CN111355817A

CN111355817A - 域名解析方法、装置、安全服务器及介质

Info

Publication number: CN111355817A
Application number: CN201811561992.XA
Authority: CN
Inventors: 刘建坤; 刘菁宇
Original assignee: China Mobile Communications Group Co Ltd; China Mobile Group Liaoning Co Ltd
Current assignee: China Mobile Communications Group Co Ltd; China Mobile Group Liaoning Co Ltd
Priority date: 2018-12-20
Filing date: 2018-12-20
Publication date: 2020-06-30
Anticipated expiration: 2038-12-20
Also published as: CN111355817B

Abstract

本发明实施例提供了一种域名解析方法、装置、安全服务器及介质。方法包括：获取用户的DNS请求报文；判断所述DNS请求报文中的域名是否属于IP多媒体子系统IMS业务域名，若是，则直接对所述DNS请求报文进行域名解析并获得解析结果，否则，将所述DNS请求报文发送给缓存服务器进行域名解析。用以解决BIND架构下处理固网业务和IMS业务存在的内存利用率低、缓存资源不共享、大量系统重复递归、系统无容灾备份能力的问题。

Description

域名解析方法、装置、安全服务器及介质

技术领域

本发明涉及通信技术领域，尤其涉及一种域名解析方法、装置、安全服务器及介质。

背景技术

域名系统(Domain Name System，DNS)服务是互联网上的一项核心服务，有着举足轻重的地位。

目前，固网DNS与IP多媒体子系统(IP Multimedia Subsystem，IMS)DNS合设，不仅承载家客、集客、WLAN业务，同时也承载着IMS业务。由于IMS业务的特殊性，需对省域内各地市请求的同一个域名(如，SBC.Chinamobile.com)解析到各地市所对应的不同的会话边界控制(SBC)设备地址，而正常域名的解析不会因为源地址不同提供不同的解析结果。

现网DNS系统是开源BIND架构，需对省内各地市划分各自对应的视图(view)，如图1所示，这就意味着一份缓存库被拆分成若干份，如若有14个地市，则需要拆分为14份。这样既影响服务器的硬件内存空间，也造成了域名资源无法共享，影响DNS系统的设备性能，为网络的安全稳定运行埋下了极大的隐患。

如图2a所示为当前BIND架构下固网业务和IMS业务的解析流程，缓存服务器根据用户的源IP地址段应答各地市相应的SBC设备地址。当生存时间(Time-To-Live，TTL)过期，缓存服务器向递归服务器发起递归查询，当递归服务器也没有时，递归服务器会从根节点发起迭代查询，最终将解析结果反馈给缓存服务器，由缓存服务器应答用户解析请求，同时保存一份记录到缓存服务器。

BIND架构处理固网和IMS业务解析存在以下缺点：

1、内存空间利用率低。1份视图被拆分成14份，缓存服务器的内存空间案也会被拆分为14份，影响系统内存空间利用率。以一台64G内存为例，实际可使用的内存空间为4.57G，内存利用率仅为6％。

2、缓存资源不共享。缓存服务器的缓存库被拆分成14份，每份缓存库中除了IMS业务资源记录不一致外，其余资源记录均相差无几，相同的固网资源无法共享，造成资源浪费，投资浪费。

3、重复递归，消耗系统性能。由于缓存服务器的缓存库被拆分为14份后，递归请求的数量被放大14倍，而DNS系统最宝贵的就是递归资源，对宝贵的递归资源造成大量不必要的系统内耗。

4、节点间无容灾备份能力，应急保障能力差。如图2b所示，以辽宁省内某移动通信运营商为例，固网DNS分为沈阳、大连两个节点，当沈阳节点故障时，沈阳域内的8个城市业务解析会切换到大连节点固网DNS系统，由于大连域8个地市的缓存资源池是空的，大连域将重建沈阳域8个地市的缓存资源这意味着每份缓存库到递归服务器的递归请求集中爆发，大量用户请求都在排队，系统解析成功率急剧下降，经验证，倒换后系统成功率下降至47.26％。

综上所述，如何解决BIND架构下处理固网业务和IMS业务存在的内存利用率低、缓存资源不共享、大量系统重复递归、系统无容灾备份能力的问题，是需要考虑的问题。

发明内容

本发明实施例提供了一种域名解析方法、装置、安全服务器及介质，用以解决BIND架构下处理固网业务和IMS业务存在的内存利用率低、缓存资源不共享、大量系统重复递归、系统无容灾备份能力的问题。

第一方面，本发明实施例提供了一种域名解析方法，应用于DNS中的安全服务器，方法包括：

获取用户的DNS请求报文；

判断所述DNS请求报文中的域名是否属于IP多媒体子系统IMS业务域名，若是，则直接对所述DNS请求报文进行域名解析并获得解析结果，否则，将所述DNS请求报文发送给缓存服务器进行域名解析。

第二方面，本发明实施例提供了一种域名解析装置，应用于DNS中的安全服务器，该装置包括：

获取模块，用于获取用户的DNS请求报文；处理模块，用于判断所述DNS请求报文中的域名是否属于IP多媒体子系统IMS业务域名，若是，则直接对所述DNS请求报文进行域名解析并获得解析结果，否则，将所述DNS请求报文发送给缓存服务器进行域名解析。

本发明实施例提供了一种应用于DNS中的安全服务器，包括：至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令，当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。

第四方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序指令，当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。

本发明实施例提供的域名解析方法、装置、安全服务器及介质，由安全服务器在确定DNS请求报文中的域名属于IMS业务域名后，直接对该DNS请求报文进行域名解析获得解析结果，从而无需在缓存服务器中进行IMS域名解析，实现IMS业务与固网业务的分离，即无需在缓存服务器中缓存IMS业务域名解析相关的数据，为缓存服务器中共享缓存资源提供可能，提高了缓存服务器中缓存资源的利用率，并且，无需进行大量的系统重复递归，提高了系统的备份容灾能力。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了现有的BIND架构下固网业务和IMS业务的解析架构示意图；

图2a示出了现有的BIND架构下固网业务和IMS业务的解析流程示意图；

图2b示出了现有的BIND架构下固网业务和IMS业务的解析存在的网络隐患示意图；

图3示出了根据本发明一些实施例提供的域名解析方法流程示意图；

图4示出了根据本发明一些实施例提供的安全检测过程示意图；

图5示出了根据本发明一些实施例提供的强制解析原理示意图；

图6示出了根据本发明一些实施例提供的完整的域名解析过程示意图；

图7示出了根据本发明一些实施例提供的固网与IMS业务分离的架构示意图；

图8示出了根据本发明一些实施例提供的域名解析装置的结构示意图；

图9示出了根据本发明一些实施例提供的安全服务器的硬件结构示意图。

具体实施方式

下面将详细描述本发明的各个方面的特征和示例性实施例，为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细描述。应理解，此处所描述的具体实施例仅被配置为解释本发明，并不被配置为限定本发明。对于本领域技术人员来说，本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本发明实施例提供了一种域名解析方法，应用于DNS中的安全服务器，如图3所示，域名解析过程具体描述如下：

步骤301：获取用户的DNS请求报文。

具体实施中，安全服务器在获取用户的DNS请求报文后，按照预设的安全规则对该DNS请求报文进行安全检查，若确定该DNS请求报文符合预设的安全规则，则继续执行步骤302的解析过程。

具体地，安全服务器确定DNS请求报文符合预设的安全规则，可以是通过以下几种方式的任意一种或多种的组合实现：

方式a，确定DNS请求报文中的源IP地址不属于禁止访问IP地址列表；

方式b，确定DNS请求报文中的域名不属于空域名；

方式c，确定DNS请求报文中不属于异常类型报文；和/或，

方式d，确定DNS请求报文不具有入侵攻击特征。

需要说明的是，此处列举的安全规则仅是举例说明，并不代表安全规则的全部实现方式，对于其它未列举出的实现方式，如对访问53端口的非DNS报文进行过滤等，也在本发明的保护范围内。

例如，如图4所示，安全服务器接收到的报文可能是攻击报文和正常的DNS请求报文，在接收报文后进行访问控制、畸形包过滤、报文深度检测以及流量限速后，得到正常的DNS请求报文。其中，访问控制是指通过禁止访问IP列表过滤掉需要进制的源IP地址对应的报文。畸形包过滤是指过滤掉携带空域名的报文以及异常格式的报文。报文深度检测是指通过逐包分析检测是否有入侵攻击特征。流量限速是指通过流量限速过滤过度占用流量的异常报文。

步骤302：判断DNS请求报文中的域名是否属于IMS业务域名，若是，则直接对该DNS请求报文进行域名解析并获得解析结果，否则，将该DNS请求报文发送给缓存服务器进行域名解析。

具体地，安全服务器在确定DNS请求报文中的域名属于IMS业务域名后，解析获得该DNS请求报文中携带的源IP地址，根据预设的源IP地址与SBC设备地址的对应关系，确定DNS请求报文中携带的源IP地址对应的SBC设备地址。

例如，假设某省域的移动网络运营商x的IMS业务域名为“SBC.Chinamobile.com”，安全服务器检测DNS请求报文，获得该DNS请求报文请求访问的域名为“SBC.Chinamobile.com”，则将确定该DNS请求报文请求访问的域名为IMS业务域名，则安全服务器直接解析该DNS请求报文，获得该DNS请求报文中携带的源IP地址。将该源IP地址与预先划分的IP地址段进行匹配，确定该源IP地址所属的IP地址段，进而获取该源IP地址所属的IP地址段对应的SBC设备地址。

如图5所示，以该省域包括14个地市为例，安全服务器中预先定义14个地市的源IP地址段、IMS域名“SBC.Chinamobile.com”以及SBC设备地址的对应关系，当A地市请求该IMS域名时，安全服务器解析得到该A地市对应的SBC设备地址，通过该SBC设备地址将A地市的请求映射到A地市的SBC设备。同理，B地市请求该IMS域名时，安全服务器解析得到该B地市对应的SBC设备地址，通过该SBC设备地址将B地市的请求映射到B地市对应的SBC设备地址。以此类推，将14个地市的源IP地址段、IMS域名都映射到相应地市的SBC设备地址。

具体地，安全服务器在确定DNS请求报文中的域名不属于IMS业务域名后，将该DNS请求报文发送给缓存服务器进行域名解析。

例如，安全服务器在确定DNS请求报文中的域名不是IMS业务域名，即不是“SBC.Chinamobile.com”的情况下，将该DNS请求报文发送给缓存服务器，如缓存服务器中没有该DNS请求报文所请求域名的相关资源记录，则发送递归请求到递归处理服务器。

本发明实施例中，通过串接在DNS系统中的安全服务器解析IMS域名，即将IMS域名业务解析前移至安全服务器，实现IMS业务与固网业务的分离。

安全服务器在确定DNS请求报文中的域名属于IMS业务域名后，直接对该DNS请求报文进行域名解析获得解析结果，从而无需在缓存服务器中进行IMS域名解析，实现IMS业务与固网业务的分离，即无需在缓存服务器中缓存IMS业务域名解析相关的数据，为缓存服务器中共享缓存资源提供可能，提高了缓存服务器中缓存资源的利用率，并且，无需进行大量的系统重复递归，提高了系统的备份容灾能力。

以下通过一个完整的过程对本发明实施例提供的域名解析过程进行说明。如图6所示，该域名解析的过程具体如下：

步骤601：安全服务器获取DNS请求报文；

步骤602：安全服务器判断该DNS请求报文是否符合预设的安全规则，若符合，则执行步骤603，否则，执行步骤606；

步骤603：安全服务器判断该DNS请求报文中的域名是否属于IMS业务域名，若是，执行步骤604，否则，执行步骤605；

604：安全服务器解析获得该DNS请求报文中的源IP地址，根据预设的源IP地址与SBC设备地址的对应关系，确定该DNS请求报文中的源IP地址对应的SBC设备地址，将该SBC设备地址返回，结束流程；

步骤605：安全服务器将该DNS请求报文发送给缓存服务器，缓存服务器解析该DNS请求报文获得对应的资源，其中，缓存服务器在确定未缓存该DNS请求报文对应的资源的情况下转交给递归服务器进行查询，结束流程；

步骤606：丢弃该DNS请求报文。

例如，如图7所示，以辽宁省为例对固网业务与IMS业务分离的架构进行说明，安全服务器对IMS业务进行域名解析，缓存服务器对家宽、集客类固网业务进行域名解析，实现了IMS和固网业务的解析分离。

一个具体实施方式中，缓存服务器通过共享的缓存资源对DNS请求报文进行解析。由于缓存服务器不需要存储IMS域名解析的相关资源，无需对缓存服务器的缓存资源进行划分。

本发明实施例中，通过DNS系统前端的安全服务器(有时也称为安防设备)对IP源地址进行策略应答，将核心网IMS业务与固网DNS业务分离，针对不同源IP地址得到相应的IMS解析结果，而后端现网的缓存服务器取消针对每个地市设置的视图，实现缓存资源共享，降低了系统内大量重复的递归操作，提高了系统整体性能。

相较于，将IMS业务单独建立一套新的DNS系统的方案，不需要进行每个地市多个厂家的接入端设备的网络改造，由于有些地市末端组网复杂，协调客户困难，改造风险大且周期长、费用高，因此，采用本发明实施例提供的IMS与固网分离的架构，显然能够规避该问题。

基于同一发明沟通，本发明实施例还提供了一种域名解析装置，该域名解析装置，应用于DNS中的安全服务器，如图8所示，该装置主要包括：

获取模块801，用于获取用户的DNS请求报文；

处理模块802，用于判断DNS请求报文中的域名是否属于IMS业务域名，若是，则直接对DNS请求报文进行域名解析并获得解析结果，否则，将DNS请求报文发送给缓存服务器进行域名解析。

一个具体实施方式中，该装置还包括确定模块803，用于在获取模块801获取用户的DNS请求报文之后，在处理模块802判断DNS请求报文中的域名是否属于IMS业务域名之前，确定DNS请求报文符合预设的安全规则。

一个具体实施方式中，该处理模块802具体用于：解析获得DNS请求报文中携带的源IP地址；根据预设的源IP地址与SBC设备地址的对应关系，确定该DNS请求报文中携带的源IP地址对应的SBC设备地址。

另外，结合图3描述的本发明实施例的域名解析方法可以由DNS系统中的安全服务器来实现。图9示出了本发明实施例提供的安全服务器的硬件结构示意图。

安全服务器可以包括处理器901以及存储有计算机程序指令的存储器902。

具体地，上述处理器901可以包括中央处理器(CPU)，或者特定集成电路(Application Specific Integrated Circuit，ASIC)，或者可以被配置成实施本发明实施例的一个或多个集成电路。

存储器902可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器902可包括硬盘驱动器(Hard Disk Drive，HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus，USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器902可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器902可在数据处理装置的内部或外部。在特定实施例中，存储器902是非易失性固态存储器。在特定实施例中，存储器902包括只读存储器(ROM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。

处理器901通过读取并执行存储器902中存储的计算机程序指令，以实现上述实施例中的任意一种域名解析方法。

在一个示例中，安全服务器还可包括通信接口903和总线410。其中，如图9所示，处理器901、存储器902、通信接口903通过总线910连接并完成相互间的通信。

通信接口903，主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。

总线910包括硬件、软件或两者，将安全服务器的部件彼此耦接在一起。举例来说而非限制，总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线910可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线，但本发明考虑任何合适的总线或互连。

另外，结合上述实施例中的域名解析方法，本发明实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种域名解析方法。

需要明确的是，本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本发明的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本发明的精神后，作出各种改变、修改和添加，或者改变步骤之间的顺序。

以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

还需要说明的是，本发明中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或系统。但是，本发明不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。

以上所述，仅为本发明的具体实施方式，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。应理解，本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。

Claims

1.一种域名解析方法，其特征在于，应用于域名服务系统DNS中的安全服务器，所述方法包括：

获取用户的DNS请求报文；

2.根据权利要求1所述的方法，其特征在于，获取用户的DNS请求报文之后，判断所述DNS请求报文中的域名是否属于IP多媒体子系统IMS业务域名之前，所述方法还包括：

确定所述DNS请求报文符合预设的安全规则。

3.根据权利要求2所述的方法，其特征在于，所述确定所述DNS请求报文符合预设的安全规则，包括：

确定所述DNS请求报文中的源IP地址不属于禁止访问IP地址列表；和/或，

确定所述DNS请求报文中的域名不属于空域名；和/或，

确定所述DNS请求报文中不属于异常类型报文；和/或，

确定所述DNS请求报文不具有入侵攻击特征。

4.根据权利要求1-3任一项所述的方法，其特征在于，直接对所述DNS请求报文进行域名解析并获得解析结果，包括：

解析获得所述DNS请求报文中携带的源IP地址；

根据预设的源IP地址与会话边界控制设备地址的对应关系，确定所述DNS请求报文中携带的源IP地址对应的会话边界控制设备地址。

5.根据权利要求4所述的方法，其特征在于，所述缓存服务器通过共享的缓存资源对所述DNS请求报文进行解析。

6.一种域名解析装置，其特征在于，应用于域名服务系统DNS中的安全服务器，包括：

获取模块，用于获取用户的DNS请求报文；

处理模块，用于判断所述DNS请求报文中的域名是否属于IP多媒体子系统IMS业务域名，若是，则直接对所述DNS请求报文进行域名解析并获得解析结果，否则，将所述DNS请求报文发送给缓存服务器进行域名解析。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括确定模块，用于在所述获取模块获取用户的DNS请求报文之后，在所述处理模块判断所述DNS请求报文中的域名是否属于IP多媒体子系统IMS业务域名之前，确定所述DNS请求报文符合预设的安全规则。

8.根据权利要求6所述的装置，其特征在于，所述处理模块具体用于：

解析获得所述DNS请求报文中携带的源IP地址；

9.一种应用于域名服务系统DNS中的安全服务器，其特征在于，包括：至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令，当所述计算机程序指令被所述处理器执行时实现如权利要求1-5中任一项所述的方法。

10.一种计算机可读存储介质，其上存储有计算机程序指令，其特征在于，当所述计算机程序指令被处理器执行时实现如权利要求1-5中任一项所述的方法。