本发明专利技术公开了一种DoT在DNS权威服务器上的支持方法及系统,该方法包括:在DNS权威服务器和客户端之间设置DoT服务进程,所述DoT服务进程接收所述客户端的发来的DoT请求时,建立TLS连接,同时和本机的DNS权威服务器建立进程连接。本发明专利技术不会对原有的DNS服务系统做侵入式修改,通过生成独立于现有DNS权威服务器之外的一个进程,完成TLS的握手、装载和卸载,不会对现有的DNS服务器性能产生冲击。会对现有的DNS服务器性能产生冲击。会对现有的DNS服务器性能产生冲击。
【技术实现步骤摘要】
DoT在DNS权威服务器上的支持方法及系统
[0001]本专利技术涉及互联网域名
,具体地,涉及一种DNS
‑
over
‑
TLS在DNS权威服务器上的支持方法。
技术介绍
[0002]DoT(DNS
‑
over
‑
TLS)是一种基于TLS来进行报文加密的DNS请求交互,DoT全称是DNS over TLS,它使用TLS协议来传输DNS协议。TLS协议是目前互联网最常用的安全加密协议之一,我们访问HTTPs的安全基础就是基于TLS协议的。相比于之前使用无连接无加密的UDP模式,TLS本身已经实现了保密性与完整性。TLS协议的基本思路是证书+加密机制,双管齐下保证安全。证书相当于申请了一个合法的身份证,当客户端向服务器发起连接的时候,双方会相互校验一下身份,服务器把证书给客户端,客户端来校验证书的内容和合法性。和DNSSEC相比,DoT更侧重对DNS交互连接的加密保密,虽然这两种标准都对DNS请求进行了加密,但是DNS over TLS相对于DNS over HTTPS有一些重要的区别。IETF将DNS over HTTPS定义为了RFC 8484,将DNS over TLS定义为了RFC 7858和RFC 8310。
[0003]当客户端发起基于TLS的DNS域名请求,首先会建立TCP连接,然后再进行TLS握手建立加密连接,TLS握手时使用的是非对称加密算法,之后的加密连接上传输数据使用的对称加密算法。
[0004]传统的DNS服务器若想支持DoT,需要侵入式修改,即在现有框架基础上做代码改动,该种方式对DNS服务器的性能有冲击。另外,TLS的握手、装载、卸载对DNS服务的性能也提出了更高的要求。
技术实现思路
[0005]针对现有技术的缺陷,本专利技术的目的是,提供一种DoT在DNS权威服务器上的支持方法及系统,该方法不会对原有的DNS服务系统做侵入式修改,通过生成独立于现有DNS权威服务器之外的一个进程,完成TLS的握手、装载和卸载。
[0006]本专利技术采用的技术方案如下:
[0007]一种DoT(DNS
‑
over
‑
TLS)在DNS权威服务器上的支持方法,包括:
[0008]在DNS权威服务器和客户端之间设置DoT服务进程,所述DoT服务进程接收所述客户端的发来的DoT请求时,建立TLS连接,同时和本机的DNS权威服务器建立进程连接。
[0009]进一步地,所述DoT服务进程收到客户端接收的DoT请求后先进行SSL卸载,将卸载后的数据以明文形式通过进程间连接传给本机的权威进程。
[0010]进一步地,所述DoT服务进程将从本机权威进程收到的明文应答包进行SSL装载后发送给客户端。
[0011]进一步地,所述DoT服务进程通过监听853端口,以接收客户端发送的DoT请求。
[0012]进一步地,所述DoT服务进程读取本地配置文件来获取DoT请求中的加密密钥,包括公钥和私钥。
[0013]进一步地,所述DoT服务进程为多个,每一个DoT服务进程服务一个客户端。
[0014]进一步地,通过启动或关闭所述DoT服务进程来控制所述DoT功能的实现。
[0015]本专利技术的另一方面还提供了一种DoT(DNS
‑
over
‑
TLS)在DNS权威服务器上的支持系统,该系统包括:
[0016]DoT服务进程模块,设置在DNS权威服务器和客户端之间,其中,所述DoT服务进程模块接收所述客户端的发来的DoT请求,并建立TLS连接,同时和本机的DNS权威服务器建立进程连接。
[0017]进一步地,所述DoT服务进程模块包括SSL卸载模块和SSL装载模块,其中,
[0018]所述SSL卸载模块,对从客户端发送的DoT请求先进行解密,将解密后的数据以明文形式通过进程间连接传给本机的权威进程;
[0019]所述SSL装载模块,对从本机权威进程收到的明文应答包进行加密后发送给客户端。
[0020]进一步地,还包括控制模块,所述控制模块控制所述DoT服务进程模块启动、关闭,或者DoT服务进程模块的增加、减少。
[0021]与现有技术相比,本专利技术提供的一种DNS
‑
over
‑
TLS在DNS权威服务器上的支持方法,达到了如下技术效果:
[0022]1、本专利技术以非侵入式、解耦式在现有DNS权威服务器的基础上部署DoT服务进程,该方式部署灵活,对现有DNS权威服务器无改动、无冲击。
[0023]2、本专利技术以多进程的方式支持TLS装载和卸载,可动态扩展,满足DoT的性能需求。
附图说明
[0024]图1是本专利技术实施例中的DoT在DNS权威服务器上的支持方法的流程原理图。
[0025]图2是本专利技术实施例中的DoT在DNS权威服务器上的支持系统的架构图。
具体实施方式
[0026]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例为实施本专利技术的较佳实施方式,所述描述是以说明本专利技术的一般原则为目的,并非用以限定本专利技术的范围。本专利技术的保护范围应当以权利要求所界定者为准,基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0027]本专利技术的目的是提供一种DoT在DNS权威服务器上的支持方法,该方法不会对现有的DNS权威服务器系统做侵入式修改,不用对原有的DNS服务做任何改动,和原有的DNS服务以解耦的方式支持DoT。
[0028]本实施例提供的一种DoT(DNS
‑
over
‑
TLS)在DNS权威服务器上的支持方法,该方法包括:
[0029]在DNS权威服务器和客户端之间设置DoT服务进程(亦可称DoTd,DoT daemon),DoT服务进程接收所述客户端的发来的DoT请求时,建立TLS连接,同时和本机的DNS权威服务器建立进程连接。
[0030]具体来说,当DoT服务进程收到客户端接收的DoT请求后先进行SSL卸载,也即对内
容进行解密,将卸载后的数据,也即解密后的数据以明文形式传给本机的权威进程。
[0031]当DoT服务进程从本机权威进程收到的明文应答包后,先进行SSL装载,也即对内容进行加密,然后发送给客户端。
[0032]其中,本专利技术中的DoT服务进程优选为多个,每一个DoT服务进程服务一个客户端,DoT服务进程可以增加或减少,通过启动或关闭DoT服务进程来控制所述DoT功能的实现,实现和现有的DNS权威服务器的解耦操作。
[0033]本专利技术在现有的权威服务器系统架构的基础上,生成独立于现有DNS权威之外的DoT服务进程,该DoT服务进程负责处理SSL的业务逻辑,主要包括完成与TLS本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种DoT在DNS权威服务器上的支持方法,其特征在于,所述方法包括:在DNS权威服务器和客户端之间设置DoT服务进程,所述DoT服务进程接收所述客户端的发来的DoT请求时,建立TLS连接,同时和本机的DNS权威服务器建立进程连接。2.根据权利要求1所述的方法,其特征在于,所述DoT服务进程收到客户端接收的DoT请求后先进行SSL卸载,将卸载后的数据以明文形式传给本机的权威进程。3.根据权利要求2所述的方法,其特征在于,所述DoT服务进程将从本机权威进程收到的明文应答包进行SSL装载后发送给客户端。4.根据权利要求2所述的方法,其特征在于,所述DoT服务进程通过监听853端口,以接收客户端发送的DoT请求。5.根据权利要求2或4所述的方法,其特征在于,所述DoT服务进程读取本地配置文件来获取DoT请求中的加密密钥,包括公钥和私钥。6.根据权利要求4所述的方法,其特征在于,所述DoT服务进程为多个,每一个DoT服务进程服务一个客户...
【专利技术属性】
技术研发人员:袁立志,孙浩然,吴琦,邢志杰,毛伟,
申请(专利权)人:互联网域名系统北京市工程研究中心有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。