一种采用加密签名和加速解析防止DNS被劫持的方法与流程

本发明涉及计算机网络技术领域，特别涉及一种采用加密签名和加速解析防止dns被劫持的方法。

背景技术：

在计算机网络技术时代，dns(domainnamesystem，域名系统)劫持是指劫持方在某网络中拦截域名解析的请求，给请求方返回错误的ip地址或者什么都不做使请求失去响应，结果造成对特定的网站不能访问或者返回错误网址，也称域名劫持。

针对dns被劫持的问题，目前已经出现了几种解决办法：

一、使用区块链技术将dns数据入链，从app端进行校验，同本地dns结合，利用区块链的共识机制解决个人用户路由上的dns安全问题；

二、在移动端，通过保证域名解析的准确性、可靠性，提高数据安全性；

三、以路由器为依托，向路由器发出域名解析请求后，路由器收到请求，做判断处理，路由器与防劫持服务器通过建立秘钥进行通信，防止dns被劫持。

虽然上述几种方法能够避免dns被劫持的问题，但是着几种dns防劫持方法在一定程度上延长了dns的请求处理时长。在信息化快速发展的时代，用户对网站的响应速度有一定的需求，如果为了防止dns被劫持采用一些方法后，降低了网站的响应速度，这也是不太可取的。

基于上述问题，本发明提出了一种采用加密签名和加速解析防止dns被劫持的方法，通过加速dns解析速度和签名认证来降低dns被劫持概率的方法，防止dns被劫持的同时不影响dns的解析速度。

技术实现要素：

本发明为了弥补现有技术的缺陷，提供了一种简单高效的采用加密签名和加速解析防止dns被劫持的方法。

本发明是通过如下技术方案实现的：

一种采用加密签名和加速解析防止dns被劫持的方法，其特征在于：采用数字签名认证加密dns解析过程，设置ttl(time-to-live，一条域名解析记录在dns服务器中的存留时间)值，增加域名的缓存命中率；使用dns-prefetch让dns预读取，将dns域名解析拆分为多个域名增加并行下载量，加速dns域名解析，进而达到防止dns被劫持和加速dns解析的目的。

该采用加密签名和加速解析防止dns被劫持的方法，包括以下几个步骤：

步骤一：将具有相同资源类型的所有记录分组到一个资源记录集rrset(resourcerecordsset)中；

步骤二：在受加密的区域中都有一个区域签名密钥对zsk(zonesigningkey)，密钥对的私有部分以数字方式对区域中的每个资源记录集rrset进行签名，而公共部分则验证签名；

步骤三：采用秘钥签名秘钥对ksk(keysigningkey)保护其余rrset，签署公共区域签名密钥对zsk，为dnskey(dns密钥)创建rrsig记录；

步骤四：利用ttl值增加域名的缓存命中率，在网站设置dns-prefetch标签，加速dns解析。

所述步骤一中，如果在一个区域中有四个都是bbbb记录在同一标签上，则将全部捆绑到bbbbrrset中，然后这个完整的资源记录集rrset可以进行数字签名，请求验证时，验证相同标签的区域中的所有bbbb记录。

所述步骤二中，具体步骤如下：

(1)启用dnssec(domainnamesystemsecurityextensions，域名系统安全扩展)，区域操作员使用私有区域签名密钥对zsk为每个资源记录集rrset创建数字签名，并将创建的数字签名作为rrsig记录存储在其名称服务器中；

(2)区域操作员将rrsig记录添加到dnskey记录中的名称服务器来使其公共区域签名密钥对zsk可用；

(3)当dnssec解析器请求特定记录类型时，名称服务器也返回相应的rrsig；

(4)解析器从名称服务器中提取包含公共区域签名密钥对zsk的dnskey记录。

所述步骤三中，解析器的验证过程，具体步骤如下：

(1)请求所需的资源记录集rrset，返回响应的rrsig记录；

(2)请求包含公共区域签名密钥对zsk和公共秘钥签名秘钥对ksk的dnskey记录；

(3)使用公共区域签名密钥对zsk验证所请求的资源记录集rrset的rrsig记录；

(4)使用公共秘钥签名秘钥对ksk验证dnskey资源记录集rrset的rrsig记录；

(5)dnskey资源记录集rrset和rrsig记录被缓存，减少请求数量。

所述步骤四中，在保证dns服务器缓存空间和缓存效率的前提下，增大ttl值可以让dns服务器缓存域名更长时间，增加缓存的命中率。

所述dns服务器采用递归或迭代来处理客户端查询，能够发现并获得大量dns命名空间的重要信息，这些信息由dns服务器缓存，从而为dns解析流行名称的后续查询提供加速性能的方法，减少网络上与dns相关的查询通信量；当信息缓存时，生存时间ttl适用于所有缓存的资源记录，只要缓存资源记录的ttl没有到期，dns服务器就可以继续缓存并再次使用资源记录来应答与这些资源记录相匹配的客户端提出的查询。

所述步骤四中，在网站第一次打开时，在网站页面的头部标签head中的link标签的rel属性设置dns-prefetch值，无需每个网站都使用。

本发明的有益效果是：该采用加密签名和加速解析防止dns被劫持的方法，采用加密签名认证和适当设置ttl值来防止dns被劫持，加速dns解析速度，极大地改善了用户访问网站被拦截跳转到非目的网站以及网站访问速度降低的问题。

附图说明

附图1为本发明采用加密签名和加速解析防止dns被劫持的方法示意图。

具体实施方式

为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白，以下结合实施例，对本发明进行详细的说明。应当说明的是，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

该采用加密签名和加速解析防止dns被劫持的方法，采用数字签名认证加密dns解析过程，设置ttl(time-to-live，一条域名解析记录在dns服务器中的存留时间)值，增加域名的缓存命中率；使用dns-prefetch让dns预读取，将dns域名解析拆分为多个域名增加并行下载量，加速dns域名解析，进而达到防止dns被劫持和加速dns解析的目的。

该采用加密签名和加速解析防止dns被劫持的方法，包括以下几个步骤：

步骤一：将具有相同资源类型的所有记录分组到一个资源记录集rrset(resourcerecordsset)中；

步骤二：在受加密的区域中都有一个区域签名密钥对zsk(zonesigningkey)，密钥对的私有部分以数字方式对区域中的每个资源记录集rrset进行签名，而公共部分则验证签名；

步骤三：采用秘钥签名秘钥对ksk(keysigningkey)保护其余rrset，签署公共区域签名密钥对zsk，为dnskey(dns密钥)创建rrsig记录；

步骤四：利用ttl值增加域名的缓存命中率，在网站设置dns-prefetch标签，加速dns解析。

所述步骤一中，如果在一个区域中有四个都是bbbb记录在同一标签上，则将全部捆绑到bbbbrrset中，然后这个完整的资源记录集rrset可以进行数字签名，请求验证时，验证相同标签的区域中的所有bbbb记录。

所述步骤二中，具体步骤如下：

(1)启用dnssec(domainnamesystemsecurityextensions，域名系统安全扩展)，区域操作员使用私有区域签名密钥对zsk为每个资源记录集rrset创建数字签名，并将创建的数字签名作为rrsig记录存储在其名称服务器中；

(2)区域操作员将rrsig记录添加到dnskey记录中的名称服务器来使其公共区域签名密钥对zsk可用；

(3)当dnssec解析器请求特定记录类型时，名称服务器也返回相应的rrsig；

(4)解析器从名称服务器中提取包含公共区域签名密钥对zsk的dnskey记录。

所述步骤三中，解析器的验证过程，具体步骤如下：

(1)请求所需的资源记录集rrset，返回响应的rrsig记录；

(2)请求包含公共区域签名密钥对zsk和公共秘钥签名秘钥对ksk的dnskey记录；

(3)使用公共区域签名密钥对zsk验证所请求的资源记录集rrset的rrsig记录；

(4)使用公共秘钥签名秘钥对ksk验证dnskey资源记录集rrset的rrsig记录；

(5)dnskey资源记录集rrset和rrsig记录被缓存，减少请求数量。

所述步骤四中，在保证dns服务器缓存空间和缓存效率的前提下，增大ttl值可以让dns服务器缓存域名更长时间，增加缓存的命中率。

所述dns服务器采用递归或迭代来处理客户端查询，能够发现并获得大量dns命名空间的重要信息，这些信息由dns服务器缓存，从而为dns解析流行名称的后续查询提供加速性能的方法，减少网络上与dns相关的查询通信量；当信息缓存时，生存时间ttl适用于所有缓存的资源记录，只要缓存资源记录的ttl没有到期，dns服务器就可以继续缓存并再次使用资源记录来应答与这些资源记录相匹配的客户端提出的查询。

所述步骤四中，在网站第一次打开时，在网站页面的头部标签head中的link标签的rel属性设置dns-prefetch值，无需每个网站都使用。

所述dnsprefetch是一种dns预解析技术。当浏览网页时，浏览器会在加载网页时对网页中的域名进行解析缓存，这样在单击当前网页中的连接时就无需进行dns的解析，减少了用户等待时间，提高了用户体验。

该采用加密签名和加速解析防止dns被劫持的方法，通过提供身份认证在dns之上添加一层信任。例如，在解析www.inspur.com时，.com服务器帮助dns解析器验证为inspur返回的记录，而inspur帮助验证为www返回的记录；根dns有助于验证.com，根目录发布的信息完全由安全程序审查，包括根签名仪式。

以上所述的实施例，只是本发明具体实施方式的一种，本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。