CN106453399B - 一种面向用户隐私保护的域名解析服务方法和*** - Google Patents

一种面向用户隐私保护的域名解析服务方法和*** Download PDF

Info

Publication number
CN106453399B
CN106453399B CN201611032442.XA CN201611032442A CN106453399B CN 106453399 B CN106453399 B CN 106453399B CN 201611032442 A CN201611032442 A CN 201611032442A CN 106453399 B CN106453399 B CN 106453399B
Authority
CN
China
Prior art keywords
domain name
server
secret protection
user
hidden
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611032442.XA
Other languages
English (en)
Other versions
CN106453399A (zh
Inventor
李晓东
尉迟学彪
耿光刚
延志伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Internet Network Information Center
Original Assignee
China Internet Network Information Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Internet Network Information Center filed Critical China Internet Network Information Center
Priority to CN201611032442.XA priority Critical patent/CN106453399B/zh
Publication of CN106453399A publication Critical patent/CN106453399A/zh
Application granted granted Critical
Publication of CN106453399B publication Critical patent/CN106453399B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出了一种面向用户隐私保护的域名解析服务方法和***。其中所述方法包括以下步骤:获取用户输入的将要访问的原始域名;将隐私保护服务器的域名与所述原始域名组合成第一隐蔽域名;通过所述隐私保护服务器进行访问操作。本发明所提出的域名解析服务能够有效防止用户所面临的各种隐私泄露风险;不对现行的其他DNS服务器作修改,因此具有部署成本低的优点;其中域名解析服务对于用户来说是透明的,且可以根据自身的具体情况决定是否使用,不具任何强制性,因此具有灵活部署的优点。

Description

一种面向用户隐私保护的域名解析服务方法和***
技术领域
本发明涉及计算机领域,尤其涉及一种面向用户隐私保护的域名解析服务方法和***。
背景技术
域名服务(DNS)是互联网的基础服务,用于实现域名到主机IP地址的定位。对于互联网用户而言,几乎所有的网络行为都需要通过DNS来寻找和定位相应的网络资源。因此,DNS含有丰富的涉及用户互联网访问行为的敏感信息。然而,DNS在设计之初,并未考虑其中潜在的隐私泄露问题,导致当前借助DNS而开展的各类网络隐私挖掘和网络监听行为愈演愈烈,使得DNS隐私泄露风险日益凸显,开始成为业界广泛关注的热点问题。
根据现行的DNS协议,用户端发起的DNS查询请求的解析过程如图1所示。首先,用户端(具体来说是用户端的DNS解析器)将该DNS查询请求发往给预先设定的递归服务器(步骤1);递归服务器收到该请求后,首先检查本地缓存中是否存在相应的资源记录,若存在则直接将该记录返回给用户(步骤5),否则递归服务器会将该DNS查询请求依次发给各级权威服务器(步骤2-4),直到得到关于该DNS查询请求的权威应答。最后,递归服务器将该权威应答载入缓存,并返回给用户(步骤5)。
通过上述解析过程可以发现,对于用户的每次DNS查询请求,都需要通过递归服务器来接收相应的应答信息,换句话说,递归服务器能够记录用户的所有DNS查询请求信息;同样的,对于用户发来的每次DNS查询请求,递归服务器(不考虑缓存因素)都需要将其转发给各级权威服务器以获取相应的权威应答,换句话说,各级权威服务器也能够相应的获得大量的DNS查询请求信息。因此,递归服务器和各级权威服务器都能够轻易的掌握DNS查询请求信息,从中实现用户隐私信息的窥探和挖掘分析。另一方面,由于当前DNS的请求解析过程基本是基于UDP协议的明文传输,这也导致整个DNS请求解析过程能够轻易的被第三方实施基于通信链路的网络监听。
发明内容
本发明的目的是通过以下技术方案实现的。
本发明提出了一种面向用户隐私保护的域名解析服务方法,其包括以下步骤:
获取用户输入的将要访问的原始域名;
将隐私保护服务器的域名与所述原始域名组合成第一隐蔽域名;
通过所述隐私保护服务器进行访问操作。
其中,在所述将隐私保护服务器的域名与所述原始域名组合成第一隐蔽域名之前,还包括:为隐私保护服务器设置第一域名,所述第一域名为所述隐私保护服务器的域名。
其中,所述将隐私保护服务器的域名与所述原始域名组合成第一隐蔽域名具体包括:
使用第一加密密钥对所述原始域名进行加密得到第一暗文;
对所述第一暗文添加所述第一域名作为后缀得到第一隐蔽域名。
其中,所述通过所述隐私保护服务器进行访问操作包括:
由递归服务器将所述第一隐蔽域名转发给所述隐私保护服务器;
所述隐私保护服务器解析所述第一隐蔽域名后,获取用户请求访问的原始域名;
访问所述原始域名所在权威服务器。
其中,所述通过所述隐私保护服务器进行访问操作还包括:
所述隐私保护服务器获取所述权威服务器的访问结果,并暗文形式将访问结果返回给所述递归服务器;
所述递归服务器将访问结果返回给请求的用户;
通过第一加密密钥对所述访问结果进行解密,得到最终解析结果。
本发明还提出了一种面向用户隐私保护的域名解析服务***,其包括:
用户访问设备,其用于输入用于将要访问的原始域名;
递归服务器,用于在所述用户访问设备和隐私保护服务器之间传送的信息;
隐私保护服务器,其用于在所述递归服务器和权威服务器之间传送信息;
权威服务器,其用于存储所述用户访问设备将要访问的数据。
其中,所述用户访问设备还用于:
使用第一加密密钥对所述原始域名进行加密得到第一暗文;
对所述第一暗文添加所述第一域名作为后缀得到第一隐蔽域名;
将所述第一隐蔽域名传递给所述递归服务器。
其中,所述隐私保护服务器还用于:解析所述第一隐蔽域名,获取用户请求访问的原始域名。
本发明的优点在于:
本发明所提出的域名解析服务能够有效防止用户所面临的各种隐私泄露风险;
本发明所提出的域名解析服务与现行的域名解析服务相比,仅增加了隐私保护服务器组件,并不对现行的其他DNS服务器作修改,因此具有部署成本低的优点;
本发明所提出的域名解析服务对于用户来说是透明的,且可以根据自身的具体情况决定是否使用,不具任何强制性,因此具有灵活部署的优点。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
附图1示出了现有技术中DNS查询请求解析过程图;
附图2示出了根据本发明实施方式的面向用户隐私保护的域名解析服务方法的流程图;
附图3示出了根据本发明实施方式的面向用户隐私保护的域名解析服务方法的过程图;
附图4示出了根据本发明实施方式的面向用户隐私保护的域名解析服务***框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施方式。虽然附图中显示了本公开的示例性实施方式,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
如图2所示,根据本发明的实施方式,提出一种面向用户隐私保护的域名解析服务方法,其包括以下步骤:
获取用户输入的将要访问的原始域名;
将隐私保护服务器的域名与所述原始域名组合成第一隐蔽域名;
通过所述隐私保护服务器进行访问操作。
其中,在所述将隐私保护服务器的域名与所述原始域名组合成第一隐蔽域名之前,还包括:为隐私保护服务器设置第一域名,所述第一域名为所述隐私保护服务器的域名。
其中,所述将隐私保护服务器的域名与所述原始域名组合成第一隐蔽域名具体包括:
使用第一加密密钥对所述原始域名进行加密得到第一暗文;
对所述第一暗文添加所述第一域名作为后缀得到第一隐蔽域名。
其中,所述通过所述隐私保护服务器进行访问操作包括:
由递归服务器将所述第一隐蔽域名转发给所述隐私保护服务器;
所述隐私保护服务器解析所述第一隐蔽域名后,获取用户请求访问的原始域名;
访问所述原始域名所在权威服务器。
其中,所述通过所述隐私保护服务器进行访问操作还包括:
所述隐私保护服务器获取所述权威服务器的访问结果,并暗文形式将访问结果返回给所述递归服务器;
所述递归服务器将访问结果返回给请求的用户;
通过第一加密密钥对所述访问结果进行解密,得到最终解析结果。
如图3所示,用户在将域名查询请求发给递归服务器之前,首先使用某个隐私保护服务器所提供的密钥将原始域名(例如“www.example.cn”)转换成暗文(假定加密后变为“e5sdn49imw”),并以该隐私保护服务器的域名(例如“privacy.cn”)作为后缀,从而组合成一个隐蔽域名(即“e5sdn49imw.privacy.cn”)(步骤①);递归服务器收到对该隐蔽域名的查询请求后,将通过现行DNS解析流程将其转发至隐私保护服务器(步骤②);隐私保护服务器解密其中的原始域名并对其进行传统的域名解析过程,然而再以暗文形式将解析结果返回给递归服务器(步骤③-⑤),递归服务器最终将该结果返回给用户。
根据现行的域名服务框架可以发现,递归服务器由于处在连接用户和权威服务器的枢纽位置,同时拥有着对DNS数据的接收权和发送权,因此递归服务器对于DNS数据的无隐藏收发是导致用户隐私泄露风险的直接原因。因此,本发明所提出的域名解析服务增加了隐私保护服务器这一重要组件。用户在将域名查询请求发给递归服务器之前,首先使用某个隐私保护服务器所提供的密钥将原始域名转换成暗文,并以该隐私保护服务器的域名作为后缀,从而组合成一个隐蔽域名;递归服务器收到用户对该隐蔽域名的查询请求后,将通过现行DNS解析流程将其转发至隐私保护服务器;隐私保护服务器解密其中的原始域名并对其进行传统的域名解析过程,然而再以暗文形式将解析结果返回给递归服务器,递归服务器最终将该结果返回给用户;最后用户通过密钥对该结果进行解密,获得最终的解析结果。
可以看出,上述整个域名解析过程中的任一通信链路和服务器,都将无法实现对用户IP地址和所查原始域名的同时获取,从而可以有效的避免前文提到的每种DNS隐私泄露风险,且未对现行DNS服务器作任何修改,因此本发明拟提出的这种域名解析服务具有极高的有效性和可用性。
如图4所示,本发明还提出了一种面向用户隐私保护的域名解析服务***,其包括:
用户访问设备,其用于输入用于将要访问的原始域名;
递归服务器,用于在所述用户访问设备和隐私保护服务器之间传送的信息;
隐私保护服务器,其用于在所述递归服务器和权威服务器之间传送信息;
权威服务器,其用于存储所述用户访问设备将要访问的数据。
其中,所述用户访问设备还用于:
使用第一加密密钥对所述原始域名进行加密得到第一暗文;
对所述第一暗文添加所述第一域名作为后缀得到第一隐蔽域名;
将所述第一隐蔽域名传递给所述递归服务器。
其中,所述隐私保护服务器还用于:解析所述第一隐蔽域名,获取用户请求访问的原始域名。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (5)

1.一种面向用户隐私保护的域名解析服务方法,其包括以下步骤:
获取用户输入的将要访问的原始域名;
将隐私保护服务器的域名与所述原始域名组合成第一隐蔽域名;
通过所述隐私保护服务器进行访问操作,其中,
所述将隐私保护服务器的域名与所述原始域名组合成第一隐蔽域名具体包括:
使用第一加密密钥对所述原始域名进行加密得到第一暗文;
对所述第一暗文添加第一域名作为后缀得到第一隐蔽域名,其特征在于,
在所述将隐私保护服务器的域名与所述原始域名组合成第一隐蔽域名之前,还包括:为隐私保护服务器设置第一域名,所述第一域名为所述隐私保护服务器的域名。
2.如权利要求1所述的方法,其中所述通过所述隐私保护服务器进行访问操作包括:
由递归服务器将所述第一隐蔽域名转发给所述隐私保护服务器;
所述隐私保护服务器解析所述第一隐蔽域名后,获取用户请求访问的原始域名;
访问所述原始域名所在权威服务器。
3.如权利要求2所述的方法,其中所述通过所述隐私保护服务器进行访问操作还包括:
所述隐私保护服务器获取所述权威服务器的访问结果,并暗文形式将访问结果返回给所述递归服务器;
所述递归服务器将访问结果返回给请求的用户;
通过第一加密密钥对所述访问结果进行解密,得到最终解析结果。
4.一种面向用户隐私保护的域名解析服务***,用于实现权利要求1-3任一所述的方法,该***包括:
用户访问设备,其用于输入用于将要访问的原始域名;
递归服务器,用于在所述用户访问设备和隐私保护服务器之间传送的信息;
隐私保护服务器,其用于在所述递归服务器和权威服务器之间传送信息;
权威服务器,其用于存储所述用户访问设备将要访问的数据,其中,
所述用户访问设备还用于:
使用第一加密密钥对所述原始域名进行加密得到第一暗文;
对所述第一暗文添加第一域名作为后缀得到第一隐蔽域名;
将所述第一隐蔽域名传递给所述递归服务器。
5.如权利要求4所述的***,其中所述隐私保护服务器还用于:解析所述第一隐蔽域名,获取用户请求访问的原始域名。
CN201611032442.XA 2016-11-16 2016-11-16 一种面向用户隐私保护的域名解析服务方法和*** Active CN106453399B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611032442.XA CN106453399B (zh) 2016-11-16 2016-11-16 一种面向用户隐私保护的域名解析服务方法和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611032442.XA CN106453399B (zh) 2016-11-16 2016-11-16 一种面向用户隐私保护的域名解析服务方法和***

Publications (2)

Publication Number Publication Date
CN106453399A CN106453399A (zh) 2017-02-22
CN106453399B true CN106453399B (zh) 2019-06-14

Family

ID=58220912

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611032442.XA Active CN106453399B (zh) 2016-11-16 2016-11-16 一种面向用户隐私保护的域名解析服务方法和***

Country Status (1)

Country Link
CN (1) CN106453399B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105338128B (zh) * 2015-09-25 2018-09-25 互联网域名***北京市工程研究中心有限公司 域名解析方法及域名解析装置
CN113014561B (zh) * 2021-02-18 2022-09-06 支付宝(杭州)信息技术有限公司 一种dns请求报文的隐私保护方法及装置
CN114157713B (zh) * 2021-10-09 2023-06-16 北京邮电大学 一种捕获隐藏服务流量的方法和***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102780711A (zh) * 2011-05-09 2012-11-14 腾讯科技(深圳)有限公司 一种sns应用数据访问方法及其装置和***
CN103391272A (zh) * 2012-05-08 2013-11-13 深圳市腾讯计算机***有限公司 检测虚假攻击源的方法及***
CN105491110A (zh) * 2015-11-23 2016-04-13 北京天地互连信息技术有限公司 基于http或https的根服务器扩展方法和网络
CN105991604A (zh) * 2015-02-27 2016-10-05 中兴通讯股份有限公司 一种防止域名劫持的方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8607041B2 (en) * 2010-07-13 2013-12-10 Computer Associates Think, Inc. Perimeter encryption method and system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102780711A (zh) * 2011-05-09 2012-11-14 腾讯科技(深圳)有限公司 一种sns应用数据访问方法及其装置和***
CN103391272A (zh) * 2012-05-08 2013-11-13 深圳市腾讯计算机***有限公司 检测虚假攻击源的方法及***
CN105991604A (zh) * 2015-02-27 2016-10-05 中兴通讯股份有限公司 一种防止域名劫持的方法及装置
CN105491110A (zh) * 2015-11-23 2016-04-13 北京天地互连信息技术有限公司 基于http或https的根服务器扩展方法和网络

Also Published As

Publication number Publication date
CN106453399A (zh) 2017-02-22

Similar Documents

Publication Publication Date Title
US9794215B2 (en) Private tunnel network
Thurlow RPC: Remote procedure call protocol specification version 2
EP2245837B1 (en) Dynamic DNS system for private networks
CN105981009B (zh) 加密内容的缓存
US20100057895A1 (en) Methods of Providing Reputation Information with an Address and Related Devices and Computer Program Products
US9225721B2 (en) Distributing overlay network ingress information
CN101567878B (zh) 提高网络身份认证安全性的方法
CN109150800B (zh) 一种登录访问方法、***和存储介质
TW201012155A (en) Secure resource name resolution using a cache
CN110401641B (zh) 用户认证方法、装置、电子设备
US10341286B2 (en) Methods and systems for updating domain name service (DNS) resource records
CN109862130B (zh) 一种访问IPv4外链方法、装置、设备及计算机介质
US10848479B2 (en) Enabling encrypted communications between a user and a third party hosting service via a proxy server
CN104079683B (zh) 一种授权域名服务器直接响应的域名解析方法及***
CN106453399B (zh) 一种面向用户隐私保护的域名解析服务方法和***
CN105357212A (zh) 一种保证安全和隐私的dns端到端解析方法
CN110913036A (zh) 一种基于权威dns识别终端位置的方法
Yan et al. The road to DNS privacy
US20190306110A1 (en) Experience differentiation
CN108418906A (zh) 一种域名解析方法和***
US7640580B1 (en) Method and apparatus for accessing a computer behind a firewall
US9906503B1 (en) Notifying a registrant if communications between a user and a third party hosting service are not secure
US7769766B1 (en) Method and an apparatus to store content rating information
CN106961439A (zh) 一种https加密传输方法及装置
CN105100107B (zh) 代理客户端账号认证的方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant