一种域名系统DNS域名解析方法及相关装置与流程

本技术主要涉及网络安全，尤其涉及一种域名系统dns域名解析方法及相关装置。

背景技术：

1、域名系统安全扩展(domain name system security extensions，dnssec)是由ietf提供的一系列dns安全认证机制，dnssec通过为dns中的数据添加数字签名信息，确保dns中数据的完整性。

2、目前，dnssec中使用的签名算法大多为传统签名算法，例如，rsa加密算法、椭圆曲线数字签名算法(elliptic curve digital signature algorithm，ecdsa)等。

3、但随着舒尔量子算法(shor量子算法)以及量子计算的快速发展，量子算法因其具有强大的计算能力和计算速度，导致传统签名算法具有被量子算法破解的危险，即dnssec使用的传统签名算法已不能完全抵抗量子算法的攻击，进而导致使用传统签名算法的dnssec安全性降低。

4、虽然，后量子密码(post-quantum cryptography，pqc)是一种能够抵抗量子计算对现有签名算法攻击的新一代签名算法，能够保证签名算法在量子环境下的安全，但dnssec目前不完全能使用后量子密码。

5、示例性的，目前的dnssec只能单独设置传统签名算法或者单独设置后量子密码算法，无法根据dnssec对签名算法的兼容性来选择适合dnssec的最佳签名算法。

6、因此，如何为dnssec选择最佳的签名算法，以确保数据的安全性和完整性并且实现域名解析，是亟需解决的问题。

技术实现思路

1、本技术实施例提供了一种dns域名解析方法及相关装置，用以确保dnssec能够选择最佳的签名算法，通过采用密码套件和设置后量子签名算法与传统签名算法优先级的方式，确保dns中数据的完整性和安全性。

2、第一方面，本技术提供了一种域名系统dnc域名解析方法，所述方法包括：

3、根服务器接收解析服务器发送的域名查询请求，从所述域名查询请求中，获取所述解析服务器支持的多个密码套件；其中，每个密码套件表征：所述解析服务器支持的传统签名算法或后量子签名算法；

4、所述根服务器根据自身支持的各签名算法，从所述多个密码套件中，选择目标密码套件；其中，所述目标密码套件包含：所述根服务器支持的传统签名算法或后量子签名算法；

5、所述根服务器从所述目标密码套件中，筛选出满足优先级条件的目标签名算法，并根据所述目标签名算法，对基于所述域名查询请求获得的一级域名进行数字签名，得到签名后的一级域名；

6、所述根服务器将所述签名后的一级域名和所述目标密码套件发送给所述解析服务器，以使所述解析服务器基于所述目标密码套件中的目标签名算法，对所述签名后的一级域名进行数字签名验签，获得验签成功后的一级域名。

7、在一种可选的实施方式中，所述后量子签名算法的优先级为第一优先级，所述传统签名算法的优先级为第二优先级；其中；所述第一优先级高于所述第二优先级。

8、在一种可选的实施方式中，所述根服务器根据自身支持的各签名算法，从所述多个密码套件中，选择目标密码套件，包括：

9、针对所述多个密码套件，分别执行以下操作：

10、所述根服务器获取一个密码套件包含的多个签名算法各自的公钥哈希值，以及所述各签名算法各自对应的公钥哈希值；其中，每个公钥哈希值表征：相应签名算法的类型；

11、若所述多个签名算法各自的公钥哈希值包含所述各签名算法各自的公钥哈希值，则将所述一个密码套件作为所述目标密码套件。

12、在一种可选的实施方式中，所述根服务器将所述签名后的一级域名和所述目标密码套件发送给所述解析服务器，以使所述解析服务器基于所述目标密码套件中的目标签名算法，对所述签名后的一级域名进行数字签名验签，获得验签成功后的一级域名之后，还包括：

13、所述根服务器指示所述解析服务器向所述根服务器的一级子服务器发送域名查询请求，以使所述解析服务器接收所述一级子服务器基于所述域名查询请求数字签名后的二级域名，并对所述数字签名后的二级域名进行数字签名验签，获得验签成功后的二级域名；其中，所述验签成功后的二级域名对应的域名信息完整度大于所述验签成功后的一级域名对应的域名信息完整度。

14、在一种可选的实施方式中，指示所述解析服务器向所述根服务器的一级子服务器发送域名查询请求，以使所述解析服务器接收所述一级子服务器基于所述域名查询请求数字签名后的二级域名，并对所述数字签名后的二级域名进行数字签名验签，获得验签成功后的二级域名之后，还包括：

15、所述根服务器指示所述解析服务器向所述根服务器的二级子服务器发送的三级域名查询请求，以使所述解析服务器接收所述二级服务器基于域名查询请求数字签名后的三级域名，并对所述数字签名后的二级域名进行数字签名验签，获得验签成功后的二级域名；其中所述验签成功后的三级域名对应的域名信息完整度大于所述验签成功后的二级域名对应的域名信息完整度。

16、第二方面，本技术提供了一种域名系统dns域名解析装置，所述装置包括：

17、接收模块，用于根服务器接收解析服务器发送的域名查询请求，从所述域名查询请求中，获取所述解析服务器支持的多个密码套件；其中，每个密码套件表征：所述解析服务器支持的传统签名算法和/或后量子签名算法；

18、选择模块，用于所述根服务器根据自身支持的各签名算法，从所述多个密码套件中，选择目标密码套件；其中，所述目标密码套件包含：所述根服务器支持的传统签名算法或后量子签名算法；

19、第一处理模块，用于所述根服务器从所述目标密码套件中，筛选出满足优先级条件的目标签名算法，并根据所述目标签名算法，对基于所述域名查询请求获得的一级域名进行数字签名，得到签名后的一级域名；

20、第二处理模块，用于所述根服务器将所述签名后的一级域名和所述目标密码套件发送给所述解析服务器，以使所述解析服务器基于所述目标密码套件中的目标签名算法，对所述签名后的一级域名进行数字签名验签，获得验签成功后的一级域名。

21、在一种可选的实施方式中，所述后量子签名算法的优先级为第一优先级，所述传统签名算法的优先级为第二优先级；其中，所述第一优先级高于所述第二优先级。

22、在一种可选的实施方式中，所述根服务器根据自身支持的各签名算法，从所述多个密码套件中，选择目标密码套件，所述选择模块具体用于：

23、针对所述多个密码套件，分别执行以下操作：

24、所述根服务器获取一个密码套件包含的多个签名算法各自的公钥哈希值，以及所述个签名算法各自对应的公钥哈希值；其中，每个公钥哈希值表征：相应签名算法的类型；

25、若所述多个签名算法各自的公钥哈希值包含所述各签名算法各自的公钥哈希值，则将所述一个密码套件作为所述目标密码套件。

26、在一种可选的实施方式中，所述根服务器将所述签名后的一级域名和所述目标密码套件发送给所述解析服务器，以使所述解析服务器基于所述目标密码套件中的目标签名算法，对所述签名后的一级域名进行数字签名验签，获得验签成功后的一级域名之后，所述第二处理模块还用于：

27、所述根服务器指示所述解析服务器向所述根服务器的一级子服务器发送域名查询请求，以使所述解析服务器接收所述一级子服务器基于所述域名查询请求加密后的二级域名，并对所述加密后的二级域名进行数字签名解密，获得解密后的二级域名；其中，所述解密后的二级域名对应的域名信息完整度大于所述解密后的一级域名对应的域名信息完整度。

28、在一种可选的实施方式中，指示所述解析服务器向所述根服务器的一级子服务器发送域名查询请求，以使所述解析服务器接收所述一级子服务器基于所述域名查询请求数字签名后的二级域名，并对所述数字签名后的二级域名进行数字签名验签，获得验签成功后的二级域名之后，所述第二处理模块还用于：

29、所述根服务器指示所述解析服务器向所述根服务器的二级子服务器发送三级域名查询请求，以使所述解析服务器接收所述二级服务器基于域名查询请求数字签名后的三级域名，并对所述数字签名后的二级域名进行数字签名验签，获得验签成功后的三级域名；其中，所述验签成功后的三级域名对应的域名信息完整度大于所述验签成功后的二级域名对应的域名信息完整度。

30、第三方面，本技术提供了一种电子设备，包括：

31、存储器，用于存放计算机程序；

32、处理器，用于执行所述存储器上所存放的计算机程序时，实现上述的一种dns域名解析方法的步骤。

33、第四方面，本技术提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述的一种dns域名解析方法的步骤。

34、通过本技术实施例的上述一个或多个实施例中的技术方案，本技术实施例至少具有如下有益效果：

35、在本技术实施例所提供的dns域名解析方法中，首先，根服务器接收解析服务器发送的域名查询请求，从域名查询请求中，获取解析服务器支持的多个密码套件，然后根服务器根据自身支持的各签名算法，从多个密码套件中，选择目标密码套件，这样，便可使根服务器选择最佳的密码套件；进一步根服务器从目标密码套件中筛选出满足优先级条件的目标签名算法，并根据目标签名算法，对基于域名查询请求获得的一级域名进行数字签名，得到签名后的一级域名；最后根服务器将签名后的一级域名和目标密码套件发送给解析服务器，以使解析服务器基于目标密码套件中的目标签名算法对签名后的一级域名进行数字签名验签，获得验签成功后的一级域名。

36、采用这种方式，通过设置密码套件以及设置后量子签名算法与传统签名算法的优先级，在dnssec能够使用后量子签名算法时，使用采用后量子签名算法进行数字签名，保证双方能够使用最佳的签名算法，加速传统签名算法向后量子签名算法的迁移，保证dns服务的可用性、兼容性与安全性。

37、并且，避免了相关技术中，只能对dnssec单独设置传统签名算法或者后量子签名算法的局限。

38、上述第二方面至第四方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面及第一方面中的各种可能方案可以达到的技术效果说明，这里不再重复赘述。