本發(fā)明涉及一種公證方法及系統(tǒng)，尤其涉及一種基于聯(lián)盟鏈的DNS資源記錄公證方法及系統(tǒng)。

背景技術(shù)：

隨著比特幣(Bitcoin)近年來的快速發(fā)展，其底層支撐架構(gòu)——區(qū)塊鏈(Blockchain)技術(shù)備受矚目，其研究與應(yīng)用熱度也不斷提高。

區(qū)塊鏈技術(shù)起源于2008年由比特幣之父，日裔美國人中本聰發(fā)表的論文《比特幣：一種點對點電子現(xiàn)金系統(tǒng)》。文中提到，區(qū)塊鏈是一種數(shù)據(jù)結(jié)構(gòu)，也是該電子現(xiàn)金系統(tǒng)的核心技術(shù)。該系統(tǒng)的實現(xiàn)原理是，利用區(qū)塊鏈讓系統(tǒng)中的任意多個節(jié)點把一段時間內(nèi)系統(tǒng)交互的數(shù)據(jù)，通過密碼學(xué)算法計算并記錄到一個區(qū)塊(Block)，并且生成該區(qū)塊的指紋以用于驗證和鏈接下一個區(qū)塊，系統(tǒng)所有參與節(jié)點共同認定記錄的真實性。

在區(qū)塊鏈中，一枚電子貨幣是一串?dāng)?shù)字簽名：在進行交易時，每一位電子貨幣所有者通過對前一次交易和下一位擁有者的公鑰(Public key)簽署一個隨機散列的數(shù)字簽名，并將這個簽名附加在這枚電子貨幣的末尾，電子貨幣就發(fā)送給了下一位所有者。而收款人通過對簽名進行檢驗，就能夠驗證該鏈條的所有者。

在區(qū)塊鏈中，為了解決交易信息如何寫入?yún)^(qū)塊的問題，區(qū)塊鏈中引入了工作量證明機制如圖1所示，通過區(qū)塊中補增一個隨機數(shù)，使得該給定區(qū)塊的隨機散列值滿足所需的數(shù)目的0。而通過反復(fù)嘗試來找到該隨機數(shù)的過程，即構(gòu)建了一個工作量證明機制。只要CPU耗費的工作量能夠滿足該工作量證明機制，那么除非重新完成相當(dāng)?shù)墓ぷ髁?，該區(qū)塊的信息就不可更改。同時，如果要更改該區(qū)塊中的信息，就需要重新完成之后所有區(qū)塊的全部工作量。

工作量證明機制引入了對某一個特定值的掃描工作，比如采用SHA-256算法時，隨機散列值以一個或多個0開始。那么隨著0的數(shù)目的上升，找到這個解所需要的工作量將呈指數(shù)增長，而檢驗結(jié)果僅需要一次隨機散列運算。在區(qū)塊鏈中，區(qū)塊的產(chǎn)生過程主要包括五個步驟：

1)新的交易向全網(wǎng)進行廣播；

2)每一個節(jié)點都將收到的交易信息納入一個區(qū)塊中；

3)每個節(jié)點都嘗試在自己的區(qū)塊中找到一個具有足夠難度的工作量證明；

4)當(dāng)一個節(jié)點找到了一個工作量證明，它就向全網(wǎng)進行廣播；

5)當(dāng)且僅當(dāng)包含在該區(qū)塊中的所有交易都是有效的且之前未存在過的，其他節(jié)點才認同該區(qū)塊的有效性；

區(qū)塊鏈技術(shù)的核心優(yōu)勢是去中心化，能夠通過運用數(shù)據(jù)加密、時間戳、分布式共識和經(jīng)濟激勵等手段，在節(jié)點無需互相信任的分布式系統(tǒng)中實現(xiàn)基于去中心化信用的點對點交易、協(xié)調(diào)與協(xié)作，從而為解決中心化機構(gòu)普遍存在的高成本、低效率和數(shù)據(jù)存儲不安全等問題提供了解決方案。近年來，區(qū)塊鏈的商業(yè)應(yīng)用呈現(xiàn)出爆發(fā)式增長態(tài)勢,被認為是繼大型機、個人電腦、互聯(lián)網(wǎng)、移動/社交網(wǎng)絡(luò)之后計算范式的第五次顛覆式創(chuàng)新。

區(qū)塊鏈技術(shù)中的兩項重要的功能：哈希和安全時間戳，為文件真實性的驗證和認證提供了新的可能。

所謂哈希就是針對計算機上任何內(nèi)容的文件所運行的算法(一份文件、一個基因組文件、一張圖片或者一段視頻等)，運算結(jié)果將會根據(jù)內(nèi)容壓縮成一串?dāng)?shù)字字母組成的字符串，而這字符串將不能重新反向推出原來的內(nèi)容。在任何時候如果需要重新確認內(nèi)容，那么同樣的哈希算法針對內(nèi)容進行計算，只要文件沒有任何變化，那么哈希算法所獲得的字符串(簽名)將不會有任何變化。

由于哈希散列非常短，足夠放在區(qū)塊鏈交易的文本內(nèi)，因此當(dāng)交易發(fā)生時可以把它作為一個安全時間戳作為交易證明。通過哈希，原始文件的內(nèi)容基本可以編碼進入?yún)^(qū)塊鏈，則區(qū)塊鏈能夠成為一個文件登記表。

根據(jù)實際應(yīng)用場景和需求，區(qū)塊鏈技術(shù)已經(jīng)演化出三種應(yīng)用模式，即公共鏈、聯(lián)盟鏈和私有鏈。其中，公共鏈是完全去中心化的區(qū)塊鏈，分布式系統(tǒng)的任何節(jié)點均可參與鏈上數(shù)據(jù)的讀寫、驗證和共識過程，其中比特幣是公共鏈的典型代表。聯(lián)盟鏈則是部分去中心化(或稱多中心化)的區(qū)塊鏈，適用于多個實體構(gòu)成的組織或聯(lián)盟，其共識過程受到預(yù)定義的一組節(jié)點控制，例如生成區(qū)塊需要獲得10個預(yù)選的共識節(jié)點中的5個節(jié)點確認。私有鏈則是完全中心化的區(qū)塊鏈，適用于特定機構(gòu)的內(nèi)部數(shù)據(jù)管理與審計等,其寫入權(quán)限由中心機構(gòu)控制,而讀取權(quán)限可視需求有選擇性地對外開放。

作為第一批將區(qū)塊鏈技術(shù)運用于非貨幣領(lǐng)域的應(yīng)用之一，Namecoin能夠用于檢驗DNS注冊，并能夠免于網(wǎng)絡(luò)審查。其基本思想是將域名注冊信息永久性的寫入?yún)^(qū)塊鏈中，而不會被任何政府控制域名。Namecoin通過點對點網(wǎng)絡(luò)來共享一張DNS查詢表，只需運行去中心化DNS服務(wù)器軟件，在該系統(tǒng)中注冊的域名即可以被訪問。Namecoin目前只能用作.bit域名的注冊，除此之外在當(dāng)前互聯(lián)網(wǎng)中，瀏覽器默認不支持解析.bit網(wǎng)址，需要安裝插件，這個問題會導(dǎo)致大部分人無法訪問.bit網(wǎng)站。另外，根據(jù)工信部發(fā)布的有關(guān)規(guī)定，.bit無法備案就不能在中國境內(nèi)機房托管，進一步造成.bit網(wǎng)站無法使用。由于Namecoin的匿名、低成本、無法審查的特性，給非法行為也提供了便利。綜合各種因素，Namecoin難以向大眾普及。

作為一種中心化的互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)設(shè)施，DNS(Domain Name System，域名管理系統(tǒng))是一種實現(xiàn)域名與IP地址相互映射的分布式數(shù)據(jù)庫，具有較高的查詢和管理效率，是網(wǎng)民訪問網(wǎng)絡(luò)應(yīng)用的唯一入口。

在DNS中，每個區(qū)域數(shù)據(jù)庫文件都是由資源記錄構(gòu)成的，包括SOA記錄、NS記錄、A記錄、CNAME記錄、MX記錄和PTR記錄。但作為互聯(lián)網(wǎng)中的早期協(xié)議，DNS是建立在互信模型之上的開放體系結(jié)構(gòu)，缺乏適當(dāng)?shù)腄NS信息的保障和認證機制。因此，攻擊者可發(fā)動中間人攻擊注入錯誤的響應(yīng)信息，并在檢驗其合法的情況下被查詢者接收，該類攻擊被稱作DNS欺騙攻擊(DNS Spoofing)。因此如何保障查詢者接收到的DNS資源記錄的真實性是保障DNS系統(tǒng)安全的根本。

DNS安全擴展(Domain Name System Security Extention，DNSSEC)是互聯(lián)網(wǎng)工程任務(wù)組(Internet Engineering Task Force,IETF)于1997年提出的技術(shù)體系，用來保障DNS數(shù)據(jù)在傳輸過程中不被更改。通過使用公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure，PKI)在DNS原有的體系結(jié)構(gòu)上添加數(shù)字簽名，對DNS消息提供權(quán)限認證和信息完整性驗證。

然而DNSSEC機制中簽署域名過程復(fù)雜，通過DNSSEC簽署的域名可能造成內(nèi)容泄露、題，導(dǎo)致DNSSEC部署代價高，最終造成全球DNSSEC部署緩慢。因此，亟待提出一種創(chuàng)新的方案，在能保證DNS請求者所接收應(yīng)答報文的真實性的同時，又可以免去由于DNSSEC造成的諸如密鑰管理、資源記錄簽名及簽名驗證所帶來的巨大開銷。

技術(shù)實現(xiàn)要素：

針對現(xiàn)有技術(shù)中存在的技術(shù)問題，本發(fā)明的目的在于提供一種基于聯(lián)盟鏈的DNS資源記錄公證方法及系統(tǒng)，用于DNS資源記錄的存儲和真實性驗證。

本發(fā)明的技術(shù)方案為：

一種基于聯(lián)盟鏈的DNS資源記錄公證方法，其步驟為：

1)選取若干參與實體構(gòu)建聯(lián)盟鏈；

2)用戶提交一DNS資源記錄給該聯(lián)盟鏈網(wǎng)絡(luò)中的一參與實體；

3)該參與實體對該DNS資源記錄真實性進行驗證通過后，生成該DNS資源記錄的交易信息，并將該交易信息在該聯(lián)盟鏈中進行廣播；

4)該聯(lián)盟鏈中的參與實體將該交易收錄進區(qū)塊中，并將區(qū)塊進行打包進該聯(lián)盟鏈中；

5)當(dāng)DNS權(quán)威服務(wù)器收到DNS解析服務(wù)器的DNS資源記錄請求時，發(fā)送應(yīng)答的DNS資源記錄給該DNS解析服務(wù)器；

6)該DNS解析服務(wù)器對該DNS資源記錄的真實性進行鑒定：若該聯(lián)盟鏈中存在該DNS資源記錄的相關(guān)信息，則該DNS資源記錄為真，否則該DNS資源記錄發(fā)生了偽造或者篡改。

進一步的，生成該DNS資源記錄的交易信息的方法為：首先對該DNS資源記錄進行哈希計算，得到該DNS資源記錄的哈希值；然后生成該哈希值和安全時間戳的摘要，然后根據(jù)該摘要生成該DNS資源記錄的交易信息。

進一步的，該DNS資源記錄的相關(guān)信息為該DNS資源記錄的哈希值。

進一步的，該DNS解析服務(wù)器通過DNS資源記錄查詢API對該DNS資源記錄的真實性進行鑒定。

進一步的，所述參與實體為域名注冊管理機構(gòu)或者互聯(lián)網(wǎng)管理機構(gòu)。

進一步的，用戶首先提供電子貨幣DNScoin，然后提交該DNS資源記錄給該聯(lián)盟鏈網(wǎng)絡(luò)中的一參與實體。

一種基于聯(lián)盟鏈的DNS資源記錄公證系統(tǒng)，其特征在于，包括用戶層、審核層、DNS資源記錄編碼層和聯(lián)盟鏈；其中，聯(lián)盟鏈由若干參與實體構(gòu)建；

用戶層，用于用戶提交DNS資源記錄給該聯(lián)盟鏈網(wǎng)絡(luò)中的一參與實體；

審核層，用于對DNS資源記錄真實性進行驗證，驗證通過將該DNS資源記錄發(fā)送給DNS資源記錄編碼層；

DNS資源記錄編碼層，用于生成該DNS資源記錄的交易信息，并將該交易信息在該聯(lián)盟鏈中進行廣播；

聯(lián)盟鏈，用于將該交易收錄進參與實體的區(qū)塊中，并將區(qū)塊進行打包進該聯(lián)盟鏈中。

如圖2所示，該系統(tǒng)包含用戶層、審核層、DNS資源記錄編碼層和聯(lián)盟鏈四層機構(gòu)，在當(dāng)前DNS系統(tǒng)架構(gòu)不被改變的情形下，既保證DNS請求者所接收應(yīng)答報文的真實性，又可以免去由于DNSSEC造成的諸如密鑰管理、資源記錄簽名及簽名驗證所帶來的巨大開銷。

(1)用戶層：用戶支付電子貨幣DNScoin，通過系統(tǒng)接口提交DNS資源記錄；

(2)審核層：審核層對用戶層中提交的DNS資源記錄信息真實性進行驗證，審核通過后，DNS資源記錄則提交至DNS資源記錄編碼層；

(3)DNS資源記錄編碼層：經(jīng)人工審核系統(tǒng)提交的DNS資源記錄，對該DNS資源記錄進行哈希后添加安全時間戳，然后生成其摘要信息，然后根據(jù)摘要信息構(gòu)造成“交易”，并將“交易”在聯(lián)盟鏈中進行廣播；

(4)聯(lián)盟鏈：聯(lián)盟鏈中的節(jié)點(即參與實體)將交易收錄進區(qū)塊中，并將區(qū)塊進行打包進聯(lián)盟鏈中，在本系統(tǒng)中聯(lián)盟鏈的參與實體為國內(nèi)外的域名注冊管理機構(gòu)或者互聯(lián)網(wǎng)管理機構(gòu)。

基于DNS資源記錄公證系統(tǒng)的域名解析流程如下：

(1)DNS解析服務(wù)器發(fā)送DNS資源記錄請求，；

(2)DNS權(quán)威服務(wù)器發(fā)送DNS資源記錄應(yīng)答；

(3)DNS解析服務(wù)器通過DNS資源記錄查詢API(Application Programming Interface,應(yīng)用程序編程接口)對資源記錄的真實性進行鑒定；

鑒定時，DNS解析服務(wù)器將DNS資源記錄發(fā)送給聯(lián)盟鏈；若聯(lián)盟鏈中存在應(yīng)答DNS資源記錄的哈希值，則應(yīng)答DNS資源記錄為真，否則，應(yīng)答DNS資源記錄發(fā)生了偽造或者篡改。

與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果：

(1)本發(fā)明提出了一種去中心化的DNS資源記錄存儲及真實性驗證機制，在不存在中心化的硬件或管理機構(gòu)的情況下，防止了黑客對DNS數(shù)據(jù)的攻擊和篡改；

(2)本發(fā)明通過調(diào)用DNS資源記錄真實性查詢API即可驗證記錄的真實性，避免了DNSSEC機制中簽名、驗證簽名交互過程的造成DNS報文長度過大等一系列問題；

(3)本發(fā)明利用聯(lián)盟鏈的機制實現(xiàn)DNS資源記錄的存儲和公證，且聯(lián)盟鏈的實體由國內(nèi)外域名注冊管理機構(gòu)及互聯(lián)網(wǎng)管理機構(gòu)構(gòu)成。也就是說，DNS資源記錄的真實性由相關(guān)互聯(lián)網(wǎng)管理機構(gòu)共同進行公證，對于互聯(lián)網(wǎng)的治理具有積極作用；

(4)本發(fā)明所提出方法中，由構(gòu)成聯(lián)盟鏈的實體節(jié)點負責(zé)完成區(qū)塊的形成(即“挖礦”)，并隨著區(qū)塊的產(chǎn)生獲得相應(yīng)的收入。與此同時，用戶需支付相應(yīng)的DNScoin才能提交記錄。因此本發(fā)明對于域名產(chǎn)業(yè)新經(jīng)濟體系的形成具有良好的促進作用。

附圖說明

圖1為工作量證明結(jié)構(gòu)圖；

圖2為本發(fā)明基于聯(lián)盟區(qū)塊鏈的DNS資源記錄公證系統(tǒng)架構(gòu)；

圖3為本發(fā)明基于DNS資源記錄公證系統(tǒng)的域名解析流程。

具體實施方式

下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，可以理解的是，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例。基于本發(fā)明中的實施例，本領(lǐng)域技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

DNS資源記錄在該系統(tǒng)中的存儲流程：

(1)用戶層：用戶支付0.1個DNScoin，通過系統(tǒng)接口提交一條域名blockchain.cn的A記錄；

(2)審核層：審核層對用戶層中提交的記錄信息真實性進行驗證，審核通過后，該條A記錄則提交至DNS資源記錄編碼層；

(3)DNS資源記錄編碼層：經(jīng)人工審核系統(tǒng)提交的A記錄，經(jīng)過哈希和安全時間戳生成該DNS資源記錄的摘要，然后根據(jù)摘要構(gòu)造成“交易”，并將“交易”在聯(lián)盟鏈中進行廣播；

(4)聯(lián)盟鏈：聯(lián)盟鏈中的節(jié)點將交易收錄進區(qū)塊中，并將區(qū)塊進行打包進聯(lián)盟鏈中，在本系統(tǒng)中聯(lián)盟鏈的參與實體為國內(nèi)外的域名注冊管理機構(gòu)或者互聯(lián)網(wǎng)管理機構(gòu)。

基于DNS資源記錄公證系統(tǒng)的域名解析流程，如圖3所示，其步驟為：

(1)DNS解析服務(wù)器向權(quán)威服務(wù)器發(fā)送域名blockchain.cn的A記錄請求；

(2)DNS權(quán)威服務(wù)器向DNS解析服務(wù)器返回blockchain.cn的A記錄；

(3)DNS解析服務(wù)器通過DNS資源記錄查詢API對返回的blockchain.cn的A記錄的真實性進行鑒定；

(4)經(jīng)查詢，聯(lián)盟鏈中存在blockchain.cn的A記錄的哈希值，表明該條記錄沒有被篡改。