CN112671779B - 基于DoH服务器的域名查询方法、装置、设备及介质 - Google Patents
基于DoH服务器的域名查询方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN112671779B CN112671779B CN202011572464.1A CN202011572464A CN112671779B CN 112671779 B CN112671779 B CN 112671779B CN 202011572464 A CN202011572464 A CN 202011572464A CN 112671779 B CN112671779 B CN 112671779B
- Authority
- CN
- China
- Prior art keywords
- domain name
- information
- https
- client
- name query
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本公开提供一种基于DoH服务器的域名查询方法,包括:接收客户端发送的HTTPS域名查询请求,根据该查询请求对用户身份进行认证;对于认证通过的用户,判断用户是否有权限访问查询请求对应的内容;对于有权限的用户,获取用户所查询的域名对应的密钥对信息,其中,密钥对信息包括公钥与私钥;将公钥发送至客户端,将HTTPS域名查询请求发送至域名解析服务器进行域名解析;接收域名解析服务器域名查询响应信息,根据域名查询响应信息及私钥生成所查询域名的签名信息,将域名查询响应信息及签名信息发送至客户端,使客户端根据公钥对签名信息进行验证,验证通过,获取域名查询响应信息。本公开还提供一种域名查询装置、设备及介质。
Description
技术领域
本公开涉及互联网安全技术领域,更具体地,涉及一种基于DoH服务器的域名查询方法、装置、设备及介质。
背景技术
域名***(Domain Name System,即DNS)是Internet上解决网上机器命名的一种***,是Internet的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。由于DNS本身的设计缺陷,没有提供适当的信息保护和认证机制,使得DNS很容易受到攻击。作为全球最大也是最为成功的分布式数据库***,其效率和普及程度是其他服务无法比拟的。一旦遭受攻击,会给整个互联网带来无法估量的损失。协议设计脆弱性导致数据信息真实性和完整性得不到保证。比如,一旦进入网络,用户(包括威胁行为者和恶意内部人员)可以自由地横向移动、访问甚至泄露他们权限之外的任何数据。由于意外或人为原因导致数字证书错误签发、失效、被恶意使用等网络安全问题也有可能发生。
发明内容
有鉴于此,本公开提供了一种基于DoH服务器的域名查询方法、装置、设备及介质。
本公开的一个方面提供了一种基于DoH服务器的域名查询方法,包括:接收客户端发送的HTTPS域名查询请求,根据所述HTTPS域名查询请求对用户身份进行认证;对于认证通过的用户,判断所述用户是否有权限访问所述HTTPS域名查询请求对应的内容;对于有权限的用户,获取所述用户所查询的域名对应的密钥对信息,其中,所述密钥对信息包括一一对应的公钥与私钥;将所述公钥发送至所述客户端,并将所述HTTPS域名查询请求发送至域名解析服务器进行域名解析;接收所述域名解析服务器域名查询响应信息,根据所述域名查询响应信息及所述私钥生成所查询域名的签名信息,将所述域名查询响应信息及所述签名信息发送至所述客户端,使所述客户端根据所述公钥对所述签名信息进行验证,验证通过,获取所述域名查询响应信息。
根据本公开的实施例,所述根据所述HTTPS域名查询请求对用户身份进行认证包括:根据数据信息、IP地址信息、MAC地址信息、操作***信息对所述HTTPS域名查询请求包含的身份信息进行认证,其中,所述数据信息包括用户名和/或密码和/或验证码和/或指纹。
根据本公开的实施例,在所述接收客户端发送的HTTPS域名查询请求之后,所述方法还包括:通过HTTPS方式建立所述客户端与所述DoH服务器之间的安全连接通道。
根据本公开的实施例,在所述接收客户端发送的HTTPS域名查询请求之前,所述方法还包括:为所有待查询的域名配置密钥对,其中,每一个域名对应唯一一对密钥对,且每个域名之间密钥对不同。
根据本公开的实施例,所述方法还包括:记录域名查询成功的结果信息或查询失败的结果信息。
根据本公开的实施例,采用椭圆曲线公钥密码算法或非对称加密算法为所有待查询的域名配置密钥对。
根据本公开的实施例,所述客户端根据所述公钥对所述签名信息进行验证包括:所述客户端判断所述签名信息中包含的私钥是否是与所述DoH服务器发送的公钥对应的密钥对中的私钥,若是,则验证通过。
本公开的另一个方面提供了一种基于DoH服务器的域名查询装置,包括:认证模块,用于接收客户端发送的HTTPS域名查询请求,根据所述HTTPS域名查询请求对用户身份进行认证;判断模块,用于对于认证通过的用户,判断所述用户是否有权限访问所述HTTPS域名查询请求对应的内容;获取模块,用于对于有权限的用户,获取所述用户所查询的域名对应的密钥对信息,其中,所述密钥对信息包括一一对应的公钥与私钥;转发模块,用于将所述公钥发送至所述客户端,并将所述HTTPS域名查询请求发送至域名解析服务器进行域名解析;接收模块,用于接收所述域名解析服务器域名查询响应信息;生成模块,用于根据所述域名查询响应信息及所述私钥生成所查询域名的签名信息,将所述域名查询响应信息及所述签名信息发送至所述客户端,使所述客户端根据所述公钥对所述签名信息进行验证,验证通过,获取所述域名查询响应信息。
本公开的另一个方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上所述的方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的实施例提供的域名查询方法、装置、设备及介质,通过建立用户强身份验证规则,域名密钥对信息库,每次域名查询都需要通过身份认证,使用安全性较高的DNS-over-HTTPS技术作为域名查询通讯过程中安全防护根本手段。由HTTPS技术全程对通讯信息进行加密传输,成为域名查询安全保障的第一道壁垒,保证传输数据的保密性、完整性。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的基于DoH服务器的域名查询方法的流程图;
图2示意性示出了根据本公开实施例的基于DoH服务器的域名查询过程的信息交互图;
图3示意性示出了根据本公开实施例的基于DoH服务器的域名查询装置装置的框图;
图4示意性示出了根据本公开实施例的适于实现上文描述的方法的电子设备的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的***”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的***等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的***”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的***等)。
为了保障通讯过程中DNS信息的隐私安全,本公开实施例提供一种基于DNS-over-HTTPS(DoH)的网络域名查询方法,该方法在HTTPS的连接中追加了身份认证环节以及根据查询的域名嵌入对应的数字签名,以提高域名查询的安全性能。下面结合附图进行详细介绍。
图1示意性示出了根据本公开实施例的基于DoH服务器的域名查询方法的流程图。图2示意性示出了根据本公开实施例的基于DoH服务器的域名查询过程的信息交互图。
请参阅图1结合图2,该方法例如可以包括操作S101~S104。
在操作S101,接收客户端发送的HTTPS域名查询请求,根据HTTPS域名查询请求对用户身份进行认证。
根据本公开的实施例,在客户端向DoH服务器发起域名查询请求之后,通过HTTPS方式建立客户端与DoH服务端之间的安全连接通道。接下来的通讯传输均建立在此基础之上,所有信息均由HTTPS进行加密传输。
根据本公开的实施例,DoH服务器上建立用户身份认证规则,例如通过但不局限于手机号码、微信等方式进行实名认证。DoH服务器可以通过反向代理服务器接收客户端发送的HTTPS域名查询请求后,根据HTTPS域名查询请求对用户身份进行认证。身份认证可以是基于根据数据信息(如用户名和/或密码和/或验证码和/或指纹等)、IP地址信息、MAC地址信息、操作***信息等对HTTPS域名查询请求包含的身份信息进行认证,也即,认证过程不仅限于数据信息,还包括有P地址信息、MAC地址信息、操作***信息等,通过该些信息的加入,进一步加强用户身份的信任度,使得虚拟网络与用户实体加强联系,相互渗透,提高了身份认证的安全级别。若身份认证未通过,则DoH服务器拒绝客户端访问,终止域名查询活动,若身份认证通过,则执行操作S102。
在操作S102,对于认证通过的用户,判断用户是否有权限访问HTTPS域名查询请求对应的内容。
根据本公开的实施例,当用户身份认证通过时,则判断用户是否有权限访问HTTPS域名查询请求对应的内容,若无权限访问,则拒绝访问,终止域名查询活动,若有权访问,则执行操作S103。此外,对每次用户身份认证及权限判定的过程结果还可以进行记录,便于用户信用度的度量以及安全审计工作。
在操作S103,对于有权限的用户,获取用户所查询的域名对应的密钥对信息,将公钥发送至客户端,并将HTTPS域名查询请求发送至域名解析服务器进行域名解析,其中,密钥对信息包括一一对应的公钥与私钥。
根据本公开的实施例,DoH服务在域名密钥对信息库中查找到所查域名对应的密钥对信息,将公钥发送至客户端,以备验证域名查询响应信息签名所用,其中,密钥对信息包括一一对应的公钥与私钥。并将HTTPS域名查询请求转发至域名解析服务器进行域名解析。
在操作S104,接收域名解析服务器域名查询响应信息,根据域名查询响应信息及私钥生成所查询域名的签名信息,将域名查询响应信息及签名信息发送至客户端,使客户端根据公钥对签名信息进行验证,验证通过,获取域名查询响应信息。
根据本公开的实施例,DoH服务将域名查询请求发送至DNS服务器进行域名解析,获取域名查询响应信息。通过域名查询响应信息和域名对应的私钥生成一个该域名专属的签名信息。将域名查询响应信息与该域名的签名信息一同发送至客户端。其中,签名信息指的是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
客户端通过反向代理服务器接收DoH服务返回的域名查询响应信息。首先,使用先前获取的该域名公钥对域名签名进行验证,由于使用域名对应的专属私钥生成的签名,只能通过该域名的专属公钥才能对其签名进行验证,因此该种方法可增加安全性。攻击人没有私钥的情况下,无法生成正确的签名,只要是对传输过程中数据进行了篡改,通过域名公钥验证时都是无法通过,若没有篡改,则验证通过。
根据本公开的实施例,私钥存放于域名密钥对信息库中,并不对外公开,保证签名的绝对隐秘性。若域名签名验证不通过,则认为此域名查询响应信息为非法信息,将终止此次域名查询活动,并记录此次域名查询失败结果信息;若域名签名验证通过,则视此次域名查询活动安全有效,可安全使用此次获取的域名查询响应信息,并记录此次域名查询成功结果信息。其中,签名信息的生成与验证方法可采用国密算法SM2,非对称加密算法。国密算法是国家密码局制定标准的一系列算法,包括对称加密算法,椭圆曲线非对称加密算法,杂凑算法。非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。
根据本公开的实施例,在接收客户端发送的HTTPS域名查询请求之前,上述域名查询方法还包括:为所有待查询的域名配置密钥对,其中,每一个域名对应唯一一对密钥对,且每个域名之间密钥对不同。并根据密钥对信息建立密钥对信息库,该密钥对信息库至少包括表1所记载的信息。
表1
根据本公开的实施例,上述域名查询方法还包括:记录域名查询成功的结果信息或查询失败的结果信息,该记录域名查询成功的结果信息或查询失败的结果信息可用作域名查询安全审计用参考信息。
本公开实施例提供的域名查询方法,在DNS-over-HTTPS基础之上加入用户身份强认证规则,域名专属数字签名信息,通过对用户身份、数字签名的验证,使得其安全性更加可靠,建立一个零信任的安全网络环境。相对于DoH技术,域名签名的加密算法可采用国密算法SM2,执行过程可由DoH服务提供商来制定,可按需更换算法及密钥信息,这样具有一定的隐蔽性,迷惑性,而且每个域名有专属的密钥对,域名之间密钥对并不通用。即使HTTPS技术出现漏洞被攻破,也能够减少域名查询攻击造成的损失,为采取修复漏洞,防护攻击争取时间。采用国密算法,通过自主可控的国产密码技术保护重要数据的安全,是有效提升信息安全保障水平的重要举措。
综上所示,本公开实施例提供的方法的最终旨意在于本着不能信任出入网络的任何内容的原则,建立一个零信任的安全网络环境。一切通讯依赖于HTTPS安全连接,保证网络通讯传输过程中的数据保密性。强身份认证规则保证网络访问的用户是信任可靠的,并且符合最小权限分配规则。数字签名报名数据完整性。所有安全验证产生的过程结果记录,为出现安全问题时,追溯原因增加了信息依据。此域名查询方法使得网络域名查询基于软件定义边界,安全规划和访问控制,实现对重要数据和应用的高强度安全保护。
基于同一发明构思,本公开实施例提供一种基于DoH服务器的域名查询装置。
图3示意性示出了根据本公开实施例的基于DoH服务器的域名查询装置装置的框图。
如图3所示,该基于DoH服务器的域名查询装置300例如可以包括:认证模块310、判断模块320、获取模块330、转发模块340、接收模块350及生成模块360。
认证模块310,用于接收客户端发送的HTTPS域名查询请求,根据HTTPS域名查询请求对用户身份进行认证。
判断模块320,用于对于认证通过的用户,判断用户是否有权限访问HTTPS域名查询请求对应的内容。
获取模块330,用于对于有权限的用户,获取用户所查询的域名对应的密钥对信息,其中,密钥对信息包括一一对应的公钥与私钥。
转发模块340,用于将公钥发送至所述客户端,并将HTTPS域名查询请求发送至域名解析服务器进行域名解析。
接收模块350,用于接收域名解析服务器域名查询响应信息。
生成模块360,用于根据域名查询响应信息及私钥生成所查询域名的签名信息,将域名查询响应信息及所述签名信息发送至客户端,使客户端根据所述公钥对签名信息进行验证,验证通过,获取域名查询响应信息。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上***、基板上的***、封装上的***、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,认证模块310、判断模块320、获取模块330、转发模块340、接收模块350及生成模块360中的任意多个可以合并在一个模块/单元/子单元中实现,或者其中的任意一个模块/单元/子单元可以被拆分成多个模块/单元/子单元。或者,这些模块/单元/子单元中的一个或多个模块/单元/子单元的至少部分功能可以与其他模块/单元/子单元的至少部分功能相结合,并在一个模块/单元/子单元中实现。根据本公开的实施例,认证模块310、判断模块320、获取模块330、转发模块340、接收模块350及生成模块360中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上***、基板上的***、封装上的***、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,认证模块310、判断模块320、获取模块330、转发模块340、接收模块350及生成模块360中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
需要说明的是,本公开的实施例中基于DoH服务器的域名查询装置部分与本公开的实施例中基于DoH服务器的域名查询方法部分是相对应的,其具体实施细节及带来的技术效果也是相同的,在此不再赘述。
图4示意性示出了根据本公开实施例的适于实现上文描述的方法的电子设备的框图。图4示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图4所示,根据本公开实施例的电子设备400包括处理器401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储部分408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。处理器401例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器401还可以包括用于缓存用途的板载存储器。处理器401可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 403中,存储有电子设备400操作所需的各种程序和数据。处理器401、ROM402以及RAM403通过总线404彼此相连。处理器401通过执行ROM 402和/或RAM 403中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM402和RAM 403以外的一个或多个存储器中。处理器401也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备400还可以包括输入/输出(I/O)接口405,输入/输出(I/O)接口405也连接至总线404。电子设备400还可以包括连接至I/O接口405的以下部件中的一项或多项:包括键盘、鼠标等的输入部分406;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分407;包括硬盘等的存储部分408;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至I/O接口405。可拆卸介质411,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器410上,以便于从其上读出的计算机程序根据需要被安装入存储部分408。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分409从网络上被下载和安装,和/或从可拆卸介质411被安装。在该计算机程序被处理器401执行时,执行本公开实施例的***中限定的上述功能。根据本公开的实施例,上文描述的***、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/***中所包含的;也可以是单独存在,而未装配入该设备/装置/***中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质。例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 402和/或RAM 403和/或ROM 402和RAM 403以外的一个或多个存储器。
附图中的流程图和框图,图示了按照本公开各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (7)
1.一种基于DoH服务器的域名查询方法,包括:
采用椭圆曲线公钥密码算法或非对称加密算法为所有待查询的域名配置密钥对,其中,每一个域名对应唯一一对密钥对,且每个域名之间密钥对不同;
接收客户端发送的HTTPS域名查询请求,根据所述HTTPS域名查询请求对用户身份进行认证;
对于认证通过的用户,判断所述用户是否有权限访问所述HTTPS域名查询请求对应的内容;
对于有权限的用户,获取所述用户所查询的域名对应的密钥对信息,其中,所述密钥对信息包括一一对应的公钥与私钥;
将所述公钥发送至所述客户端,并将所述HTTPS域名查询请求发送至域名解析服务器进行域名解析;
接收所述域名解析服务器域名查询响应信息,根据所述域名查询响应信息及所述私钥生成所查询域名的签名信息,将所述域名查询响应信息及所述签名信息发送至所述客户端,使所述客户端根据所述公钥对所述签名信息进行验证,验证通过,获取所述域名查询响应信息。
2.根据权利要求1所述的域名查询方法,其中,所述根据所述HTTPS域名查询请求对用户身份进行认证包括:
根据数据信息、IP地址信息、MAC地址信息、操作***信息对所述HTTPS域名查询请求包含的身份信息进行认证,其中,所述数据信息包括用户名和/或密码和/或验证码和/或指纹。
3.根据权利要求1所述的域名查询方法,其中,在所述接收客户端发送的HTTPS域名查询请求之后,所述方法还包括:
通过HTTPS方式建立所述客户端与所述DoH服务器之间的安全连接通道。
4.根据权利要求1所述的域名查询方法,其中,所述方法还包括:
记录域名查询成功的结果信息或查询失败的结果信息。
5.一种基于DoH服务器的域名查询装置,包括:
配置模块,用于采用椭圆曲线公钥密码算法或非对称加密算法为所有待查询的域名配置密钥对,其中,每一个域名对应唯一一对密钥对,且每个域名之间密钥对不同;
认证模块,用于接收客户端发送的HTTPS域名查询请求,根据所述HTTPS域名查询请求对用户身份进行认证;
判断模块,用于对于认证通过的用户,判断所述用户是否有权限访问所述HTTPS域名查询请求对应的内容;
获取模块,用于对于有权限的用户,获取所述用户所查询的域名对应的密钥对信息,其中,所述密钥对信息包括一一对应的公钥与私钥;
转发模块,用于将所述公钥发送至所述客户端,并将所述HTTPS域名查询请求发送至域名解析服务器进行域名解析;
接收模块,用于接收所述域名解析服务器域名查询响应信息;
生成模块,用于根据所述域名查询响应信息及所述私钥生成所查询域名的签名信息,将所述域名查询响应信息及所述签名信息发送至所述客户端,使所述客户端根据所述公钥对所述签名信息进行验证,验证通过,获取所述域名查询响应信息。
6.一种电子设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至4中任一项所述的方法。
7.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器实现权利要求1至4中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011572464.1A CN112671779B (zh) | 2020-12-25 | 2020-12-25 | 基于DoH服务器的域名查询方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011572464.1A CN112671779B (zh) | 2020-12-25 | 2020-12-25 | 基于DoH服务器的域名查询方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112671779A CN112671779A (zh) | 2021-04-16 |
| CN112671779B true CN112671779B (zh) | 2022-10-18 |
Family
ID=75410170
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011572464.1A Active CN112671779B (zh) | 2020-12-25 | 2020-12-25 | 基于DoH服务器的域名查询方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112671779B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553430B (zh) * | 2022-01-21 | 2024-02-06 | 华北电力大学 | 一种基于sdp的电力业务终端的安全接入*** |
| CN114553828B (zh) * | 2022-02-24 | 2023-01-31 | 中国人民解放军国防科技大学 | 一种dns运维管理方法、装置、设备及介质 |
| CN114979071B (zh) * | 2022-06-16 | 2024-03-26 | Oppo广东移动通信有限公司 | 动态域名配置方法、装置、电子设备及存储介质 |
| CN115208640B (zh) * | 2022-06-24 | 2024-04-12 | 中通服创发科技有限责任公司 | 一种基于区块链智能合约的命名数据网络公钥管理方法 |
| CN115190107B (zh) * | 2022-07-07 | 2023-04-18 | 四川川大智胜***集成有限公司 | 基于泛域名多子***管理方法、管理终端及可读存储介质 |
| CN115333927B (zh) * | 2022-07-29 | 2023-10-27 | 上海浦东发展银行股份有限公司 | 一种客户端域名切换方法、装置、电子设备和存储介质 |
| CN117176479A (zh) * | 2023-11-02 | 2023-12-05 | 北京安博通科技股份有限公司 | 一种旁路解密国密流量审计的方法、装置及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841521A (zh) * | 2010-01-22 | 2010-09-22 | 中国科学院计算机网络信息中心 | 对dns报文中的身份信息进行认证的方法、服务器和*** |
| CN109886036A (zh) * | 2019-01-02 | 2019-06-14 | 广州大学 | 基于区块链的域名分布式认证方法、装置及区块链网络 |
| CN110874464A (zh) * | 2018-09-03 | 2020-03-10 | 巍乾全球技术有限责任公司 | 用户身份认证数据的管理方法和设备 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10277554B2 (en) * | 2014-03-04 | 2019-04-30 | Cisco Technology, Inc. | Transparent proxy authentication via DNS processing |
| CN104468865B (zh) * | 2014-12-25 | 2019-03-05 | 北京奇虎科技有限公司 | 域名解析控制、响应方法及相应的装置 |
| WO2016202397A1 (en) * | 2015-06-18 | 2016-12-22 | Huawei Technologies Co., Ltd. | Dns based pki system |
| CN108400953A (zh) * | 2017-02-06 | 2018-08-14 | 中兴通讯股份有限公司 | 控制终端上网及终端上网的方法,路由器设备及终端 |
| CN109995723B (zh) * | 2017-12-29 | 2022-04-15 | 中移(杭州)信息技术有限公司 | 一种域名解析***dns信息交互的方法、装置及*** |
| US10785192B2 (en) * | 2018-02-28 | 2020-09-22 | Sling Media Pvt. Ltd. | Methods and systems for secure DNS routing |
| CN109729080B (zh) * | 2018-12-20 | 2021-05-11 | 全链通有限公司 | 基于区块链域名***的访问攻击防护方法和*** |
| RU2726879C2 (ru) * | 2018-12-28 | 2020-07-16 | Акционерное общество "Лаборатория Касперского" | Система и способ подключения протокола безопасного разрешения DNS |
| CN109981814A (zh) * | 2019-03-19 | 2019-07-05 | 全链通有限公司 | 基于区块链网络服务节点的域名信息查询方法和*** |
| US11012414B2 (en) * | 2019-04-30 | 2021-05-18 | Centripetal Networks, Inc. | Methods and systems for prevention of attacks associated with the domain name system |
| CN111901319A (zh) * | 2020-07-16 | 2020-11-06 | 广州大学 | 一种客户端dns缓存验证方法、***、装置及介质 |
| CN111818196B (zh) * | 2020-07-22 | 2023-04-07 | 深圳市有方科技股份有限公司 | 域名解析方法、装置、计算机设备和存储介质 |
| CN111953681B (zh) * | 2020-08-11 | 2022-06-07 | 福州职业技术学院 | 一种dns身份认证方法及终端 |
-
2020
- 2020-12-25 CN CN202011572464.1A patent/CN112671779B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841521A (zh) * | 2010-01-22 | 2010-09-22 | 中国科学院计算机网络信息中心 | 对dns报文中的身份信息进行认证的方法、服务器和*** |
| CN110874464A (zh) * | 2018-09-03 | 2020-03-10 | 巍乾全球技术有限责任公司 | 用户身份认证数据的管理方法和设备 |
| CN109886036A (zh) * | 2019-01-02 | 2019-06-14 | 广州大学 | 基于区块链的域名分布式认证方法、装置及区块链网络 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112671779A (zh) | 2021-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112671779B (zh) | 基于DoH服务器的域名查询方法、装置、设备及介质 | |
| CN109787988B (zh) | 一种身份加强认证和鉴权方法及装置 | |
| JP5860815B2 (ja) | コンピューターポリシーを施行するためのシステムおよび方法 | |
| CN114553568A (zh) | 一种基于零信任单包认证与授权的资源访问控制方法 | |
| CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
| US10594479B2 (en) | Method for managing smart home environment, method for joining smart home environment and method for connecting communication session with smart device | |
| US10333930B2 (en) | System and method for transparent multi-factor authentication and security posture checking | |
| US20130061310A1 (en) | Security server for cloud computing | |
| CN108418691A (zh) | 基于sgx的动态网络身份认证方法 | |
| US10263782B2 (en) | Soft-token authentication system | |
| US11005828B1 (en) | Securing data at rest | |
| US10812272B1 (en) | Identifying computing processes on automation servers | |
| US10291614B2 (en) | Method, device, and system for identity authentication | |
| CN115277168B (zh) | 一种访问服务器的方法以及装置、*** | |
| US20200195617A1 (en) | Securing data in motion | |
| KR20170019308A (ko) | 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법 | |
| US10122755B2 (en) | Method and apparatus for detecting that an attacker has sent one or more messages to a receiver node | |
| CN116743470A (zh) | 业务数据加密处理方法及装置 | |
| CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
| US20170295142A1 (en) | Three-Tiered Security and Computational Architecture | |
| Sung et al. | Security analysis of mobile authentication using qr-codes | |
| CN116707983A (zh) | 授权认证方法及装置、接入认证方法及装置、设备、介质 | |
| CN114553566B (zh) | 数据加密方法、装置、设备及存储介质 | |
| Tutubala et al. | A hybrid framework to improve data security in cloud computing | |
| US10979226B1 (en) | Soft-token authentication system with token blocking after entering the wrong PIN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |