基于本地解析的安全dns系统和dns安全解析方法

基于本地解析的安全dns系统和dns安全解析方法
【技术领域】
[0001]本发明属于网络技术、DNS技术领域，具体涉及一种基于本地解析的安全DNS系统和DNS安全解析方法。
【背景技术】
[0002]在互联网开始出现的时候，网络的规模比较小，主机之间的通信直接使用IP地址，随着网络规模的发展，直接使用IP地址非常不便记忆，业界逐渐使用主机名和IP的映射来解决这一问题，通过主机名，最终得到该主机名对应的IP地址的过程叫做域名解析。最早的域名解析依靠查询本机文件(host文件)获得映射关系，各个主机分别维护自身的host文件，在网络规模指数增长后，受当时的硬件和网络限制，改由专门的结构化的域名系统提供域名解析。
[0003]当前的域名系统(Domain Name System,DNS)已经成为一项基础的网络服务，它的主要作用是完成域名和IP地址之间的翻译转换，负责实现互联网绝大多数应用的寻址过程。DNS通过提供分布式的数据管理，负责处理用户查询服务，涉及到全部的互联网应用过程。域名系统联结着互联网的网络层和应用层，有着重要的作用。
[0004]目前，域名解析系统的实现分为四个层次，包含根域名服务系统、顶级域名服务系统、二级及二级以下权威域名服务系统、递归域名服务系统。递归域名服务器负责处理上网用户的查询请求，帮助互联网用户从权威域名服务系统获取相关信息，权威域名系统从上一级的顶级域名系统获得数据，根域名系统涵盖所有域名数据。依次形成树状解析结构。解析系统如图1所示。用户通过向域名系统发送解析请求，获取域名和IP的对应关系，再向对应的IP地址发送数据请求，实现网络访问。一般来说，绝大多数的网络访问行为都会使用到DNS服务。如果域名系统出现故障，那么包括浏览网站、发送邮件、下载文件等等互联网应用将受到影响。
[0005]当前，针对DNS系统攻击类型非常多，如域名劫持，DDos攻击等。黑客通过更改域名与IP的对应关系，将用户引导至非法网站，欺骗用户谋取非法收益；或者攻击DNS系统，使其无法提供正常的解析。这些都会给用户带来巨大损失。对普通用户而言，需求非常简单，只是希望输入的域名能对应到正确的IP地址。如何保障这一过程不受黑客干扰，同时高效快捷完成访问，是一个非常有挑战的问题。
[0006]目前，解决DNS安全，主要依赖对DNS服务器做安全防护，部署DNS相关的安全设备，防止域名劫持和攻击。主要手段有部署DNSSEC、部署抗攻击设备，以提高DNS服务器安全能力为主。
[0007]DNSSEC (Domain Name System Security Extens1ns)是 DNS 的一种安全扩展，是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。它是对DNS提供给DNS客户端(解析器)的DNS数据来源进行认证，并验证不存在性和校验数据完整性验证，但不提供或机密性和可用性。DNSSEC通过对数据进行数字“签名”来抵御攻击，从而使用户确信数据有效。但是，为了从互联网中消除该漏洞，必须在从根区域到最终域名的查找过程中的每一步都部署该项技术。该技术并不对数据进行加密。它只是验证用户所访问的站点地址是否有效。完全部署DNSSEC可以确保最终用户连接到与特定域名相对应的实际网站或其他服务，起到了保护了互联网的关键部分的作用。目前仅部署在.0rg域名和.gov (美国政府域名)以及部分国家和地区顶级域(ccTLD)，如:.se (瑞典域名)。
[0008]目前的方案，需要大范围部署各型设备，才能保证用户的安全访问，对用户而言，除了被动等待网络设备商部署设备外，缺乏别的有效手段。用户的安全完全取决于网络提供商的保障程度。大规模部署设备的成本较高，且持续时间长，覆盖不到的地区，用户依然暴露在风险之下。而且由于可能的解析过程较长，造成可攻击的环节增多，暴露更多的风险。
[0009]当前，用户更多地关心:我如何做能保证自身的上网安全。因此从用户侧出发考虑如何解决这一问题，更为现实和直接。

【发明内容】

[0010]本发明针对当前DNS解析过程中存在的安全问题，尤其是域名劫持等问题，提出一种普通用户能快速实现的DNS安全解析方案，用户无需等待网络提供商大规模部署安全设备，将安全问题掌控在用户自身手中。
[0011]为实现上述目的，本发明采用如下技术方案:
[0012]一种基于本地解析的安全DNS系统，包括用户端模块和服务器端模块，用户端模块部署在用户自身的主机上，服务器端模块部署在服务提供商，用户端模块和服务器端模块通过私有加密协议进行通信；
[0013]所述用户端模块包含:
[0014]加密通信模块，负责通过私有加密协议将数据加密，与服务器端建立通信关系，通过私有协议集中传递数据；
[0015]固定数据模块，负责存储无需更新的数据；
[0016]可更新数据模块，负责存储服务器端下发的DNS数据，为用户提供常用的DNS信息;
[0017]更新策略模块，负责根据根据用户访问的情况向服务器端提交更新需求；
[0018]所述服务器端模块包含:
[0019]加密通信模块，负责通过私有加密协议将数据加密，与用户端模块建立通信关系，通过私有协议集中传递数据；
[0020]数据收集模块，负责从DNS系统获取可靠的DNS数据；
[0021]数据处理模块，负责处理收集到的DNS数据，根据用户反馈的信息，生成更新数据包；
[0022]数据下发模块，负责下发更新数据包，根据任务调度模块指令，将更新数据定期包分发给用户端模块；
[0023]任务调度模块，负责收集用户的请求信息，判断用户类型，匹配相应的更新数据包，调度分发任务。
[0024]进一步地，所述固定数据模块存储的无需更新的数据包括:服务器端的IP地址，常用IP地址库。
[0025]进一步地，所述固定数据模块设置为只读，不可更改；所述可更新数据模块设为只读，不可更改，只有与服务器端模块进行更新任务时，通过密钥验证后，才可写入数据。
[0026]进一步地，如果用户期望访问的网址在固定数据模块和可更新数据模块中均不存在，则在数据更新时通过所述更新策略模块向服务器端模块提出请求；所述更新策略模块在不与服务器端通讯时，整理用户访问数据，生成更新序列；所述更新策略模块的启用需要用户认可。
[0027]进一步地，所述数据收集模块具备良好的安全防护策略，部署DNSSEC，只从获得认可的数据源获取数据，保证数据的可靠性。
[0028]一种采用上述系统的DNS安全解析方法，包括用户端模块的处理步骤和服务器端模块的处理步骤；
[0029]所述用户端模块处理步骤包括:
[0030]第一步，接收用户指令，判断指令类型，如果是DNS请求，转第二步；如果是更新请求转第四步；
[0031]第二步，查询固定数据模块，如果匹配，返回查询结果；如果不匹配，转第三步；
[0032]第三步，查询可更新数据模块，如果匹配，返回查询结果；如果不匹配，返回查询失败信息；
[0033]第四步，更新策略模块开启更新进程，向服务器端发送更新请求，并监测是否收到回馈信息，如果收到回馈信息，转第五步；如果没有收到回馈信息，等待直至超时，向用户反馈更新失败信息；
[0034]第五步，与服务器端模块建立加密连接，并从服务器端模块下载更新数据包；
[0035]第六步，利用下载的更新数据包对可更新数据模块进行数据更新处理。
[0036]所述服务器端模块处理步骤包括:
[0037]第一步，接收系统指令，判断任务类型，如果是DNS数据处理任务，转第二步，如果是用户更新请求，转第六步；
[0038]第二步，调用数据收集模块，根据用户需求获取可靠DNS数据；
[0039]第三步，调用数据处理模块，对获取的DNS数据进行分类存储；
[0040]第四步，依据用户类型，分类生成更新数据包，供数据下发模块使用；
[0041]第五步，匹配用户类型，确定对应的更新数据包；
[0042]第六步，与用户端模块建立加密连接；
[0043]第七步，调用数据下发模块，根据任务调度模块指令，向用户端模块分发对应的更新数据包。
[0044]与现有技术相比，本发明的有益效果如下:
[0045]1.用户可以通过自主部署完成安全级别的提升，无需等待网络设备的升级；
[0046]2.用户大部分的DNS请求可以在本地完成，解析速度更快；
[0047]3.用户可以获得高等级的DNS安全防护，避免绝大部分的域名劫持可能性。
【附图说明】
[0048]图1是现有的域名解析系统示意图。
[0049]图2是本发明的模块组成示意图。
[0050]图3是本发明的模块关系图。
[0051]图4是本发明的用户端模块处理流程图。
[0052]图5是本发明的服务器端模块处理流程图。
【具体实施方式】
[0053]为使本发明的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例和附图，对本发明做进一步说明。
[0054]本发明方案提出一种便捷的DNS安全解析方案，如图2所示，包含两个模块:用户端模块，服务器端模块。用户端模块部署在用户自身的主机上，服务器端模块部署在该解决方案的提供商。用户端模块和服务器端模块，通过私有加密协议通信。
[0055]用户端模块包含多个子模块，加密通信模块，固定数据模块，可更新数据模块，更新策略模块。
[0056]加密通信模块，负责通过私有加密协议将数据加密，与服务器端建立通信关系，通过私有协议集中传递数据。
[0057]固定数据模块，负责存储无需更新的数据，包括服务器端的IP地址，常用IP地址库，该数据模块