一种基于DOT实现递归加密传输的方法及递归服务器技术

本发明专利技术涉及一种基于DOT实现递归加密传输的方法及递归服务器。该方法包括：判定请求中的目的IP地址是否在支持DOT功能的权威服务器地址列表中；若目的IP地址在支持DOT功能的权威服务器地址列表中，则递归服务器使用SSL加密后，递归给支持DOT功能的权威服务器；支持DOT功能的权威服务器接受响应，报文数据返至递归服务器；递归服务器接收数据，证书校验、解密后将应答结果发送用户。通过该方法实现递归加密功能与递归服务器原有的递归功能解耦，可实现灵活动态加载，保证DOT服务功能需求和性能需求，该递归服务器采用了与传统DOT应用方案一起使用能够保证DNS解析全流程安全。案一起使用能够保证DNS解析全流程安全。案一起使用能够保证DNS解析全流程安全。

【技术实现步骤摘要】
一种基于DOT实现递归加密传输的方法及递归服务器


[0001]本专利技术涉及一种互联网域名
，特别是涉及一种基于DOT实现递归加密传输的方法及递归服务器。

技术介绍

[0002]互联网域名系统(DNS
‑
over
‑
TLS，DNS)由域名空间、资源记录和域名解析系统构成，其中域名解析系统又由客户端解析软件和解析服务器组成。域名解析服务器是互联网上最为关键的基础设施之一，是整个互联网的入口。
[0003]DNS架构设计于20世纪80年代，由于当时互联网规模小，安全性不是首要考虑因素，DNS设计采用明文UDP传输。在此之后，域名劫持、记录篡改及用户隐私泄露等域名安全问题频发。1997年诞生了DNSSEC，能够对DNS来源提供认证、对DNS数据提供完整性保障。但是DNSSEC没有验证域名的真实性，也没有对数据进行加密，并且部署难度较大，成本较高。目前，只有根和部分顶级域支持DNSSEC。直到2016年5月，国际互联网工程任务组(The Internet Engineering Task Force，简称IETF)发布DOT标准RFC7858，2018年3月，发布DOT配置标准RFC8310，基于DOT的DNS加密传输机制及相关技术引发全球关注和广泛应用。
[0004]DOT(DNS
‑
over
‑
TLS)是一种基于TLS来进行报文加密的DNS请求交互，它使用TLS协议来传输DNS协议。如图2所示，支持DOT的递归服务器称为DOT递归服务器。一个完整的域名递归解析过程是用户端到递归服务器，递归服务器到权威服务器。DOT的传统应用方案主要是对客户端到递归服务器之间的传输报文进行加密，客户端发送的是基于传输层TLS加密的DNS请求，递归服务器端也返回基于TLS加密的DNS响应，以此来保证客户端到递归服务器端之间的数据安全。该方法在一定程度上保证了部分DNS解析流程的安全性。
[0005]然而传统的DOT应用模式只支持客户端到递归服务器之间，即客户端与DOT递归服务器之间通信的隐私安全，后续DOT递归服务器与根服务器、顶级域名服务器、二三级权威域名服务器之间的查询仍然使用明文的DNS协议查询，因此仍然存在数据劫持、隐私泄露的风险。同时对于整个递归解析流程来说并不是一个完整的安全解决方案。

技术实现思路

[0006]本专利技术的目的在于提供一种基于DOT实现递归加密传输的方法及递归服务器，通过该方法递归服务器能够与支持DOT功能的权威服务器进行DOT通信数据加密传输，从而保障递归服务器在递归解析流程中的数据安全。
[0007]为实现本专利技术的目的，具体技术解决方案为：
[0008]一种基于DOT实现递归加密传输的方法，其特征在于：包括如下步骤：
[0009]S1、递归服务器接收用户发起的域名DNS请求后判断请求中的目的IP地址是否在支持DOT功能的权威服务器地址列表中，若目的IP地址在支持DOT功能的权威服务器地址列表中则执行步骤S2；若目的IP地址不在支持DOT功能的权威服务器地址列表中，则执行步骤S5；
[0010]S2、递归服务器使用SSL加密后，递归给支持DOT功能的权威服务器；
[0011]S3、支持DOT功能的权威服务器接受响应，响应报文加密返至递归服务器；
[0012]S4、递归服务器接收，证书校验，解密后将应答结果发送用户；
[0013]S5、递归服务器使用明文DNS递归给普通权威服务器；
[0014]S6、普通权威服务器接受响应，响应报文返至递归服务器；
[0015]S7、递归服务器接收步骤S6的数据，将应答结果发送用户。
[0016]进一步的，步骤S3中，递归服务器采用多进程架构，每一个服务进程发送一个DOT加密请求。
[0017]进一步的，递归服务器使用TCP作为基本连接协议，使用853端口传输至支持DOT功能的权威服务器；支持DOT功能的权威服务器监听853端口的DOT请求。
[0018]进一步的，递归服务器使用SSL加密是指采用标准OPENSSL加密。
[0019]进一步的，递归服务器使用UDP53端口传输至普通权威服务器；普通权威服务器监听53端口的DNS请求。
[0020]进一步的，在步骤S2之前还包括：递归服务器接受用户请求后，通过启动或关闭DOT服务进程控制DOT功能的使用。
[0021]本专利技术还提供一种递归服务器，该递归服务器基于上述的方法实现数据传输至权威服务器，包括：DNS递归模块、DOT加密递归模块、非加密递归模块和控制模块；
[0022]DNS递归模块,用于判定用户发送的DNS请求中的目的IP地址是否在支持DOT功能的权威服务器地址列表中并根据判定结果发送给DOT加密递归模块或非加密递归模块，将应答结果返回给用户；
[0023]DOT加密递归模块，用于接受支持DOT功能的DNS请求并加密后，再递归给支持DOT功能的权威服务器；
[0024]非加密递归模块，用于接受并解析不支持DOT功能的DNS请求，并递归给普通权威服务器；
[0025]控制模块，用于开启或关闭DOT加密递归模块。
[0026]本专利技术与现有技术相比，其显著优点是：
[0027]1、本专利技术提供的一种基于DOT实现递归加密传输的方法通过对递归服务器和权威服务器之间的数据传输进行DOT加密，保护递归过程中的数据隐私安全，防止数据窃听和篡改，并实现整个递归解析流程完整的安全解决方案；
[0028]2、本专利技术提供的递归服务器，集成DOT递归加密模块实现了递归加密功能，递归加密功能与递归服务器原有的递归功能解耦，可实现灵活动态加载，保证DOT服务功能需求和性能需求，该递归服务器采用与传统DOT应用方案一起使用能够保证DNS解析全流程安全；
[0029]3、本专利技术特别适用于对DNS解析安全性要求较高的场景，有效保护递归过程中的数据安全性和私密性，防止数据在递归传输过程中被窃听或篡改。
附图说明
[0030]图1是本专利技术的实施例的架构图。
[0031]图2是本专利技术
技术介绍
中的架构图。
[0032]图3是本专利技术基于DOT实现递归加密传输的方法的流程原理图。
[0033]图4是本专利技术DOT加密递归模块工作原理图。
具体实施方式
[0034]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例为实施本专利技术的较佳实施方式，所述描述是以说明本专利技术的一般原则为目的，并非用以限定本专利技术的范围。本专利技术的保护范围应当以权利要求所界定者为准，基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0035]DOT是一种基于TLS来进行报文加密的DNS请求交互，它使用TLS协议来传输DNS协议。
[0036]本专利技术所述的支持D本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于DOT实现递归加密传输的方法，其特征在于：包括如下步骤：S1、递归服务器接收用户发起的域名DNS请求后判断请求中的目的IP地址是否在支持DOT功能的权威服务器地址列表中，若目的IP地址在支持DOT功能的权威服务器地址列表中则执行步骤S2；若目的IP地址不在支持DOT功能的权威服务器地址列表中，则执行步骤S5；S2、递归服务器使用SSL加密后，递归给支持DOT功能的权威服务器；S3、支持DOT功能的权威服务器接受响应，响应报文加密返至递归服务器；S4、递归服务器接收，证书校验，解密后将应答结果发送用户；S5、递归服务器使用明文DNS递归给普通权威服务器；S6、普通权威服务器接受响应，响应报文返至递归服务器；S7、递归服务器接收步骤S6的数据，将应答结果发送用户。2.根据权利要求1所述的一种基于DOT实现递归加密传输的方法，其特征在于：在步骤S3中，递归服务器采用多进程架构，每一个服务进程发送一个DOT加密请求。3.根据权利要求1所述的一种基于DOT实现递归加密传输的方法，其特征在于：递归服务器使用TCP作为基本连接协议，使用853端口传输至支持DOT功能的权威服务器。4.根据权利要求1所述的一种基...

【专利技术属性】
技术研发人员：戴云伟，吴兴利，汪勇，张慧丽，
申请(专利权)人：江苏省未来网络创新研究院，
类型：发明
国别省市：