一种基于DOT实现递归加密传输的方法及递归服务器

摘要

本发明涉及一种基于DOT实现递归加密传输的方法及递归服务器。该方法包括：判定请求中的目的IP地址是否在支持DOT功能的权威服务器地址列表中；若目的IP地址在支持DOT功能的权威服务器地址列表中，则递归服务器使用SSL加密后，递归给支持DOT功能的权威服务器；支持DOT功能的权威服务器接受响应，报文数据返至递归服务器；递归服务器接收数据，证书校验、解密后将应答结果发送用户。通过该方法实现递归加密功能与递归服务器原有的递归功能解耦，可实现灵活动态加载，保证DOT服务功能需求和性能需求，该递归服务器采用了与传统DOT应用方案一起使用能够保证DNS解析全流程安全。

说明书

技术领域

本发明涉及一种互联网域名技术领域，特别是涉及一种基于DOT实现递归加密传输的方法及递归服务器。

背景技术

互联网域名系统(DNS-over-TLS，DNS)由域名空间、资源记录和域名解析系统构成，其中域名解析系统又由客户端解析软件和解析服务器组成。域名解析服务器是互联网上最为关键的基础设施之一，是整个互联网的入口。

DNS架构设计于20世纪80年代，由于当时互联网规模小，安全性不是首要考虑因素，DNS设计采用明文UDP传输。在此之后，域名劫持、记录篡改及用户隐私泄露等域名安全问题频发。1997年诞生了DNSSEC，能够对DNS来源提供认证、对DNS数据提供完整性保障。但是DNSSEC没有验证域名的真实性，也没有对数据进行加密，并且部署难度较大，成本较高。目前，只有根和部分顶级域支持DNSSEC。直到2016年5月，国际互联网工程任务组(TheInternet Engineering Task Force，简称IETF)发布DOT标准RFC7858，2018年3月，发布DOT配置标准RFC8310，基于DOT的DNS加密传输机制及相关技术引发全球关注和广泛应用。

DOT(DNS-over-TLS)是一种基于TLS来进行报文加密的DNS请求交互，它使用TLS协议来传输DNS协议。如图2所示，支持DOT的递归服务器称为DOT递归服务器。一个完整的域名递归解析过程是用户端到递归服务器，递归服务器到权威服务器。DOT的传统应用方案主要是对客户端到递归服务器之间的传输报文进行加密，客户端发送的是基于传输层TLS加密的DNS请求，递归服务器端也返回基于TLS加密的DNS响应，以此来保证客户端到递归服务器端之间的数据安全。该方法在一定程度上保证了部分DNS解析流程的安全性。

然而传统的DOT应用模式只支持客户端到递归服务器之间，即客户端与DOT递归服务器之间通信的隐私安全，后续DOT递归服务器与根服务器、顶级域名服务器、二三级权威域名服务器之间的查询仍然使用明文的DNS协议查询，因此仍然存在数据劫持、隐私泄露的风险。同时对于整个递归解析流程来说并不是一个完整的安全解决方案。

发明内容

本发明的目的在于提供一种基于DOT实现递归加密传输的方法及递归服务器，通过该方法递归服务器能够与支持DOT功能的权威服务器进行DOT通信数据加密传输，从而保障递归服务器在递归解析流程中的数据安全。

为实现本发明的目的，具体技术解决方案为：

一种基于DOT实现递归加密传输的方法，其特征在于：包括如下步骤：

S1、递归服务器接收用户发起的域名DNS请求后判断请求中的目的IP地址是否在支持DOT功能的权威服务器地址列表中，若目的IP地址在支持DOT功能的权威服务器地址列表中则执行步骤S2；若目的IP地址不在支持DOT功能的权威服务器地址列表中，则执行步骤S5；

S2、递归服务器使用SSL加密后，递归给支持DOT功能的权威服务器；

S3、支持DOT功能的权威服务器接受响应，响应报文加密返至递归服务器；

S4、递归服务器接收，证书校验，解密后将应答结果发送用户；

S5、递归服务器使用明文DNS递归给普通权威服务器；

S6、普通权威服务器接受响应，响应报文返至递归服务器；

S7、递归服务器接收步骤S6的数据，将应答结果发送用户。

进一步的，步骤S3中，递归服务器采用多进程架构，每一个服务进程发送一个DOT加密请求。

进一步的，递归服务器使用TCP作为基本连接协议，使用853端口传输至支持DOT功能的权威服务器；支持DOT功能的权威服务器监听853端口的DOT请求。

进一步的，递归服务器使用SSL加密是指采用标准OPENSSL加密。

进一步的，递归服务器使用UDP53端口传输至普通权威服务器；普通权威服务器监听53端口的DNS请求。

进一步的，在步骤S2之前还包括：递归服务器接受用户请求后，通过启动或关闭DOT服务进程控制DOT功能的使用。

本发明还提供一种递归服务器，该递归服务器基于上述的方法实现数据传输至权威服务器，包括：DNS递归模块、DOT加密递归模块、非加密递归模块和控制模块；

DNS递归模块,用于判定用户发送的DNS请求中的目的IP地址是否在支持DOT功能的权威服务器地址列表中并根据判定结果发送给DOT加密递归模块或非加密递归模块，将应答结果返回给用户；

DOT加密递归模块，用于接受支持DOT功能的DNS请求并加密后，再递归给支持DOT功能的权威服务器；

非加密递归模块，用于接受并解析不支持DOT功能的DNS请求，并递归给普通权威服务器；

控制模块，用于开启或关闭DOT加密递归模块。

本发明与现有技术相比，其显著优点是：

1、本发明提供的一种基于DOT实现递归加密传输的方法通过对递归服务器和权威服务器之间的数据传输进行DOT加密，保护递归过程中的数据隐私安全，防止数据窃听和篡改，并实现整个递归解析流程完整的安全解决方案；

2、本发明提供的递归服务器，集成DOT递归加密模块实现了递归加密功能，递归加密功能与递归服务器原有的递归功能解耦，可实现灵活动态加载，保证DOT服务功能需求和性能需求，该递归服务器采用与传统DOT应用方案一起使用能够保证DNS解析全流程安全；

3、本发明特别适用于对DNS解析安全性要求较高的场景，有效保护递归过程中的数据安全性和私密性，防止数据在递归传输过程中被窃听或篡改。

附图说明

图1是本发明的实施例的架构图。

图2是本发明背景技术中的架构图。

图3是本发明基于DOT实现递归加密传输的方法的流程原理图。

图4是本发明DOT加密递归模块工作原理图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例为实施本发明的较佳实施方式，所述描述是以说明本发明的一般原则为目的，并非用以限定本发明的范围。本发明的保护范围应当以权利要求所界定者为准，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

DOT是一种基于TLS来进行报文加密的DNS请求交互，它使用TLS协议来传输DNS协议。

本发明所述的支持DOT功能的权威服务器或普通权威服务器，均是指负责最终解析域名的服务器。无论是支持DOT功能的权威服务器还是普通权威服务器都不负责帮助用户端进行递归查询返回解析记录，它本身的用途就是对于域名进行解析设置操作。因此，本发明中支持DOT功能的权威服务器，普通权威服务器均可以是根服务器、顶级域名服务器、二三级权威域名服务器。支持DOT功能的权威服务器与普通权威服务器区别在于是否支持DOT功能。

如图1，图3所示，一种基于DOT实现递归加密传输的方法，包括如下步骤：

S1、递归服务器接收用户发起的域名DNS请求后判断请求中的目的IP地址是否在支持DOT功能的权威服务器地址列表中，若目的IP地址在支持DOT功能的权威服务器地址列表中则执行步骤S2；若目的IP地址不在支持DOT功能的权威服务器地址列表中，则执行步骤S5；

S2、递归服务器使用SSL加密后，递归给支持DOT功能的权威服务器；

S3、支持DOT功能的权威服务器接受响应，响应报文加密返至递归服务器；

S4、递归服务器接收，证书校验，解密后将应答结果发送用户；

S5、递归服务器使用明文DNS递归给普通权威服务器；

S6、普通权威服务器接受响应，响应报文返至递归服务器；

S7、递归服务器接收步骤S6的数据，将应答结果发送用户。

进一步，如图4所示，在步骤S3中，递归服务器采用多进程架构，每一个DOT服务进程均可以发送DOT加密请求。DOT服务进程还可以根据实际应用增加或减少。在步骤s2之前，通过递归服务器通过启动或关闭DOT服务进程来控制DOT功能的使用。当开启DOT服务后，优先使用DOT解析，在DOT解析失败时使用DNS解析。关闭DOT服务后，使用DNS解析。

进一步，递归服务器使用TCP作为基本连接协议，使用853端口传输至支持DOT功能的权威服务器；支持DOT功能的权威服务器监听853端口的DOT请求。

进一步，递归服务器使用SSL加密是指采用标准OPENSSL加密。

进一步，递归服务器使用UDP53端口传输至普通权威服务器；普通权威服务器监听53端口的DNS请求。

需要说明的是，步骤S1中用户发起的域名DNS请求为已经解密后的DNS请求，根据请求的域名向根、顶级域、授权服务器请求，若这些权威服务器地址在目标地址表内，则进行加密。如果用户发起的域名DNS请求为加密请求，则递归服务器采取普遍的方法对用户请求进行解密，如SSL卸载。

本发明所提供的递归服务器，还可以负责接受用户对任意域名查询，并返回结果给用户。当客户端发起上网请求时，在查询了本机各种缓存之后没有获得相应的解析记录，就会向本地域名服务器发起查询请求。本地域名服务器会先查询自己的本地缓存，如果有结果直接返给客户端，如果没有结果就会代替客户端向根域名服务器、顶级域名服务器、二三级域名服务器等一级一级递归查询下去，最终找到域名对应的权威服务器取得结果并返回给客户端，同时将记录保存到本地缓存中。当客户端在TTL值内再次发起查询请求，本地域名服务器会直接将该结果发给客户端，而无需再次发起全球查询。

如图1，图3所示一种递归服务器，位于在权威服务器和用户端之间，其包括：DNS递归模块、DOT加密递归模块、非加密递归模块和控制模块。

DNS递归模块负责直接对接用户，用于判定用户发送的DNS请求中的目的IP地址是否在支持DOT功能的权威服务器地址列表中并根据判定结果发送给DOT加密递归模块或非加密递归模块，将应答结果返回给用户；

DOT加密递归模块负责处理DOT业务，主要完成SSL加密、解密、SSL证书身份校验等功能。具体的，DOT加密递归模块用于接受支持DOT功能的DNS请求并使用SSL加密后，再递归给支持DOT功能的权威服务器，之后接收支持DOT功能的权威服务器反馈的数据完成证书校验后，进行SSL卸载后获得应答结果发送给DNS递归模块。DOT加密递归模块使用TCP作为基本连接协议，使用853端口传输至支持DOT功能的权威服务器。进一步，加密递归模块采用标准OPENSSL加密。

非加密递归模块负责非DOT的DNS请求业务，具体的用于接受并解析不支持DOT功能的DNS请求，并递归给普通权威服务器，接收普通权威服务器反馈的应答结果数据，并发送给DNS递归模块。具体的，非加密递归模块使用UDP53端口传输至普通权威服务器。

进一步的，递归服务器还包括控制模块，负责控制DOT加密递归模块启动或关闭。当开启DOT加密递归模块后，优先使用DOT加密递归模块进行解析，在DOT解析失败时使用DNS解析。关闭DOT服务后，使用DNS解析。

通过控制模块在一台服务器上实现递归加密功能与递归服务器原有的递归功能解耦，可实现灵活动态加载，保证DOT服务功能需求和性能需求，该递归服务器采用了与传统DOT应用方案一起使用能够保证DNS解析全流程安全。

如果采用DNSSEC(DNS安全扩展)实现递归服务器到权威服务器环节的保护，其工作原理是在DNS层次结构中添加一个数字签名链，以验证从顶级域名服务器到最终请求的域名服务器的每个DNS响应，虽然这种方案验证了应答的真实性和完整性，但是DNSSEC部署依赖于各级权威服务器、解析器，并且使用时需要一级一级验证导致时延高的问题。目前仅在根服务器和部分顶级域服务器上部署，并不适合二三级域名服务器。

本发明将递归服务器和权威服务器之间的查询和响应运用用DOT进行加密方法，与DNSSEC相比，这种实现方式更加容易，并且当前已有部分DNS解析软件支持DOT功能，比如BIND、Knot、powerdns等，未来部署上推进也更加容易。本发明提供的发明方法可以实现递归加密功能与递归服务器原有的递归功能解耦，可实现灵活动态加载，对支持DOT功能的权威服务器可以进行加密发送，避免了全部加密导致不支持DOT的权威无法识别加密流量的问题。

本发明特别适用于对DNS解析安全性要求较高的场景，有效保护递归过程中的数据安全性和私密性，防止数据在递归传输过程中被窃听或篡改。