析器的所述认证通信信道包括DNSCrypt和/或安全套接字层SSL技术。
7.根据权利要求1至6任一项所述的设备,其特征在于,
所述TEE基于由软件防护扩展SGX技术提供的指令代码。
8.一种用于安全解析域名的设备,其特征在于,用于:
在可信执行环境TEE中运行;
将从存根解析器接收到的查询解析为多个域名服务器DNS记录,其中,所述多个DNS记录包括使用域名系统安全扩展DNSSEC技术进行签名的DNS记录;
验证所述经DNSSEC签名的记录;
通过认证通信信道将所述多个DNS记录发送到所述存根解析器。
9.一种用于安全解析域名的方法,其特征在于,包括以下步骤:
解析器单元将从存根解析器接收到的查询解析为多个域名服务器DNS记录,其中,所述多个DNS记录包括使用域名系统安全扩展DNSSEC技术进行签名的DNS记录;
所述解析器单元向认证器单元提供验证所述经DNSSEC签名的DNS记录所需的所述多个DNS记录和DNS验证数据;
所述认证器单元使用所述DNS验证数据重新验证所述经DNSSEC签名的记录;
所述认证器单元通过认证通信信道将所述多个DNS记录发送到所述存根解析器,其中
所述认证器单元在可信执行环境中运行。
10.一种用于安全解析域名的方法,其特征在于,包括以下步骤:
设备在可信执行环境TEE中运行;
所述设备将从存根解析器接收到的查询解析为多个域名服务器DNS记录,其中,所述多个DNS记录包括使用域名系统安全扩展DNSSEC技术进行签名的DNS记录;
所述设备验证所述经DNSSEC签名的记录;
所述设备通过认证通信信道将所述多个DNS记录发送到所述存根解析器。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2018/074591 WO2020052746A1 (en) | 2018-09-12 | 2018-09-12 | Device and method for trusted dns resolution |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112655186A CN112655186A (zh) | 2021-04-13 |
CN112655186B true CN112655186B (zh) | 2021-10-22 |
Family
ID=63586699
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880097360.4A Active CN112655186B (zh) | 2018-09-12 | 2018-09-12 | 可信dns解析设备和方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN112655186B (zh) |
WO (1) | WO2020052746A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022248404A1 (en) * | 2021-05-25 | 2022-12-01 | Michael Seifert | A method for managing a digital identity |
CN114006724B (zh) * | 2021-09-18 | 2023-08-29 | 中国互联网络信息中心 | 一种加密dns解析器发现及认证的方法与系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103379116A (zh) * | 2012-04-29 | 2013-10-30 | 弗里塞恩公司 | Dnssec在线签名 |
CN105245631A (zh) * | 2015-09-25 | 2016-01-13 | 中国互联网络信息中心 | 一种优化dns根服务访问的方法与系统 |
CN105791284A (zh) * | 2016-02-29 | 2016-07-20 | 华为技术有限公司 | 一种数据安全传输装置及方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9172713B2 (en) * | 2008-09-24 | 2015-10-27 | Neustar, Inc. | Secure domain name system |
-
2018
- 2018-09-12 WO PCT/EP2018/074591 patent/WO2020052746A1/en active Application Filing
- 2018-09-12 CN CN201880097360.4A patent/CN112655186B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103379116A (zh) * | 2012-04-29 | 2013-10-30 | 弗里塞恩公司 | Dnssec在线签名 |
CN105245631A (zh) * | 2015-09-25 | 2016-01-13 | 中国互联网络信息中心 | 一种优化dns根服务访问的方法与系统 |
CN105791284A (zh) * | 2016-02-29 | 2016-07-20 | 华为技术有限公司 | 一种数据安全传输装置及方法 |
Non-Patent Citations (2)
Title |
---|
"Deploying DNS Security (DNSSEC) in Large-Scale Operational Environments";Joe Gersch; Dan Massey;《 2009 Cybersecurity Applications & Technology Conference for Homeland Security》;20090324;全文 * |
"Toward secure name resolution on the internet";Christian Grothoff ET AL;《Computers & Security》;20180206;全文 * |
Also Published As
Publication number | Publication date |
---|---|
WO2020052746A1 (en) | 2020-03-19 |
CN112655186A (zh) | 2021-04-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Barnes et al. | Automatic certificate management environment (acme) | |
US10819697B1 (en) | Authenticated name resolution | |
US10951577B2 (en) | Device and method for resolving domain names | |
US8990356B2 (en) | Adaptive name resolution | |
Wachs et al. | A censorship-resistant, privacy-enhancing and fully decentralized name system | |
US20060143442A1 (en) | Automated issuance of SSL certificates | |
EP3291514A1 (en) | Integrated dns service provider services using certificate-based authentication | |
US10257171B2 (en) | Server public key pinning by URL | |
US8402511B2 (en) | LDAPI communication across OS instances | |
Lopez et al. | Pceps: Usage of tls to provide a secure transport for the path computation element communication protocol (pcep) | |
Jalalzai et al. | DNS security challenges and best practices to deploy secure DNS with digital signatures | |
US20180062856A1 (en) | Integrated dns service provider services using certificate-based authentication | |
CN112655186B (zh) | 可信dns解析设备和方法 | |
CN111241549A (zh) | 一种异构标识体系下的可信解析方法 | |
KR101859339B1 (ko) | Mtd 환경의 네트워크 중계장치 및 중계방법 | |
KR20090054774A (ko) | 분산 네트워크 환경에서의 통합 보안 관리 방법 | |
JP6763605B2 (ja) | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 | |
JP4065850B2 (ja) | 移動ネットワーク環境におけるデータトラフィックの保護方法 | |
Barnes et al. | RFC 8555: Automatic certificate management environment (ACME) | |
Aishwarya et al. | DANE: An inbuilt security extension | |
EP4009602B1 (en) | Providing a first digital certificate and a dns response | |
Jøsang et al. | Server Certificates based on DNSSEC | |
CN116805907A (zh) | 提供和安装数字证书 | |
Chetioui et al. | Cryptographic Encapsulation in the New ENC-DNSSEC Protocol | |
CN114238894A (zh) | 一种物联网公钥验证系统、方法、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220216 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Patentee after: Huawei Cloud Computing Technology Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
TR01 | Transfer of patent right |