(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210558437.1 (22)申请日 2022.05.20 (71)申请人 四川长江职业学院 地址 610000 四川省成 都市龙泉驿区成洛 路828号 (72)发明人 李妍星　王真文　赵克林　 (74)专利代理 机构 四川雍和道知识产权代理事 务所(特殊普通 合伙) 51348 专利代理师 刘宇辉 (51)Int.Cl. H04L 9/32(2006.01) H04L 61/4511(2022.01) (54)发明名称 一种带取证分析扩展的DNSSEC系统实现方 法 (57)摘要 本发明提供一种带取证分析扩展的DNSSEC 系统实现方法， 包括如下步骤： S1： 进行DNS系统 域名规划， 确定DNS系统的域名分区， 以及域名从 根、 顶级到各级域名的层次结构； S  2： 利用各级 域名服务器所管理域名分区的定义， 分别生成配 置文件； S  3： 针对根域名服务器和非根域名服务 器分别进行网络与运行环境的基础配置； S  4： 针 对根域名服务器和非根域名服务器分别规划取 证分析通道； S  5： 针对服务器管理的域名分区中 域名数据的数字签名； S  6： 域名服务器中权威域 名服务器的签署； S  7： 建立DNS系统签名验证的 信任链， 并完成配置； S  8： 定义日志优先级别和 定义通道文件， 实现取证分析 数据的提取。 权利要求书2页 说明书4页 附图2页 CN 115065477 A 2022.09.16 CN 115065477 A 1.一种带 取证分析扩展的DNS SEC系统实现方法， 其特 征在于： 包括如下步骤： S1： 进行DNS系统域名规划， 确定DNS系统的域名分区， 以及域名从根、 顶级到各级域名 的层次结构； S2： 利用各级域名服 务器所管理域名分区的定义， 分别生成配置文件； S3： 针对根 域名服务器和非根 域名服务器分别进行网络与运行环境的基础配置； S4： 针对根 域名服务器和非根 域名服务器分别规划取证分析通道； S5： 针对服 务器管理的域名分区中域名数据的数字签名； S6： 域名服 务器中权威 域名服务器的签署； S7： 建立DNS系统签名验证的信任链， 并完成配置； S8： 定义日志优先级别和定义 通道文件， 实现取证分析 数据的提取。 2.根据权利 要求1所述的带取证分析扩展的DNSSEC系统实现方法， 其特征在于： S1所述 的DNS系统的系统规划， 是需要根据所部署的DNSSEC系统的设计要求， 或者要对已有DNS系 统进行安全升级的设计要求， 规划域名服 务器的体现结构， 以及整个系统的域名分区。 3.根据权利 要求1所述的带取证分析扩展的DNSSEC系统实现方法， 其特征在于： S2所述 的生成配置文件， 是利用各级域名服务器管理域名分区规划， 定义域名分区与IP地址解析 规则保存的文件位置以及服 务类型的内容。 4.根据权利 要求1所述的带取证分析扩展的DNSSEC系统实现方法， 其特征在于： S3所述 的针对根域名服务器和非根域名服务器的基础配置， 包括操作系统OS优化、 网络配置、 身份 验证、 DNS域名解析程序运行环境配置 。 5.根据权利 要求1所述的带取证分析扩展的DNSSEC系统实现方法， 其特征在于： S4所述 的规划取证分析通道是针对根服务器和非根服务器定义日志数据， 规划DNSS EC系统运行日 志数据到数据库文件的具体结构， 数据结构至少包括日志类别、 日志数据、 写入时间、 消息 级别。 6.根据权利 要求1所述的带取证分析扩展的DNSSEC系统实现方法， 其特征在于： S5所述 的域名数据的数字签名， 是基于域名服务器的身份验证， 以及所管理的域名分区， 进 行根服 务器和非根 服务器的域名数据数字签名。 7.根据权利 要求1所述的带取证分析扩展的DNSSEC系统实现方法， 其特征在于： S6所述 的权威域名服务器的签署， 保障域名服 务器的域名解析及查询响应。 8.根据权利 要求1所述的带取证分析扩展的DNSSEC系统实现方法， 其特征在于： S7所述 的签名验证的信任链， 包括如下子步骤： 步骤7‑1： 根域名服务区在域名根区定义信任描点， 对根区的密钥签名密钥KSK进行确 认； 步骤7‑2： 然后根区密钥签名密钥KSK对根区域信息签名密钥ZSK进行签名； 步骤7‑3： 根区区域签名密钥ZSK对顶级域名分区的委派记录DS进行签名， 顶级域名区 域的密钥签名密钥KSK由委派记录D S来进行验证。 步骤7‑4： 顶级域名分区的密钥签名密钥KSK对顶级域名分区密钥ZSK进行签名， 同时顶 级域名根区签名密钥ZSK对下一级域名分区的委派记录D S进行签名。 9.根据权利 要求1所述的带取证分析扩展的DNSSEC系统实现方法， 其特征在于： S8定义 日志优先级别和定义通道文件， 重点针对域名解析Resolv er、 DNS安全扩展DNSSEC等日志进权　利　要　求　书 1/2 页 2 CN 115065477 A 2行专门配置和优先级定义， 并定义从通道文件数据和服务器缓存数据获取数据的时间要求 和缓存数据库地址 。权　利　要　求　书 2/2 页 3 CN 115065477 A 3