CN117254923A

CN117254923A - Dns报文的隐私保护方法、装置、设备及介质

Info

Publication number: CN117254923A
Application number: CN202210656913.3A
Authority: CN
Inventors: 陈麒; 庄一嵘; 陈戈; 梁洁
Original assignee: China Telecom Corp Ltd
Current assignee: China Telecom Corp Ltd
Priority date: 2022-06-10
Filing date: 2022-06-10
Publication date: 2023-12-19

Abstract

本公开提供了一种DNS报文的隐私保护方法、装置、设备及介质，涉及网络安全技术领域。该方法包括：在开放式通信***互联参考模型OSI模型封装时，在应用层将DNS报文封装在HTTP/3协议中，以及在会话层使用QUIC协议，在传输层使用UDP协议。根据本公开实施例，能够在保证用户体验的同时，确保用户的隐私性和安全性。

Description

DNS报文的隐私保护方法、装置、设备及介质

技术领域

本公开涉及网络安全技术领域，尤其涉及一种DNS报文的隐私保护方法、装置、设备及介质。

背景技术

在默认情况下，DNS(Domain Name System，域名***)的查询和响应都是以未加密的明文进行传输，攻击者利用这个安全漏洞可以通过域名劫持、域名欺骗、伪造DNS应答地址将用户重定向到潜在恶意网络，同时也可以监听、收集用户的浏览历史记录，甚至售卖用户的隐私信息。

现有的DoT(DNS over TLS)、DoH(DNS over HTTPS)以及DoQ(DNSover QUIC)，加密DNS协议无法满足用户日益增长的需求，在用户体验、用户隐私性和安全性方面仍需改善。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本公开提供一种DNS报文的隐私保护方法、装置、设备及介质，至少在一定程度上改善相关技术中加密DNS协议，在用户隐私性和安全性方面的用户体验。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的一个方面，提供了一种DNS报文的隐私保护方法，包括：

在开放式通信***互联参考模型OSI模型封装时，在应用层将DNS报文封装在HTTP/3协议中，以及在会话层使用QUIC协议，在传输层使用UDP协议。

在本公开的一个实施例中，DNS报文的隐私保护方法应用于客户端和/或服务器，客户端和服务器支持基于HTTP/3的DNS加密协议。

在本公开的一个实施例中，DNS报文的隐私保护方法应用于客户端，在第一次查询域名时，方法还包括：

与服务器协商参数，完成1-RTT建链的交互过程。

在本公开的一个实施例中，与服务器协商参数，完成1-RTT建链的交互过程，包括：

向服务器发送客户端Hello报文，客户端Hello报文包括客户端支持的TLS的最高版本号、客户端支持的加密套件列表、确定的会话ID、客户端所支持的压缩算法列表；

接收服务器回复的服务器Hello报文，服务器Hello报文包括服务器选择的TLS版本、服务器选择的密码套件、会话ID和客户端选择的压缩算法。

在本公开的一个实施例中，服务器Hello报文中服务器选择的TLS版本为QUIC使用的TLS1.3。

在本公开的一个实施例中，方法还包括：

向服务器发送DNS查询请求报文，DNS查询请求报文封装在HTTP/3协议中；

接收服务器回复的DNS响应报文，DNS响应请求报文封装在HTTP/3协议中。

在本公开的一个实施例中，当客户端向服务器查询其他域名请求时，方法还包括：

通过对称的预共享密钥PSK，完成0-RTT的查询新域名交互过程。

根据本公开的另一个方面，提供一种DNS报文的隐私保护装置，包括：

封装模块，用于在开放式通信***互联参考模型OSI模型封装时，在应用层将DNS报文封装在HTTP/3协议中，以及在会话层使用QUIC协议，在传输层使用UDP协议。

根据本公开的又一个方面，提供一种电子设备，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行上述的DNS报文的隐私保护方法。

根据本公开的又一个方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的DNS报文的隐私保护方法。

本公开实施例所提供的DNS报文的隐私保护方法、装置、设备及介质，在开放式通信***互联参考模型OSI模型封装时，在应用层将DNS报文封装在HTTP/3协议中，以及在会话层使用QUIC协议，在传输层使用UDP协议。本公开实施例能够在保证用户体验的同时，确保用户的隐私性和安全性。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了相关技术中DoT的DNS加密协议OSI模型上层封装示意图；

图2示出了相关技术中DoH的DNS加密协议OSI模型上层封装示意图；

图3示出了相关技术中DoQ的DNS加密协议OSI模型上层封装示意图；

图4示出本公开实施例中一种DNS报文的隐私保护方法流程图；

图5示出本公开实施例中另一种DNS报文的隐私保护方法流程图；

图6示出本公开实施例中DNS加密协议OSI模型上层封装示意图；

图7示出本公开实施例中一种DNS报文的隐私保护装置示意图；

图8示出本公开实施例中一种电子设备的结构框图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。

此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

应当理解，本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行，和/或并行执行。此外，方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。

需要注意，本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分，并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。

需要注意，本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的，本领域技术人员应当理解，除非在上下文另有明确指出，否则应该理解为“一个或多个”。

当用户访问某应用程序时，需要通过安装在终端设备上的应用程序向应用服务器发送相应的访问请求，用户在该访问请求中携带的是应用服务器的域名信息，而与应用服务器进行通信实际上需要应用服务器的IP地址信息，因此，需要通过DNS服务器进行域名解析，得到对应IP地址，从而再进行应用程序的访问。

DNS是一个层次树状结构的联机分布式数据库***，可以理解为电话簿或翻译器，将域名转化为IP地址。

在默认情况下，DNS的查询和响应都是以未加密的明文进行传输，攻击者利用这个安全漏洞可以通过域名劫持、域名欺骗、伪造DNS应答地址将用户重定向到潜在恶意网络，同时也可以监听、收集用户的浏览历史记录，甚至售卖用户的隐私信息。

基于TLS的DNS和基于HTTPS的DNS是为加密明文DNS流量而开发的两个标准，可以防止恶意方、广告商、ISP和其他人解读其数据。

在DNS服务中，用户主要关注用户体验、用户隐私性和安全性。相关技术中DoT(DNSover TLS)、DoH(DNS over HTTPS)以及DoQ(DNS over QUIC)加密DNS协议无法兼顾上述用户关注点。

DoT(DNS over TLS)是通过传输层安全协议(TLS)来加密并打包域名***(DNS)的安全协议，工作在853端口，由RFC 7858及RFC 8310定义，旨在防止中间人攻击与控制DNS数据以保护用户隐私。图1示出了DoT的DNS加密协议OSI模型(Open System InterconnectionReference Model，开放式***互联通信参考模型)上层封装示意图。

DoH(DNS over HTTPS)是一个进行安全化的域名解析方案，使用HTTPS协议和HTTP/2协议进行DNS解析请求，工作在443端口，由RFC 8484定义，旨在避免原始DNS协议中用户的DNS解析请求被窃听或者修改。图2示出了DoH的DNS加密协议OSI模型上层封装示意图。

DoQ(DNS over QUIC)具有类似于RFC7858中指定的DoT的隐私属性，以及类似于经典DNS over UDP的延迟特性。图3示出了DoQ的DNS加密协议OSI模型上层封装示意图。

为改善用户体验、用户隐私性和安全性，本公开实施例提供了一种DNS报文的隐私保护方法、装置、设备及介质，利用HTTP/3在会话层和传输层使用QUIC和UDP协议的特性，能够在保证用户体验的同时，确保用户的隐私性和安全性。

下面结合附图及实施例对本示例实施方式进行详细说明。

图4示出本公开实施例中一种DNS报文的隐私保护方法流程图，如图4所示，本公开实施例中提供的DNS报文的隐私保护方法包括如下步骤：

S402，在开放式通信***互联参考模型OSI模型封装时，在应用层将DNS报文封装在HTTP/3协议中，以及在会话层使用QUIC协议，在传输层使用UDP协议。

OSI模型，可以包括应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。

报文(message)是网络中交换与传输的数据单元，即站点一次性要发送的数据块。报文包含了将要发送的完整的数据信息，其长度不限且可变。

OSI模型中，数据从上层应用层到物理层一层一层封装。上三层(应用层、表示层、会话层)的数据流在传输层被封装成数据段，在网络层数据段被封装成数据包，在数据链路层数据包被封装成数据帧，在物理层数据帧被封装成比特流。解封装则反之。

UDP(User Datagram Protocol，用户数据报协议)，是一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。

本公开所提供的DNS报文的隐私保护方法，通过把DNS报文封装在HTTP/3中，能有效保证用户的隐私。

需要说明的是，本公开所提供的DNS报文的隐私保护方法可以应用于客户端和/或服务器，客户端和服务器支持基于HTTP/3的DNS加密协议。

客户端支持基于HTTP/3、QUIC的DNS报文封装、解封装。客户端负责客户端DNS报文基于HTTP3、QUIC的查询和响应。

服务器支持基于HTTP/3、QUIC的DNS报文封装、解封装。服务器负责DNS服务器端基于HTTP3、QUIC的DNS报文查询和响应。

本公开通过把DNS查询或响应报文封装在HTTP/3协议中，同时利用HTTP/3在会话层和传输层使用QUIC和UDP协议的特性，应用在DNS加密***中，确保了DNS***的安全性、高效性、可靠性。

本公开中的客户端可以是手机、平板电脑、可穿戴设备等能够被配置为执行本公开实施例提供的报文传输方法的用户终端中的至少一种，或者，该方法的执行主体，还可以是能够执行该方法的客户端本身。

本公开中服务器，可以是一台服务器，或者由若干台服务器组成的服务器集群，或者是一个虚拟化平台，或者是一个云计算服务中心。

在一些实施例中，DNS报文的隐私保护方法应用于客户端，在第一次查询域名时，上述方法还可以包括如下步骤：

与服务器协商参数，完成1-RTT建链的交互过程。

作为一个示例，与服务器协商参数，完成1-RTT建链的交互过程，包括：

其中，服务器Hello报文中服务器选择的TLS版本可以为QUIC使用的TLS1.3。

在一些实施例中，当客户端向服务器查询其他域名请求时，上述方法还可以包括如下步骤：

本公开实施例通过QUIC协议进行传输，使协商密钥和传输建链成为初始握手过程的一部分，1-RTT就可以完成整个传输过程，再次连接，通过Session Ticket(对称的预共享密钥，PSK)，完成0-RTT的查询新域名交互过程。有效的降低了握手和再次连接时的传输延时开销。且消除了TCP固有的队头阻塞问题，并提供比UDP更高效的丢包恢复，保证了用户体验。

队头阻塞是指当顺序发送的请求序列中的一个请求因为某种原因被阻塞时，在后面排队的所有请求也一并被阻塞，会导致客户端迟迟收不到数据。

本公开实施例采用HTTP/3。应用程序不需要停机和升级就能实现拥塞控制的变更，可以针对不同业务，不同网络制式，甚至不同的RTT，使用不同的拥塞控制算法。

QUIC中的ACK包含了与TCP中SACK等价的信息，但QUIC不允许任何(包括被确认接受的)数据包被丢弃。这样不仅可以简化发送端与接收端的实现难度，还可以减少发送端的内存压力。

由于QUIC是基于UDP的，所以QUIC可以实现0-RTT或者1-RTT来建立连接，可以大大提升首次打开页面的速度。

集成了TLS 1.3加密，TLS 1.3支持3种基本密钥交换模式：

(EC)DHE(基于有限域或椭圆曲线的Diffie-Hellman)PSK–only PSKwith(EC)DHE。

在完全握手情况下，需要1-RTT建立连接。TLS1.3恢复会话可以直接发送加密后的应用数据，不需要额外的TLS握手，也就是0-RTT。

在一些实施例中，上述方法还可以包括如下步骤：

本公开实施例中客户端和服务器支持基于HTTP/3的DNS加密协议。

作为一个示例，第一次查询域名交互过程和再次查询新域名过程如图5所示，包括如下步骤：

S501，DNS加密客户端向DNS加密服务器发送TLS1.3客户端Hello报文。

DNS加密客户端向DNS加密服务器发送Client Hello报文，包含客户端支持的TLS的最高版本号、客户端支持的加密套件列表、确定的会话ID、客户端所支持的压缩算法列表。

S502，DNS加密服务器回复TLS1.3服务器Hello报文。

服务器回复Server Hello，包含服务器选择的TLS版本(此处为QUIC使用的TLS1.3)、服务器选择的密码套件、会话ID和客户端选择的压缩算法。

S503，1-RTT建链结束。

协商好参数之后，完成TLS1.3的1-RTT建链的交互过程。

S504，DNS加密客户端向DNS加密服务器发送基于HTTP/3的加密DNS查询请求。

S505，DNS加密服务器回复基于HTTP/3的加密DNS的响应。

客户端发送基于HTTP/3的加密DNS查询请求，服务器回复基于HTTP/3的加密DNS的响应。

S506，DNS加密客户端向DNS加密服务器再次发送基于HTTP/3的加密DNS查询请求。

S507，DNS加密服务器回复基于HTTP/3的加密DNS的响应。

当客户端向服务器查询其他域名请求时，通过Session Ticket(PSK)，完成0-RTT的查询新域名交互过程。

需要说明的是，上述步骤S501-S505为第一次查询域名交互过程，上述步骤S506-S507为再次查询新域名过程。

本公开实施例在基于HTTP/3的基础上，重新设计了DNS加密协议，通过TLS1.3协议进行加密，保证了用户的数据的安全性。

上述过程中DNS查询或响应报文均封装在HTTP/3协议中，图6示出了本公开实施例的DNS加密协议OSI模型上层封装示意图。本公开实施例方案与相关技术图1-3中的方案对比如下表所示。

表1

对比内容	DoT	DoH	DoQ	本公开
					应用层	DNS	DNS+HTTP/2	DNS	DNS+HTTP/3
会话层	TLS1.2	TLS1.2	QUIC	QUIC
					传输层	TCP	TCP	UDP	UDP
用户体验	较好	一般	好	好
					用户隐私性	一般	高	一般	高
安全性	高	高	高	高

与相关技术中DNS加密协议相比，本公开所提供的DNS报文的隐私保护方法，用户体验、用户隐私性和安全性得到了增强。

基于同一发明构思，本公开实施例中还提供了一种DNS报文的隐私保护装置，如下面的实施例所述。由于该装置实施例解决问题的原理与上述方法实施例相似，因此该装置实施例的实施可以参见上述方法实施例的实施，重复之处不再赘述。

图7示出本公开实施例中一种DNS报文的隐私保护装置示意图，如图7所示，该DNS报文的隐私保护装置700，包括：

封装模块702，用于在开放式通信***互联参考模型OSI模型封装时，在应用层将DNS报文封装在HTTP/3协议中，以及在会话层使用QUIC协议，在传输层使用UDP协议。

在一些实施例中，DNS报文的隐私保护装置应用于客户端和/或服务器，客户端和服务器支持基于HTTP/3的DNS加密协议。

在一些实施例中，DNS报文的隐私保护装置应用于客户端，该DNS报文的隐私保护装置700，还可以包括：

1-RTT建链模块，用于在第一次查询域名时，与服务器协商参数，完成1-RTT建链的交互过程。

在一些实施例中，与服务器协商参数，完成1-RTT建链的交互过程，包括：

在一些实施例中，服务器Hello报文中服务器选择的TLS版本为QUIC使用的TLS1.3。

在一些实施例中，该DNS报文的隐私保护装置700，还可以包括：

DNS查询模块，用于向服务器发送DNS查询请求报文，DNS查询请求报文封装在HTTP/3协议中；

响应接收模块，用于接收服务器回复的DNS响应报文，DNS响应请求报文封装在HTTP/3协议中。

第二查询模块，用于当客户端向服务器查询其他域名请求时，通过对称的预共享密钥PSK，完成0-RTT的查询新域名交互过程。

本申请实施例提供的DNS报文的隐私保护装置，可以用于执行上述各方法实施例提供的DNS报文的隐私保护方法，其实现原理和技术效果类似，为简介起见，在此不再赘述。

所属技术领域的技术人员能够理解，本公开的各个方面可以实现为***、方法或程序产品。因此，本公开的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“***”。

下面参照图8来描述根据本公开的这种实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图8所示，电子设备800以通用计算设备的形式表现。电子设备800的组件可以包括但不限于：上述至少一个处理单元810、上述至少一个存储单元820、连接不同***组件(包括存储单元820和处理单元810)的总线830。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元810执行，使得所述处理单元810执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。例如，所述处理单元810可以执行上述方法实施例的如下步骤：

存储单元820可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(RAM)8201和/或高速缓存存储单元8202，还可以进一步包括只读存储单元(ROM)8203。

存储单元820还可以包括具有一组(至少一个)程序模块8205的程序/实用工具8204，这样的程序模块8205包括但不限于：操作***、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线830可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、***总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备800也可以与一个或多个外部设备840(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备800交互的设备通信，和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口850进行。

并且，电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。

如图8所示，网络适配器860通过总线830与电子设备800的其它模块通信。

应当明白，尽管图中未示出，可以结合电子设备800使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储***等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。

在本公开的示例性实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质可以是可读信号介质或者可读存储介质。其上存储有能够实现本公开上述方法的程序产品。

在一些可能的实施方式中，本公开的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。

本公开中的计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

在本公开中，计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。

这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。

可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。

在一些示例中，计算机可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

在具体实施时，可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。

程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。

在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。

实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

此外，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。

通过以上实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。

因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。

本公开旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由所附的权利要求指出。

Claims

1.一种DNS报文的隐私保护方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述DNS报文的隐私保护方法应用于客户端和/或服务器，所述客户端和服务器支持基于HTTP/3的DNS加密协议。

3.根据权利要求1所述的方法，其特征在于，所述DNS报文的隐私保护方法应用于客户端，在第一次查询域名时，所述方法还包括：

与服务器协商参数，完成1-RTT建链的交互过程。

4.根据权利要求3所述的方法，其特征在于，所述与服务器协商参数，完成1-RTT建链的交互过程，包括：

向服务器发送客户端Hello报文，所述客户端Hello报文包括客户端支持的TLS的最高版本号、客户端支持的加密套件列表、确定的会话ID、客户端所支持的压缩算法列表；

接收服务器回复的服务器Hello报文，所述服务器Hello报文包括服务器选择的TLS版本、服务器选择的密码套件、会话ID和客户端选择的压缩算法。

5.根据权利要求4所述的方法，其特征在于，所述服务器Hello报文中服务器选择的TLS版本为QUIC使用的TLS1.3。

6.根据权利要求3所述的方法，其特征在于，所述方法还包括：

向服务器发送DNS查询请求报文，所述DNS查询请求报文封装在HTTP/3协议中；

接收服务器回复的DNS响应报文，所述DNS响应请求报文封装在HTTP/3协议中。

7.根据权利要求3所述的方法，其特征在于，当客户端向服务器查询其他域名请求时，所述方法还包括：

8.一种DNS报文的隐私保护装置，其特征在于，包括：

9.一种电子设备，其特征在于，包括：

处理器；以及

存储器，用于存储所述处理器的可执行指令；

其中，所述处理器配置为经由执行所述可执行指令来执行权利要求1-7中任意一项所述的DNS报文的隐私保护方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1-7中任意一项所述的DNS报文的隐私保护方法。