本发明专利技术提供一种带取证分析扩展的DNSSEC系统实现方法,包括如下步骤:S1:进行DNS系统域名规划,确定DNS系统的域名分区,以及域名从根、顶级到各级域名的层次结构;S 2:利用各级域名服务器所管理域名分区的定义,分别生成配置文件;S 3:针对根域名服务器和非根域名服务器分别进行网络与运行环境的基础配置;S 4:针对根域名服务器和非根域名服务器分别规划取证分析通道;S 5:针对服务器管理的域名分区中域名数据的数字签名;S 6:域名服务器中权威域名服务器的签署;S 7:建立DNS系统签名验证的信任链,并完成配置;S 8:定义日志优先级别和定义通道文件,实现取证分析数据的提取。实现取证分析数据的提取。实现取证分析数据的提取。
【技术实现步骤摘要】
一种带取证分析扩展的DNSSEC系统实现方法
[0001]本专利技术具体涉及一种带取证分析扩展的DNSSEC系统实现方法。
技术介绍
[0002]DNS服务已经成为互联网服务中最重要的基础服务之一,它提供了域名到IP的转换服务,通过DNS系统,用户无需记忆大量抽象的无实际意义的IP地址,而只需要记住直观的域名,这极大地方便了用户访问互联网。但是,DNS作为“互联网的地址簿”,其重要性让其成了黑客主要攻击对象,比如DDOS攻击、DNS劫持、缓存投毒和DNS欺骗等。为此,提升DNS系统扩展安全性的策略,成为DNS系统部署和升级的主要目标之一,其核心思想是通过加强检查响应消息中的域名资源记录RR与原始查询的相关性的相关测试和策略,实现DNS系统防御性能。
[0003]目前DNS系统的安全性策略有基于RFC 2845提出来的DNS的密钥事务认证(TSIG)、基于RFC 3645中提出了DNS密钥交易认证的通用安全服务算法(GSS
‑
TSIG),以及2020年RFC 8945更新的TSIG,在传统DNS系统的安全升级中得到了一定的推广应用。另外一种安全策略就是基于RFC 2535提出的DNS安全扩展DNSSEC技术,在RFC4033和RFC4034中对DNSSEC技术和实现进行了完善,并对资源记录进行了更详细定义,促进了DNS系统进入到新的发展阶段,但是存在实际部署缓慢的现实。为此对基于DNSSEC的安全扩展部署或传统DNS系统的安全升级换代部署成为研究热点。
[0004]此外,鉴于黑客技术的发展,特别是针对DNS系统的攻击的常态化和复杂化,建立DNS系统的取证分析成为了DNS系统部署的一个重要目标。如何构架低资源消耗、且能向受害者提供签名证据,允许向第三方(如法院或处置机构)证明针对DNS系统违规行为的取证分析通道成为DNS安全扩展的研究热点。
技术实现思路
[0005]本专利技术的目的在于针对现有技术的不足,提供一种带取证分析扩展的DNSSEC系统实现方法,该带取证分析扩展的DNSSEC系统实现方法可以很好地解决上述问题。
[0006]为达到上述要求,本专利技术采取的技术方案是:提供一种带取证分析扩展的DNSSEC系统实现方法,该带取证分析扩展的DNSSEC系统实现方法包括如下步骤:
[0007]S1:进行DNS系统域名规划,确定DNS系统的域名分区,以及域名从根、顶级到各级域名的层次结构;
[0008]S 2:利用各级域名服务器所管理域名分区的定义,分别生成配置文件;
[0009]S 3:针对根域名服务器和非根域名服务器分别进行网络与运行环境的基础配置;
[0010]S 4:针对根域名服务器和非根域名服务器分别规划取证分析通道;
[0011]S 5:针对服务器管理的域名分区中域名数据的数字签名;
[0012]S 6:域名服务器中权威域名服务器的签署;
[0013]S 7:建立DNS系统签名验证的信任链,并完成配置;
[0014]S 8:定义日志优先级别和定义通道文件,实现取证分析数据的提取。
[0015]该带取证分析扩展的DNSSEC系统实现方法首先根据应用需求进行DNSSEC系统规划,完成DNS域名分区、域名层次结构的规划;接着,根据DNSSEC系统规划生成基础配置文件;然后,针对根域名服务器和非根域名服务器分别进行配置,包括IP地址、端口、身份验证、配置文件植入;同时,针对各个服务器分别规划取证分析通道。下一步,完成各个域名服务器的域名数据的数字签名;以及完成权威域名服务器的签署;最后,进行DNSSEC系统签名验证的信任链配置。另外,定义日志优先级别和定义通道文件;实现取证分析数据的提取。基于上述步骤的实现方法,也可以在已有DNS系统进行安全扩展的升级部署过程中进行实现。
附图说明
[0016]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,在这些附图中使用相同的参考标号来表示相同或相似的部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0017]图1示意性地示出了根据本申请一个实施例的带取证分析扩展的DNSSEC系统实现方法的流程示意图。
[0018]图2示意性地示出了根据本申请一个实施例的带取证分析扩展的DNSSEC系统实现方法中DNSSEC系统架构示意图。
具体实施方式
[0019]为使本申请的目的、技术方案和优点更加清楚,以下结合附图及具体实施例,对本申请作进一步地详细说明。
[0020]在以下描述中,对“一个实施例”、“实施例”、“一个示例”、“示例”等等的引用表明如此描述的实施例或示例可以包括特定特征、结构、特性、性质、元素或限度,但并非每个实施例或示例都必然包括特定特征、结构、特性、性质、元素或限度。另外,重复使用短语“根据本申请的一个实施例”虽然有可能是指代相同实施例,但并非必然指代相同的实施例。
[0021]为简单起见,以下描述中省略了本领域技术人员公知的某些技术特征。根据本申请的一个实施例,提供一种带取证分析扩展的DNSSEC系统实现方法,如图1
‑
2所示,包括如下步骤:
[0022]步骤1:进行DNS系统域名规划,确定DNS系统的域名分区(zoom),以及域名从根、顶级到各级域名的层次结构;
[0023]步骤2:利用各级域名服务器所管理域名分区的定义,分别生成配置文件;
[0024]步骤3:针对根域名服务器和非根域名服务器分别进行网络与运行环境的基础配置;
[0025]步骤4:针对根域名服务器和非根域名服务器分别规划取证分析通道;
[0026]步骤5:针对服务器管理的域名分区中域名数据的数字签名;
[0027]步骤6:域名服务器中权威域名服务器的签署;
[0028]步骤7:建立DNS系统签名验证的信任链,并完成配置;
[0029]步骤8:定义日志优先级别和定义通道文件,实现取证分析数据的提取。
[0030]根据本申请的一个实施例,该带取证分析扩展的DNSSEC系统实现方法的步骤S1中的系统规划是指,根据所部署的DNSSEC系统的设计要求,或者要对已有DNS系统进行安全升级的设计要求,规划域名服务器的体现结构,包括根域名服务器、顶级域名服务器等,以及整个系统的域名分区zoom划分。比如图2所示DNS系统的部署要求,可以规划四个域名服务器和三个,分别对于二级域名学生域名Zone“student.edu.”和教师域名Zone“teacher.edu”,以及顶级域名Zone“cn.”。
[0031]根据本申请的一个实施例,该带取证分析扩展的DNSSEC系统实现方法的步骤S2中的生成配置文件是指,利用各级域名服务器管理域名分区规划,定义域名分区与IP地址解析规则保存的文件位置以及服务类型(hint根区域、master主区域、slave辅助区域)等内容。比如:zone“.”IN{
[0032]ty本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种带取证分析扩展的DNSSEC系统实现方法,其特征在于:包括如下步骤:S1:进行DNS系统域名规划,确定DNS系统的域名分区,以及域名从根、顶级到各级域名的层次结构;S2:利用各级域名服务器所管理域名分区的定义,分别生成配置文件;S3:针对根域名服务器和非根域名服务器分别进行网络与运行环境的基础配置;S4:针对根域名服务器和非根域名服务器分别规划取证分析通道;S5:针对服务器管理的域名分区中域名数据的数字签名;S6:域名服务器中权威域名服务器的签署;S7:建立DNS系统签名验证的信任链,并完成配置;S8:定义日志优先级别和定义通道文件,实现取证分析数据的提取。2.根据权利要求1所述的带取证分析扩展的DNSSEC系统实现方法,其特征在于:S1所述的DNS系统的系统规划,是需要根据所部署的DNSSEC系统的设计要求,或者要对已有DNS系统进行安全升级的设计要求,规划域名服务器的体现结构,以及整个系统的域名分区。3.根据权利要求1所述的带取证分析扩展的DNSSEC系统实现方法,其特征在于:S2所述的生成配置文件,是利用各级域名服务器管理域名分区规划,定义域名分区与IP地址解析规则保存的文件位置以及服务类型的内容。4.根据权利要求1所述的带取证分析扩展的DNSSEC系统实现方法,其特征在于:S3所述的针对根域名服务器和非根域名服务器的基础配置,包括操作系统OS优化、网络配置、身份验证、DNS域名解析程序运行环境配置。5.根据权利要求1所述的带取证分析扩展的DNSSEC系统实现方法,其特征在于:S4所述的规划取证分析通道是针对根服务器和非根服务器定义日志数据,规划DNSSEC系统运行日志...
【专利技术属性】
技术研发人员:李妍星,王真文,赵克林,
申请(专利权)人:四川长江职业学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。