WO2011088658A1 - 对dns报文中的身份信息进行认证的方法、服务器和*** - Google Patents

Description

对 DNS报文中的身份信息进行认证的方法、 服务器和*** 技术领域

本发明涉及互联网技术领域， 特别是涉及一种对 DNS报文中的身份信息 进行认证的方法、 服务器和***。 背景技术

伴随着科学技术的不断发展， 互联网在人们的工作和生活中得到了越来 越广泛的应用， 作为互联网中的重要组成部分， 域名*** （Doma in Name Sys tem, 简称 DNS )提供了在方便人类记忆的域名和计算机使用的 IP地址之 间进行映射查询的服务。

图 1为现有技术支持递归查询的域名***结构示意图。 如图 1所示， 域 名***包括主机终端、 递归服务器和多个权威服务器， 如权威服务器 A、 权 威服务器 B和权威服务器 C等。 在图 1所示的域名***中进行一次递归查询 的可能过程如下：

步骤 11 : 主机终端会向递归服务器发送一个 DNS报文， 该 DNS报文用于 请求查询某域名对应的 IP地址。

步骤 12: 递归服务器向权威服务器 A转发 DNS报文。

步骤 13: 如果权威服务器 A上存有该未知域名对应的 IP地址， 则将相 应 IP地址应答给递归服务器。

步骤 14: 递归服务器将相应 IP地址发送给发起查询的主机终端。

如果权威服务器 A没有相关的记录却知道权威服务器 B可能具有该纪录 的话， 会在应答中向递归服务器建议其向权威服务器 B进行查询。 同样地， 如果权威服务器 B具有相关记录， 会应答给递归服务器； 如果权威服务器 B 不具有相关记录但是知道权威服务器 C可能具有相关记录， 则会向递归服务 器建议其向权威服务器 C查询。 以此类推， 直至具有该记录的权威服务器将 查询结果返回给递归服务器， 再由递归服务器将该查询结果转发给最初发起 查询的主机终端。 如果所有权威服务器都不具有相关记录， 则最后被查询到 的权威服务器会回答一条该域名不存在的应答给递归服务器， 递归服务器将 该应答转回给发起查询的主机终端， 至此完成了一次递归查询过程。

发明人在实现本发明实施例过程中发现， 现有技术域名***提供服务时 缺少对 DNS报文的认证机制， 因此域名***存在安全隐患。 发明内容

本发明实施例提供一种对 DNS报文中的身份信息进行认证的方法、 服务 器和***， 以提高域名***的安全性。

本发明实施例提供了一种对 DNS报文中的身份信息进行认证的方法， 包 括：

接收 DNS报文， 所述 DNS报文包括签名信息和校验信息； 所述签名信息 通过对所述校验信息釆用第一密钥加密后得到 , 所述校验信息包括所述查询 终端的身份信息；

获取与所述第一密钥对应的第二密钥；

釆用所述第二密钥对所述签名信息进行解密， 得到解密结果；

在所述解密结果与所述校验信息一致时， 对所述查询终端的身份信息的 认证成功。

本发明实施例还提供了一种服务器， 包括：

报文接收模块， 用于接收 DNS报文， 所述 DNS报文包括签名信息和校验 信息； 所述签名信息通过对所述校验信息釆用第一密钥加密后得到， 所述校 验信息包括所述查询终端的身份信息；

密钥获取模块， 用于获取与所述第一密钥对应的第二密钥；

解密模块， 用于釆用所述第二密钥对所述签名信息进行解密， 得到解密 结果；

认证模块， 用于在所述解密结果与所述校验信息一致时， 对所述查询终 端的身份信息的认证成功。

本发明实施例还提供了一种对 DNS报文中的身份信息进行认证的***， 包括上述月良务器。

本发明实施例引入对 DNS报文中的身份信息进行认证的机制，通过对 DNS 报文中携带的查询终端身份信息进行安全认证， 保证 DNS报文中携带的查询 终端 ID信息真实可靠，有效防止了服务器在利用查询终端的身份信息进行访 问控制时， 其他终端假冒具有访问权限的查询终端的身份信息来骗取服务， 从而提高了域名***的安全性。 附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面 描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1为现有技术支持递归查询的域名***结构示意图；

图 2为本发明第一实施例提供的 DNS报文中的身份信息进行认证的方法 流程图；

图 3为本发明第二实施例提供的 DNS报文中的身份信息进行认证的方法 流程图；

图 4为本发明第三实施例提供的 DNS报文中的身份信息进行认证的方法 流程图；

图 5为本发明第四实施例提供的 DNS报文中的身份信息进行认证的方法 流程图；

图 6为本发明第五实施例提供的 DNS报文中的身份信息进行认证的方法 流程图；

图 7为本发明第六实施例提供的服务器的结构示意图。 具体实施方式

下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行 清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而 不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有付 出创造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。

图 2为本发明第一实施例提供的 DNS报文中的身份信息进行认证的方法 流程图。 本实施例的执行主体可为服务器， 如权威服务器或其他类型的 DNS 月良务器等。 如图 2所示， 本实施例提供的方法包括：

步骤 21 :服务器接收 DNS报文，所述 DNS报文包括签名信息和校验信息； 所述签名信息通过对所述校验信息釆用第一密钥加密后得到， 所述校验信息 包括所述查询终端的身份信息。

DNS报文可具体为 DNS查询请求或与 DNS服务相关的其他类型报文。 查 询终端即为发起 DNS查询请求的终端， 如发起 DNS查询请求的主机终端、 手 机终端、 智能终端等。

查询终端的身份信息可为查询终端的身份标识（ ID )、 IP地址、 设备标 识等信息。 校验信息可为与查询终端的身份信息相关的信息， 如： 校验信息 可具体为查询终端的身份信息， 即校验信息可为 DNS报文中查询终端的身份 信息所在的 ID字段的内容。 或者， 校验信息还可为查询终端的身份信息与其 他信息的组合， 即校验信息可包括 DNS报文的 ID字段、 以及 ID字段以外的 一个或多个其他字段的内容， 如报文类型、 ID字段的校验码、 或者 ID字段 加上其他字段的校验码等。

签名信息可由查询终端釆用第一密钥对校验信息加密后得到， 或者， 在 递归查询的域名***中， 签名信息也可由递归服务器釆用第一密钥对校验信 息加密后得到。

步骤 22: 服务器获取与所述第一密钥对应的第二密钥。 服务器获取第二密钥的方式不受限制， 例如： 可在服务器上预先存储第 二密钥； 如果第二密钥是一公钥， 则还可通过查询终端将该公钥或该公钥的 索引信息， 直接发送给服务器。

步骤 23: 服务器釆用所述第二密钥对所述签名信息进行解密， 得到解密 结果。

第一密钥与第二密钥可为一私钥对， 即本实施例可釆用对称密钥的机制 进行加密和解密处理。 或者， 第一密钥与第二密钥可为一私钥-公钥对， 即本 实施例可釆用非对称密钥的机制进行加密和解密处理。

步骤 24: 服务器在所述解密结果与所述校验信息一致时， 对所述查询终 端的身份信息的认证成功。

如果解密结果与校验信息一致， 说明 DNS查询报文中的身份信息真实可 靠， 则该查询终端的身份信息的认证成功， 服务器对该 DNS报文进行处理， 以便为该查询终端提供服务。 如果解密结果与校验信息不一致， 说明 DNS查 询报文中的身份信息可能被其他终端冒用了， 则该查询终端的身份信息的认 证失败， 服务器拒绝为查询终端提供服务， 可对该 DNS报文不进行处理或丟 弃该 DNS 艮文。 本实施例在现有域名***中， 引入对 DNS 艮文中携带的查询 终端身份信息进行认证的机制， 为 DNS报文中携带的查询终端身份信息进行 安全认证， 保证 DNS报文中携带的查询终端 ID信息真实可靠， 有效防止了服 务器在利用查询终端的身份信息进行访问控制时， 其他终端假冒具有访问权 限的查询终端的身份信息来骗取服务， 从而提高了域名***的安全性。

下面各详述实施例分别以图 1所示的支持递归查询的域名***为应用实 例， 对本发明技术方案进行详细说明。 需要说明的是， 本发明还可应用到其 他域名***， 如不支持递归查询的域名***中， 以下的应用实例不应理解为 对本发明的限制。

图 3为本发明第二实施例提供的 DNS报文中的身份信息进行认证的方法 流程图。 本实施例在主机终端与权威服务器之间预约私钥， 釆用对称密钥方 法进行认证。 如图 3所示， 本实施例提供的方法包括：

步骤 31 : 主机终端与权威服务器之间预先约定私钥。

不妨将主机终端使用的私钥称为第一私钥， 权威服务器使用的私钥称为 第二私钥。 第一私钥和第二私钥相同。

需要说明的是， 本实施例并不是在每次认证过程中都需要执行步骤 31。 只要在主机终端和权威服务器之间预先约定好私钥， 则在后续认证过程中， 即可釆用约定好的私钥进行认证处理。

步骤 32: 主机终端生成 DNS报文， 并釆用第一私钥对校验信息进行加密 后得到签名信息，向递归服务器发送包括有签名信息和校验信息的 DNS报文。 校验信息可具体为主机终端的 ID,即校验信息可为 DNS报文中主机终端的 ID 所在的 ID字段的内容。 或者， 校验信息还可为主机终端的 ID与其他信息的 组合， 即校验信息可包括 DNS报文的 ID字段、 以及 ID字段以外的一个或多 个其他字段的内容， 如报文类型、 ID字段的校验码、 或者 ID字段加上其他 字段的校验码等。 主机终端的 ID可为主机名或 IP地址等。

步骤 33: 递归服务器向某一权威服务器， 如权威服务器 A转发主机终端 发送的 DNS报文。

步骤 34：权威服务器 A预先建立有主机终端与密钥信息之间的映射关系 , 根据该映射关系， 得到与主机终端对应的第二私钥。

步骤 35 :权威服务器 A釆用第二私钥对 DNS报文中的签名信息进行解密， 得到解密结果。

步骤 36: 权威服务器 A将解密结果与 DNS报文中的校验信息进行比较， 判断解密结果与 DNS报文中的校验信息是否一致： 如果解密结果与 DNS报文 中的校验信息一致， 则执行步骤 37; 否则， 执行步骤 38。

步骤 37: 认证成功， 权威服务器 A为主机终端提供服务； 结束。

步骤 38: 认证失败， 权威服务器 A拒绝为主机终端提供服务； 结束。 如果权威服务器自身没有 DNS报文所需的信息， 如 DNS报文需要查询的 IP地址等， 则可釆用现有递归查询机制， 由其他权威服务器， 如权威服务器 B、权威服务器 C等为主机终端提供服务。 其他权威服务器对 DNS报文中的签 名信息进行认证的实现方式， 与权威服务器 A对 DNS报文中的签名信息进行 认证的实现方式相似， 在此不再赘述。

本实施例基于对称性密钥认证机制， 在主机终端和权威服务器之间预先 约定私钥对，基于该私钥对为 DNS报文中携带的主机终端的 ID信息进行安全 认证， 保证 DNS报文中携带的主机终端 ID信息真实可靠， 有效防止了权威服 务器在利用主机终端的身份信息进行访问控制时， 其他终端假冒具有访问权 限的主机终端的身份信息来骗取服务， 从而提高了域名***的安全性。

图 4为本发明第三实施例提供的 DNS报文中的身份信息进行认证的方法 流程图。 本实施例在递归服务器与权威服务器之间预约私钥， 釆用对称密钥 方法进行认证。 如图 4所示， 本实施例提供的方法包括：

步骤 41 : 递归服务器与权威服务器之间预先约定私钥。

不妨将递归服务器使用的私钥称为第一私钥， 权威服务器使用的私钥称 为第二私钥。 第一私钥和第二私钥相同。

需要说明的是， 本实施例并不是在每次认证过程中都需要执行步骤 41。 只要在递归服务器和权威服务器之间预先约定好私钥，则在后续认证过程中， 即可釆用约定好的私钥进行认证处理。

步骤 42:主机终端生成 DNS报文，向递归服务器发送该 DNS报文，该 DNS 报文包括校验信息。 校验信息可具体为主机终端的 ID, 即校验信息可为 DNS 报文中主机终端的 ID所在的 ID字段的内容。 或者， 校验信息还可为主机终 端的 ID与其他信息的组合， 即校验信息可包括 DNS报文的 ID字段、 以及 ID 字段以外的一个或多个其他字段的内容， 如报文类型、 ID字段的校验码、 或 者 ID字段加上其他字段的校验码等。主机终端的 ID可为主机名或 IP地址等。

步骤 43: 递归服务器接收主机终端发送的 DNS报文， 并釆用第一私钥对 DNS 报文中的校验信息进行加密后得到签名信息， 向某一权威服务器， 如权 威服务器 A发送包括有签名信息和校验信息的 DNS报文。

步骤 44-步骤 48: 与步骤 34-步骤 38相似， 在此不再赘述。

如果权威服务器自身没有 DNS报文所需的信息， 如 DNS报文需要查询的 IP地址等， 则可釆用现有递归查询机制， 由其他权威服务器， 如权威服务器 B、权威服务器 C等为主机终端提供服务。 其他权威服务器对 DNS报文中的签 名信息进行认证的实现方式， 与权威服务器 A对 DNS报文中的签名信息进行 认证的实现方式相似， 在此不再赘述。

本实施例基于对称性密钥认证机制， 为了避免终端用户较多时需要建立 过多的私钥对， 本实施例引入服务器担保机制， 即只在递归服务器和权威服 务器之间预先约定私钥对， 基于该私钥对为 DNS报文中携带的主机终端的 ID 信息进行安全认证， 保证 DNS报文中携带的主机终端 ID信息真实可靠， 有效 防止了权威服务器在利用主机终端的身份信息进行访问控制时， 其他终端假 冒具有访问权限的主机终端的身份信息来骗取服务， 从而提高了域名***的 安全性。

图 5为本发明第四实施例提供的 DNS报文中的身份信息进行认证的方法 流程图。 本实施例釆用非对称密钥方法进行认证， 且公钥信息可通过明文的 方式传输。 如图 5所示， 本实施例提供的方法包括：

步骤 51 : 预先确定主机终端需要使用的私钥-公钥对。

预先确定主机终端需要使用的私钥-公钥对。 需要使用的私钥-公钥对可 由主机终端自身确定， 或者， 还可由其他设备确定并给主机终端使用。 主机 终端可使用私钥对 DNS 文进行加密处理，私钥通常只有主机终端自己知道， 而公钥向外发布， 公钥和私钥间存在对应关系。

步骤 52: 主机终端生成 DNS报文， 并釆用私钥对校验信息进行加密后得 到签名信息， 向递归服务器发送包括有签名信息、 校验信息和公钥等信息的 DNS报文。 校验信息可具体为主机终端的 ID, 即校验信息可为 DNS报文中主 机终端的 ID所在的 ID字段的内容。 或者， 校验信息还可为主机终端的 ID与 其他信息的组合， 即校验信息可包括 DNS报文的 ID字段、 以及 ID字段以外 的一个或多个其他字段的内容， 如报文类型、 ID字段的校验码、 或者 ID字 段加上其他字段的校验码等。 主机终端的 ID可为主机名或 IP地址等。

在使用 DNS报文直接传递公钥的情况下， 可以使用该公钥的哈希值作为 主机终端的 ID, 这样就相当于直接建立了公钥与主机终端 ID之间的关联。 避免了需要建立额外的机制将主机终端的 ID, 如 IP地址， 与公钥关联， 可 以通过计算直接认定主机终端的身份， 简化的用户管理机制； 此外， 由于公 钥的哈希值相对于其他类型的 ID, 如相对于 IP地址具有稳定性的特点和加 密功能， 因此， 使用该公钥的哈希值作为主机终端的 ID, 还便于在移动环境 下对主机终端的行为进行统计分析。

步骤 53: 递归服务器向某一权威服务器， 如权威服务器 A转发主机终端 发送的 DNS报文。

步骤 54: 权威服务器 A接收递归服务器发送的 DNS报文， 解析该 DNS报 文得到上述公钥。

步骤 55: 权威服务器 A釆用公钥对 DNS报文中的签名信息进行解密， 得 到解密结果。

步骤 56: 权威服务器 A将解密结果与 DNS报文中的校验信息进行比较， 判断解密结果与 DNS报文中的校验信息是否一致： 如果解密结果与 DNS报文 中的校验信息一致， 则执行步骤 57; 否则， 执行步骤 58。

步骤 57: 认证成功， 权威服务器 A为主机终端提供服务； 结束。

步骤 58: 认证失败， 权威服务器 A拒绝为主机终端提供服务； 结束。 如果权威服务器自身没有 DNS报文所需的信息， 如 DNS报文需要查询的 IP地址等， 则可釆用现有递归查询机制， 由其他权威服务器， 如权威服务器 B、权威服务器 C等为主机终端提供服务。 其他权威服务器对 DNS报文中的签 名信息进行认证的实现方式， 与权威服务器 A对 DNS报文中的签名信息进行 认证的实现方式相似， 在此不再赘述。 本实施例基于非对称性密钥认证机制， 将私钥和公钥对相组合对 DNS报 文中携带的主机终端 ID信息进行认证， 保证 DNS报文中携带的主机终端 ID 信息真实可靠， 有效防止了权威服务器在利用主机终端的身份信息进行访问 控制时， 其他终端假冒具有访问权限的主机终端的身份信息来骗取服务， 从 而提高了域名***的安全性。 本实施例公钥可在 DNS报文中明文传输， 不需 要在权威服务器上存储公钥， 还有利于节省权威服务器的存储资源。

图 6为本发明第五实施例提供的 DNS报文中的身份信息进行认证的方法 流程图。 本实施例釆用非对称密钥方法进行认证， 且釆用明文的方式传输公 钥的索引信息。 如图 6所示， 本实施例提供的方法包括：

步骤 61 : 预先确定主机终端需要使用的私钥-公钥对。

预先确定主机终端需要使用的私钥-公钥对。 需要使用的私钥-公钥对可 由主机终端自身确定， 或者， 还可由其他设备确定并给主机终端使用。 主机 终端可使用私钥对 DNS 文进行加密处理，私钥通常只有主机终端自己知道， 而公钥向外发布公钥和私钥间存在对应关系。

步骤 62: 主机终端生成 DNS报文， 并釆用私钥对校验信息进行加密后得 到签名信息， 向递归服务器发送包括有主机终端的 ID、 签名信息、 校验信息 和公钥索引等信息的 DNS报文。 校验信息可具体为主机终端的 ID, 即校验信 息可为 DNS报文中主机终端的 ID所在的 ID字段的内容。 或者， 校验信息还 可为主机终端的 ID与其他信息的组合， 即校验信息可包括 DNS报文的 ID字 段、 以及 ID字段以外的一个或多个其他字段的内容， 如报文类型、 ID字段 的校验码、 或者 ID字段加上其他字段的校验码等。 主机终端的 ID可为主机 名或 IP地址等。

可选的， 主机终端的 ID也可以作为公钥索引使用， 这样就相当于直接建 立了公钥索引与主机终端 ID之间的关联。

步骤 63: 递归服务器向某一权威服务器， 如权威服务器 A转发主机终端 发送的 DNS报文。 步骤 64 : 权威服务器 A接收递归服务器发送的 DNS报文， 解析该 DNS报 文得到上述公钥索引。

步骤 65 : 权威服务器 A通过查询预先建立的公钥索引表， 获取与上述公 钥索引对应的公钥， 并釆用该公钥对 DNS报文中的签名信息进行解密， 得到 解密结果。

公钥索引表中存储了公钥索弓 I和公钥之间对应关系， 基于上述公钥索弓 I 查询公钥索引表， 可得到所需的公钥。

步骤 66-步骤 68 : 步骤 56-步骤 58相似， 在此不再赘述。

如果权威服务器自身没有 DNS报文所需的信息， 如 DNS报文需要查询的 IP地址等， 则可釆用现有递归查询机制， 由其他权威服务器， 如权威服务器 B、权威服务器 C等为主机终端提供服务。 其他权威服务器对 DNS报文中的签 名信息进行认证的实现方式， 与权威服务器 A对 DNS报文中的签名信息进行 认证的实现方式相似， 在此不再赘述。

本实施例基于非对称性密钥认证机制， 将私钥和公钥对相组合对 DNS报 文中携带的主机终端 ID信息进行认证， 保证 DNS报文中携带的主机终端 ID 信息真实可靠， 有效防止了权威服务器在利用主机终端的身份信息进行访问 控制时， 其他终端假冒具有访问权限的主机终端的身份信息来骗取服务， 从 而提高了域名***的安全性。 本实施例在 DNS报文中明文传输公钥索引， 而 不是直接以明文的方式传输公钥， 可以减小报文的大小， 有利于节省传输报 文所需的资源。

图 7为本发明第六实施例提供的服务器的结构示意图。 如图 7所示， 本 实施例提供的服务器包括： 报文接收模块 71、 密钥获取模块 72、 解密模块 73和认证模块 74。

报文接收模块 71用于接收 DNS报文，所述 DNS报文包括签名信息和校验 信息； 所述签名信息通过对所述校验信息釆用第一密钥加密后得到。 校验信 息可具体为查询终端的身份信息， 即校验信息可为 DNS报文中查询终端的身 份信息所在的 ID字段的内容。 或者， 校验信息还可为查询终端的身份信息与 其他信息的组合， 即校验信息可包括 DNS报文的 ID字段、 以及 ID字段以外 的一个或多个其他字段的内容， 如报文类型、 ID字段的校验码、 或者 ID字 段加上其他字段的校验码等。

密钥获取模块 72用于获取与所述第一密钥对应的第二密钥。

解密模块 73用于釆用所述第二密钥对所述签名信息进行解密，得到解密 结果。

认证模块 74用于在所述解密结果与所述校验信息一致时，对所述查询终 端的身份信息的认证成功。

在上述技术方案的基础上， 可选的， 可基于对称密钥机制进行认证。 所 述第一密钥为第一私钥， 所述第二密钥为与所述第一私钥相同的第二私钥。

如果在查询终端和服务器之间预先约定密钥对， 该情形下报文接收模块 71具体可用于接收所述查询终端发送的或所述查询终端经由递归服务器发送 的所述 DNS 艮文， 所述 DNS 艮文包括的所述签名信息， 由所述查询终端釆用 所述第一私钥对所述校验信息加密后得到。密钥获取模块 72具体可用于根据 预先建立的终端与密钥信息之间的映射关系， 获取与所述查询终端对应的所 述第二私钥。

为了避免查询终端数量较大时***需要设置数量较大的私钥， 则可引入 服务器担保机制。 即在递归服务器和本实施例所述服务器之间预先约定密钥 对。该情形下报文接收模块 71具体可用于接收递归服务器发送的所述 DNS报 文， 所述 DNS报文包括的所述签名信息， 由所述递归服务器在接收到所述查 询终端发送的包括校验信息的 DNS报文时， 釆用所述第一私钥对所述校验信 息加密后得到。密钥获取模块 72具体可用于根据预先建立的递归服务器与密 钥信息之间的映射关系， 获取与所述递归服务器对应的所述第二私钥。

在上述技术方案的基础上， 可选的， 可将私钥和公钥相结合， 基于非对 称密钥机制进行认证。 所述第一密钥为私钥， 所述第二密钥为与所述私钥对 应的公钥； 可在 DNS报文中明文传输公钥， 该情形下， 报文接收模块 71具体 可用于接收所述查询终端发送的或所述查询终端经由递归服务器发送的所述 DNS 文， 所述 DNS 文包括的所述签名信息， 由所述查询终端釆用所述私 钥对所述校验信息加密后得到； 所述 DNS报文还包括所述公钥。 密钥获取模 块 72具体可用于解析所述 DNS报文， 得到所述公钥。

或者， 可在 DNS报文中明文传输公钥的索引信息。 该情形下， 报文接收 模块 71 具体可用于接收所述查询终端发送的或所述查询终端经由递归服务 器发送的所述 DNS报文， 所述 DNS报文包括的所述签名信息， 由所述查询终 端釆用所述私钥对所述校验信息加密后得到； 所述 DNS报文还包括所述公钥 的索引信息。 密钥获耳 莫块 72具体可用于解析所述 DNS报文， 得到所述索引 信息， 并通过查询预先建立的公钥索引表， 获取与所述索引信息对应的所述 公钥。

本实施例服务器可基于对称或非对称加密机制， 对 DNS报文中携带的查 询终端身份信息进行安全认证，保证 DNS报文中携带的查询终端 ID信息真实 可靠， 有效防止了服务器在利用查询终端的身份信息进行访问控制时， 其他 终端假冒具有访问权限的查询终端的身份信息来骗取服务， 从而提高了域名 ***的安全性。 本实施例服务器的表现实体不受限制， 如权威服务器或其他 类型的 DNS服务器等； 其工作机理， 可参见图 2对应实施例的记载， 以及图 3-图 6中关于权威服务器的记载， 在此不再赘述。

本发明实施例还提供了一种对 DNS报文中的身份信息进行认证的***， 该***包括上述服务器。 上述服务器可具体为权威服务器； 递归服务器、 查 询终端以及至少二个权威服务器， 可构成支持递归查询的域名***， 其*** 结果示意图可参见图 1的记载， 查询终端、 递归服务器和各权威服务器的功 能及其交互机理， 可参见图 3-图 6对应的记载， 在此不再赘述。

本领域普通技术人员可以理解： 附图只是一个实施例的示意图， 附图中 的模块或流程并不一定是实施本发明所必须的。 本领域普通技术人员可以理解： 实施例中的装置中的模块可以按照实施 例描述分布于实施例的装置中， 也可以进行相应变化位于不同于本实施例的 一个或多个装置中。 上述实施例的模块可以合并为一个模块， 也可以进一步 拆分成多个子模块。

上述本发明实施例序号仅仅为了描述， 不代表实施例的优劣。

本领域普通技术人员可以理解： 实现上述方法实施例的全部或部分步骤 可以通过程序指令相关的硬件来完成， 前述的程序可以存储于一计算机可读 取存储介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而前述 的存储介质包括： R0M、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对其 限制； 尽管参照前述实施例对本发明进行了详细的说明， 本领域的普通技术 人员应当理解： 其依然可以对前述实施例所记载的技术方案进行修改， 或者 对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不使相应技术 方案的本质脱离本发明实施例技术方案的精神和范围。

Claims

权利要求

1、 一种对 DNS报文中的身份信息进行认证的方法， 其特征在于， 包括： 接收 DNS报文， 所述 DNS报文包括签名信息和校验信息； 所述签名信息 通过对所述校验信息釆用第一密钥加密后得到 , 所述校验信息包括所述查询 终端的身份信息；

获取与所述第一密钥对应的第二密钥；

釆用所述第二密钥对所述签名信息进行解密， 得到解密结果；

在所述解密结果与所述校验信息一致时， 对所述查询终端的身份信息的 认证成功。

2、 根据权利要求 1所述的方法， 其特征在于， 所述校验信息还包括： 所 述 DNS报文中除了所述查询终端的身份信息所在字段之外的一个或多个其他 字段的内容。

3、 根据权利要求 1或 2所述的方法， 其特征在于， 所述第一密钥为第一 私钥， 所述第二密钥为与所述第一私钥相同的第二私钥；

所述接收 DNS 艮文， 具体为： 接收所述查询终端发送的或所述查询终端 经由递归服务器发送的所述 DNS报文， 所述 DNS报文包括的所述签名信息， 由所述查询终端釆用所述第一私钥对所述校险信息加密后得到；

所述获取与所述第一密钥对应的第二密钥， 具体为： 根据预先建立的终 端与密钥信息之间的映射关系， 获取与所述查询终端对应的所述第二私钥。

4、 根据权利要求 1或 2所述的方法， 其特征在于， 所述第一密钥为第一 私钥， 所述第二密钥为与所述第一私钥相同的第二私钥；

所述接收 DNS报文， 具体为： 接收递归服务器发送的所述 DNS报文， 所 述 DNS报文包括的所述签名信息， 由所述递归服务器在接收到所述查询终端 发送的包括所述校验信息的 DNS报文时， 釆用所述第一私钥对所述校验信息 加密后得到； 所述获取与所述第一密钥对应的第二密钥， 具体为： 根据预先建立的递 归服务器与密钥信息之间的映射关系， 获取与所述递归服务器对应的所述第 二私钥。

5、根据权利要求 1或 2所述的方法，其特征在于，所述第一密钥为私钥， 所述第二密钥为与所述私钥对应的公钥；

所述接收 DNS 艮文， 具体为： 接收所述查询终端发送的或所述查询终端 经由递归服务器发送的所述 DNS报文， 所述 DNS报文包括的所述签名信息， 由所述查询终端釆用所述私钥对所述校验信息加密后得到； 所述 DNS报文还 包括所述公钥；

所述获取与所述第一密钥对应的第二密钥， 具体为： 解析所述 DNS报文， 得到所述公钥。

6、根据权利要求 1或 2所述的方法，其特征在于，所述第一密钥为私钥， 所述第二密钥为与所述私钥对应的公钥；

所述接收 DNS 艮文， 具体为： 接收所述查询终端发送的或所述查询终端 经由递归服务器发送的所述 DNS报文， 所述 DNS报文包括的所述签名信息， 由所述查询终端釆用所述私钥对所述校验信息加密后得到； 所述 DNS报文还 包括所述公钥的索引信息；

所述获取与所述第一密钥对应的第二密钥， 具体为： 解析所述 DNS报文， 得到所述索引信息， 并通过查询预先建立的公钥索引表， 获取与所述索引信 息对应的所述公钥。

7、 根据权利要求 1或 2所述的方法， 其特征在于， 所述查询终端的身份 信息为所述查询终端的主机名或 IP地址。

8、 根据权利要求 5所述的方法， 其特征在于， 所述查询终端的身份信息 为所述公钥的哈希值。

9、 一种服务器， 其特征在于， 包括：

报文接收模块， 用于接收 DNS报文， 所述 DNS报文包括签名信息和校验 信息； 所述签名信息通过对所述校验信息釆用第一密钥加密后得到， 所述校 验信息包括所述查询终端的身份信息；

密钥获取模块， 用于获取与所述第一密钥对应的第二密钥；

解密模块， 用于釆用所述第二密钥对所述签名信息进行解密， 得到解密 结果；

认证模块， 用于在所述解密结果与所述校验信息一致时， 对所述查询终 端的身份信息的认证成功。

1 0、 根据权利要求 9所述的服务器， 其特征在于， 所述校验信息还包括： 所述 DNS报文中除了所述查询终端的身份信息所在字段之外的一个或多个其 他字段的内容。

1 1、 根据权利要求 9或 1 0所述的服务器， 其特征在于， 所述第一密钥为 第一私钥， 所述第二密钥为与所述第一私钥相同的第二私钥；

所述报文接收模块， 具体用于接收所述查询终端发送的或所述查询终端 经由递归服务器发送的所述 DNS报文， 所述 DNS报文包括的所述签名信息， 由所述查询终端釆用所述第一私钥对所述校险信息加密后得到；

所述密钥获取模块， 具体用于根据预先建立的终端与密钥信息之间的映 射关系， 获取与所述查询终端对应的所述第二私钥。

1 2、 根据权利要求 9或 1 0所述的服务器， 其特征在于， 所述第一密钥为 第一私钥， 所述第二密钥为与所述第一私钥相同的第二私钥；

所述报文接收模块， 具体用于接收递归服务器发送的所述 DNS报文， 所 述 DNS报文包括的所述签名信息， 由所述递归服务器在接收到所述查询终端 发送的包括查询终端的身份信息和校验信息的 DNS报文时， 釆用所述第一私 钥对所述校验信息加密后得到；

所述密钥获取模块， 具体用于根据预先建立的递归服务器与密钥信息之 间的映射关系， 获取与所述递归服务器对应的所述第二私钥。

1 3、 根据权利要求 9或 1 0所述的服务器， 其特征在于， 所述第一密钥为 私钥， 所述第二密钥为与所述私钥对应的公钥；

所述报文接收模块， 具体用于接收所述查询终端发送的或所述查询终端 经由递归服务器发送的所述 DNS报文， 所述 DNS报文包括的所述签名信息， 由所述查询终端釆用所述私钥对所述校验信息加密后得到； 所述 DNS报文还 包括所述公钥；

所述密钥获取模块， 具体用于解析所述 DNS报文， 得到所述公钥。

14、 根据权利要求 9或 10所述的服务器， 其特征在于， 所述第一密钥为 私钥， 所述第二密钥为与所述私钥对应的公钥；

所述报文接收模块， 具体用于接收所述查询终端发送的或所述查询终端 经由递归服务器发送的所述 DNS报文， 所述 DNS报文包括的所述签名信息， 由所述查询终端釆用所述私钥对所述校验信息加密后得到； 所述 DNS报文还 包括所述公钥的索引信息；

所述密钥获取模块， 具体用于解析所述 DNS报文， 得到所述索引信息， 并通过查询预先建立的公钥索引表， 获取与所述索引信息对应的所述公钥。

15、 一种对 DNS报文中的身份信息进行认证的***， 其特征在于， 包括： 如 权利要求 9-14任一所述的服务器。