本公开提供一种基于DoH服务器的域名查询方法,包括:接收客户端发送的HTTPS域名查询请求,根据该查询请求对用户身份进行认证;对于认证通过的用户,判断用户是否有权限访问查询请求对应的内容;对于有权限的用户,获取用户所查询的域名对应的密钥对信息,其中,密钥对信息包括公钥与私钥;将公钥发送至客户端,将HTTPS域名查询请求发送至域名解析服务器进行域名解析;接收域名解析服务器域名查询响应信息,根据域名查询响应信息及私钥生成所查询域名的签名信息,将域名查询响应信息及签名信息发送至客户端,使客户端根据公钥对签名信息进行验证,验证通过,获取域名查询响应信息。本公开还提供一种域名查询装置、设备及介质。设备及介质。设备及介质。
【技术实现步骤摘要】
基于DoH服务器的域名查询方法、装置、设备及介质
[0001]本公开涉及互联网安全
,更具体地,涉及一种基于DoH服务器的域名查询方法、装置、设备及介质。
技术介绍
[0002]域名系统(Domain Name System,即DNS)是Internet上解决网上机器命名的一种系统,是Internet的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。由于DNS本身的设计缺陷,没有提供适当的信息保护和认证机制,使得DNS很容易受到攻击。作为全球最大也是最为成功的分布式数据库系统,其效率和普及程度是其他服务无法比拟的。一旦遭受攻击,会给整个互联网带来无法估量的损失。协议设计脆弱性导致数据信息真实性和完整性得不到保证。比如,一旦进入网络,用户(包括威胁行为者和恶意内部人员)可以自由地横向移动、访问甚至泄露他们权限之外的任何数据。由于意外或人为原因导致数字证书错误签发、失效、被恶意使用等网络安全问题也有可能发生。
技术实现思路
[0003]有鉴于此,本公开提供了一种基于DoH服务器的域名查询方法、装置、设备及介质。
[0004]本公开的一个方面提供了一种基于DoH服务器的域名查询方法,包括:接收客户端发送的HTTPS域名查询请求,根据所述HTTPS域名查询请求对用户身份进行认证;对于认证通过的用户,判断所述用户是否有权限访问所述HTTPS域名查询请求对应的内容;对于有权限的用户,获取所述用户所查询的域名对应的密钥对信息,其中,所述密钥对信息包括一一对应的公钥与私钥;将所述公钥发送至所述客户端,并将所述HTTPS域名查询请求发送至域名解析服务器进行域名解析;接收所述域名解析服务器域名查询响应信息,根据所述域名查询响应信息及所述私钥生成所查询域名的签名信息,将所述域名查询响应信息及所述签名信息发送至所述客户端,使所述客户端根据所述公钥对所述签名信息进行验证,验证通过,获取所述域名查询响应信息。
[0005]根据本公开的实施例,所述根据所述HTTPS域名查询请求对用户身份进行认证包括:根据数据信息、IP地址信息、MAC地址信息、操作系统信息对所述HTTPS域名查询请求包含的身份信息进行认证,其中,所述数据信息包括用户名和/或密码和/或验证码和/或指纹。
[0006]根据本公开的实施例,在所述接收客户端发送的HTTPS域名查询请求之后,所述方法还包括:通过HTTPS方式建立所述客户端与所述DoH服务器之间的安全连接通道。
[0007]根据本公开的实施例,在所述接收客户端发送的HTTPS域名查询请求之前,所述方法还包括:为所有待查询的域名配置密钥对,其中,每一个域名对应唯一一对密钥对,且每个域名之间密钥对不同。
[0008]根据本公开的实施例,所述方法还包括:记录域名查询成功的结果信息或查询失
败的结果信息。
[0009]根据本公开的实施例,采用椭圆曲线公钥密码算法或非对称加密算法为所有待查询的域名配置密钥对。
[0010]根据本公开的实施例,所述客户端根据所述公钥对所述签名信息进行验证包括:所述客户端判断所述签名信息中包含的私钥是否是与所述DoH服务器发送的公钥对应的密钥对中的私钥,若是,则验证通过。
[0011]本公开的另一个方面提供了一种基于DoH服务器的域名查询装置,包括:认证模块,用于接收客户端发送的HTTPS域名查询请求,根据所述HTTPS域名查询请求对用户身份进行认证;判断模块,用于对于认证通过的用户,判断所述用户是否有权限访问所述HTTPS域名查询请求对应的内容;获取模块,用于对于有权限的用户,获取所述用户所查询的域名对应的密钥对信息,其中,所述密钥对信息包括一一对应的公钥与私钥;转发模块,用于将所述公钥发送至所述客户端,并将所述HTTPS域名查询请求发送至域名解析服务器进行域名解析;接收模块,用于接收所述域名解析服务器域名查询响应信息;生成模块,用于根据所述域名查询响应信息及所述私钥生成所查询域名的签名信息,将所述域名查询响应信息及所述签名信息发送至所述客户端,使所述客户端根据所述公钥对所述签名信息进行验证,验证通过,获取所述域名查询响应信息。
[0012]本公开的另一个方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上所述的方法。
[0013]本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
[0014]本公开的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
[0015]本公开的实施例提供的域名查询方法、装置、设备及介质,通过建立用户强身份验证规则,域名密钥对信息库,每次域名查询都需要通过身份认证,使用安全性较高的DNS
‑
over
‑
HTTPS技术作为域名查询通讯过程中安全防护根本手段。由HTTPS技术全程对通讯信息进行加密传输,成为域名查询安全保障的第一道壁垒,保证传输数据的保密性、完整性。
附图说明
[0016]通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
[0017]图1示意性示出了根据本公开实施例的基于DoH服务器的域名查询方法的流程图;
[0018]图2示意性示出了根据本公开实施例的基于DoH服务器的域名查询过程的信息交互图;
[0019]图3示意性示出了根据本公开实施例的基于DoH服务器的域名查询装置装置的框图;
[0020]图4示意性示出了根据本公开实施例的适于实现上文描述的方法的电子设备的框图。
具体实施方式
[0021]以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
[0022]在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
[0023]在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
[0024]在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于DoH服务器的域名查询方法,包括:接收客户端发送的HTTPS域名查询请求,根据所述HTTPS域名查询请求对用户身份进行认证;对于认证通过的用户,判断所述用户是否有权限访问所述HTTPS域名查询请求对应的内容;对于有权限的用户,获取所述用户所查询的域名对应的密钥对信息,其中,所述密钥对信息包括一一对应的公钥与私钥;将所述公钥发送至所述客户端,并将所述HTTPS域名查询请求发送至域名解析服务器进行域名解析;接收所述域名解析服务器域名查询响应信息,根据所述域名查询响应信息及所述私钥生成所查询域名的签名信息,将所述域名查询响应信息及所述签名信息发送至所述客户端,使所述客户端根据所述公钥对所述签名信息进行验证,验证通过,获取所述域名查询响应信息。2.根据权利要求1所述的域名查询方法,其中,所述根据所述HTTPS域名查询请求对用户身份进行认证包括:根据数据信息、IP地址信息、MAC地址信息、操作系统信息对所述HTTPS域名查询请求包含的身份信息进行认证,其中,所述数据信息包括用户名和/或密码和/或验证码和/或指纹。3.根据权利要求1所述的域名查询方法,其中,在所述接收客户端发送的HTTPS域名查询请求之后,所述方法还包括:通过HTTPS方式建立所述客户端与所述DoH服务器之间的安全连接通道。4.根据权利要求1所述的域名查询方法,其中,在所述接收客户端发送的HTTPS域名查询请求之前,所述方法还包括:为所有待查询的域名配置密钥对,其中,每一个域名对应唯一一对密钥对,且每个域名之间密钥对不同。5.根据权利要求1所述的域名查询方法,其中,所述方法还包括:记录域名查询成功的结果信息或查询失败的...
【专利技术属性】
技术研发人员:黄友俊,李星,吴建平,李朴,
申请(专利权)人:赛尔网络有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。