[发明专利]一种DNS区数据校验的方法和装置

说明书

本申请公开了一种DNS区数据校验的方法和装置，该方法包括：每次辅DNS服务器完成增量更新后，从增量数据文件最新的更新事务中获取对应最新序列号的最新的更新事务数字指纹为第一校验数字指纹；第k个更新事务数字指纹是基于本地区文件和增量数据文件中第1至k个更新事务的资源记录查询哈希值利用数字指纹编码算法预先生成并存储的；从主DNS服务器的区文件中获取对应最新序列号的数字指纹为第一标准数字指纹；若第一校验数字指纹与第一标准数字指纹不一致，确定辅DNS服务器的DNS区数据异常。可见，将数字指纹技术应用于DNS区数据校验，建立DNS区数据一致性校验方法，及时发现DNS区数据不一致的安全隐患。

技术领域

本申请涉及数据处理技术领域，尤其涉及一种DNS区数据校验的方法和装置。

背景技术

随着计算机科学技术的快速发展，互联网业务逐渐渗透至社会各个领域，在各个领域中的应用越来越广泛。全球互联网域名数量已十分庞大并与日俱增，其中，传统顶级域名的数据量已达数千万或上亿，随着新顶级域名(英文：new generic top-level domains，缩写：New gTLD)的不断推广，其数据量也在极速增长。

面对当今极端复杂多变的网络环境，域名系统(英文：Domain Name System，缩写：DNS)作为全球互联网域名的管理和解析系统，确保大量域名数据的安全性对互联网业务的发展具有重要意义。由于DNS是典型的分布式系统，保障各级DNS节点间需要同步的区数据的一致性对确保域名数据的安全性至关重要。

但是，发明人经过研究发现，现阶段DNS中并未引入区数据一致性校验机制，攻击者可通过技术手段篡改未经签名的DNS报文中的数据，对重要域名数据进行破坏；导致DNS节点管理的区数据存在安全隐患。即，目前DNS尚不能确保区数据在多级分布式系统中的一致性，给域名数据的安全造成巨大威胁。

发明内容

本申请所要解决的技术问题是，提供一种DNS区数据校验的方法和装置，建立行之有效的、操作性和实用性较好的DNS区数据一致性校验方法，有效甄别、及时发现DNS区数据不一致的安全隐患。

第一方面，本申请实施例提供了一种DNS区数据校验的方法，应用于辅DNS服务器，该方法包括：

每次所述辅DNS服务器完成增量更新后，从增量数据文件最新的更新事务中获取最新的更新事务数字指纹作为第一校验数字指纹，所述第一校验数字指纹对应最新序列号；所述更新事务包括区数据更新操作涉及的资源记录，第k个所述更新事务数字指纹是基于本地区文件的资源记录查询哈希值和所述增量数据文件中第1至k个所述更新事务的资源记录查询哈希值利用数字指纹编码算法预先生成并存储的；

从主DNS服务器的区文件中获得对应所述最新序列号的数字指纹作为第一标准数字指纹；

若所述第一校验数字指纹与所述第一标准数字指纹不一致，确定所述辅DNS服务器的DNS区数据异常。

可选的，若所述主DNS服务器未完成增量数据文件向本地区文件的合并回写操作，所述从主DNS服务器的区文件中获得对应所述最新序列号的数字指纹作为第一标准数字指纹，包括：

从所述主DNS服务器的增量数据文件中确定对应所述最新序列号的目标更新事务；

从所述目标更新事务中获得目标更新事务数字指纹作为所述第一标准数字指纹。

可选的，若所述主DNS服务器完成增量数据文件向本地区文件的合并回写操作，所述从主DNS服务器的区文件中获得对应所述最新序列号的数字指纹作为第一标准数字指纹，具体为：

基于所述主DNS服务器的本地区文件的资源记录查询哈希值利用所述数字指纹编码算法生成对应所述最新序列号的本地区文件数字指纹作为所述第一标准数字指纹。

可选的，还包括：