CN111049789A - 域名访问的方法和装置 - Google Patents
域名访问的方法和装置 Download PDFInfo
- Publication number
- CN111049789A CN111049789A CN201811195485.9A CN201811195485A CN111049789A CN 111049789 A CN111049789 A CN 111049789A CN 201811195485 A CN201811195485 A CN 201811195485A CN 111049789 A CN111049789 A CN 111049789A
- Authority
- CN
- China
- Prior art keywords
- domain name
- server
- certificate
- domain
- accessed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
- H04L69/162—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种域名访问的方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:当客户端的配置支持松散认证时,向服务端发送基于HTTPS的用于请求待访问域名的第一请求消息,其中,松散认证是指根据与多个域名中的任一域名相关联的证书来判断是否通过对待访问域名的认证;接收服务端的第一响应消息,其中,第一响应消息包含与所述多个域名中的任一域名相关联的第一证书;确定服务端配置的所述多个域名;根据所确定的多个域名以及所述第一证书确定是否通过对所述待访问域名的认证。该实施方式通过向待发送的中添加第一消息添加用于指示待访问域名的服务名称指示或配置松散认证,来解决单IP多域名场景下的证书验证不通过的技术问题。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种域名访问的方法和装置。
背景技术
为了方便记忆,通常采用域名来代替网络协议地址(Internet Protocol,简称IP)来标识站点地址,当客户端需要访问网络时,在浏览器中输入域名,该域名经过解析之后,客户端便实现了对该IP地址所对应的服务器的访问。访问的过程大致如下:客户端发起包含有待解析域名的请求包(如HTTPS请求,HTTPS是指Hyper Text Transfer Protocol overSecure Socket Layer,安全套接字层超文本传输协议),如果客户端缓存中没有该域名对应的IP地址,客户端会向域名服务器(Domain Name System,简称DNS)发起DNS查询请求,域名服务器将该域名对应的IP地址返回客户端,客户端向该IP地址发起请求,以实现对该IP地址所对应的服务器的访问。
发送HTTPS请求之前要进行SSL/TLS握手(SSL:secure sockets layer,安全套接层;TLS:transport layer security,传输层安全),在握手过程中,客户端需要对服务端下发的证书进行验证,验证通过,则可以访问服务端。在验证服务端下发证书的过程中需要检查证书是否包含本次请求的域名。
如果验证通过,就证明当前的服务端是可信任的,否则就是不可信任,应当中断当前连接。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
对于单IP多域名的场景下,当客户端利用域名服务器解析域名时,请求中的域名会被替换成IP,所以在校验证书的时候会出现域名不匹配的情况,导致SSL/TLS握手不成功。
发明内容
有鉴于此,本发明实施例提供一种域名访问的方法和装置,能够在客户端支持松散认证时,向所述服务端发送基于HTTPS的第一请求消息,根据来自服务端的第一响应消息所包含的第一证书相关联的域名以及服务端配置的多个域名确定是否通过对待访问域名的认证;以及在客户端不支持松散认证时,向待发送至服务端的第二请求消息添加用于指示所述待访问域名的服务名称指示SNI,根据来自服务端的第二响应消息中所包含的第二证书确定是否通过对所述待访问域名的认证,从而实现访问配置有多个域名的服务端中的任一个域名,解决单IP多域名场景下的证书验证不通过的技术问题。
为实现上述目的,根据本发明实施例的一个方面,提供了一种域名访问的方法,其中,待访问域名是服务端所配置的多个域名中的一个域名,所述方法包括:当客户端的配置支持松散认证时,向所述服务端发送基于安全套接字层的超文本传输协议HTTPS的用于请求所述待访问域名的第一请求消息,其中,所述松散认证是指根据与多个域名中的任一域名相关联的证书来判断是否通过对所述待访问域名的认证;接收所述服务端的第一响应消息,其中,所述第一响应消息包含与所述多个域名中的任一域名相关联的第一证书;确定所述服务端配置的所述多个域名;根据所确定的所述多个域名以及所述第一证书确定是否通过对所述待访问域名的认证。
可选地,所述确定所述服务端配置的所述多个域名包括:确定所述待访问域名;根据所述待访问域名,向域名解析服务器发送查询所述服务端的网络协议地址的第三请求消息;接收所述域名服务器返回的包含所述网络协议地址的第三响应消息;根据所述第三响应消息所包含的网络协议地址,向域名解析服务器发送查询所述服务端的多个域名的第四请求消息;接收所述域名服务器返回的包含所述多个域名的第四响应消息,以确定所述服务端配置的所述多个域名。
可选地,所述根据所确定的所述多个域名以及所述第一证书确定是否通过对所述待访问域名的认证,包括:确定与所述第一响应消息中所包含的第一证书相关联的域名;将所述第一证书相关联的所述域名与所确定的所述服务端的所述多个域名进行匹配;若所述多个域名中存在与所述第一证书相关联的所述域名相匹配的域名,则通过对所述待访问域名的认证。
可选地,所述方法还包括:当所述第一证书相关联的域名支持通配符证书时,若所述多个域名中存在与所述通配符证书支持的子域名相匹配的域名,则通过对所述待访问域名的认证。
可选地,所述方法还包括:当所述客户端的配置不支持所述松散认证时,向待发送至所述服务端的基于HTTPS的第二请求消息添加用于指示所述待访问域名的服务名称指示SNI;向所述服务端发送所述第二请求消息;接收所述服务端的第二响应消息,其中,所述第二响应消息包含根据所述SNI返回的第二证书;根据所述第二证书确定是否通过对所述待访问域名的认证。
为实现上述目的,根据本发明实施例的另一方面,提供了一种域名访问的装置,其中,待访问域名是服务端所配置的多个域名中的一个域名,该装置包括:请求消息发送模块,用于当客户端的配置支持松散认证时,向所述服务端发送基于安全套接字层的超文本传输协议HTTPS的用于请求所述待访问域名的第一请求消息,其中,所述松散认证是指根据与多个域名中的任一域名相关联的证书来判断是否通过对所述待访问域名的认证;响应消息接收模块,用于接收所述服务端的第一响应消息,其中,所述第一响应消息包含与所述多个域名中的任一域名相关联的第一证书;服务端域名确定模块,用于确定所述服务端配置的所述多个域名;认证模块,用于根据所确定的所述多个域名以及所述第一证书确定是否通过对所述待访问域名的认证。
可选地,所述服务端域名确定模块还用于:确定所述待访问域名;根据所述待访问域名,向域名解析服务器发送查询所述服务端的网络协议地址的第三请求消息;接收所述域名服务器返回的包含所述网络协议地址的第三响应消息;根据所述第三响应消息所包含的网络协议地址,向域名解析服务器发送查询所述服务端的多个域名的第四请求消息;接收所述域名服务器返回的包含所述多个域名的第四响应消息,以确定所述服务端配置的所述多个域名。
可选地,所述认证模块还用于:确定与所述第一响应消息中所包含的第一证书相关联的域名;将所述第一证书相关联的所述域名与所确定的所述服务端的所述多个域名进行匹配;若所述多个域名中存在与所述第一证书相关联的所述域名相匹配的域名,则通过对所述待访问域名的认证。
可选地,所述认证模块还用于:当所述第一证书相关联的域名支持通配符证书时,若所述多个域名中存在与所述通配符证书支持的子域名相匹配的域名,则通过对所述待访问域名的认证。
可选地,所述请求消息发送模块还用于:当所述客户端的配置不支持所述松散认证时,向待发送至所述服务端的基于HTTPS的第二请求消息添加用于指示所述待访问域名的服务名称指示SNI;向所述服务端发送所述第二请求消息;所述响应消息接收模块还用于:接收所述服务端的第二响应消息,其中,所述第二响应消息包含根据所述SNI返回的第二证书;所述认证模块还用于:根据所述第二证书确定是否通过对所述待访问域名的认证。
为实现上述目的,根据本发明实施例的又一方面,提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例的域名访问的方法。
为实现上述目的,根据本发明实施例的再一方面,提供了一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现本发明实施例的域名访问的方法。
上述发明中的一个实施例具有如下优点或有益效果:本发明实施例的方法,能够在客户端支持松散认证时,向所述服务端发送基于HTTPS的第一请求消息,根据来自服务端的第一响应消息所包含的第一证书相关联的域名以及服务端配置的多个域名确定是否通过对待访问域名的认证;以及在客户端不支持松散认证时,向待发送至服务端的第二请求消息添加用于指示所述待访问域名的服务名称指示SNI,根据来自服务端的第二响应消息中所包含的第二证书确定是否通过对所述待访问域名的认证,从而实现访问配置有多个域名的服务端中的任一个域名,解决单IP多域名场景下的证书验证不通过的技术问题。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是建立HTTPS连接的主要流程的示意图;
图2是根据本发明实施例的域名访问的方法的主要流程的示意图;
图3是证书的示意图;
图4是根据本发明实施例的域名访问的方法中确定服务端的对个域名的主要流程的示意图;
图5是本发明实施例的服务端提供证书的方法的主要流程示意图;
图6是根据本发明实施例的域名访问的装置的主要模块的示意图;
图7是本发明实施例可以应用于其中的示例性***架构图;
图8是适于用来实现本发明实施例的终端设备或服务端的计算机***的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
为方便说明本发明实施例的方法,首先说明HTTPS连接的建立过程。如图1所示,该过程包括:
1.客户端发送client hello(客户端问候消息),以明文传输请求信息,包括版本信息、加密套件候选列表、压缩算法候选列表、随机数、扩展字段等信息;
2.服务端返回server_hello消息,server_hello为服务端返回协商的信息结果,包括选择使用的协议版本version,选择的加密套件cipher suite,选择的压缩算法compression method、随机数random_S,服务端端配置对应的证书链server_certificates,用于身份验证。
3.验证证书的合法性。客户端校校验证书中的域名是否与待访问的域名是否相同,如果验证通过继续后续通信,否则根据错误情况不同示出不同的提示和操作。在本步骤中,还需要校验证书的可信性、是否吊销以及有效期。
4.证书验证通过之后,客户端生成随机对称秘钥,发送给服务端。其中,client_key_exchange表示合法性验证通过之后,客户端计算产生随机数字Pre-master,并用证书公钥加密,发送给服务端;change_cipher_spec表示客户端通知服务端后续的通信都采用协商的通信密钥和加密算法进行加密通信;encrypted_handshake_message,结合之前所有通信参数的hash值(哈希值)与其它相关信息生成一段数据,采用协商密钥session secret与算法进行加密,然后发送给服务端用于数据与握手验证。
5.解密客户端发送的encrypted_handshake_message,验证数据和密钥正确性。其中change_cipher_spec表示数据和秘钥验证通过之后,服务端同样发送change_cipher_spec以告知客户端后续的通信都采用协商的密钥与算法进行加密通信;encrypted_handshake_message表示服务端也结合所有当前的通信参数信息生成一段数据并采用协商密钥session secret与算法加密并发送到客户端。
6.握手结束。客户端计算所有接收信息的hash值(哈希值),并采用协商密钥解密encrypted_handshake_message,验证服务端发送的数据和密钥,验证通过则握手完成。
7.客户端和服务端开始加密通信。
图2是根据本发明实施例的域名访问的方法的主要流程的示意图,其中,待访问域名时服务端所配置的多个域名中的一个域名。域名(domain name)是由一串用电分隔的名字组成的Internet(因特网)上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。该方法可以应用于客户端。如图2所示,该方法包括:
步骤S201:确定客户端是否支持松散认证。
其中,松散认证是指根据与服务端所配置的多个域名中的任一个域名相关联的证书,来判断是否通过对所述待访问的域名的认证。在本实施例中可以预先在客户端的配置文件中设置该客户端是否支持松散认证,进而可以根据该客户端的配置文件确定其是否支持松散认证。
步骤S202-1:当客户端的配置支持松散认证时,向所述服务端发送基于安全套接字层的超文本传输协议HTTPS的用于请求所述待访问域名的第一请求消息。
其中,所述第一请求消息是指客户端向服务端发送的client hello消息。
步骤S203-1:接收所述服务端的第一响应消息,其中,所述第一响应消息包含与所述多个域名中的任一域名相关联的第一证书。
其中,所述第一响应消息是指服务端向客户端返回的server hello消息。所述第一证书是由受信任的数字证书颁发机构,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。客户端可以通过该第一证书验证所访问的网站(即待访问域名)是否真实可靠。通常,证书可以包括证书版本、有效期、颁发者和使用者等信息。根据使用者信息可以确定与该证书相关联的域名。
作为具体的示例,如图3所示,根据该证书可以得知该证书与域名m.xyz.com相关联。
步骤S204-1:确定所述服务端配置的所述多个域名。
示例性的,客户端可以查询本地的缓存或数据库中是否存储有所述服务端配置的多个域名的记录。若存在,则可以从所述缓存或数据库中获取所述服务端配置的多个域名。若不存在,则可以通过如图4所示的过程确定所述服务端配置的多个域名。
如图4所示,该过程包括:
确定所述待访问域名;
根据所述待访问域名,向域名解析服务器发送查询所述服务端的网络协议地址的第三请求消息;
接收所述域名服务器返回的包含所述网络协议地址的第三响应消息;
根据所述第三响应消息所包含的网络协议地址,向域名解析服务器发送查询所述服务端的多个域名的第四请求消息;
接收所述域名服务器返回的包含所述多个域名的第四响应消息,以确定所述服务端配置的所述多个域名。
其中,域名解析服务器(Domain Name System,DNS)是指进行域名(domain name)和与之相对应的网络协议地址(IP)转换的服务器。在域名解析服务器中存在两个区域,即“正向查找区域”和“反向查找区域”,在正向查找区域中存储有A记录,在烦向查找区域中存储有PTR记录。A记录也称为主机记录,是使用最为广泛的记录,A记录的基本作用就是说嘛一个域名对应的IP是多少,它是域名和IP的对应关系,表现形式为“m.xyz.com192.168.1.1”。PTR记录也被称为指针记录,PTR记录是A记录的逆向记录,作用是将IP解析为域名。根据域名查询网络协议地址的过程可以称为DNS正向解析(或DNS正向查询),根据网络协议地址查询域名的过程可以称为DNS反向解析(或反向查询)。
作为具体的示例,根据将待访问域名members.example.com写入用于查询所述服务端的网络协议地址的第三请求消息,并将该第三请求消息发送至域名解析服务器,域名解析服务器根据正向查找区域的A记录进行DNS正向解析,以确定该待访问域名members.example.com对应的IP,域名解析服务器将确定的IP即444.333.222.111发送至客户端。客户端将该IP写入第四请求消息,并将该第四请求消息发送至域名服务器,域名服务器根据反向查找区域的PRT记录进行DNS反向解析,以确定该IP对应的多个域名。假设该IP对应的多个域名为:images.example.com、members.example.com和secure.example.com。则域名解析服务器将上述3个域名返回至客户端。
步骤S205-1:根据所确定的所述多个域名以及所述第一证书确定是否通过对所述待访问域名的认证。
示例性的,该步骤可以包括:
确定与所述第一响应消息中所包含的第一证书相关联的域名;
将所述第一证书相关联的所述域名与所确定的所述服务端的所述多个域名进行匹配;
若所述多个域名中存在与所述第一证书相关联的所述域名相匹配的域名,则通过对所述待访问域名的认证。
若所述多个域名中不存在与所述第一证书相关联的所述域名相匹配的域名,则对所述待访问域名的认证失败。
在可选的实施例中,当所述第一证书相关联的域名支持通配符证书时,若所述多个域名中存在与所述通配符证书支持的子域名相匹配的域名,则通过对所述待访问域名的认证。
其中,通配符证书是证书的一种,其主要特点是可以使域变得更灵活,具有可扩展性,使用“*.xxx.xx”。其中“*”是一种通配符。通配符是一种特殊语句,主要有星号(*)和问号(?),用来模糊搜索文件。当查找文件夹时,可以使用它来代替一个或多个真正字符;当不知道真正字符时,常常使用通配符代替一个或多个真正的字符。例如,当证书中的域名为“*.example.com”,则该域名包含通配符“*”,对此情况可以将根据服务端的IP地址获得的多个域名中的、与所述通配符所在子域相对应的子域转化为通配符,即“images.example.com”转化为“*.example.com”、“members.example.com”转化为“*.example.com”、“secure.example3.com”转化为“*.example.com”。然后,将证书中包括的域名与转化后的多个域名进行匹配,若转化后的多个域名中存在与通配符证书支持的子域名相匹配的域名,则通过对待访问域名的认证。
步骤S202-2:当所述客户端的配置不支持所述松散认证时,向待发送至所述服务端的基于HTTPS的第二请求消息添加用于指示所述待访问域名的服务名称指示SNI。
其中,所述第二请求消息是指client hello消息。SNI(Server Name Indication,服务名称指示)允许客户端在发起SSL握手请求时(客户端发送的client hello消息中)提交待访问的域名,使得服务器能够得到正确的域名并返回相应的证书,用于来改善服务端与客户端SSL(Secure Socket Layer)和TLS(Transport Layer Security)的一个扩展。客户端发送的client hello(客户端问候消息)包括版本信息、加密套件候选列表、压缩算法候选列表、随机数、扩展字段等信息,因此可以将服务指示名称SNI添加到扩展字段中。
在可选的实施例中,当客户端的配置支持松散认证时,待发送至服务端的第一请求消息可以添加用于指示所述待访问域名的服务名称指示SNI,也可以不添加该服务名称指示SNI,本发明在此不做限制。当客户端的配置支持松散认证,但不能获得服务端的多个域名时(例如连接不到域名解析服务器、域名解析服务器没有反向解析功能或域名解析服务器上的信息不完善等),可以在将待发送至服务端的第一请求消息中添加用于指示所述待访问域名的服务名称指示SNI。
步骤S203-2:向所述服务端发送所述第二请求消息。
步骤S204-2:接收所述服务端的第二响应消息,其中,所述第二响应消息包含根据所述SNI返回的第二证书。
服务端可以根据接收的client hello消息中扩展字段的服务名称指示SNI,确定客户端待访问的域名,根据该待访问的域名可以确定向客户端返回的证书。
步骤S205-2:根据所述第二证书确定是否通过对所述待访问域名的认证。
具体的,将与所述第二证书相关联的域名与待访问的域名进行匹配,若与所述第二证书相关联的域名与所述待访问的域名相同,则通过对所述待访问域名的认证。
在本实施例中,对域名的认证也可以理解为对与域名相关联的实体的认证。
本发明实施例的域名访问方法,能够在客户端支持松散认证时,向所述服务端发送基于HTTPS的第一请求消息,根据来自服务端的第一响应消息所包含的第一证书相关联的域名以及服务端配置的多个域名确定是否通过对待访问域名的认证;以及在客户端不支持松散认证时,向待发送至服务端的第二请求消息添加用于指示所述待访问域名的服务名称指示SNI,根据来自服务端的第二响应消息中所包含的第二证书确定是否通过对所述待访问域名的认证,从而实现访问配置有多个域名的服务端中的任一个域名,解决单IP多域名场景下的证书验证不通过的技术问题。
图5是根据本发明实施例的用于提供证书的方法的主要步骤的流程示意图,如图5所示,该方法包括:
步骤S501:接收来自客户端的请求消息;
步骤S502:确定接收到的来自客户端的请求消息中是否包含用于指示所述客户端待访问域名的服务名称指示SNI;
步骤S503:若是,在待发送至所述客户端的响应消息中包含与所述待访问域名相关联的证书;
步骤S504:若否,在待发送至所述客户端的响应消息中包含从与所述多个域名关联的多个证书中选择的证书。
该方法可以用于具有多个域名的服务端,该多个域名与多个证书相关联,该方法在接收到的来自客户端的请求消息中包含用于指示所述客户端待访问域名的服务名称指示的情况下,在待发送至所述客户端的响应消息中包含与所述待访问域名相关联的证书;在接收到的来自所述客户端的请求消息中不包含所述服务名称指示的情况下,在待发送至所述客户端的响应消息中包含从与所述多个域名关联的多个证书中选择的证书。
图6是根据本发明实施例的域名访问的装置600的主要模块的示意图,如图6所示,该装置600包括:
请求消息发送模块601,用于当客户端的配置支持松散认证时,向所述服务端发送基于安全套接字层的超文本传输协议HTTPS的用于请求所述待访问域名的第一请求消息,其中,所述松散认证是指根据与多个域名中的任一域名相关联的证书来判断是否通过对所述待访问域名的认证;
响应消息接收模块602,用于接收所述服务端的第一响应消息,其中,所述第一响应消息包含与所述多个域名中的任一域名相关联的第一证书;
服务端域名确定模块603,用于确定所述服务端配置的所述多个域名;
认证模块604,用于根据所确定的所述多个域名以及所述第一证书确定是否通过对所述待访问域名的认证。
可选地,所述服务端域名确定模块603还用于:确定所述待访问域名;根据所述待访问域名,向域名解析服务器发送查询所述服务端的网络协议地址的第三请求消息;接收所述域名服务器返回的包含所述网络协议地址的第三响应消息;根据所述第三响应消息所包含的网络协议地址,向域名解析服务器发送查询所述服务端的多个域名的第四请求消息;接收所述域名服务器返回的包含所述多个域名的第四响应消息,以确定所述服务端配置的所述多个域名。
可选地,所述认证模块604还用于:确定与所述第一响应消息中所包含的第一证书相关联的域名;将所述第一证书相关联的所述域名与所确定的所述服务端的所述多个域名进行匹配;若所述多个域名中存在与所述第一证书相关联的所述域名相匹配的域名,则通过对所述待访问域名的认证。
可选地,所述认证模块604还用于:当所述第一证书相关联的域名支持通配符证书时,若所述多个域名中存在与所述通配符证书支持的子域名相匹配的域名,则通过对所述待访问域名的认证。
可选地,所述请求消息发送模块601还用于:当所述客户端的配置不支持所述松散认证时,向待发送至所述服务端的基于HTTPS的第二请求消息添加用于指示所述待访问域名的服务名称指示SNI;向所述服务端发送所述第二请求消息;
所述响应消息接收模块602还用于:接收所述服务端的第二响应消息,其中,所述第二响应消息包含根据所述SNI返回的第二证书;
所述认证模块604还用于:根据所述第二证书确定是否通过对所述待访问域名的认证。
上述装置可执行本发明实施例所提供的方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本发明实施例所提供的方法。
图7示出了可以应用本发明实施例的访问具有多个域名的服务端的方法或访问具有多个域名的服务端的装置的示例性***架构700。
如图7所示,***架构700可以包括终端设备701、702、703,网络704和服务端705。网络704用以在终端设备701、702、703和服务端705之间提供通信链路的介质。网络704可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备701、702、703通过网络704与服务端705交互,以接收或发送消息等。终端设备701、702、703上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备701、702、703可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务端705可以是提供各种服务的服务端,例如对用户利用终端设备701、702、703所浏览的购物类网站提供支持的后台管理服务端。后台管理服务端可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果(例如目标推送信息、产品信息)反馈给终端设备。
需要说明的是,本发明实施例所提供的访问具有多个域名的服务端的方法一般由服务端705执行,相应地,访问具有多个域名的服务端的装置一般设置于服务端705中。
应该理解,图7中的终端设备、网络和服务端的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务端。
下面参考图8,其示出了适于用来实现本发明实施例的终端设备的计算机***800的结构示意图。图8示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图8所示,计算机***800包括中央处理单元(CPU)801,其可以根据存储在只读存储器(ROM)802中的程序或者从存储部分807加载到随机访问存储器(RAM)803中的程序而执行各种适当的动作和处理。在RAM 803中,还存储有***800操作所需的各种程序和数据。CPU 801、ROM 802以及RAM 803通过总线804彼此相连。输入/输出(I/O)接口807也连接至总线804。
以下部件连接至I/O接口805:包括键盘、鼠标等的输入部分806;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分807;包括硬盘等的存储部分808;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至I/O接口805。可拆卸介质811,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器810上,以便于从其上读出的计算机程序根据需要被安装入存储部分808。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分809从网络上被下载和安装,和/或从可拆卸介质811被安装。在该计算机程序被中央处理单元(CPU)801执行时,执行本发明的***中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括发送模块、获取模块、确定模块和第一处理模块。其中,这些模块的名称在某种情况下并不构成对该单元本身的限定,例如,发送模块还可以被描述为“向所连接的服务端发送图片获取请求的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:
当客户端的配置支持松散认证时,向所述服务端发送基于安全套接字层的超文本传输协议HTTPS的用于请求所述待访问域名的第一请求消息,其中,所述松散认证是指根据与多个域名中的任一域名相关联的证书来判断是否通过对所述待访问域名的认证;
接收所述服务端的第一响应消息,其中,所述第一响应消息包含与所述多个域名中的任一域名相关联的第一证书;
确定所述服务端配置的所述多个域名;
根据所确定的所述多个域名以及所述第一证书确定是否通过对所述待访问域名的认证。
本发明实施例的技术方案,能够在不支持松散认证的情况下,向待发送至所述服务端的第一消息添加用于指示所述待访问域名的服务名称指示,根据来自服务端的第二消息中所包含的第一证书是否关联于所述待访问域名,判断是否通过对所述待访问域名的认证;以及在支持所述松散认证的情况下,维护所述服务端的多个域名,在来自所述服务端的第四消息中所包含的第二证书是否关联于所维护的所述服务端的多个域名中的任一个域名,来判断是否通过对所述待访问域名的认证,从而实现访问配置有多个域名的服务端中的任一个域名,解决单IP多域名场景下的证书验证不通过的技术问题。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (12)
1.一种域名访问的方法,其中,待访问域名是服务端所配置的多个域名中的一个域名,其特征在于,包括:
当客户端的配置支持松散认证时,向所述服务端发送基于安全套接字层的超文本传输协议HTTPS的用于请求所述待访问域名的第一请求消息,其中,所述松散认证是指根据与多个域名中的任一域名相关联的证书来判断是否通过对所述待访问域名的认证;
接收所述服务端的第一响应消息,其中,所述第一响应消息包含与所述多个域名中的任一域名相关联的第一证书;
确定所述服务端配置的所述多个域名;
根据所确定的所述多个域名以及所述第一证书确定是否通过对所述待访问域名的认证。
2.根据权利要求1所述的方法,其特征在于,所述确定所述服务端配置的所述多个域名包括:
确定所述待访问域名;
根据所述待访问域名,向域名解析服务器发送查询所述服务端的网络协议地址的第三请求消息;
接收所述域名服务器返回的包含所述网络协议地址的第三响应消息;
根据所述第三响应消息所包含的网络协议地址,向域名解析服务器发送查询所述服务端的多个域名的第四请求消息;
接收所述域名服务器返回的包含所述多个域名的第四响应消息,以确定所述服务端配置的所述多个域名。
3.根据权利要求1所述的方法,其特征在于,所述根据所确定的所述多个域名以及所述第一证书确定是否通过对所述待访问域名的认证,包括:
确定与所述第一响应消息中所包含的第一证书相关联的域名;
将所述第一证书相关联的所述域名与所确定的所述服务端的所述多个域名进行匹配;
若所述多个域名中存在与所述第一证书相关联的所述域名相匹配的域名,则通过对所述待访问域名的认证。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当所述第一证书相关联的域名支持通配符证书时,若所述多个域名中存在与所述通配符证书支持的子域名相匹配的域名,则通过对所述待访问域名的认证。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述客户端的配置不支持所述松散认证时,向待发送至所述服务端的基于HTTPS的第二请求消息添加用于指示所述待访问域名的服务名称指示SNI;
向所述服务端发送所述第二请求消息;
接收所述服务端的第二响应消息,其中,所述第二响应消息包含根据所述SNI返回的第二证书;
根据所述第二证书确定是否通过对所述待访问域名的认证。
6.一种域名访问的装置,其中,待访问域名是服务端所配置的多个域名中的一个域名,其特征在于,包括:
请求消息发送模块,用于当客户端的配置支持松散认证时,向所述服务端发送基于安全套接字层的超文本传输协议HTTPS的用于请求所述待访问域名的第一请求消息,其中,所述松散认证是指根据与多个域名中的任一域名相关联的证书来判断是否通过对所述待访问域名的认证;
响应消息接收模块,用于接收所述服务端的第一响应消息,其中,所述第一响应消息包含与所述多个域名中的任一域名相关联的第一证书;
服务端域名确定模块,用于确定所述服务端配置的所述多个域名;
认证模块,用于根据所确定的所述多个域名以及所述第一证书确定是否通过对所述待访问域名的认证。
7.根据权利要求6所述的装置,其特征在于,所述服务端域名确定模块还用于:
确定所述待访问域名;
根据所述待访问域名,向域名解析服务器发送查询所述服务端的网络协议地址的第三请求消息;
接收所述域名服务器返回的包含所述网络协议地址的第三响应消息;
根据所述第三响应消息所包含的网络协议地址,向域名解析服务器发送查询所述服务端的多个域名的第四请求消息;
接收所述域名服务器返回的包含所述多个域名的第四响应消息,以确定所述服务端配置的所述多个域名。
8.根据权利要求6所述的装置,其特征在于,所述认证模块还用于:
确定与所述第一响应消息中所包含的第一证书相关联的域名;
将所述第一证书相关联的所述域名与所确定的所述服务端的所述多个域名进行匹配;
若所述多个域名中存在与所述第一证书相关联的所述域名相匹配的域名,则通过对所述待访问域名的认证。
9.根据权利要求8所述的装置,其特征在于,所述认证模块还用于:
当所述第一证书相关联的域名支持通配符证书时,若所述多个域名中存在与所述通配符证书支持的子域名相匹配的域名,则通过对所述待访问域名的认证。
10.根据权利要求6所述的装置,其特征在于,
所述请求消息发送模块还用于:当所述客户端的配置不支持所述松散认证时,向待发送至所述服务端的基于HTTPS的第二请求消息添加用于指示所述待访问域名的服务名称指示SNI;向所述服务端发送所述第二请求消息;
所述响应消息接收模块还用于:接收所述服务端的第二响应消息,其中,所述第二响应消息包含根据所述SNI返回的第二证书;
所述认证模块还用于:根据所述第二证书确定是否通过对所述待访问域名的认证。
11.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5中任一所述的方法。
12.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-5中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811195485.9A CN111049789B (zh) | 2018-10-15 | 2018-10-15 | 域名访问的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811195485.9A CN111049789B (zh) | 2018-10-15 | 2018-10-15 | 域名访问的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111049789A true CN111049789A (zh) | 2020-04-21 |
| CN111049789B CN111049789B (zh) | 2023-05-12 |
Family
ID=70230049
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811195485.9A Active CN111049789B (zh) | 2018-10-15 | 2018-10-15 | 域名访问的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111049789B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112202785A (zh) * | 2020-09-30 | 2021-01-08 | 深信服科技股份有限公司 | 一种上传文件处理方法、装置、设备及计算机存储介质 |
| CN112261047A (zh) * | 2020-10-22 | 2021-01-22 | 上海擎感智能科技有限公司 | 网关访问方法、移动终端及计算机存储介质 |
| CN115333927A (zh) * | 2022-07-29 | 2022-11-11 | 上海浦东发展银行股份有限公司 | 一种客户端域名切换方法、装置、电子设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103078877A (zh) * | 2013-01-31 | 2013-05-01 | 中国科学院计算机网络信息中心 | 基于dns的用户认证和域名访问控制方法及*** |
| CN105915582A (zh) * | 2016-03-28 | 2016-08-31 | 深圳市双赢伟业科技股份有限公司 | 路由器访问网页的方法及路由器 |
| CN107493174A (zh) * | 2017-09-05 | 2017-12-19 | 成都知道创宇信息技术有限公司 | 基于cdn网络的ssl证书智能绑定与管理方法 |
| CN108011888A (zh) * | 2017-12-15 | 2018-05-08 | 东软集团股份有限公司 | 一种实现证书重构的方法、装置及存储介质、程序产品 |
| US20180167221A1 (en) * | 2016-12-13 | 2018-06-14 | Zixcorp Systems, Inc. | Authenticating a system based on a certificate |
| CN108390955A (zh) * | 2018-05-09 | 2018-08-10 | 网宿科技股份有限公司 | 域名获取方法、网站访问方法及服务器 |
-
2018
- 2018-10-15 CN CN201811195485.9A patent/CN111049789B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103078877A (zh) * | 2013-01-31 | 2013-05-01 | 中国科学院计算机网络信息中心 | 基于dns的用户认证和域名访问控制方法及*** |
| CN105915582A (zh) * | 2016-03-28 | 2016-08-31 | 深圳市双赢伟业科技股份有限公司 | 路由器访问网页的方法及路由器 |
| US20180167221A1 (en) * | 2016-12-13 | 2018-06-14 | Zixcorp Systems, Inc. | Authenticating a system based on a certificate |
| CN107493174A (zh) * | 2017-09-05 | 2017-12-19 | 成都知道创宇信息技术有限公司 | 基于cdn网络的ssl证书智能绑定与管理方法 |
| CN108011888A (zh) * | 2017-12-15 | 2018-05-08 | 东软集团股份有限公司 | 一种实现证书重构的方法、装置及存储介质、程序产品 |
| CN108390955A (zh) * | 2018-05-09 | 2018-08-10 | 网宿科技股份有限公司 | 域名获取方法、网站访问方法及服务器 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112202785A (zh) * | 2020-09-30 | 2021-01-08 | 深信服科技股份有限公司 | 一种上传文件处理方法、装置、设备及计算机存储介质 |
| CN112202785B (zh) * | 2020-09-30 | 2023-03-21 | 深信服科技股份有限公司 | 一种上传文件处理方法、装置、设备及计算机存储介质 |
| CN112261047A (zh) * | 2020-10-22 | 2021-01-22 | 上海擎感智能科技有限公司 | 网关访问方法、移动终端及计算机存储介质 |
| CN112261047B (zh) * | 2020-10-22 | 2023-11-03 | 上海擎感智能科技有限公司 | 网关访问方法、移动终端及计算机存储介质 |
| CN115333927A (zh) * | 2022-07-29 | 2022-11-11 | 上海浦东发展银行股份有限公司 | 一种客户端域名切换方法、装置、电子设备和存储介质 |
| CN115333927B (zh) * | 2022-07-29 | 2023-10-27 | 上海浦东发展银行股份有限公司 | 一种客户端域名切换方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111049789B (zh) | 2023-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10880732B2 (en) | Authentication of phone caller identity | |
| US20220014524A1 (en) | Secure Communication Using Device-Identity Information Linked To Cloud-Based Certificates | |
| US20180159694A1 (en) | Wireless Connections to a Wireless Access Point | |
| US9021552B2 (en) | User authentication for intermediate representational state transfer (REST) client via certificate authority | |
| US11196561B2 (en) | Authorized data sharing using smart contracts | |
| US20220067189A1 (en) | Data Sharing Via Distributed Ledgers | |
| US20160315777A1 (en) | Certificate updating | |
| US8412806B2 (en) | Setting a preliminary time on a network appliance using a message received from a server | |
| US10257171B2 (en) | Server public key pinning by URL | |
| US20200162245A1 (en) | Method and system for performing ssl handshake | |
| US10050944B2 (en) | Process to access a data storage device of a cloud computer system with the help of a modified Domain Name System (DNS) | |
| CN113472790B (zh) | 基于https协议的信息传输方法、客户端及服务器 | |
| US11290283B2 (en) | Automated replacement of self-signed server certificates | |
| KR101974062B1 (ko) | 클라우드 하드웨어 모듈 기반 전자 서명 방법 | |
| CN111049789B (zh) | 域名访问的方法和装置 | |
| CN112131599A (zh) | 校验数据的方法、装置、设备和计算机可读介质 | |
| US11683301B2 (en) | Automatically obtaining a signed digital certificate from a trusted certificate authority | |
| CN105072108A (zh) | 用户信息的传输方法、装置及*** | |
| EP3242444A1 (en) | Service processing method and device | |
| CN109302425B (zh) | 身份认证方法及终端设备 | |
| JP2012181662A (ja) | アカウント情報連携システム | |
| CN111787044A (zh) | 物联网终端平台 | |
| CN109379371B (zh) | 证书验证方法、装置及*** | |
| CN114598549B (zh) | 客户ssl证书验证方法及装置 | |
| US20150281187A1 (en) | Key transmitting method and key transmitting system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |