[发明专利]基于本地解析的安全DNS系统和DNS安全解析方法

说明书

技术领域

本发明属于网络技术、DNS技术领域，具体涉及一种基于本地解析的安全DNS系统和DNS安全解析方法。

背景技术

在互联网开始出现的时候，网络的规模比较小，主机之间的通信直接使用IP地址，随着网络规模的发展，直接使用IP地址非常不便记忆，业界逐渐使用主机名和IP的映射来解决这一问题，通过主机名，最终得到该主机名对应的IP地址的过程叫做域名解析。最早的域名解析依靠查询本机文件(host文件)获得映射关系，各个主机分别维护自身的host文件，在网络规模指数增长后，受当时的硬件和网络限制，改由专门的结构化的域名系统提供域名解析。

当前的域名系统(Domain Name System，DNS)已经成为一项基础的网络服务，它的主要作用是完成域名和IP地址之间的翻译转换，负责实现互联网绝大多数应用的寻址过程。DNS通过提供分布式的数据管理，负责处理用户查询服务，涉及到全部的互联网应用过程。域名系统联结着互联网的网络层和应用层，有着重要的作用。

目前，域名解析系统的实现分为四个层次，包含根域名服务系统、顶级域名服务系统、二级及二级以下权威域名服务系统、递归域名服务系统。递归域名服务器负责处理上网用户的查询请求，帮助互联网用户从权威域名服务系统获取相关信息，权威域名系统从上一级的顶级域名系统获得数据，根域名系统涵盖所有域名数据。依次形成树状解析结构。解析系统如图1所示。用户通过向域名系统发送解析请求，获取域名和IP的对应关系，再向对应的IP地址发送数据请求，实现网络访问。一般来说，绝大多数的网络访问行为都会使用到DNS服务。如果域名系统出现故障，那么包括浏览网站、发送邮件、下载文件等等互联网应用将受到影响。

当前，针对DNS系统攻击类型非常多，如域名劫持，DDos攻击等。黑客通过更改域名与IP的对应关系，将用户引导至非法网站，欺骗用户谋取非法收益；或者攻击DNS系统，使其无法提供正常的解析。这些都会给用户带来巨大损失。对普通用户而言，需求非常简单，只是希望输入的域名能对应到正确的IP地址。如何保障这一过程不受黑客干扰，同时高效快捷完成访问，是一个非常有挑战的问题。

目前，解决DNS安全，主要依赖对DNS服务器做安全防护，部署DNS相关的安全设备，防止域名劫持和攻击。主要手段有部署DNSSEC、部署抗攻击设备，以提高DNS服务器安全能力为主。

DNSSEC(Domain Name System Security Extensions)是DNS的一种安全扩展，是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。它是对DNS提供给DNS客户端(解析器)的DNS数据来源进行认证，并验证不存在性和校验数据完整性验证，但不提供或机密性和可用性。DNSSEC通过对数据进行数字“签名”来抵御攻击，从而使用户确信数据有效。但是，为了从互联网中消除该漏洞，必须在从根区域到最终域名的查找过程中的每一步都部署该项技术。该技术并不对数据进行加密。它只是验证用户所访问的站点地址是否有效。完全部署DNSSEC可以确保最终用户连接到与特定域名相对应的实际网站或其他服务，起到了保护了互联网的关键部分的作用。目前仅部署在.org域名和.gov(美国政府域名)以及部分国家和地区顶级域(ccTLD)，如：.se(瑞典域名)。

目前的方案，需要大范围部署各型设备，才能保证用户的安全访问，对用户而言，除了被动等待网络设备商部署设备外，缺乏别的有效手段。用户的安全完全取决于网络提供商的保障程度。大规模部署设备的成本较高，且持续时间长，覆盖不到的地区，用户依然暴露在风险之下。而且由于可能的解析过程较长，造成可攻击的环节增多，暴露更多的风险。

当前，用户更多地关心：我如何做能保证自身的上网安全。因此从用户侧出发考虑如何解决这一问题，更为现实和直接。

发明内容

本发明针对当前DNS解析过程中存在的安全问题，尤其是域名劫持等问题，提出一种普通用户能快速实现的DNS安全解析方案，用户无需等待网络提供商大规模部署安全设备，将安全问题掌控在用户自身手中。

为实现上述目的，本发明采用如下技术方案：

一种基于本地解析的安全DNS系统，包括用户端模块和服务器端模块，用户端模块部署在用户自身的主机上，服务器端模块部署在服务提供商，用户端模块和服务器端模块通过私有加密协议进行通信；

所述用户端模块包含：

加密通信模块，负责通过私有加密协议将数据加密，与服务器端建立通信关系，通过私有协议集中传递数据；