一种网络隐身融合域名解析服务的实现方法及系统技术方案

一种网络隐身融合域名解析服务的实现方法及系统，该方法通过将UDP敲门协议融合进DNS服务中，可以将公共的DNS服务转变为只针对特定用户开放的专有域名解析服务器，为公网或私网中的DNS服务器提供有效的零信任防护；融合后的专有DNS方案同样可以使用53端口，DNS请求必须携带请求者身份与设备信息，经过鉴权后，DNS服务器才会对合法请求做出响应；实现带内DNS请求敲门，大大提高访问的安全性；同时授权后支持带外DNS请求，增加系统架构的兼容性。可以很好地将DNS服务器保护起来，只允许特定授权用户访问。甚至可以替代部署公网DNS服务，直接将DNS服务整合进零信任的网络隐身体系之中。中。中。

【技术实现步骤摘要】
一种网络隐身融合域名解析服务的实现方法及系统


[0001]本专利技术属于通信处理
，具体涉及一种网络隐身融合域名解析服务的实现方法及系统。

技术介绍

[0002]目前，现有的DNS协议中，DNS服务器提供一个公共的服务，对所有发到53端口的UDPDNS请求提供域名解析服务。另一方面，网络隐身通常使用UDP敲门进行用户、设备的鉴权，可以有效防御未授权的流量对目标服务进行访问。UDP协议能够有效保证目标服务的隐蔽性，并且处理UDP数据比TCP连接对系统资源的开销要少。这两种UDP协议本质上没有任何交集。
[0003]由于DNS的解析请求和应答回复都是以明文形式进行，这就留下了可以被恶意攻击者利用的潜在漏洞，比如DNS劫持、泛洪攻击等。另外，网络隐身使用UDP敲门，随之带来一个UDP的原生问题，有可能因为网络延迟而导致丢包，造成UDP敲门不成功，增加重试的时间。如何在提高公网或私网中的DNS服务器隐蔽性和安全性具有重要的应用意义。

技术实现思路

[0004]为此，本专利技术提供一种网络隐身融合域名解析服务的实现方法及系统本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络隐身融合域名解析服务的实现方法，其特征在于，包括：敲门验证服务器接收请求发起方的解析请求，所述解析请求为定制的DNS数据包，定制的DNS数据包中包括原DNS请求，请求发起方用户、设备和密钥签名，数据完整性验证信息；敲门验证服务器验证解析定制的DNS数据包后，获取请求发起方的身份信息，将请求发起方的身份信息与后台鉴权服务器进行证书签名验证、用户身份及策略验证；当证书签名验证、用户身份及策略验证成功后，所述敲门验证服务器转发定制的DNS数据包中的原DNS请求到DNS服务器；所述敲门验证服务器通知所述DNS服务器向请求发起方的IP地址放行预设时间段，允许请求发起方带外的原DNS请求在预设时间段内被所述DNS服务器处理并解析。2.根据权利要求1所述的一种网络隐身融合域名解析服务的实现方法，其特征在于，请求发起方包括客户端、浏览器或服务器，请求发起方通过应用层代理程序生成所述解析请求。3.根据权利要求1所述的一种网络隐身融合域名解析服务的实现方法，其特征在于，被保护的所述DNS服务器在入口处采取全部否定原则，将所有入站的包默认情况下全部丢弃，以使所述DNS服务器对于外部访问处于全隐身状态。4.根据权利要求1所述的一种网络隐身融合域名解析服务的实现方法，其特征在于，所述敲门验证服务器对符合预设格式的解析请求中定制的DNS数据包进行处理，所述敲门验证服务器对不符合预设格式的解析请求进行忽略。5.一种网络隐身融合域名解析服务的实现方法，其特征在于，包括：请求发起方向敲门验证服务器发起解析请求，所述解析请求为定制的DNS数据包，定制的DNS数据包中包括原DNS请求，请求发起方用户、设备和密钥签名，数据完整性验证信息；当定制的DNS数据包被所述敲门验证服务器验证解析后，所述请求发起方发送自身的身份信息到所述敲门验证服务器，通过所述敲门验证服务器将请求发起方的身份信息与后台鉴权服务器进行证书签名验证、用户身份及策略验证；当证书签名验证、用户身份及策略验证成功后，所述请求发起方定制的DNS数据包中的原DNS请求通过所述敲门验证服务器转发到DNS服务器；所述请求发起方带外的原DNS请求，在所述请求发起方的IP地址放行预设时间段内被所述DNS服务器处理并解析。6.根据权利要求5所述的一种网络隐身融合域名解析服务的实现方法，其特征在于，由所述敲门验证服务器通知所述DNS服务器，向所述请求发起方的IP地址放行预设时间段；所述请求发起方包括客户端、浏览器或服务器，所述请求发起方通过应用层代理程序生成所述解析...

【专利技术属性】
技术研发人员：陈本峰，曾倞，
申请(专利权)人：湖州市西塞数字安全研究院，
类型：发明
国别省市：