CN114286335A

CN114286335A - 一种服务器选择方法和装置

Info

Publication number: CN114286335A
Application number: CN202010979627.1A
Authority: CN
Inventors: 朱方园; 李岩
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2020-09-17
Filing date: 2020-09-17
Publication date: 2022-04-05
Also published as: WO2022057662A1

Abstract

本申请实施例提供一种服务器选择方法和装置，涉及无线通信技术领域，用于为终端设备选择合适的DNS服务器，提供安全和稳定的网络体验。该方法中，终端设备可以向第一网元发送第一信息。终端设备可以接收第一网元发送的DNS服务器的地址。其中，DNS服务器可以是第一网元根据第一信息确定的。基于上述方案，第一网元可以根据终端设备支持的DNS加密能力为终端设备选择DNS加密能力匹配的DNS服务器，终端设备可以向第一网元选择的DNS服务器发起DNS查询。由于DNS服务器的选择不依赖于用户手工配置，是由第一网元根据终端设备DNS加密能力选择的，更加适用于终端设备，可以提供安全和稳定的网络体验。

Description

一种服务器选择方法和装置

技术领域

本申请涉及无线通信技术领域，尤其涉及一种服务器选择方法和装置。

背景技术

随着移动终端用户数量不断增长，各类移动终端支持的业务功能不断增加，例如即时聊天工具、网页浏览、文件下载等功能已逐步成为移动终端，尤其是智能终端的主流应用。在上网过程中，移动终端需要对统一资源定位系统(uniform resource locator，URL)的域名查询其真实网际互联网协议(internet protocol，IP)地址，以便发送数据包。这项操作需要通过查询域名系统(domain name system，DNS)服务器才能完成。

DNS是一种分布式的主机信息数据库，提供域名和IP地址之间的映射和转换，可以通过DNS服务器将域名解析为对应的IP地址。用户设备可以通过DNS提供的域名解析服务实现对域名的访问。

传统的DNS查询和应答采用用户数据报协议(user datagram protocol，UDP)和传输控制协议(transmission control protocol，TCP)明文传输，存在网络监听、DNS劫持、中间设备干扰的风险。加密DNS是实现传输安全的一种机制，能确保网络体验安全。DNS安全传输服务可以适用于移动应用程序、浏览器、操作系统、物联网设备和网关路由器等多个场景。通过传输加密的方式发送DNS查询，加强了用户访问互联网的安全性、解析稳定和隐私保护。

然而，目前的移动终端在开启加密DNS机制时，依赖于用户手工配置。如果用户手工配置的DNS加密模式与为移动终端提供服务的DNS加密模式不同，可能会导致DNS解析耗时较长，上网慢，甚至有可能会导致DNS服务器认证失败，无法上网。

发明内容

本申请提供一种服务器选择方法和装置，用来为终端设备选择合适的DNS服务器，以提供安全和稳定的网络体验。

第一方面，本申请实施例提供一种服务器选择方法，该方法可以由终端设备执行，或者可以由类似于终端设备的芯片执行。该方法中，终端设备可以向第一网元发送第一信息。这里的第一信息可以用于指示终端设备支持的域名系统(domain name system，DNS)加密能力。其中，终端设备支持的DNS加密能力可以是终端设备对DNS信息进行加密的能力。例如，可以包括终端设备支持对DNS信息加密或者终端设备不支持对DNS信息加密。终端设备可以接收第一网元发送的DNS服务器的地址。其中，DNS服务器可以是第一网元根据第一信息确定的。

基于上述方案，第一网元可以根据终端设备支持的DNS加密能力为终端设备选择DNS加密能力匹配的DNS服务器，终端设备可以向第一网元选择的DNS服务器发起DNS查询。由于DNS服务器的选择不依赖于用户手工配置，是由第一网元根据终端设备DNS加密能力选择的，更加适用于终端设备，可以提供安全和稳定的网络体验。

在一种可能的实现方式中，终端设备可以向第一网元发送第二信息。该第二信息可以用于指示终端设备采用的DNS加密传输的模式。其中，DNS加密传输的模式可以是DNS加密传输开启模式或者DNS加密传输关闭模式。

基于上述方案，第一网元也可以根据终端设备的DNS加密传输的模式为终端设备选择DNS服务器，选择的DNS服务器适用于终端设备的DNS加密传输模式，可以提高网络的稳定性。

在一种可能的实现方式中，DNS加密能力可以包括支持的DNS加密协议。其中，DNS加密协议可以包括以下中的至少一种：传输层安全协议(transport layer securityprotocol，TLS)或超文本传输协议(hypertext transfer protocol，HTTP)。

基于上述方案，第一网元可以为终端设备选择支持HTTP或TLS的DNS服务器，与终端设备支持的DNS加密协议类型匹配，可以提高网络的安全性和稳定性。

在一种可能的实现方式中，终端设备可以接收第一网元发送的第三信息。这里的第三信息可以用于指示DNS服务器的加密能力和前述第一信息所指示的终端设备支持的DNS加密能力匹配。

基于上述方案，终端设备可以通过第三信息确定第一网元选择的DNS服务器的DNS加密能力是否与自身匹配，终端设备也可以根据第三信息确定是否通过该DNS服务器发起DNS查询。

在一种可能的实现方式中，终端设备可以接收第一网元发送的第四信息。该第四信息可以用于指示DNS服务器和终端设备支持的DNS加密能力所匹配的DNS加密协议类型。终端设备可以根据DNS服务器支持的DNS加密协议类型向DNS服务器发起DNS查询。其中，终端设备可以支持DNS服务器支持的DNS加密协议类型。

基于上述方案，终端设备可以通过第四信息确定第一网元选择的DNS服务器的DNS加密协议类型是否与自身匹配，终端设备也可以根据第四信息确定是否通过该DNS服务器发起DNS查询。

第二方面，提供一种服务器选择方法。该方法可以由本申请实施例提供的第一网元执行。该第一网元可以是边缘配置服务器，或者可以是核心网中的一个网元。例如，会话管理功能网元或者策略控制功能网元。该方法中，第一网元可以接收第一信息。这里的第一信息可以用于确定终端设备支持的DNS加密能力。其中，终端设备支持的DNS加密能力为终端设备对DNS信息进行加密的能力。第一网元可以根据第一信息，确定为终端设备提供DNS查询的第一DNS服务器，第一网元可以发送第一DNS服务器的地址。

在一种可能的实现方式中，第一网元可以接收第二信息。这里的第二信息可以用于指示终端设备采用的DNS加密传输的模式。其中，DNS加密传输的模式可以是DNS加密传输开启模式或者DNS加密传输关闭模式。第一网元可以根据第一信息和第二信息，确定为终端设备提供DNS查询的第一DNS服务器。

在一种可能的实现方式中，DNS加密能力包括支持的DNS加密协议。其中，DNS加密协议可以包括以下中的至少一种：TLS或HTTP。

在一种可能的实现方式中，第一网元可以发送第三信息。该第三信息可以用于指示DNS服务器的加密能力和第一信息指示的终端设备支持的DNS加密能力匹配。

基于上述方案，终端设备可以通过第三信息确定第一网元选择的DNS服务器的DNS加密能力是否与自身匹配。

在一种可能的实现方式中，第一网元可以发送第四信息。这里的第四信息可以用于指示DNS服务器和终端设备支持的DNS加密能力所匹配的DNS加密协议类型。

基于上述方案，终端设备可以通过第四信息确定第一网元选择的DNS服务器的DNS加密协议类型是否与自身匹配。

第三方面，提供一种服务器选择方法。该方法可以由终端设备执行或者类似终端设备功能的芯片执行。该方法中，终端设备可以向第一网元发送终端设备的操作系统标识信息。其中，操作系统标识信息可以用于终端设备支持的DNS加密能力的确定，终端设备支持的DNS加密能力为终端设备对DNS信息进行加密的能力。终端设备可以接收第一网元发送的DNS服务器的地址。其中，DNS服务器是第一网元根据操作系统标识信息所确定的。

基于上述方案，第一网元可以根据终端设备的操作系统标识信息为终端设备确定DNS服务器，因此选择的DNS服务器更加适用于终端设备，可以提高DNS查询时网络的稳定性。

在一种可能的实现方式中，DNS加密能力可以包括支持的DNS加密协议，DNS加密协议可以包括以下中的至少一种：TLS或HTTP。

第四方面，本申请实施例提供一种服务器选择方法。该方法可以由本申请实施例提供的第一网元执行。该第一网元可以是边缘配置服务器，或者可以是核心网中的一个网元。例如，会话管理功能网元或者策略控制功能网元。该方法中，第一网元可以接收来自终端设备的终端设备的操作系统标识信息。第一网元可以配置有和终端设备的操作系统标识信息对应的DNS加密能力，第一网元可以根据终端设备的操作系统标识信息，确定终端设备所支持的DNS加密能力。其中，终端设备支持的DNS加密能力可以是终端设备对DNS信息进行加密的能力。第一网元可以根据终端设备所支持的DNS加密能力，确定为终端设备提供DNS查询的第一DNS服务器，并可以发送第一DNS服务器的地址。

第五方面，本申请实施例提供一种服务器选择方法。该方法可以由终端设备执行或者类似于终端设备功能的芯片执行。该方法中，终端设备可以从第一网元接收至少一个DNS服务器的加密能力信息。终端设备可以根据至少一个DNS服务器的加密能力信息，从至少一个DNS服务器中确定第一DNS服务器。其中，第一DNS服务器的加密能力和终端设备所支持的加密能力匹配，终端设备支持的DNS加密能力为终端设备对DNS信息进行加密的能力。终端设备可以向第一DNS服务器发起DNS查询。

基于上述方案，终端设备可以从第一网元发送的至少一个DNS服务器中选择DNS加密能力与自身匹配的DNS服务器发起DNS查询，提高DNS查询时网络的稳定性。

基于上述方案，终端设备可以从至少一个DNS服务器中选择与自身支持的DNS加密协议类型匹配的DNS服务器，可以提高网络的安全性和稳定性。

第六方面，提供一种服务器选择方法。该方法可以由本申请实施例提供的第一网元执行。该第一网元可以是边缘配置服务器，或者可以是核心网中的一个网元。例如，会话管理功能网元或者策略控制功能网元。该方法中，第一网元可以确定至少一个DNS服务器的加密能力信息。其中，至少一个DNS服务器的加密能力信息包括至少一个DNS服务器对DNS信息进行加密的能力。第一网元可以将至少一个DNS加密能力发送给终端设备。

第七方面，提供了服务器选择装置，通信装置可以包括用于执行第一方面或第一方面任一种可能实现方式中的各个模块/单元，或者还可以包括用于执行第二方面或第二方面任一种可能实现方式中的各个模块/单元，或者还可以包括用于执行第三方面或第三方面任一种可能实现方式中的各个模块/单元，或者还可以包括用于执行第四方面或第四方面任一种可能实现方式中的各个模块/单元，或者还可以包括用于执行第五方面或第五方面任一种可能实现方式中的各个模块/单元，或者还可以包括用于执行第六方面或第六方面任一种可能实现方式中的各个模块/单元。例如，通信单元和处理单元。

第八方面，提供了一种通信装置，通信装置包括处理器和存储器。存储器用于存储计算机执行指令，控制器运行时，处理器执行存储器中的计算机执行指令以利用控制器中的硬件资源执行第一方面或第一方面任一种可能实现方式中方法的操作步骤，或者执行第二方面或第二方面任一种可能实现方式中方法的操作步骤，或者执行第三方面或第三方面任一种可能实现方式中方法的操作步骤，或者执行第四方面或第四方面任一种可能实现方式中方法的操作步骤，或者执行第五方面或第五方面任一种可能实现方式中方法的操作步骤，或者执行第六方面或第六方面任一种可能实现方式中方法的操作步骤。

第九方面，本申请提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面的方法。

第十方面，本申请提供了一种存储指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面的方法。

第十一方面，本申请提供了一种通信系统，该通信系统中可以包含至少一个网络设备。该至少一个网络设备可以用于执行上述第一网元执行的各个步骤。可选的，该通信系统还可以包含至少一个终端设备。该至少一个终端设备可以用于执行上述终端设备执行的各个步骤。

另外，第七方面至第十一方面的有益效果可以如第一方面至第六方面所示的有益效果，此处不再赘述。

附图说明

图1为本申请实施例提供的通信系统的示意图之一；

图2为本申请实施例提供的通信系统的示意图之一；

图3为本申请实施例提供的通信系统的示意图之一；

图4为本申请实施例提供的服务器选择方法的示例性流程图之一；

图5为本申请实施例提供的服务器选择方法的示例性流程图之一；

图6为本申请实施例提供的服务器选择方法的示例性流程图之一；

图7为本申请实施例提供的服务器选择方法的示例性流程图之一；

图8为本申请实施例提供的服务器选择方法的示例性流程图之一；

图9为本申请实施例提供的服务器选择方法的示例性流程图之一；

图10为本申请实施例提供的服务器选择方法的示例性流程图之一；

图11为本申请实施例提供的服务器选择方法的示例性流程图之一；

图12为本申请实施例提供的服务器选择装置的示意图之一；

图13为本申请实施例提供的终端设备的示意图之一；

图14为本申请实施例提供的服务器选择装置的示意图之一；

图15本申请实施例提供的服务器选择装置的框图。

具体实施方式

以下，对本申请实施例中的部分用语进行解释说明，以便于本领域技术人员理解。

本申请实施例中的术语“系统”和“网络”可被互换使用。“多个”是指两个或两个以上，其它量词与之类似。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。此外，对于单数形式“a”，“an”和“the”出现的元素(element)，除非上下文另有明确规定，否则其不意味着“一个或仅一个”，而是意味着“一个或多于一个”。例如，“a device”意味着对一个或多个这样的device。再者，至少一个(at least one of).......”意味着后续关联对象中的一个或任意组合，例如“A，B和C中的至少一个”包括A，B，C，AB，AC，BC，或ABC。

本申请实施例的技术方案可以应用于各种通信系统，例如：长期演进(long termevolution，LTE)系统，全球互联微波接入(worldwide interoperability for microwaveaccess，WiMAX)通信系统，未来的第五代(5th Generation，5G)系统，如新一代无线接入技术(new radio access technology，NR)，及未来的通信系统，如6G系统等。

本申请将围绕可包括多个设备、组件、模块等的系统来呈现各个方面、实施例或特征。应当理解和明白的是，各个系统可以包括另外的设备、组件、模块等，并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外，还可以使用这些方案的组合。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

为便于理解本申请实施例，首先以图1和图2示出的通信系统为例详细说明适用于本申请实施例的通信系统。图1和图2示出了适用于本申请实施例的通信方法的通信系统的示意图。如图1和图2所示，该通信系统100包括鉴权服务器功能(Authentication ServerFunction，AUSF)网元、网络开放功能(network exposure function，NEF)网元、策略控制功能(policy control function，PCF)网元、统一数据管理(unified data management，UDM)网元、统一数据库(Unified Data Repository，UDR)、网络存储功能(Network RepositoryFunction，NRF)网元、应用功能(application function，AF)网元、接入与移动性管理功能(access and mobility management function，AMF)网元、会话管理功能(sessionmanagement function，SMF)网元、无线接入网(radio access network，RAN)以及用户面功能(user plane function，UPF)网元。其中，图1示出的各个网元之间的接口是服务化接口，图2示出的各个网元之间的接口是点对点的接口。

下面对本申请实施例的通信系统的各个网元或设备的功能进行详细描述：

所述终端设备，又可以称之为用户设备(user equipment，UE)、移动台(mobilestation，MS)、移动终端(mobile terminal，MT)等，是一种向用户提供语音和/或数据连通性的设备。例如，所述终端设备可以包括具有无线连接功能的手持式设备、车载设备等。具体的，包括向用户提供语音的设备，或包括向用户提供数据连通性的设备，或包括向用户提供语音和数据连通性的设备。例如可以包括具有无线连接功能的手持式设备、或连接到无线调制解调器的处理设备。该终端可以经无线接入网(radio access network，RAN)与核心网进行通信，与RAN交换语音或数据，或与RAN交互语音和数据。该终端可以包括用户设备(user equipment，UE)、无线终端、移动终端、设备到设备通信(device-to-device，D2D)终端、车到一切(vehicle to everything，V2X)终端、机器到机器/机器类通信(machine-to-machine/machine-type communications，M2M/MTC)终端、物联网(internet of things，IoT)终端、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobilestation)、远程站(remote station)、接入点(access point，AP)、远程终端(remoteterminal)、接入终端(access terminal)、用户终端(user terminal)、用户代理(useragent)、或用户装备(user device)等。例如，可以包括移动电话(或称为“蜂窝”电话)，具有移动终端的计算机，便携式、袖珍式、手持式、计算机内置的移动装置等。例如，个人通信业务(personal communication service，PCS)电话、无绳电话、会话发起协议(sessioninitiation protocol，SIP)话机、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、等设备。还包括受限设备，例如功耗较低的设备，或存储能力有限的设备，或计算能力有限的设备等。例如包括条码、射频识别(radiofrequency identification，RFID)、传感器、全球定位系统(global positioning system，GPS)、激光扫描器等信息传感设备。

本申请实施例中，用于实现网络设备的功能的装置可以是网络设备，也可以是能够支持网络设备实现该功能的装置，例如芯片系统，该装置可以被安装在网络设备中。在本申请实施例提供的技术方案中，以用于实现网络设备的功能的装置是网络设备为例，描述本申请实施例提供的技术方案。

作为示例而非限定，在本申请实施例中，该终端还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备或智能穿戴式设备等，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能头盔、智能首饰等。

而如上介绍的各种终端，如果位于车辆上(例如放置在车辆内或安装在车辆内)，都可以认为是车载终端，车载终端例如也称为车载单元(on-board unit，OBU)。

本申请实施例中，用于实现终端的功能的装置可以是终端，也可以是能够支持终端实现该功能的装置，例如芯片系统，该装置可以被安装在终端中。本申请实施例中，芯片系统可以由芯片构成，也可以包括芯片和其他分立器件。本申请实施例提供的技术方案中，以用于实现终端的功能的装置是终端为例，描述本申请实施例提供的技术方案。

以下，介绍图1和图2中的各个网元。

所述接入和移动性管理功能网元AMF，可用于对所述终端设备的接入控制和移动性进行管理，在实际应用中，其包括了长期演进(long term evolution，LTE)中网络框架中移动管理实体(mobility management entity，MME)里的移动性管理功能，并加入了接入管理功能，具体可以负责所述终端设备的注册、移动性管理、跟踪区更新流程、可达性检测、会话管理功能网元的选择、移动状态转换管理等。例如，在5G中，所述核心网接入和移动性管理功能网元可以是AMF(access and mobility management function)网元，例如图1和图2所示，在未来通信，如6G中，所述核心网接入和移动性管理功能网元仍可以是AMF网元，或有其它的名称，本申请不做限定。当所述核心网接入和移动性管理功能网元是AMF网元时，所述AMF可以提供Namf服务。

所述会话管理功能网元SMF，可用于负责所述终端设备的会话管理(包括会话的建立、修改和释放)，用户面功能网元的选择和重选、所述终端设备的互联网协议(internetprotocol，IP)地址分配、服务质量(quality of service，QoS)控制等。例如，在5G中，所述会话管理功能网元可以是SMF(session management function)网元，例如图1和图2所示，在未来通信，如6G中，所述会话管理功能网元仍可以是SMF网元，或有其它的名称，本申请不做限定。当会话管理功能网元时SMF网元时，所述SMF可以提供Nsmf服务。

所述策略控制功能网元PCF，可用于负责策略控制决策、提供基于业务数据流和应用检测、门控、QoS和基于流的计费控制等功能等。例如，在5G中，所述策略控制功能网元可以是PCF(policy control function)网元，例如图1和图2所示，在未来通信，如6G中，所述策略控制功能网元仍可以是PCF网元，或有其它的名称，本申请不做限定。当所述策略控制功能网元是PCF网元，所述PCF网元可以提供Npcf服务。

所述应用功能网元AF，主要功能是与第三代合作伙伴计划(the 3rd generationpartnership project，3GPP)核心网交互来提供服务，来影响业务流路由、接入网能力开放、策略控制等。例如，在5G中，所述应用功能网元可以是AF网元，例如图1和图2所示，在未来通信，如6G中，所述应用功能网元仍可以是AF网元，或有其它的名称，本申请不做限定。当所述应用功能网元是AF网元时，所述AF网元可以提供Naf服务。

所述统一数据管理功能网元UDM，可用于管理所述终端设备的签约数据、与所述终端设备相关的注册信息等。例如，在5G中，所述数据管理网元可以是统一数据管理网元(unified data management，UDM)，例如图1和图2所示，在未来通信，如6G中，所述数据管理网元仍可以是UDM网元，或有其它的名称，本申请不做限定。当所述数据管理网元是UDM网元时，所述UDM网元可以提供Nudm服务。

所述网络开放功能网元NEF，可用于使3GPP能够安全地向第三方的AF(例如，业务能力服务器(Services Capability Server，SCS)、应用服务器(Application Server，AS)等)提供网络业务能力等。例如，在5G中，所述网络开放功能网元可以是NEF，例如图1和图2所示，在未来通信，如6G中，所述网络开放功能网元仍可以是NEF网元，或有其它的名称，本申请不做限定。当所述网络开放功能网元是NEF时，所述NEF可以向其他网络功能网元提供Nnef服务。

所以统一数据存储库功能网元UDR，可用于存储和检索签约数据、策略数据和公共架构数据等；供UDM、PCF和NEF获取相关数据。UDR要能够针对不同类型的数据如签约数据、策略数据有不同的数据接入鉴权机制，以保证数据接入的安全性；UDR对于非法的服务化操作或者数据接入请求要能够返回携带合适原因值的失败响应。例如，在5G中，所述统一数据存储库功能网元可以是UDR，例如图1和图2所示，在未来通信，如6G中，所述统一数据存储库功能网元仍可以是UDR网元，或有其它的名称，本申请不做限定。

所述用户面功能网元UPF，可用于将PDU会话与数据网络互连、分组路由和转发(例如，支持对流量进行Uplink classifier后转发到数据网络，支持Branching point以支持multi-homed PDU会话)、数据包检测等。例如，在5G中，所述用于面功能网元可以是UPF，例如图1和图2所示，在未来通信，如6G中，所述用户面功能网元仍可以是UPF网元，或有其它的名称，本申请不做限定。

参阅图3，图3为适用于本申请实施例提供的服务器选择方法的系统架构。该系统中，可以包括终端设备、无线接入网、用户面功能网元以及DNS服务器。终端设备可以与无线接入网通信连接。终端设备在访问域名时，如果终端设备存储的缓存记录中不存在想要访问的域名对应的IP地址，则可以通过无线接入网向DNS服务器发起域名解析请求，该域名解析请求可以携带终端设备想要访问的域名，由DNS服务器返回该域名对应的IP地址，终端设备则可以通过该IP地址访问对应的域名。而这里的DNS服务器可以是核心网(如用户面功能网元)为终端设备选择的。

由于传统的DNS查询和应答采用用户数据报协议(user datagram protocol，UDP)和传输控制协议(transmission control protocol，TCP)明文传输，存在网络监听、DNS劫持、中间设备干扰的风险。加密DNS是实现传输安全的一种机制，能确保网络体验安全。DNS安全传输服务可以适用于移动应用程序、浏览器、操作系统、物联网设备和网关路由器等多个场景。通过传输加密的方式发送DNS查询，加强了用户访问互联网的安全性、解析稳定和隐私保护。

目前的移动终端在开启加密DNS机制时，依赖于用户手工配置。如果用户手工配置的DNS加密模式与为移动终端提供服务的DNS加密模式不同，可能会导致DNS解析耗时较长，上网慢，甚至有可能会导致DNS服务器认证失败，无法上网。

基于上述需求，本申请实施例提供一种服务器选择方法。参阅图4，是以设备交互角度示出的服务器选择方法的示例性流程图，可以包括以下步骤：

步骤401：终端设备向第一网元发送第一信息，以及第一网元接收第一信息。

这里的第一信息可以用于指示终端设备支持的DNS加密能力。其中，终端设备支持的DNS加密能力可以是终端设备对DNS信息进行加密的能力。例如，终端设备支持对DNS信息进行加密，或者终端设备不支持对DNS信息进行加密。可选的，该第一信息还可以指示终端设备的DNS解密能力。例如，终端设备支持对加密的DNS信息进行解密，或者终端设备不支持对加密的DNS信息进行解密。

需要说明的是，本申请实施例中，终端设备对DNS信息进行加密的含义是指对终端设备对DNS信息进行加密；其中，这里的DNS信息可以是终端设备向DNS服务器发送上行DNS查询消息中包含的信息，本申请实施例不做限定，例如，DNS信息可以是上行DNS查询消息中包含的该终端设备请求查询的域名、终端设备的源IP地址等等。可以理解为，终端设备确定DNS信息并对DNS信息进行加密后发送上行DNS查询消息。

需要说明的是，本申请实施例中，终端设备对加密的DNS信息进行解密的含义是指对终端设备对DNS信息进行解密。其中，这里的加密DNS信息可以是终端设备从DNS服务器接收到的下行DNS响应消息中包含的信息，本申请实施例不做限定，例如，加密DNS信息可以是下行DNS响应消息中包含的该终端设备请求的域名、该域名对应的应用服务器的IP地址等等。可以理解为，终端设备接收下行DNS响应消息，确定下行DNS响应消息中包含的加密的DNS信息并对该加密DNS信息进行解密。另外需要说明的是，第一信息可以用于指示终端设备支持的DNS加密能力，也可以用于第一网元对终端设备支持的DNS加密能力进行确定。以下，分别以两种情况对第一信息进行解释说明。

情况1：第一信息用于指示终端设备支持的DNS加密能力。

一种实现方式中，DNS加密能力可以是终端设备对DNS信息进行加密的能力。示例性地，该终端设备对DNS信息进行加密的能力可以用信元UE’s Encryption DNScapability来表示。可选的，该第一信息还可以包括终端设备支持的DNS加密协议。例如，如果第一信息指示终端设备支持对DNS信息进行加密，则该第一信息还可以包括终端设备可用的DNS加密协议。如，传输层安全协议和/或超文本传输协议。这里的终端设备支持的DNS加密协议可以是指终端设备在对DNS信息进行加密时可以采用的协议，以及终端设备可以解密通过哪种协议加密的DNS信息。

另一种实现方式中，DNS加密能力可以是终端设备支持的DNS加密协议。可以理解为，由于终端设备支持了DNS加密协议，那么该终端设备具备采用该DNS加密协议对DNS信息进行加密的能力。终端设备支持的DNS加密协议，例如，传输层安全协议和/或超文本传输协议。这里的终端设备支持的DNS加密协议可以是指终端设备在对DNS信息进行加密时可以采用的协议，以及终端设备可以解密通过哪种协议加密的DNS信息。需要注意的是，如果终端设备不支持DNS加密能力，那么终端设备可以向第一网元发送的第一信息可以为空值，或者终端设备不向第一网元发送第一信息(即步骤401不携带第一信息)，本申请实施例不做限定。

可选地，该第一信息还可以指示终端设备采用的DNS加密传输的模式。例如，终端设备支持对DNS信息进行加密，但终端设备未开启DNS加密能力，换句话说，终端设备关闭了对DNS信息进行加密的能力。因此，终端设备无法对DNS信息进行加密，也无法对加密的DNS信息进行解密。或者，终端设备支持对DNS信息进行加密，且终端设备开启DNS加密能力，即终端设备开启了对DNS信息进行加密的能力。因此，终端设备可以对DNS信息进行加密，也可以对加密的DNS信息进行解密。

另一个示例中，终端设备还可以向第一网元发送第二信息。这里的第二信息可以用于指示终端设备采用的DNS加密传输模式。例如，终端设备开启了DNS加密传输模式，即终端设备支持对DNS信息进行加密。同样的，终端设备也支持对加密的DNS信息进行解密。或者，终端设备关闭了DNS加密传输模式，即终端设备不支持对DNS信息进行加密。同样的，终端设备也不支持对加密的DNS信息进行解密。

情况2：第一信息用于第一网元对终端设备支持的DNS加密能力进行确定。

这里的第一信息可以是终端设备的操作系统标识信息。例如，国际移动电话设备标识(international mobile equipment identity，IMEI)。IMEI用于唯一标识一种设备型号，可以读取到终端设备的类型(如智能机、功能机或数据卡)，终端设备的操作系统名称，终端设备的品牌名称、终端设备的型号等。第一网元可以从IMEI中确定终端设备的操作系统名称，从而可以确定终端设备的操作系统标识。或者，该第一信息也可以是操作系统标识(operating system identity，OS ID)。

步骤402：第一网元根据第一信息，确定为终端设备提供DNS查询的第一DNS服务器。

这里的第一网元可以是会话管理功能网元SMF、策略控制功能网元PCF或者还可以是边缘配置服务器(Edge Configuration Server)。这里的边缘配置服务器上可以存储移动数据网络配置信息，并向边缘使能客户端(Edge Enabler Client)下发该移动数据网络配置信息，其中，Edge Enabler Client位于终端设备上，Edge Enabler Client用于终端设备发现边缘应用的IP地址。Edge Configuration Server可以是运营商或者第三方部署，本申请实施例不做限定。

其中，第一网元可以根据第一信息确定终端设备的DNS加密能力，进而确定为终端设备提供DNS查询的第一DNS服务器。需要说明的是，由于第一信息的不同，第一网元确定第一DNS服务器的方式不同，以下进行具体介绍。

方式一：第一信息用于指示终端设备支持的DNS加密能力。

一种实现方式是，第一网元可以本地配置或者从其他网元获取网络中部署的每一个DNS服务器对应的DNS加密能力。其中，DNS服务器对应的DNS加密能力可以是DNS服务器对DNS信息进行加密的能力，和/或，DNS服务器对DNS信息进行解密的能力。例如，DNS服务器支持对DNS信息进行加密，或者DNS服务器不支持对DNS信息进行加密。DNS服务器支持对加密的DNS信息进行解密，或者DNS服务器不支持对加密的DNS信息进行解密。示例性地，DNS服务器对DNS信息进行加密的能力可以用信元DNS server’s Encryption DNS capability来表示。

需要说明的是，本申请实施例中，DNS服务器对DNS信息进行加密的含义是指对DNS服务器对DNS信息进行加密；其中，DNS信息可以是DNS服务器向终端设备发送的下行DNS响应消息中包含的信息，本申请实施例不做限定，例如，加密DNS信息可以是下行DNS响应消息中包含的终端设备请求的域名、该域名对应的应用服务器的IP地址等等。可以理解为，DNS服务器确定DNS信息并对DNS信息进行加密后向终端设备发送下行DNS响应消息。

需要说明的是，本申请实施例中，DNS服务器对加密的DNS信息进行解密的含义是指对DNS服务器对DNS信息进行解密。其中，加密DNS信息可以是上行DNS查询消息中包含的信息，本申请实施例不做限定，例如，加密DNS信息可以是上行DNS查询消息中包含的终端设备请求的域名、该终端设备的源IP地址等等。可以理解为，DNS服务器接收上行DNS查询消息，确定上行DNS查询消息中包含的加密的DNS信息并对加密DNS信息进行解密。

另外，如果DNS服务器支持对DNS信息进行加密，第一网元还可以指示该DNS服务器支持的DNS加密协议类型。如，传输层安全协议和/或超文本传输协议等。

第一网元可以将获取的每一个DNS服务器的DNS加密能力以及该DNS服务器支持的DNS加密协议类型的对应关系进行存储。例如，可以如表1-1所示。

表1-1

DNS服务器	DNS服务器地址	DNS加密能力	DNS加密协议类型
				DNS服务器1	地址1	不支持	/
DNS服务器2	地址2	支持	超文本传输协议HTTP
				DNS服务器3	地址3	支持	传输层安全协议TLS

需要注意的是，如果DNS服务器不支持DNS加密能力，那么DNS服务器支持的DNS加密协议类型可以是空值，本申请不做限定。

另一种实现方式中，第一网元可以本地配置或者从其他网元获取网络中部署的每一个DNS服务器对应的DNS加密协议。可以理解为，由于DNS服务器支持了DNS加密协议，那么该DNS服务器具备采用该DNS加密协议对DNS信息进行加密的能力。DNS服务器支持的DNS加密协议，例如，传输层安全协议和/或超文本传输协议。

第一网元可以存储DNS服务器和其所支持的DNS加密协议类型。例如，可以如表1-2所示。

表1-2

DNS服务器	DNS服务器地址	DNS加密协议类型
			DNS服务器1	地址1	/
DNS服务器2	地址2	超文本传输协议HTTP
			DNS服务器3	地址3	传输层安全协议TLS

第一网元可以根据第一信息指示的终端设备支持的DNS加密能力，确定为终端设备提供DNS查询的第一DNS服务器。例如，如果第一信息指示终端设备支持对DNS信息进行加密，则第一网元可以根据表1-1，为终端设备选择支持对DNS信息进行加密的DNS服务器。如果第一信息指示终端设备不支持对DNS信息进行加密，或者终端设备没有向第一网元发送第一信息，则第一网元可以根据表1-1，为终端设备选择不支持对DNS信息进行加密的DNS服务器。又例如，如果第一信息指示终端设备支持对DNS信息进行加密，且终端设备开启DNS加密传输模式，则第一网元可以根据表1-1，为终端设备选择支持对DNS信息进行加密的DNS服务器。或者，如果第一信息指示终端设备支持对DNS信息进行加密，且终端设备关闭DNS加密传输模式，则第一网元可以根据表1-1，为终端设备确定不支持对DNS信息进行加密的DNS服务器。

或者，第一网元可以根据第一信息指示的DNS加密协议类型，确定为终端设备提供DNS查询的第一DNS服务器。例如，如果第一信息指示终端设备支持的DNS加密协议类型为HTTP，则第一网元可以根据表1-2，确定DNS服务器2作为第一DNS服务器。如果第一信息指示的DNS加密协议类型为空，说明终端设备不支持DNS加密能力，则第一网元可以根据表1-2，确定DNS服务器1作为第一DNS服务器。

在一个示例中，如果第一信息指示终端设备支持对DNS信息进行加密，且第一信息还包括终端设备支持的DNS加密协议类型，则第一网元可以根据终端设备支持的DNS加密协议类型为终端设备选择DNS加密协议类型匹配的DNS服务器。例如，如果终端设备支持的DNS加密协议类型为超文本传输协议，则第一网元可以根据表1-1，确定支持对DNS信息进行加密且支持的DNS加密协议类型为超文本传输协议的DNS服务器(DNS服务器2)作为第一DNS服务器。如果终端设备支持的DNS加密协议类型为传输层安全协议，则第一网元可以根据表1-1，确定支持对DNS信息进行加密且支持的DNS加密协议类型为传输层安全协议的DNS服务器(DNS服务器3)作为第一DNS服务器。

针对上述方式一描述的方法，本申请实施例采用图4至图6来详细说明。

第一网元为SMF为例说明，参阅图5，为终端设备与核心网交互的示例性流程图，可以包括以下步骤：

步骤501：SMF获取每一个DNS服务器的DNS加密能力，以及对应的DNS加密协议类型。

其中，SMF可以获取所属网络中已经部署的每一个DNS服务器的DNS加密能力以及对应的DNS加密协议类型。SMF获取上述信息的方式可以是SMF本地配置或者SMF通过其他网元获取，本申请实施例不做限定。

可选的，AF可以向UDR发送请求消息，该请求消息中携带有应用信息。这里的应用信息可以包括应用的部署位置、解析该应用的IP地址的DNS服务器的地址，以及DNS服务器的加密能力和对应的DNS加密协议类型，UDR可以存储该应用信息。

步骤502：UE触发PDU会话建立流程，UE可以向SMF发送PDU会话建立请求(PDUsession establishment request)消息。

其中，该消息中可以携带PDU session ID以及第一信息。第一信息可以用于指示终端设备支持的DNS加密能力。可选的，该第一信息还可以包括终端设备支持的DNS加密协议。第一信息的描述可以参见上述步骤401中情况1的相关描述，此处不再赘述。

需要注意的是，如果终端设备不支持对DNS信息进行加密，那么步骤502中携带的第一信息可以为空值，或者终端设备可以不向SMF发送第一信息(即步骤502不携带第一信息)，本申请实施例不做限定。

可选地，该消息中还可以包含第二信息，第二信息可以用于指示终端设备采用的DNS加密传输模式。第二信息的描述可以参见上述步骤401中情况1的相关描述，此处不再赘述。

步骤503：SMF调用PCF的服务化操作Npcf_SMPolicyControl_Create，请求PCF为本次会话生成策略和计费控制规则(policy and charging control rule，PCC rule)。

步骤504：PCF向SMF返回Npcf_SMPolicyControl_Control，携带PCC规则。

这里的PCC规则中可以包含应用相关的信息。例如，应用的部署位置，以及用来解析该应用的IP地址的DNS服务器的地址，以及该DNS服务器的加密能力。其中，PCF可以从UDR中存储的应用信息中确定应用相关的信息，以及用来解析该应用的IP地址对应的DNS服务器等信息。

其中，DNS服务器的加密能力的描述可以参见上述步骤402中的相关描述，此处不再赘述。

步骤505：SMF为UE确定第一DNS服务器。

其中，如果UE上报了第一信息，那么SMF可以根据UE上报的第一信息以及PCC规则中包含的应用信息为终端设备确定第一DNS服务器。

例如，如果UE支持对DNS信息进行加密，且DNS加密传输模式为开启，则SMF可以为UE选择同样支持对DNS信息进行加密的DNS服务器。如果第一信息中还包含UE支持的DNS加密协议类型，则SMF还可以根据UE支持的DNS加密协议类型，选择与UE支持的DNS加密协议类型匹配的DNS服务器。

又例如，如果UE支持对DNS加密，且DNS加密传输模式为关闭，则SMF可以该UE选择不支持对DNS信息进行加密的DNS服务器。或者，如果UE不支持对DNS信息进行加密，SMF也可以为该UE选择不支持对DNS信息进行加密的DNS服务器。

可选的，SMF还可以根据UE的位置信息、以及第一信息和PCC规则中包含的应用信息为UE确定第一DNS服务器。例如，SMF可以确定在UE的当前位置下，可以提供DNS查询的DNS服务器，且DNS加密能力和DNS加密协议类型与UE支持的DNS加密能力和DNS加密协议类型匹配的DNS服务器作为第一DNS服务器。

步骤506：SMF向UE返回PDU会话接受(PDU session establishment accept)消息，该消息中可以携带SMF为UE选择的第一DNS服务器的地址。

在一示例中，SMF可以向终端设备发送第三信息。这里的第三信息可以用于指示第一DNS服务器的DNS加密能力和第一信息所指示的终端设备支持的DNS加密能力匹配。例如，如果第一信息指示终端设备支持对DNS信息进行加密，则第三信息指示第一DNS服务器支持对DNS信息进行加密。如果第一信息指示终端设备不支持对DNS信息进行加密，则第三信息指示第一DNS服务器不支持对DNS信息进行加密。

可选的，该第三信息还可以用于指示SMF发送的DNS服务器的DNS加密能力与第一信息所指示的终端设备支持的DNS加密能力不匹配。举例来说，第一网元向终端设备发送的DNS服务器的地址包括DNS服务器1的地址1和DNS服务器2的地址2。第一网元向终端设备发送的第三信息指示DNS服务器1与终端设备的DNS加密能力匹配，DNS服务2与终端设备的DNS加密能力不匹配。因此，终端设备可以根据第三信息选择DNS服务器1，通过地址1发起DNS查询。

另一示例中，SMF还可以向终端设备发送第四信息。这里的第四信息可以用于指示第一DNS服务器和终端设备所匹配的DNS加密协议类型。例如，如果终端设备支持对DNS信息进行加密，且支持的DNS加密协议类型为HTTP，则第四信息可以用于指示该第一DNS服务器支持对DNS信息进行加密，且支持的DNS加密协议类型为HTTP。

可选的，该第四信息还可以用于指示SMF发送的第一DNS服务器支持的DNS加密协议类型和终端设备支持的DNS加密协议类型不匹配。例如，SMF向终端设备发送的第一DNS服务器的地址包括DNS服务器1的地址1和DNS服务器2的地址2。DNS服务器1支持对DNS信息进行加密，且支持的DNS加密协议类型为HTTP。DNS服务器2支持对DNS信息进行加密，且支持的DNS加密协议类型为TLS。终端设备可以根据自身支持的DNS加密协议类型从DNS服务器1和DNS服务器2中进行选择。例如，终端设备自身支持的DNS加密协议类型为HTTP时，终端设备可以通过地址1发起DNS查询。如果终端设备自身支持的DNS加密协议类型为TLS时，终端设备可以通过地址2发起DNS查询。

当UE通过如图8所示的流程从网络侧接收第一DNS服务器地址之后，UE可以向该第一DNS服务器发起DNS查询。如果UE希望更改DNS加密传输模式，那么UE可以发起PDU会话修改流程来上报更新后的DNS加密能力，如图6所示可以包括以下流程：

步骤601：UE更新自身的DNS加密能力。

其中，UE可以根据偏好更新自身的DNS加密能力。例如，之前未开启DNS加密传输模式的UE可以将DNS加密传输模式开启，从而更改自身的DNS加密能力为支持对DNS信息进行加密。或者，之前已经开启DNS加密传输模式的UE可以将DNS加密传输模式关闭，从而更改自身的DNS加密能力为不支持对DNS信息进行加密。

步骤602：UE触发PDU会话修改流程，向SMF发送PDU会话修改请求(PDU sessionmodification request)消息。

其中，该消息中可以携带PDU session ID，以及更新的第一信息。这里的第一信息可以用于指示UE的DNS加密能力。可选的，该第一信息还可以包括终端设备支持的DNS加密协议。第一信息的描述可以参见上述步骤401中情况1的相关描述，重复之处不再赘述。

另外需要说明的是，如果终端设备不支持对DNS信息进行加密，那么步骤602中携带的第一信息可以是空值，或者在步骤602中的消息可以不携带第一信息，本申请不做具体限定。

可选的，该消息中还可以包含第二信息。该第二信息可以用于指示终端设备采用的DNS加密传输模式。其中，第二信息的描述可以参见上述步骤401中情况1的相关描述，此处不再赘述。

步骤603：SMF可以根据UE的位置信息、更新的第一信息以及PCC规则中的应用信息，为UE选择更新后的第一DNS服务器。

其中，SMF为UE选择更新后的第一DNS服务器的方式可以如图4、图5所示的相关方式，此处不再赘述。

步骤604：SMF向UE发送PDU会话修改请求的响应(PDUsession modification ACK)消息，携带更新后的第一DNS服务器的地址。

UE接收到该更新后的第一DNS服务器的地址后，可以向该第一DNS服务器发起DNS查询。

方式二：第一信息为终端设备的操作系统标识信息。

第一网元可以本地配置或者从其他网元获取每一个DNS服务器对应的DNS加密能力。例如，DNS服务器支持对DNS信息进行加密，或者DNS服务器不支持对DNS信息进行加密。另外，如果DNS服务器支持对DNS信息进行加密，第一网元还可以获取该DNS服务器支持的DNS加密协议类型。如，传输层安全协议和/或超文本传输协议等。第一网元可以将上述每一个DNS服务器的DNS加密能力以及支持的DNS加密协议类型的对应关系进行存储。例如，可以如表1-1或表1-2所示。

第一网元可以本地配置或者从其他网元获取每一个操作系统标识对应的DNS加密能力，以及对应的DNS加密协议类型。第一网元可以将上述操作系统标识以及DNS加密能力、DNS加密协议类型的对应关系进行存储。如表2-1所示。

表2-1

另一种实现方式中，第一网元可以本地配置或者从其他网元获取每一个操作系统标识对应的DNS加密协议。可以理解为，由于操作系统标识表示的操作系统支持了DNS加密协议，那么该操作系统具备采用该DNS加密协议对DNS信息进行加密的能力。其中，操作系统支持的DNS加密协议可以是传输层安全协议和/或超文本传输协议。

第一网元可以将操作系统标识与支持的DNS加密协议类型的对应关系进行存储，如表2-2所示。

表2-2

操作系统标识	DNS加密协议类型
		OS ID-1	传输层安全协议TLS、超文本传输协议HTTP
OS ID-2	/

第一网元可以根据终端设备上报的操作系统标识，确定终端设备的DNS加密能力。例如，第一网元可以根据表2-1确定终端设备的DNS加密能力。举例来说，如果终端设备的操作系统标识为OS ID-1，则第一网元可以确定终端设备支持对DNS信息进行加密，如果终端设备的操作系统标识为OS ID-2，则第一网元可以确定终端设备不支持对DNS信息进行加密。可选的，第一网元还可以根据终端设备支持的DNS加密协议类型确定第一DNS服务器。例如，如果第一网元根据操作系统标识确定终端设备支持的DNS加密协议类型为HTTP，则第一网元可以选择支持的DNS加密协议类型为HTTP的DNS服务器为第一DNS服务器。或者，如果第一网元根据操作系统标识确定终端设备支持的DNS加密协议类型为TLS，则第一网元可以选择支持的DNS加密协议类型为TLS的DNS服务器作为第一DNS服务器。

另一种实现方式中，第一网元可以根据终端设备上报的操作系统标识，确定终端设备支持的DNS加密协议类型。例如，第一网元可以通过表2-1确定该操作系统标识所对应的DNS加密协议类型。举例来说，如果终端设备上报的操作系统表示为OS ID-2，则第一网元可以确定该终端设备支持的DNS加密协议类型为空，因此第一网元可以为该终端设备选择不支持对DNS信息进行加密的DNS服务器作为第一DNS服务器。如果终端设备上报的操作系统标识为OS ID-1，则第一网元可以确定该终端设备支持的DNS加密协议类型为HTTP和TLS，因此第一网元可以为该终端设备选择支持的DNS加密协议类型为HTTP和TLS的DNS服务器作为第一DNS服务器。

针对上述方式二描述的方法，本申请实施例采用图7至图9来详细说明。

以第一网元为SMF为例，参阅图7，为终端设备与网络侧交互的示例性流程图，可以包括以下步骤：

步骤701：SMF配置每一个OS ID的DNS加密能力。

在一种可能实现的方式中，SMF还可以配置网络中部署的每一个DNS服务器的DNS加密能力。例如，SMF可以配置每一个DNS服务器是否可以对DNS信息进行加密，以及配置DNS服务器在对DNS进行加密时采用的DNS加密协议类型，如HTTP或TLS。

可选的，AF可以向UDR发送请求消息，该请求消息中携带有应用信息。这里的应用信息可以包括应用的部署位置。例如，可以用数据网络接入标识(data network accessidentity，DNAI)标识应用的部署位置。该应用信息还可以包括解析该应用的IP地址的DNS服务器地址。可选的，该应用信息还可以包括DNS服务器的加密能力，UDR可以存储这些应用信息。

步骤702：UE触发PDU会话建立流程，UE向SMF发送PDU会话建立请求(PDU sessionestablishment request)消息。

该消息中携带PDU session ID和该UE对应的OS ID。

步骤703：SMF调用PCF的服务化操作Npcf_SMPolicyControl_Create，请求PCF为本次会话生成PCC规则。

步骤704：PCF向SMF返回Npcf_SMPolicyControl_Create，携带PCC规则。

这里的PCC规则可以包含应用相关的信息。如，应用的部署位置、以及用来解析该应用的IP地址的DNS服务器的地址、该DNS服务器的DNS加密能力和DNS加密协议类型等。其中，PCF可以从UDR中存储的应用信息中确定应用相关的信息，以及用来解析该应用的IP地址的DNS服务器等信息。

步骤705：SMF根据UE的OS ID以及PCF规则中包含的应用信息为UE选择第一DNS服务器。

例如，SMF可以根据UE的OS ID确定UE的DNS加密能力。如果UE支持对DNS信息进行加密，则SMF可以根据应用信息为UE选择支持对DNS信息进行加密的DNS服务器作为第一DNS服务器。可选的，SMF还可以根据UE支持的DNS加密协议类型为UE确定第一DNS服务器。例如，如果UE支持的DNS加密协议类型为HTTP，则SMF可以根据应用信息选择支持的DNS加密协议类型为HTTP的DNS服务器作为第一DNS服务器。或者，如果UE支持的DNS加密协议类型为TLS，则SMF可以根据应用信息选择支持的DNS加密协议类型为TLS的DNS服务器作为第一DNS服务器。如果UE不支持对DNS信息进行加密，则SMF可以根据应用信息为UE选择不支持对DNS信息进行加密的DNS服务器作为第一DNS服务器。

可选的，SMF可以根据UE的位置信息、UE的DNS加密能力以及应用信息为UE确定第一DNS服务器。例如，SMF可以确定在UE的当前位置下，可以提供DNS查询的DNS服务器，且DNS加密能力和DNS加密协议类型与UE支持的DNS加密能力和DNS加密协议类型匹配的DNS服务器作为第一DNS服务器。

步骤706：SMF向UE返回PDU会话接受(PDU session establishment accept)消息，该消息中携带第一DNS服务器的地址。

以上，通过图7示出了由SMF从终端设备获取该终端设备的OS ID的示例性流程图。

以下，通过图8示出由SMF从PCF获取终端设备的OS ID的示例性流程图，可以包括以下步骤。

步骤801：SMF配置每一个OS ID的DNS加密能力。

可选的，SMF还可以配置网络中部署的每一个DNS服务器的DNS加密能力。

在一示例中，AF可以向UDR发送请求消息，该请求消息中携带有应用信息。这里的应用信息可以包括应用的部署位置。例如，可以用DNAI标识应用的部署位置。该应用信息还可以包括解析该应用的IP地址的DNS服务器地址，可选的，该应用信息还可以包括DNS服务器的加密能力，UDR可以存储该应用信息。

步骤802：AMF获取UE的终端设备标识。

其中，这里的终端设备标识可以是IMEI，或者终端设备标识也可以是永久设备标识(Permanent Equipment Identifier，PEI)。

步骤803：UE触发PDU会话建立流程，UE向SMF发送PDU会话建立请求(PDU sessionestablishment request)消息。

该消息中可以包括PDU session ID。

步骤804：SMF从AMF获取UE的终端设备标识。

步骤805：SMF调用PCF的服务化操作Npcf_SMPolicyControl_Create，请求PCF为本次会话生成PCC规则。

其中，SMF可以将终端设备标识携带在该消息中，发送给PCF。

步骤806：PCF根据该UE对应的终端设备标识确定OS ID。

这里的UE的终端设备标识可以是IMEI或者PEI。PCF可以根据UE的终端设备标识确定UE的操作系统名称，进而确定UE的OS ID。

步骤807：PCF向SMF返回Npcf_SMPolicyControl_Create，携带PCC规则和OS ID。

这里的PCC规则可以包含应用相关的信息。如，应用的部署位置、解析该应用的IP地址的DNS服务器的地址、该DNS服务器的DNS加密能力和DNS加密协议类型等。

步骤808：SMF可以根据OS ID确定UE支持的DNS加密能力，并根据应用信息为终端设备确定第一DNS服务器。

可选的，SMF可以根据UE的位置信息、UE的DNS加密能力以及应用信息为UE确定第一DNS服务器。例如，SMF可以确定在UE的当前位置下，可以提供DNS查询的DNS服务器，且DNS加密能力和DNS加密协议类型匹配的DNS服务器作为第一DNS服务器。

步骤809：SMF向UE返回PDU会话接受(PDU session establishment accept)消息，该消息中携带第一DNS服务器的地址。

以第一网元为PCF为例，参阅图9，为PCF配置OS ID对应的DNS加密能力的示例性流程图，可以包括以下步骤。

步骤901：PCF配置每一个OS ID对应的DNS加密能力。

应理解，PCF也可以配置每一个OS ID支持的DNS加密协议类型。可选的，PCF也可以配置网络中部署的每一个DNS服务器的DNS加密能力。

在一示例中，AF可以向UDR发送请求消息，该请求消息中携带有应用信息。这里的应用信息可以包括应用的部署位置。例如，可以用DNAI标识应用的部署位置。该应用信息还可以包括解析该应用的IP地址的DNS服务器地址。可选的，该应用信息还可以包括DNS服务器的加密能力，UDR可以存储该应用信息。

步骤902-步骤906与图8所示的步骤802-步骤806相同。

步骤907：PCF根据UE的DNS加密能力以及应用信息，确定第一DNS服务器。

其中，例如，PCF可以根据UE的OS ID确定UE的DNS加密能力。如果UE支持对DNS信息进行加密，则PCF可以根据应用信息为UE选择支持对DNS信息进行加密的DNS服务器作为第一DNS服务器。可选的，PCF还可以根据UE支持的DNS加密协议类型为UE确定第一DNS服务器。例如，如果UE支持的DNS加密协议类型为HTTP，则PCF可以根据应用信息选择支持的DNS加密协议类型为HTTP的DNS服务器作为第一DNS服务器。或者，如果UE支持的DNS加密协议类型为TLS，则PCF可以根据应用信息选择支持的DNS加密协议类型为TLS的DNS服务器作为第一DNS服务器。如果UE不支持对DNS信息进行加密，则PCF可以根据应用信息为UE选择不支持对DNS信息进行加密的DNS服务器作为第一DNS服务器。

步骤908：PCF向SMF返回Npcf_SMPolicyControl_Create，携带PCC规则。

这里的PCC规则可以包含应用相关的信息。如，应用的部署位置、以及用来解析该应用的IP地址的DNS服务器的地址、该DNS服务器的DNS加密能力和DNS加密协议类型等。

在一示例中，该消息还可以携带有UE的DNS加密能力、PCF为UE确定的第一DNS服务器的地址。可选的，该消息还可以携带有第一DNS服务器的DNS加密能力。比如，第一DNS服务器是否支持对DNS信息进行加密和解密，以及第一DNS服务器支持的DNS加密协议类型等。

步骤909：SMF向UE返回PDU会话接受(PDU session establishment accept)消息，该消息中携带第一DNS服务器的地址。

在一个示例中，SMF在接收到PCF发送的第一DNS服务器的地址之后，SMF可以根据UE的位置信息确定该第一DNS服务器是否能够为UE提供DSN查询。例如，如果PCF向SMF发送了多个第一DNS服务器的地址，SMF可以确定在UE的当前位置下，多个第一DNS服务器中可以为UE提供DNS查询的一个或多个第一DNS服务器。SMF可以在PDU会话接受消息中携带确定出的一个或多个第一DNS服务器的地址。如果PCF向SMF发送了一个第一DNS服务器的地址，SMF可以确定在UE的当前位置下，该第一DSN服务器是否可以为UE提供DNS查询。若该第一DNS服务器可以为UE提供DNS查询，则SMF可以在PDU会话接受消息中携带该第一DNS服务器的地址，若该第一DSN服务器不可以为UE提供DNS查询，则SMF可以不在该PDU会话接受消息中携带该第一DNS服务器的地址。

在一示例中，第一网元(如SMF)可以向终端设备发送第五信息。这里的第五信息可以用于指示DNS服务器支持的DNS加密能力。例如，第五信息可以指示DNS服务器支持对DNS信息进行加密，或者可以指示DNS服务器不支持对DNS信息进行加密。举例来说，第一网元向终端设备发送的DNS服务器的地址包括DNS服务器1的地址1。第一网元可以向终端设备发送第五信息，该第五信息可以指示DNS服务器1支持对DNS信息进行加密。终端设备也可以根据第五信息，确定DNS服务器1的DNS加密能力是否与自身匹配。如果终端设备确定DNS服务器1的DNS加密能力与自身匹配，即自身支持对DNS信息进行加密或者开启DNS加密传输模式，终端设备可以通过地址1发起DNS查询。如果终端设备确定DNS服务器1的DNS加密能力与自身不匹配，即自身不支持对DNS信息进行加密或者关闭DNS加密传输模式，则终端设备可以向网络侧发送自身的DNS加密能力，请求更新DNS服务器的地址。或者，第一网元发送的DNS服务器的地址包括DNS服务器1的地址1和DNS服务器2的地址2。该第五信息可以指示DNS服务器1支持对DNS信息进行加密，DNS服务器2不支持对DNS信息进行加密。终端设备可以根据自身的DNS加密能力以及DNS加密传输模式，选择一个DNS服务器发起DNS查询。例如，终端设备支持对DNS信息进行加密，且DNS加密传输模式开启，则终端设备可以向DNS服务器1发起DNS查询。如果终端设备不支持对DNS信息进行加密，或者DNS加密传输模式关闭，则终端设备可以向DNS服务器2发起DNS查询。

另一示例中，第一网元(如SMF)可以向终端设备发送第六信息。该第六信息可以指示DNS服务器支持的DNS加密协议类型。例如，第一网元向终端设备发送的DNS服务器的地址包括DNS服务器1的地址1和DNS服务器2的地址2。第六信息指示DNS服务器1支持的DNS加密协议类型为HTTP，DNS服务器2支持的DNS加密协议类型为TLS。终端设备可以根据自身支持的DNS加密协议类型从中选择一个DNS服务器。例如，如果终端设备支持的DNS加密协议类型为HTTP，则终端设备可以向DNS服务器1发起DNS查询，如果终端设备支持的DNS加密协议类型为TLS，则终端设备可以向DNS服务器2发起DNS查询。

步骤403：第一网元发送第一DNS服务器的地址，以及终端设备接收该第一DNS服务器的地址。

终端设备可以根据接收到的第一DNS服务器的地址向第一DNS服务器发起DNS查询。其中，如果第一DNS服务器支持对DNS信息进行加密，则终端设备与第一DNS服务器可以对DNS信息进行加密传输。可选的，对DNS进行加密的协议可以是终端设备与第一DNS服务器均支持的协议。如果第一DNS服务器不支持对DNS信息进行加密，则终端设备与第一DNS服务器可以不对DNS信息进行加密传输。

基于相同的发明构思，本申请实施例还提供一种服务器选择方法。参阅图10，是以设备交互角度示出的服务器选择方法的示例性流程图，可以包括以下步骤：

步骤1001：第一网元确定至少一个DNS服务器的加密能力信息。

这里的第一网元可以是会话管理功能网元SMF、策略控制功能网元PCF或者边缘配置服务器。

其中，第一网元可以根据应用信息确定至少一个DNS服务器。可选的，第一网元还可以根据终端设备的位置信息，为终端设备确定至少一个DNS服务器。例如，第一网元可以确定在终端设备的当前位置下，可以为终端设备提供DNS查询的DNS服务器。

这里的DNS服务器的加密能力信息可以包括每一个DNS服务器的DNS加密能力。该DNS加密能力可以包括DNS服务器支持对DNS信息进行加密，或者DNS服务器不支持对DNS信息进行加密。可选的，加密能力信息还可以包括每一个支持对DNS信息进行加密的DNS服务器所支持的DNS加密协议类型。如，HTTP和/或TLS等。

应理解，DNS服务器的DNS加密能力和DNS加密协议类型的描述可以参见如图4所示的方法实施例中的相关描述，此处不再赘述。

步骤1002：第一网元将至少一个DNS服务器的加密能力信息发送给终端设备。

这里的加密能力信息就可以包括第一网元确定的至少一个DNS服务器的DNS加密能力以及对应的DNS加密协议类型。

第一网元也可以将至少一个DNS服务器的地址发送给终端设备。其中，第一网元可以将至少一个DNS服务器的地址和加密能力信息一起发送给终端设备，也可以将至少一个DNS服务器的地址和加密能力信息分别发送给终端设备。

步骤1003：终端设备根据至少一个DNS服务器的加密能力信息，从至少一个DNS服务器中确定第一DNS服务器。

终端设备可以根据自身的DNS加密能力从至少一个DNS服务器中选择一个DNS服务器发起DNS查询。例如，如果终端设备支持对DNS信息进行加密，且DNS加密传输模式开启，则终端设备可以从至少一个DNS服务器中选择支持对DNS信息进行加密的DNS服务器发起DNS查询。可选的，终端设备可以从支持对DNS信息进行加密的DNS服务器中，选择支持的DNS加密协议类型与自身匹配的DNS服务器发起DNS查询。例如，如果自身支持的DNS加密协议类型为TLS，则终端设备可以选择支持的DNS加密协议类型为TLS的DNS服务器发起DNS查询。如果自身支持的DNS加密协议类型为HTTP，则终端设备可以选择支持的DNS加密协议类型为HTTP的DNS服务器发起DNS查询。或者，如果终端设备不支持对DNS信息加密，或者DNS加密传输模式关闭，则终端设备可以从至少一个DNS服务器中选择不支持对DNS信息进行加密的DNS服务器发起DNS查询。

终端设备也可以根据自身的偏好，从至少一个DNS服务器中选择一个DNS服务器发起DNS查询。例如，当终端设备确定无需对DNS信息进行加密时，终端设备可以从至少一个DNS服务器中选择一个不支持对DNS信息进行加密的DNS服务器发起DNS查询。当终端设备确定需要对DNS信息进行加密时，终端设备可以从至少一个DNS服务器中选择一个支持对DNS信息进行加密的DNS服务器发起DNS查询。其中，支持对DNS信息加密的DNS服务器支持的DNS加密协议类型与自身支持的DNS加密协议类型相同。

如果终端设备从第一网元处仅接收到一个DNS服务器的地址，且该DNS服务器的加密能力信息与自身不匹配，则终端设备可以自行决定是否使用该DNS服务器发起DNS查询。例如，终端设备接收到的DNS服务器的DNS加密能力为不支持对DNS信息进行加密，而自身支持对DNS信息进行加密，那么终端设备可以向该DNS服务器发起DNS查询，也可以向网络侧发送自身的DNS加密能力。或者，如果终端设备接收到的DNS服务器的DNS加密能力为支持对DNS信息进行加密，而自身不支持对DNS信息进行加密，那么终端设备可以向该DNS服务器发起DNS查询，也可以向网络侧发送自身的DNS加密能力。

又例如，如果终端设备接收到的DNS服务器支持的DNS加密协议类型与自身所支持的DNS加密协议类型不相同，则终端设备可以向该DNS服务器发起DNS查询，也可以向网络侧发送自身的DNS加密能力和支持的DNS加密协议类型。

以第一网元为SMF网元为例，参阅图11，为终端设备与网络侧交互的示例性流程图，可以包括以下步骤：

步骤1101：SMF配置每一个DNS服务器的DNS加密能力。

其中，SMF可以配置每一个DNS服务器的DNS加密能力，也可以配置每一个DNS服务器支持的DNS加密协议类型。

可选的，AF可以向UDR发送请求消息，该请求消息中携带有应用信息。这里的应用信息可以包括应用的部署位置、以及用来解析该应用的IP地址的DNS服务器的地址。可选的，该应用信息还可以包括DNS服务器的加密能力，UDR可以存储该应用信息。

步骤1102：UE触发PDU会话建立流程，UE可以向SMF发送PDU会话建立请求(PDUsession establishment request)消息。

该消息中可以携带PDU session ID。

步骤1103：SMF调用PCF的服务化操作Npcf_SMPolicyControl_Create，请求PCF为本次会话生成策略和计费控制规则(policy and charging control rule，PCC rule)。

步骤1004：PCF向SMF返回Npcf_SMPolicyControl_Control，携带PCC规则。

这里的PCC规则中可以包含应用相关的信息。例如，应用的部署位置，以及用来解析该应用的IP地址的DNS服务器的地址，以及该DNS服务器的加密能力和对应的DNS加密协议类型。其中，PCF可以从UDR中存储的应用信息确定上述应用相关的信息。

步骤1105：SMF确定至少一个DNS服务器的加密能力信息。

SMF可以根据应用信息为UE确定至少一个DNS服务器，以及至少一个DNS服务器的加密能力信息。可选的，SMF也可以根据UE的位置信息和应用信息确定至少一个DNS服务器，以及至少一个DNS服务器的加密能力信息。例如，SMF可以确定在UE的当前位置下，可以为UE提供DNS查询的至少一个DNS服务器，以及该至少一个DNS服务器的加密能力信息。

需要说明的是，如果DNS服务器不支持对DNS信息进行加密，则该DNS服务器的加密能力信息可以为空值，或者该DNS服务器的加密能力信息可以是一个统一标识信息。这里的统一标识信息可以是表示不支持对DNS信息进行加密。

步骤1106：SMF向UE返回PDU会话接受(PDU session establishment accept)消息，该消息中可以携带至少一个DNS服务器的加密能力信息。

可选的，该消息中还可以携带至少一个DNS服务器的地址。

步骤1107：终端设备从至少一个DNS服务器中选择一个DNS服务器发起DNS查询。

其中，终端设备从至少一个DNS服务器中选择一个DNS服务器的方法可以参见如图8所示的方法实施例中的相关描述。

前文介绍了本申请实施例的方法，下文中将介绍本申请实施例中的设备。方法、设备是基于同一技术构思的，由于方法、设备解决问题的原理相似，因此设备与方法的实施可以相互参见，重复之处不再赘述。

基于与上述通信方法的同一技术构思，如图12所示，提供了一种服务器选择装置1200。装置1200能够上述方法中由终端设备执行的各个步骤，为了避免重复，此处不再详述。装置1200包括：通信单元1210、处理单元1220，可选的，还包括存储单元1230；处理单元1220可以分别与存储单元1230和通信单元1210相连，所述存储单元1230也可以与通信单元1210相连。其中，处理单元1220可以与存储单元1230集成。

所述存储单元1230，用于存储计算机程序；

示例的，所述处理单元1220用于通过所述通信单元1210向第一网元发送第一信息。所述第一信息的描述可以参见如图4所示的方法实施例中的相关描述，此处不再赘述。所述处理单元1220还用于通过所述通信单元1210接收第一网元发送的DNS服务器的地址。该DNS服务器是第一网元根据第一信息确定的。

在一种设计中，所述处理单元1220还用于通过所述通信单元1210发送第二信息。其中，第二信息的描述可以参见如图4所示的方法实施例中的相关描述，此处不再赘述。

在一种设计中，所述处理单元1220还用于通过所述通信单元接收第一网元发送的第三信息。其中，第三信息的描述可以参见如图4所示的方法实施例中的相关描述，此处不再赘述。

在一种设计中，所述处理单元1220还用于通过所述通信单元1210接收第一网元发送的第四信息。其中，第四信息的描述可以参见如图4所示的方法实施例中的相关描述，此处不再赘述。所述处理单元1220还用于根据DNS服务器支持的DNS加密协议类型向DNS服务器发起DNS查询。其中，所述装置1200支持的DNS服务器支持的DNS加密协议类型。

示例性的，所述处理单元1220用于通过所述通信单元1210向第一网元发送装置1200的操作系统标识信息。其中，所述操作系统标识信息的描述可以参见如图4所示的相关描述。所述处理单元1220还用于通过所述通信单元1210接收来自第一网元的DNS服务器的地址。这里的DNS服务器是第一网元根据操作系统标识信息确定的。

上述方法中由终端设备执行的各个步骤还可以由用于终端设备的芯片实现，其中通信单元可以为芯片的输入/输出电路或者接口，处理单元可以为逻辑电路，逻辑电路可以根据上述方法方面所描述的步骤对待处理的数据进行处理，获取处理后的数据。待处理的数据可以是输入电路/接口接收的数据。处理后的数据可以是根据待处理的数据得到的数据。输出电路/接口用于输出处理后的数据。

本申请实施例还提供一种服务器选择装置，该装置可以是终端设备也可以是电路。该装置可以用于执行上述方法实施例中由终端设备所执行的动作。

图13示出了一种简化的终端设备的结构示意图。便于理解和图示方便，图13中，终端设备以手机作为例子。如图13所示，终端设备包括处理器、存储器、射频电路、天线以及输入输出装置。处理器主要用于对通信协议以及通信数据进行处理，以及对终端设备进行控制，执行软件程序，处理软件程序的数据等。存储器主要用于存储软件程序和数据。射频电路主要用于基带信号与射频信号的转换以及对射频信号的处理。天线主要用于收发电磁波形式的射频信号。输入输出装置，例如触摸屏、显示屏，键盘等主要用于接收用户输入的数据以及对用户输出数据。需要说明的是，有些种类的终端设备可以不具有输入输出装置。

当需要发送数据时，处理器对待发送的数据进行基带处理后，输出基带信号至射频电路，射频电路将基带信号进行射频处理后将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终端设备时，射频电路通过天线接收到射频信号，将射频信号转换为基带信号，并将基带信号输出至处理器，处理器将基带信号转换为数据并对该数据进行处理。为便于说明，图13中仅示出了一个存储器和处理器。在实际的终端设备产品中，可以存在一个或多个处理器和一个或多个存储器。存储器也可以称为存储介质或者存储设备等。存储器可以是独立于处理器设置，也可以是与处理器集成在一起，本申请实施例对此不做限制。

在本申请实施例中，可以将具有收发功能的天线和射频电路视为终端设备的通信单元，将具有处理功能的处理器视为终端设备的处理单元。如图13所示，终端设备包括通信单元1310和处理单元1320。通信单元也可以称为收发器、收发机、收发装置等。处理单元也可以称为处理器，处理单板，处理模块、处理装置等。可选的，可以将通信单元1310中用于实现接收功能的器件视为接收单元，将通信单元1310中用于实现发送功能的器件视为发送单元，即通信单元1310包括接收单元和发送单元。通信单元有时也可以称为收发机、收发器、或收发电路等。接收单元有时也可以称为接收机、接收器、或接收电路等。发送单元有时也可以称为发射机、发射器或者发射电路等。

应理解，通信单元1310用于执行上述方法实施例中终端设备侧的发送操作和接收操作，处理单元1320用于执行上述方法实施例中终端设备上除了收发操作之外的其他操作。

例如，在一种实现方式中，通信单元1310用于执行图4中的步骤401和步骤402中终端设备侧的接收和/或发送操作，和/或通信单元1310还用于执行本申请实施例中终端设备侧的其他收发步骤。处理单元1320，用于执行本申请实施例中终端设备侧的其他处理步骤。

基于与上述方法的同一技术构思，如图14所示，提供了一种服务器选择装置1400。装置1400能够上述方法中由第一网元执行的各个步骤，为了避免重复，此处不再详述。装置1400包括：通信单元1410、处理单元1420，可选的，还包括存储单元1430；处理单元1420可以分别与存储单元1430和通信单元1410相连，所述存储单元1430也可以与通信单元1410相连。其中，处理单元1420可以与存储单元1430集成。

所述存储单元1430，用于存储计算机程序；

示例的，所述通信单元1410用于接收第一信息。其中，第一信息的描述可以参见如图4所示的方法实施例中的相关描述。所述处理单元1420还用于根据第一信息，确定为终端设备提供DNS查询的第一DNS服务器。所述通信单元1410还用于发送第一DNS服务器的地址。

在一种设计中，所述通信单元1410还用于接收第二信息。其中，第二信息的描述可以参见如图4所示的方法实施例中的相关描述，此处不再赘述。所述处理单元1410具体用于根据第一信息和第二信息确定为终端设备提供DNS查询的第一DNS服务器。

在一种设计中，所述通信单元1410还用于发送第三信息。其中，第三信息的描述可以参见如图4所示的方法实施例中的相关描述，此处不再赘述。

在一种设计中，所述通信单元1410还用于发送第四信息。这里的第四信息可以参见如图4所示的方法实施例中的相关描述，此处不再赘述。

示例性的，所述处理单元1420用于确定至少一个DNS服务器的加密能力信息。其中，至少一个DNS服务器的加密能力信息可以参见如图4所示的方法实施例中的相关描述。所述通信单元1410用于将所述至少一个DNS服务器的加密能力信息发送给终端设备。

上述方法中由第一网元执行的各个步骤还可以由用于第一网元的芯片实现，其中通信单元可以为芯片的输入/输出电路或者接口，处理单元可以为逻辑电路，逻辑电路可以根据上述方法方面所描述的步骤对待处理的数据进行处理，获取处理后的数据。待处理的数据可以是输入电路/接口接收的数据。处理后的数据可以是根据待处理的数据得到的数据。输出电路/接口用于输出处理后的数据。

如图15所示为本申请实施例提供的服务器选择装置1500，用于实现上述方法中终端设备、第一网元的功能。该装置1500可以是终端设备、第一网元，也可以是用于终端设备或者第一网元的芯片，或者是能够和终端设备、第一网元匹配使用的装置。

装置1500包括至少一个处理器1520，用于实现本申请实施例提供的方法中终端设备、第一网元的功能。装置1500还可以包括通信接口1510。在本申请实施例中，通信接口可以是收发器、电路、总线、模块或其它类型的通信接口，用于通过传输介质和其它设备进行通信。例如，通信接口1510用于装置1500中的单元可以和其它设备进行通信。该装置1500是终端设备时，所述处理器1520可以完成如图12所示的处理单元1220的功能，所述通信接口1510可以完成如图12所示的通信单元1210的功能。该装置1500是第一网元时，所述处理器1520可以完成如图14所示的处理单元1420的功能，所述通信接口1510可以完成如图14所示的通信单元1410的功能。

装置1500还可以包括至少一个存储器1530，用于存储程序指令和/或数据。存储器1530和处理器1520耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。处理器1520可能和存储器1530协同操作。处理器1520可能执行存储器1530中存储的程序指令。所述至少一个存储器中的至少一个可以包括于处理器中。

本申请实施例中不限定上述通信接口1510、处理器1520以及存储器1530之间的具体连接介质。本申请实施例在图15中以存储器1530、处理器1520以及通信接口1510之间通过总线1540连接，总线在图15中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图15中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

作为本实施例的另一种形式，提供一种计算机可读存储介质，其上存储有指令，该指令被执行时执行上述方法实施例中终端设备侧或者第一网元侧的方法。

作为本实施例的另一种形式，提供一种包含指令的计算机程序产品，该指令被执行时执行上述方法实施例中终端设备侧或者第一网元侧的方法。

作为本实施例的另一种形式，提供一种通信系统，该系统可以包括至少一个上述终端设备和至少一个上述第一网元。

应理解，本发明实施例中提及的处理器可以是中央处理单元(CentralProcessing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本发明实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)集成在处理器中。

应注意，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims

1.一种服务器选择方法，其特征在于，包括：

终端设备向第一网元发送第一信息；所述第一信息用于指示所述终端设备支持的域名系统DNS加密能力；所述终端设备支持的DNS加密能力为所述终端设备对DNS信息进行加密的能力；

所述终端设备接收所述第一网元发送的DNS服务器的地址；所述DNS服务器为所述第一网元根据所述第一信息所确定。

2.根据权利要求1所述的方法，其特征在于，还包括：

所述终端设备向所述第一网元发送第二信息，所述第二信息指示所述终端设备采用的DNS加密传输的模式；所述DNS加密传输的模式为DNS加密传输开启模式或者DNS加密传输关闭模式。

3.根据权利要求1或2所述的方法，其特征在于，所述DNS加密能力包括支持的DNS加密协议，所述DNS加密协议包括以下至少一种：

传输层安全协议TLS；

超文本传输协议HTTP。

4.根据权利要求1-3任一所述的方法，其特征在于，还包括：

所述终端设备接收所述第一网元发送的第三信息，所述第三信息用于指示所述DNS服务器的DNS加密能力和所述第一信息所指示的终端设备支持的DNS加密能力匹配。

5.根据权利要求1-4任一所述的方法，其特征在于，还包括：

所述终端设备接收所述第一网元发送的第四信息，所述第四信息用于指示所述DNS服务器和所述终端设备支持的DNS加密能力所匹配的DNS加密协议类型；

所述终端设备根据所述DNS服务器支持的DNS加密协议类型向所述DNS服务器发起DNS查询；其中，所述终端设备支持所述DNS服务器支持的DNS加密协议类型。

6.一种服务器选择方法，其特征在于，包括：

第一网元接收第一信息；所述第一信息用于确定终端设备支持的域名系统DNS加密能力；所述终端设备支持的DNS加密能力为所述终端设备对DNS信息进行加密的能力；

所述第一网元根据所述第一信息，确定为所述终端设备提供DNS查询的第一DNS服务器；

所述第一网元发送所述第一DNS服务器的地址。

7.根据权利要求6所述的方法，其特征在于，还包括：

所述第一网元接收第二信息；所述第二信息指示所述终端设备采用的DNS加密传输的模式；所述DNS加密传输的模式为DNS加密传输开启模式或者DNS加密传输关闭模式；

所述第一网元根据所述第一信息，确定为所述终端设备提供DNS查询的第一DNS服务器，包括：

所述第一网元根据所述第一信息和第二信息，确定为所述终端设备提供DNS查询的第一DNS服务器。

8.根据权利要求6或7所述的方法，其特征在于，所述DNS加密能力包括支持的DNS加密协议，所述DNS加密协议包括以下至少一种：

传输层安全TLS协议；

超文本传输HTTP协议。

9.根据权利要求6-8任一所述的方法，其特征在于，还包括：

所述第一网元发送第三信息，所述第三信息用于指示所述DNS服务器的加密能力和所述第一信息所指示的终端设备支持的DNS加密能力匹配。

10.根据权利要求6-9任一所述的方法，其特征在于，还包括：

所述第一网元发送第四信息，所述第四信息用于指示所述DNS服务器和所述终端设备支持的DNS加密能力所匹配的DNS加密协议类型。

11.一种服务器选择方法，其特征在于，包括：

终端设备向第一网元发送所述终端设备的操作系统标识信息；所述操作系统标识信息用于所述终端设备支持的域名系统DNS加密能力的确定；所述终端设备支持的DNS加密能力为所述终端设备对DNS信息进行加密的能力；

所述终端设备接收所述第一网元发送的DNS服务器的地址；所述DNS服务器为所述第一网元根据所述操作系统标识信息所确定。

12.根据权利要求11所述的方法，其特征在于，所述DNS加密能力包括支持的DNS加密协议，所述DNS加密协议包括以下至少一种：

传输层安全TLS协议；

超文本传输协议HTTP协议。

13.一种服务器选择方法，其特征在于，包括：

第一网元接收来自终端设备的所述终端设备的操作系统标识信息；

所述第一网元配置有和所述终端设备的操作系统标识信息对应的域名系统DNS加密能力，所述第一网元根据所述终端设备的操作系统标识信息，确定所述终端设备所支持的DNS加密能力；所述终端设备支持的DNS加密能力为所述终端设备对DNS信息进行加密的能力；

所述第一网元根据所述终端设备所支持的DNS加密能力，确定为所述终端设备提供DNS查询的第一DNS服务器；

所述第一网元发送所述第一DNS服务器的地址。

14.根据权利要求13所述的方法，其特征在于，所述DNS加密能力包括支持的DNS加密协议，所述DNS加密协议包括以下至少一种：

传输层安全TLS协议；

超文本传输协议HTTP协议。

15.一种服务器选择方法，其特征在于，包括：

终端设备从第一网元接收至少一个DNS服务器的加密能力信息；

所述终端设备根据所述至少一个DNS服务器的加密能力信息，从所述至少一个DNS服务器中确定第一DNS服务器，所述第一DNS服务器的加密能力和所述终端设备所支持的加密能力匹配，所述终端设备支持的DNS加密能力为所述终端设备对DNS信息进行加密的能力；

所述终端设备向所述第一DNS服务器发起DNS查询。

16.根据权利要求15所述的方法，其特征在于，所述DNS加密能力包括支持的DNS加密协议，所述DNS加密协议包括以下中的至少一种：

传输层安全TLS协议；

超文本传输协议HTTP协议。

17.一种服务器选择方法，其特征在于，包括：

第一网元确定至少一个DNS服务器的加密能力信息；所述至少一个DNS服务器的加密能力信息包括所述至少一个DNS服务器对DNS信息进行加密的能力；

所述第一网元将所述至少一个DNS服务器的加密能力信息发送给终端设备。

18.根据权利要求17所述的方法，其特征在于，所述加密能力信息还包括所述至少一个DNS服务器支持的DNS加密协议，所述DNS加密协议包括以下至少一种：

传输层安全TLS协议；

超文本传输协议HTTP协议。

19.根据权利要求1-18所述的方法，其特征在于，所述第一网元为会话管理功能网元或者边缘配置服务器或者策略控制功能网元。

20.一种服务器选择装置，其特征在于，包括：处理单元和通信单元

其中，所述处理单元用于通过所述通信单元向第一网元发送第一信息；所述第一信息用于指示所述装置支持的域名系统DNS加密能力；所述装置支持的DNS加密能力为所述终端设备对DNS信息进行加密的能力；

所述处理单元还用于通过所述通信单元接收所述第一网元发送的DNS服务器的地址；所述DNS服务器为所述第一网元根据所述第一信息所确定。

21.根据权利要求20所述的装置，其特征在于，所述处理单元还用于：

通过所述通信单元发送第二信息，所述第二信息指示所述装置采用的DNS加密传输的模式；所述DNS加密传输的模式为DNS加密传输开启模式或者DNS加密传输关闭模式。

22.根据权利要求20或21所述的装置，其特征在于，所述DNS加密能力包括支持的DNS加密协议，所述DNS加密协议包括以下中的至少一种：

传输层安全TLS协议；

超文本传输协议HTTP协议。

23.根据权利要求20-22任一所述的装置，其特征在于，所述处理单元还用于：

通过所述通信单元接收所述第一网元发送的第三信息，所述第三信息用于指示所述DNS服务器的DNS加密能力和所述第一信息所指示的终端设备支持的DNS加密能力匹配。

24.根据权利要求20-23任一所述的装置，其特征在于，所述处理单元还用于：

通过所述通信单元接收所述第一网元发送的第四信息，所述第四信息用于指示所述DNS服务器和所述装置支持的域名系统DNS加密能力所匹配的DNS加密协议类型；

所述处理单元还用于：根据所述DNS服务器支持的DNS加密协议类型向所述DNS服务器发起DNS查询；其中，所述装置支持所述DNS服务器支持的DNS加密协议类型。

25.一种服务器选择装置，其特征在于，包括：处理单元和通信单元

其中，所述通信单元用于接收第一信息；所述第一信息用于确定终端设备支持的域名系统DNS加密能力；所述终端设备支持的DNS加密能力为所述终端设备对DNS信息进行加密的能力；

所述处理单元用于根据所述第一信息，确定为所述终端设备提供DNS查询的第一DNS服务器；

所述通信单元还用于发送所述第一DNS服务器的地址。

26.根据权利要求25所述的装置，其特征在于，所述通信单元还用于：

接收第二信息；所述第二信息指示所述终端设备采用的DNS加密传输的模式；所述DNS加密传输的模式为DNS加密传输开启模式或者DNS加密传输关闭模式；

所述处理单元在根据所述第一信息，确定为所述终端设备提供DNS查询的第一DNS服务器时，具体用于：

根据所述第一信息和第二信息，确定为所述终端设备提供DNS查询的第一DNS服务器。

27.根据权利要求25或26所述的装置，其特征在于，所述DNS加密能力包括支持的DNS加密协议，所述DNS加密协议包括以下至少一种：

传输层安全TLS协议；

超文本传输HTTP协议。

28.根据权利要求25-27任一所述的装置，其特征在于，所述通信单元还用于：

发送第三信息，所述第三信息用于指示所述DNS服务器的DNS加密能力和所述第一信息所指示的终端设备支持的DNS加密能力匹配。

29.根据权利要求25-28任一所述的装置，其特征在于，所述通信单元还用于：

发送第四信息，所述第四信息用于指示所述DNS服务器和所述终端设备支持的域名系统DNS加密能力所匹配的DNS加密协议类型。

30.一种服务器选择装置，其特征在于，包括：处理单元和通信单元

所述处理单元用于通过所述通信单元向第一网元发送所述装置的操作系统标识信息；所述操作系统标识信息用于所述装置支持的域名系统DNS加密能力的确定；所述装置支持的DNS加密能力为所述装置对DNS信息进行加密的能力；

所述处理单元还用于通过所述通信单元接收所述第一网元发送的DNS服务器的地址；所述DNS服务器为所述第一网元根据所述操作系统标识信息所确定。

31.根据权利要求30所述的装置，其特征在于，所述DNS加密能力包括支持的DNS加密协议，所述DNS加密协议包括以下至少一种：

传输层安全TLS协议；

超文本传输协议HTTP协议。

32.一种服务器选择装置，其特征在于，包括：处理单元和通信单元

所述通信单元用于接收来自终端设备的所述终端设备的操作系统标识信息；

所述处理单元配置有和所述终端设备的操作系统标识信息对应的DNS加密能力，所述处理单元用于根据所述终端设备的操作系统标识信息，确定所述终端设备所支持的DNS加密能力；所述终端设备支持的DNS加密能力为所述终端设备对DNS信息进行加密的能力；

所述处理单元还用于根据所述终端设备所支持的DNS加密能力，确定为所述终端设备提供DNS查询的第一DNS服务器；

所述通信单元还用于发送所述第一DNS服务器的地址。

33.根据权利要求32所述的装置，其特征在于，所述DNS加密能力包括支持的DNS加密协议，所述DNS加密协议包括以下至少一种：

传输层安全TLS协议；

超文本传输协议HTTP协议。

34.一种服务器选择装置，其特征在于，包括：处理单元和通信单元

所述通信单元用于从第一网元接收至少一个DNS服务器的加密能力信息；

所述处理单元用于根据所述至少一个DNS服务器的加密能力信息，从所述至少一个DNS服务器中确定第一DNS服务器，所述第一DNS服务器的加密能力和所述装置所支持的加密能力匹配，所述装置支持的DNS加密能力为所述装置对DNS信息进行加密的能力；

所述处理单元还用于向所述第一DNS服务器发起DNS查询。

35.根据权利要求34所述的装置，其特征在于，所述DNS加密能力包括支持的DNS加密协议，所述DNS加密协议包括以下中的至少一种：

传输层安全TLS协议；

超文本传输协议HTTP协议。

36.一种服务器选择装置，其特征在于，包括：处理单元和通信单元

所述处理单元用于确定至少一个DNS服务器的加密能力信息；所述至少一个DNS服务器的加密能力信息包括所述至少一个DNS服务器对DNS信息进行加密的能力；

所述通信单元用于将所述至少一个DNS服务器的加密能力信息发送给终端设备。

37.根据权利要求36所述的装置，其特征在于，所述加密能力信息还包括所述至少一个DNS服务器支持的DNS加密协议，所述DNS加密协议包括以下至少一种：

传输层安全TLS协议；

超文本传输协议HTTP协议。

38.根据权利要求20-37任一所述的装置，其特征在于，所述第一网元为会话管理功能网元或者边缘配置服务器或者策略控制功能网元。

39.一种服务器选择装置，其特征在于，包括：处理器和存储器，

所述存储器，用于存储计算机程序或指令；

所述处理器，用于执行存储器中的计算机程序或指令，使得权利要求1-5中任一项所述的方法被执行或者使得权利要求6-10任一项所述的方法或者使得权利要求11-12任一项所述的方法被执行或者使得权利要求13-14任一项所述的方法被执行或者使得权利要求15-16任一项所述的方法被执行或者使得权利要求17-19任一项所述的方法被执行。

40.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令在被计算机调用时，使所述计算机执行如权利要求1-5任一项所述的方法或者执行如权利要求6-10任一项所述的方法或者执行如权利要求11-12任一项所述的方法或者执行如权利要求13-14任一项所述的方法或者执行如权利要求15-16任一项所述的方法或者执行如权利要求17-19任一项所述的方法。