CN115604221A - 信息处理方法、中间解析器、网络设备及存储介质 - Google Patents
信息处理方法、中间解析器、网络设备及存储介质 Download PDFInfo
- Publication number
- CN115604221A CN115604221A CN202110712488.0A CN202110712488A CN115604221A CN 115604221 A CN115604221 A CN 115604221A CN 202110712488 A CN202110712488 A CN 202110712488A CN 115604221 A CN115604221 A CN 115604221A
- Authority
- CN
- China
- Prior art keywords
- information
- ciphertext
- domain name
- name system
- sensitive
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 50
- 238000003672 processing method Methods 0.000 title claims abstract description 30
- 238000000034 method Methods 0.000 claims description 116
- 238000012545 processing Methods 0.000 claims description 52
- 230000008569 process Effects 0.000 claims description 19
- 230000015654 memory Effects 0.000 claims description 16
- 238000013507 mapping Methods 0.000 claims description 11
- 239000003999 initiator Substances 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 5
- 238000012423 maintenance Methods 0.000 abstract description 12
- 238000006243 chemical reaction Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 239000003550 marker Substances 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000005242 forging Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4552—Lookup mechanisms between a plurality of directories; Synchronisation of directories, e.g. metadirectories
Abstract
本发明公开了信息处理方法、中间解析器、网络设备及存储介质。其中,信息处理方法包括:接收第一域名系统请求信息;根据第一域名系统请求信息得到第二域名系统请求信息,其中,第二域名系统请求信息包括密文敏感信息和第一密文标记信息,第一密文标记信息用于指示密文敏感信息为密文信息;将第二域名系统请求信息发送给权威域名系统服务器,使得权威域名系统服务器根据密文敏感信息和第一密文标记信息进行信息处理。本发明实施例通过在第二域名系统请求信息中携带密文敏感信息和第一密文标记信息,无需对整个第一域名系统请求信息进行加密,因此能够在避免敏感信息暴露在安全风险之下的情况下,降低网络资源的开销,从而降低设备的维护成本。
Description
技术领域
本发明涉及信息处理技术领域,尤其是一种信息处理方法、中间解析器、网络设备及存储介质。
背景技术
域名系统(Domain Name System,DNS)是在互联网上应用极其广泛的一套域名和地址映射的解析系统。用户通过对域名服务器进行域名查询能够获得目标服务器的真实网际互连协议(Internet Protocol,IP)地址,从而能够帮助用户建立和目标服务器的链接。
在相关技术中,当用户设备发起获取域名字段的IP地址的DNS请求信息时,会先将该DNS请求信息发送给中间解析器。为了提供更加精确的归属地判断,中间解析器可以在DNS请求信息中,将能够标识用户设备或者近端服务节点的位置或身份等敏感信息作为附加信息,但是,这会使得在网络中传输的DNS请求信息把这些敏感信息暴露在安全风险之下。现有的DNS安全保护为了应对该安全风险,需要对整个DNS请求信息中的每一个字段都进行加密处理,其目的是防止中间攻击者的伪造反馈消息,保持数据的完整性,但这对于敏感数据泄露则没有很好的保护作用。并且,现有的安全技术要求所有设备均具有支持对DNS请求信息的加密处理和解密处理的信任机制,从而导致了网络资源开销的增加,提高了设备的维护成本。
发明内容
以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。
本发明实施例提供了一种信息处理方法、中间解析器、网络设备及存储介质,能够在避免敏感信息暴露在安全风险之下的情况下,降低网络资源的开销,从而降低设备的维护成本。
第一方面,本发明实施例提供了一种信息处理方法,应用于中间解析器,所述方法包括:
接收第一域名系统请求信息;
根据所述第一域名系统请求信息得到第二域名系统请求信息,其中,所述第二域名系统请求信息包括密文敏感信息和第一密文标记信息,所述第一密文标记信息用于指示所述密文敏感信息为密文信息;
将所述第二域名系统请求信息发送给权威域名系统服务器,使得所述权威域名系统服务器根据所述密文敏感信息和所述第一密文标记信息进行信息处理。
第二方面,本发明实施例还提供了一种中间解析器,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如上所述的信息处理方法。
第三方面,本发明实施例还提供了一种网络设备,包括有如上所述的中间解析器。
第四方面,本发明实施例还提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行如上所述的信息处理方法。
本发明实施例包括:接收第一域名系统请求信息;根据所述第一域名系统请求信息得到第二域名系统请求信息,其中,所述第二域名系统请求信息包括密文敏感信息和第一密文标记信息,所述第一密文标记信息用于指示所述密文敏感信息为密文信息;将所述第二域名系统请求信息发送给权威域名系统服务器,使得所述权威域名系统服务器根据所述密文敏感信息和所述第一密文标记信息进行信息处理。
本发明实施例包括:接收第一域名系统请求信息;根据第一域名系统请求信息得到第二域名系统请求信息,其中,第二域名系统请求信息包括密文敏感信息和第一密文标记信息,第一密文标记信息用于指示密文敏感信息为密文信息;将第二域名系统请求信息发送给权威域名系统服务器,使得权威域名系统服务器根据密文敏感信息和第一密文标记信息进行信息处理。根据本发明实施例的方案,通过将第一域名系统请求信息转换成包括有密文敏感信息和第一密文标记信息的第二域名系统请求信息,无需对整个第一域名系统请求信息进行加密处理,因此能够在避免敏感信息暴露在安全风险之下的情况下,降低网络资源的开销,从而降低设备的维护成本。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1是本发明一个实施例提供的用于执行信息处理方法的系统架构的示意图;
图2是本发明一个实施例提供的信息处理方法的流程图;
图3是本发明一个实施例提供的一种消息体子结构的示意图;
图4是本发明一个实施例提供的另一种消息体子结构的示意图;
图5是图4中的RDATA元素的消息体子结构经过扩展后的示意图;
图6是图2中步骤S120的具体方法的流程图;
图7是图6中步骤S124的具体方法的流程图;
图8是图6中步骤S124的另一具体方法的流程图;
图9是图5中步骤S1244的具体方法的流程图;
图10是图6中步骤S122的具体方法的流程图;
图11是图10中步骤S1222的具体方法的流程图;
图12是图2中步骤S120的另一具体方法的流程图;
图13是图12中步骤S128的具体方法的流程图;
图14是图12中步骤S128的另一具体方法的流程图;
图15是图14中步骤S1284的具体方法的流程图;
图16是图12中步骤S126的具体方法的流程图;
图17是图16中步骤S1262的具体方法的流程图;
图18是本发明另一个实施例提供的信息处理方法的流程图;
图19是图18中步骤S150的具体方法的流程图;
图20是图18中步骤S150的另一具体方法的流程图;
图21是图18中步骤S150的另一具体方法的流程图;
图22是本发明一个具体示例提供的信息处理方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
需要说明的是,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本发明提供了一种信息处理方法、中间解析器、网络设备及存储介质,当接收到第一域名系统请求信息,将第一域名系统请求信息转换成包括有密文敏感信息和第一密文标记信息的第二域名系统请求信息,接着将第二域名系统请求信息发送给权威域名系统服务器,使得权威域名系统服务器根据密文敏感信息和第一密文标记信息进行信息处理,即是说,本发明实施例的方案通过将包括有密文敏感信息和第一密文标记信息的第二域名系统请求信息进行传输,无需对整个第一域名系统请求信息进行加密处理,从而能够在避免敏感信息暴露在安全风险之下的情况下,降低网络资源的开销,从而降低设备的维护成本;另外,由于第一密文标记信息用于指示密文敏感信息为密文信息,因此权威域名系统服务器可以根据第一密文标记信息对密文敏感信息进行适当的解密处理,从而可以提高权威域名系统服务器对第二域名系统请求信息的处理准确性。
下面结合附图,对本发明实施例作进一步阐述。
如图1所示,图1是本发明一个实施例提供的用于执行信息处理方法的系统架构的示意图。在图1的示例中,该系统架构包括客户端设备110、中间解析器120和权威域名系统服务器130。其中,中间解析器120分别与客户端设备110和权威域名系统服务器130通信连接。
中间解析器120能够接收由客户端设备110发送的第一域名系统请求信息,并且,在第一域名系统请求信息携带有敏感信息的情况下,中间解析器120能够对第一域名系统请求信息中的敏感信息进行加密,得到携带有密文敏感信息的第二域名系统请求信息;在第一域名系统请求信息不携带敏感信息的情况下,中间解析器120能够获取与客户端设备110对应的敏感信息,并对该敏感信息进行加密,接着结合第一域名系统请求信息生成携带有密文敏感信息的第二域名系统请求信息。此外,第二域名系统请求信息还携带有用于指示密文敏感信息为密文信息的第一密文标记信息。另外,中间解析器120还能够将第二域名系统请求信息发送至权威域名系统服务器130,使得权威域名系统服务器130能够根据密文敏感信息和第一密文标记信息进行相关的信息处理。此外,中间解析器120还能够从权威域名系统服务器130获取包括有反馈类型信息和第二密文标记信息的反馈信息,中间解析器120能够根据反馈类型信息和第二密文标记信息将反馈信息转发至客户端设备110,或者重新构建新的域名系统请求信息并发送给权威域名系统服务器130,使得权威域名系统服务器130对新的域名系统请求信息重新进行处理。
本发明实施例描述的系统架构以及应用场景是为了更加清楚的说明本发明实施例的技术方案,并不构成对于本发明实施例提供的技术方案的限定,本领域技术人员可知,随着系统架构的演变和新应用场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。
本领域技术人员可以理解的是,图1中示出的系统架构并不构成对本发明实施例的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
基于上述系统架构,下面提出本发明的数据处理方法的各个实施例。
如图2所示,图2是本发明一个实施例提供的信息处理方法的流程图,该信息处理方法,可以应用于中间解析器,例如图1所示系统架构中的中间解析器120。该信息处理方法可以包括但不限于有步骤S110、步骤S120和步骤S130。
步骤S110:接收第一域名系统请求信息。
本步骤中,第一域名系统请求信息用于请求域名与网际协议互联地址间的映射关系。第一域名系统请求信息的发起方包括但不限于需要获取域名与网际协议互联地址间映射关系的客户端设备,第一域名系统请求信息的接收方包括但不限于互联网服务提供商设备和中间解析器。
在一实施例中,第一域名系统请求信息可以携带对应于第一域名系统请求信息的发送方的敏感信息,该敏感信息可以用于表征该发送方对应的网际协议互联地址或该发送方设备对应的硬件标识码。
具体地,在一实施例中,第一域名系统请求信息可以包括扩展域名系统客户端子网选项(EDNS Client Subnet,ECS)信息,该扩展域名系统客户端子网选项信息携带有敏感信息。在一实施例中,第一域名系统请求信息基于域名系统的扩展名机制(ExtensionMechanisms for DNS,EDNS)协议,如IETF RFC 6891协议,以及部分扩展域名系统客户端子网协议,如IETF RFC 7871协议所定义的消息体结构生成。
具体地,在一实施例中,采用一种传递包大小的域名系统的扩展名机制协议所定义的数据结构生成第一域名系统请求信息。
在一实施例中,第一域名系统请求信息以用户数据报协议(User DatagramProtocol,UDP)封装后发送。
步骤S120:根据第一域名系统请求信息得到第二域名系统请求信息。其中,第二域名系统请求信息包括密文敏感信息和第一密文标记信息,第一密文标记信息用于指示密文敏感信息为密文信息。
本步骤中,由于在步骤S110中接收到了第一域名系统请求信息,因此可以对该第一域名系统请求信息进行第一信息处理,得到包括由敏感信息经过加密后生成的密文敏感信息的第二域名系统请求信息,以便于后续步骤可以将该包括有密文敏感信息的第二域名系统请求信息信息发送给权威域名系统服务器。
需要说明的是,第一域名系统请求信息可以携带有敏感信息,也可以不携带敏感信息,本发明实施例对此不做具体限定。
需要说明的是,对第一域名系统请求信息进行第一信息处理得到第二域名系统请求信息,可以有不同的实施方式,本实施例对此并不作具体限定。例如,在第一域名系统请求信息携带有敏感信息的情况下,可以先将第一域名系统请求信息按照其各个组成部分拆分成各个数据部分,然后在这些数据部分中识别出敏感信息,再对识别出的敏感信息进行加密处理得到密文敏感信息,接着将密文敏感信息和第一域名系统请求信息中的其他数据合并形成第二域名系统请求信息;又如,可以先在第一域名系统请求信息中识别出敏感信息,然后对识别出的敏感信息进行加密处理得到密文敏感信息,接着将第一域名系统请求信息中的敏感信息更新为密文敏感信息得到第二域名系统请求信息。其中,在第一域名系统请求信息的各个数据部分中识别出敏感信息,或者直接在第一域名系统请求信息中识别出敏感信息,可以基于预先定义的识别规则进行识别,也可以基于智能分析过程进行识别,本实施例对此并不作具体限定。例如,当基于预先定义的识别规则进行识别时,该预先定义的识别规则定义了哪些表的哪些字段属于敏感信息;当基于智能分析过程进行识别时,可以根据数据的具体内容自动判断是否属于敏感信息。再如,在第一域名系统请求信息不携带敏感信息的情况下,可以由第一域名系统请求信息的接收方,如中间解析器,生成对应于该接收方的敏感信息,然后对该敏感信息进行加密处理得到密文敏感信息,接着将密文敏感信息和第一域名系统请求信息中的其他数据合并形成第二域名系统请求信息,或者将第一域名系统请求信息中的敏感信息更新为密文敏感信息得到第二域名系统请求信息。
在一实施例中,第一域名系统请求信息是基于RFC6891协议中定义的基于域名系统的扩展名机制信息,第二域名系统请求信息对于RFC6891协议定义的消息体结构中的TTL元素和RDATA元素进行了扩展。
具体地,如图3所示,图3是本发明一个实施例提供的一种消息体子结构的示意图。参照图3,本发明实施例对RFC6891协议定义的消息体结构中的TTL元素进行了扩展,TTL元素的消息体子结构中包括有OPTION-CODE字段、OPTION-LENGTH字段和EXTENDED-RCODE字段,其中,EXTENDED-RCODE字段用于表示域名系统请求信息经过了扩展,采用了扩展返回消息类型,此字段和域名系统请求信息中头部字段中的RCODE字段合并可以表示除普通域名系统请求返回消息之外更多的类型。例如,EXTENDED-RCODE字段和RCODE字段合并后为0x1则表示本域名系统请求信息采用了本发明实施例中的扩展返回消息类型。此外,当EXTENDED-RCODE字段为0则表示不使用扩展返回消息类型。因此,本发明实施例中的EXTENDED-RCODE字段需要在域名系统请求消息生成时赋值为非0值。
需要说明的是,本发明实施例仅对TTL元素的消息体子结构的EXTENDED-RCODE字段进行了扩展,并未改变由RFC6891协议定义的消息体结构,从而保证了兼容性。
如图4所示,图4是本发明一个实施例提供的另一种消息体子结构的示意图,参照图4,本发明实施例对RFC6891协议定义的消息体结构中的RDATA元素的消息体子结构包括有OPTION-DATA字段,该字段可以容纳多个附加信息,本发明实施例对于OPTION-DATA字段进行了扩展。
具体地,参照图5,图5是图4中的RDATA元素的消息体子结构经过扩展后的示意图,在图5的示例中,OPTION-DATA字段经过扩展后包括FAMILY字段、ENCRYPTION TYPE字段、ENCRYPTION FLAG字段和SIGNATURE字段。本发明实施例将该种消息体子结构的类型定义为伪地址(Pseudo Address,PADR)类型,上述FAMILY字段、ENCRYPTION TYPE字段、ENCRYPTIONFLAG字段和SIGNATURE字段的集合定义为PADR字段。
RDATA元素的消息体子结构中的OPTION-CODE字段在本发明实施例中用于表示域名系统请求信息是否携带有加密后的密文敏感信息,也即表示域名系统请求信息是否携带有用户端设备的网际协议地址或中间解析器的网际协议地址经过加密后得到的伪地址。
OPTION-LENGTH字段用于表示整个OPTION-DATA字段的长度。
FMAILY字段用于表示域名系统请求信息中携带的密文敏感信息的类型。例如,当密文敏感信息是经过加密后的网际协议版本4(Internet Protocol version 4,IPv4)地址,则FMAILY字段赋值为1,当密文敏感信息是经过加密后的网际协议版本6(InternetProtocol version 6,IPv6)地址,则FMAILY字段赋值为2。
ECRYPTION TYPE字段用于表示对敏感信息进行加密所使用的加密算法类型。例如,当敏感信息未经加密,则ECRYPTION TYPE字段赋值为0,当采用MD5信息摘要算法对敏感信息进行加密,则ECRYPTION TYPE字段赋值为1,当使用使用安全散列算法1(Secure HashAlgorithm 1,SHA-1)则ECRYPTION TYPE字段赋值为2。
ECRYPTION FLAG字段是代表加密敏感信息是否通过验证。例如中间解析器能够通过权威域名系统服务器向中间解析器发送的反馈细信息中的ECRYPTION FLAG字段是否发生变化来判断权威域名系统服务器是否成功对密文敏感信息进行了解密。
SIGNATURE字段用于存储对需要保护的信息进行加密后生成的字符串,例如SIGNATURE字段可以存储密文敏感信息,或者可以用于存储加密敏感信息所使用的密钥。
此外,RDATA元素的消息体结构中还可以包括扩展域名系统客户端子网选项信息,该扩展域名系统客户端子网选项信息同样可以用于存储密文敏感信息。
需要说明的是,扩展域名系统客户端子网选项信息紧随在域名系统请求信息中的上一个消息体的结尾之后或者之前,伪地址字段的位置可以不固定。
具体地,在域名系统请求信息同时设置有伪地址字段和扩展域名系统客户端子网选项信息时,伪地址字段和扩展域名系统客户端子网选项信息相邻设置。
在一实施例中,当密文敏感信息存储于域名系统请求信息的SIGNATURE字段中,则可以不设置扩展域名系统客户端子网选项信息,或者将扩展域名系统客户端子网选项信息赋值为0。
步骤S130:将第二域名系统请求信息发送给权威域名系统服务器,使得权威域名系统服务器根据密文敏感信息和第一密文标记信息进行信息处理。
本步骤中,由于在步骤S120中得到了包括密文敏感信息和第一密文标记信息的第二域名系统请求信息,因此可以将该第二域名系统请求信息发送给权威域名系统服务器,使得权威域名系统服务器可以根据密文敏感信息和第一密文标记信息进行数据处理。由于本发明实施例并未对整个第一域名系统请求信息进行加密处理,而是能够将敏感信息单独加密得到携带有密文敏感信息的第二域名系统请求信息以实现对敏感信息的保护,从而能够在避免敏感信息暴露在安全风险之下的情况下,降低网络资源的开销,从而降低设备的维护成本;另外,由于第一密文标记信息用于指示密文敏感信息为密文信息,因此权威域名系统服务器可以根据第一密文标记信息对密文敏感信息进行适当的解密处理,从而可以提高权威域名系统服务器对第二域名系统请求信息的处理准确性。
需要说明的是,权威域名系统服务器在根据密文敏感信息和第一密文标记信息进行信息处理后,会向中间解析器发送反馈结果,中间解析器能够根据该反馈结果判断权威域名系统服务器是否反馈了正确的域名与网际协议互联地址间的映射关系。
在一实施例中,第一域名系统请求信息包括第一扩展域名系统附加选项信息,其中,第一扩展域名系统附加选项信息包括源端敏感信息。第一扩展域名系统附加选项信息是根据扩展域名系统客户端子网协议生成的,源端敏感信息包括但不限于客户端设备的网际互连协议地址。
在一实施例中,第一密文标记信息存储于第二域名系统请求信息的OPTION-CODE字段,OPTION-CODE字段在本发明实施例中用于表示域名系统请求信息是否携带有加密后的密文敏感信息,也即表示域名系统请求信息是否携带有用户端设备的网际协议地址或中间解析器的网际协议地址经过加密后得到的伪地址。
如图6所示,图6是图2中步骤S120的具体方法的流程图,图6对步骤S120进行进一步的说明,该步骤S120可以包括但不限于步骤S121、步骤S122、步骤S123、步骤S124和步骤S125。
步骤S121:获取第一扩展域名系统附加选项信息中的源端敏感信息。
本步骤中,源端敏感信息由客户端设备生成后添加至第一域名系统请求信息中,具体地,第一域名系统请求信息包括第一扩展域名系统附加选项信息,源端敏感信息由客户端设备生成后添加至第一扩展域名系统附加选项信息中。源端敏感信息用于表征客户端设备的网际互联协议地址。
需要说明的是,第一扩展域名系统附加选项信息可以由客户端设备生成,也可以由中间解析器生成。
需要说明的是,源端敏感信息并非仅仅限定于仅由客户端设备生成,例如,连接到用户端设备一侧的第一中间解析器用于实现第一域名系统请求信息的数据穿透,第一中间解析器获取到第一域名系统请求信息后会校验第一域名系统请求信息是否携带有源端敏感信息,在第一域名系统请求信息未携带源端敏感信息的情况下,第一中间解析器会根据第一域名系统请求信息获取本地敏感信息,并向第二中间解析器发送携带有该本地敏感信息的第一域名系统请求信息,该本地敏感信息即用于替代由客户端设备生成的源端敏感信息,第二中间解析器在接收到该第一域名系统请求信息后,对第一域名系统请求信息中的本地敏感信息进行加密处理得到密文敏感信息。
在一实施例中,源端敏感信息可以存储在第一扩展域名系统附加选项信息中的ADDRESS字段中。
在一实施例中,源端敏感信息也可以存储在第一域名系统请求信息的SIGNATURE字段中。
步骤S122:对源端敏感信息进行加密处理得到密文敏感信息。
需要说明的是,对源端敏感信息进行加密处理而采用到的加密算法,可以是对称加密算法、高级加密标准或者其他加密算法,可以根据实际的应用情况而进行适当的选择,本实施例对此并不作具体限定。其中,对称加密算法是指加密和解密使用相同密钥的加密算法,收发双方在进行安全通信之前,需要商定一个公共密钥。高级加密标准又称Rijndael加密法,是一种区块加密标准,能够支持更大范围的区块和密钥长度。
需要说明的是,对敏感数据进行加密处理而采用到的加密算法或加密策略等信息,可以包含在中间解析器中,也可以是中间解析器从其他地方获取得到,例如从权威域名系统服务器中获取得到或者从第一域名系统请求信息中获取得到,本实施例对此并不作具体限定。
在一实施例中,加密后的密文敏感信息存储于第二域名系统请求信息PADR字段的SIGNATURE字段中。
在一实施例中,第二域名系统请求信息包括扩展域名系统客户端子网选项信息,加密后的密文敏感信息存储于该扩展域名系统客户端子网选项信息中。
在一实施例中,第二域名系统请求信息包括ECRYPTION TYPE字段,ECRYPTIONTYPE字段用于表示对敏感信息进行加密所使用的加密算法类型。例如,当敏感信息未经加密,则ECRYPTION TYPE字段赋值为0,当采用MD5信息摘要算法对敏感信息进行加密,则ECRYPTION TYPE字段赋值为1,当使用使用安全散列算法1(Secure Hash Algorithm 1,SHA-1)则ECRYPTION TYPE字段赋值为2。
步骤S123:构建第一附加选项信息,其中,第一附加选项信息包括第一密文标记信息。
本步骤中,第一附加选项信息包括第一密文标记信息,第一密文标记信息用于指示密文敏感信息为密文信息,权威域名系统服务器在接收到第二域名系统请求信息后首先检测该第二域名系统请求信息是否携带有第一密文标记信息,在权威域名系统服务器检测到第一密文标记信息的情况下,权威域名系统服务器对密文敏感信息进行解密。
在一实施例中,第一附加选项信息存储于第二域名系统请求信息的RDATA元素的消息体子结构中。
在一实施例中,密文标记信息存储于第二域名系统请求信息OPTION-CODE字段中。
步骤S124:根据密文敏感信息和第一附加选项信息得到第二域名系统请求信息。
本步骤中,将密文敏感信息和第一域名系统请求信息中的第一附加选项信息合并形成第二域名系统请求信息,由于本发明实施例并未对整个第一域名系统请求信息进行加密处理,而是能够将敏感信息单独加密得到携带有密文敏感信息的第二域名系统请求信息以实现对敏感信息的保护,从而能够在避免敏感信息暴露在安全风险之下的情况下,降低网络资源的开销,从而降低设备的维护成本;另外,由于第一密文标记信息用于指示密文敏感信息为密文信息,因此权威域名系统服务器可以根据第一密文标记信息对密文敏感信息进行适当的解密处理,从而可以提高权威域名系统服务器对第二域名系统请求信息的处理准确性。
需要说明的是,本发明实施例中的密文敏感信息与第一附加选项信息不限于是并列关系,例如,密文敏感信息和第一附加选项信息可以存储于第二域名系统请求信息中的两个不同的字段中,再如,密文敏感信息可以包含于第一附加选项信息中,使得密文敏感信息和第一附加选项信息可以存储于第二域名系统请求信息中的同一个字段中。
在一实施例中,第一附加选项信息包括第一加密签名字段。
如图7所示,图7是图6中步骤S124的具体方法的流程图,图7对步骤S124进行进一步的说明,该步骤S124可以包括但不限于有步骤S1241和步骤S1242。
步骤S1241:将密文敏感信息填充进第一加密签名字段。
本步骤中,密文敏感信息被填充进第一加密签名字段,第一加密签名字段被包含在第一附加选项信息中,第一附加选项信息可以是根据扩展域名系统客户端子网选项协议生成的,也可以是根据扩展域名系统客户端子网协议生成的。权威域名系统服务器在获取到第二域名系统请求信息后对其进行解析以获得第一附加选项信息,并通过检测第一附加选项信息中的第一加密签名字段获取密文敏感信息。
在一实施例中,密文敏感信息被填充进第二域名系统请求信息的SIGNATURE字段中。
步骤S1242:根据包括第一密文标记信息和密文敏感信息的第一附加选项信息,得到第二域名系统请求信息。
本步骤中,权威域名系统服务器在获取到第二域名系统请求信息后对其进行解析以获得第一附加选项信息,并通过检测第一附加选项信息中的第一加密签名字段获取密文敏感信息。在一实施例中,第一密文标记信息也可以通过第一附加选项信息得到。
如图8所示,图8是图6中步骤S124的另一具体方法的流程图,图8对步骤S124进行进一步的说明,该步骤S124还可以包括但不限于有步骤S1243和步骤S1244。
步骤S1243:将第一扩展域名系统附加选项信息中的源端敏感信息更新为密文敏感信息。
本步骤中,将第一扩展域名系统附加选项信息中的源端敏感信息更新为密文敏感信息,因此第二域名系统请求信息相比第一域名系统请求信息仅对于源端敏感信息进行了加密,且源端敏感信息进行加密后生成的密文敏感信息仍包含于第一扩展域名系统附加选项信息中,因此第二域名系统请求信息并未整体进行加密,相比第一域名系统请求信息,第二域名系统请求信息于第一域名系统请求信息仍具有相同的数据结构,因此,本发明实施例的方案通过将包括有密文敏感信息和第一密文标记信息的第二域名系统请求信息进行传输,无需对整个第一域名系统请求信息进行加密处理,从而能够在避免敏感信息暴露在安全风险之下的情况下,降低网络资源的开销,从而降低设备的维护成本;另外,由于第一密文标记信息用于指示密文敏感信息为密文信息,因此权威域名系统服务器可以根据第一密文标记信息对密文敏感信息进行适当的解密处理,从而可以提高权威域名系统服务器对第二域名系统请求信息的处理准确性。
在一实施例中,源端敏感信息存储在第一域名系统请求信息的SIGNATURE字段中,通过对源端敏感信息进行加密得到密文敏感信息,并将密文敏感信息填充进第一域名系统请求信息的SIGNATURE字段中以得到第二域名系统请求信息。
步骤S1244:根据更新后的第一扩展域名系统附加选项信息和第一附加选项信息得到第二域名系统请求信息。
本步骤中,中间解析器根据更新后的第一扩展域名系统附加选项信息和第一附加选项信息得到第二域名系统请求信息,由于源端敏感信息经加密后的密文敏感信息仍包含在第一扩展域名系统附加选项信息中,因此,本发明实施例无需对整个第一域名系统请求信息进行加密处理,从而能够在避免敏感信息暴露在安全风险之下的情况下,降低网络资源的开销,从而降低设备的维护成本;另外,由于第一密文标记信息用于指示密文敏感信息为密文信息,因此权威域名系统服务器可以根据第一密文标记信息对密文敏感信息进行适当的解密处理,从而可以提高权威域名系统服务器对第二域名系统请求信息的处理准确性。
在一实施例中,第一扩展域名系统附加选项信息中存储有加密敏感信息所使用的密钥,第一附加选项信息包括存储有密文敏感信息的SIGNATURE字段,因此根据更新后的第一扩展域名系统附加选项信息和第一附加选项信息得到第二域名系统请求信息,其仅仅对敏感信息进行了加密,并未对整个域名系统请求信息进行加密。
如图9所示,图9是图5中步骤S1244的具体方法的流程图,图9对步骤S1244进行进一步的说明,该步骤S1244可以包括但不限于有步骤S12441和步骤S12442。
步骤S12441:在第一加密签名字段中填充密钥信息或者第一签名信息,其中,密钥信息用于解密密文敏感信息,第一签名信息用于验证加密后的源端敏感信息的完整性。
本步骤中,密钥信息可以是加密敏感信息所使用的公钥,权威域名系统服务器能够根据该密钥信息对密文敏感信息进行解密,此外,密钥信息还可以反应加密敏感信息时所使用的加密算法。第一签名信息可以用于对加密后的源端敏感信息进行校验,以保证加密后的源端敏感信息的完整性。
在一实施例中,第二域名系统请求信息的SIGNATURE字段也可以用于存储加密敏感信息所使用的公钥。
步骤S12442:根据更新后的第一扩展域名系统附加选项信息,以及包括密钥信息或者第一签名信息的第一附加选项信息,得到第二域名系统请求信息。
本步骤中,第二域名系统请求信息相比第一域名系统请求信息更新了第一扩展域名系统附加选项信息以及包括有密钥信息或者第一签名信息的第一附加选项信息,因此,本发明实施例无需对整个第一域名系统请求信息进行加密处理,从而能够在避免敏感信息暴露在安全风险之下的情况下,降低网络资源的开销,从而降低设备的维护成本;另外,由于第一密文标记信息用于指示密文敏感信息为密文信息,因此权威域名系统服务器可以根据第一密文标记信息对密文敏感信息进行适当的解密处理,从而可以提高权威域名系统服务器对第二域名系统请求信息的处理准确性。
在一实施例中,第一扩展域名系统附加选项信息中可以存储有密文敏感信息,也可以存储有加密敏感信息所使用的密钥,第一附加选项信息包括存储有SIGNATURE字段,SIGNATURE字段可以存储密文敏感信息,也可以存储用于加密敏感信息所使用的密钥。因此根据更新后的第一扩展域名系统附加选项信息和第一附加选项信息得到第二域名系统请求信息,其仅仅对敏感信息进行了加密,并未对整个域名系统请求信息进行加密。
如图10所示,图10是图6中步骤S122的具体方法的流程图,图10对步骤S122进行进一步的说明,该步骤S122可以包括但不限于有步骤S1221和步骤S1222。
步骤S1221:根据源端敏感信息的信息长度确定第一加密策略信息,其中,第一加密策略信息包括第一密文长度。
本步骤中,通过源端敏感信息的信息长度确定第一加密策略信息。当源端敏感信息为网际协议版本4地址,中间解析器能够通过检测源端敏感信息的信息长度确定远端敏感信息类型为网际协议版本4地址,并将第一加密策略信息配置为对应于网际协议版本4地址的第一加密策略信息。当源端敏感信息为网际协议版本6地址,中间解析器能够通过检测源端敏感信息的信息长度确定远端敏感信息类型为网际协议版本6地址,并将第一加密策略信息配置为对应于网际协议版本6地址的第一加密策略信息。
在一实施例中,第一加密策略信息除了包括第一密文长度,还包括对于源端敏感信息的加密方法,例如,当源端敏感信息对应于网际协议版本4地址,根据加密方法,首先从源端敏感信息中提取网际协议版本4形式的域名字段,并将其通过字符串转换函数转换成整实数,并可以通过数值限制将转换后的整数限制在0~15之间,由于经过加密后的伪地址也是网际协议版本4地址,因此需要预留32位的地址空间,将转换后的整实数再转换为4个四位的二进制数,余下地址空间补零,再从头每次取8位二进制数转换为十进制数,以得到网际协议版本4地址,再采用哈希算法获得该网际协议版本4地址所对应的伪地址,以实现对于敏感信息的加密。
又如,当源端敏感信息对应于网际协议版本6地址,根据加密方法,将源端敏感信息视为一个整字符串进行加密,该过程所使用的加密算法包括但不限于MD5信息摘要算法,由于源端敏感信息为网际协议版本6地址,因此需要预留128位的地址空间。
再如,当源端敏感信息过长,根据加密策略,对源端敏感信息进行二次加密处理以缩减加密后的密文敏感信息的位数。
在一实施例中,源端敏感信息的信息长度可以通过第一域名系统请求信息中的SIGNATURE确定,或者通过第一域名系统请求信息中的第一扩展域名系统附加选项信息中数据的长度确定。
步骤S1222:根据第一加密策略信息对源端敏感信息进行加密处理得到密文敏感信息,其中,密文敏感信息的信息长度与第一密文长度相匹配。
本步骤中,根据第一加密策略信息对源端敏感信息进行加密处理得到密文敏感信息,例如,当源端敏感信息对应网际协议版本4地址,第一加密策略信息则配置为对应于网际协议版本4地址的第一加密策略信息,具体地,首先从源端敏感信息中提取网际协议版本4形式的域名字段,并将其通过字符串转换函数转换成整实数,并可以通过数值限制将转换后的整数限制在0~15之间,由于经过加密后的伪地址也是网际协议版本4地址,因此需要预留32位的地址空间,将转换后的整实数再转换为4个四位的二进制数,余下地址空间补零,再从头每次取8位二进制数转换为十进制数,以得到网际协议版本4地址,再采用哈希算法获得该网际协议版本4地址所对应的伪地址,以实现对于敏感信息的加密。
此外,当源端敏感信息对应网际协议版本6地址,第一加密策略信息则配置为对应于网际协议版本6地址的第一加密策略信息,将源端敏感信息视为一个整字符串进行加密,该过程所使用的加密算法包括但不限于MD5信息摘要算法,由于源端敏感信息为网际协议版本6地址,因此需要预留128位的地址空间。
在一实施例中,第一域名系统请求信息基于本发明实施例的伪地址类型消息体构建,通过第一域名系统请求信息能够得知源端敏感信息的类型,例如,若源端敏感信息对应网际协议版本4地址,则将第二域名系统请求信息的FAMILY字段赋值为1,若源端敏感信息对应网际协议版本6地址,则将第二域名系统请求信息的FAMILY字段赋值为2。
在一实施例中,源端敏感信息的类型是通过第一域名系统请求信息的FAMILY字段确定的,例如,当第一域名系统请求信息的FAMILY字段赋值为1,则源端敏感信息对应网际协议版本4地址,当第一域名系统请求信息的FAMILY字段赋值为1,则源端敏感信息对应网际协议版本6地址。
如图11所示,图11是图10中步骤S1222的具体方法的流程图,图11对步骤S1222进行进一步的说明,当第一域名系统请求信息不包括第一扩展域名系统附加选项信息,该步骤S1222可以包括但不限于有步骤S12221和步骤S12222。
步骤S12221:根据第一加密策略信息对源端敏感信息进行第一加密处理得到第一密文信息。
本步骤中,根据第一加密策略信息对源端敏感信息进行第一加密处理得到第一密文信息,第一密文信息可以是根据源端敏感信息得到的网际互连协议地址,例如,当源端敏感信息对应网际协议版本4地址,第一加密策略信息则配置为对应于网际协议版本4地址的第一加密策略信息,具体地,首先从源端敏感信息中提取网际协议版本4形式的域名字段,并将其通过字符串转换函数转换成整实数,并可以通过数值限制将转换后的整数限制在0~15之间,由于经过加密后的伪地址也是网际协议版本4地址,因此需要预留32位的地址空间,将转换后的整实数再转换为4个四位的二进制数,余下地址空间补零,再从头每次取8位二进制数转换为十进制数,以得到网际协议版本4地址。又如,当源端敏感信息对应网际协议版本6地址,第一加密策略信息则配置为对应于网际协议版本6地址的第一加密策略信息,通过源端敏感信息进行第一加密处理得到128位的网际协议版本6地址。
步骤S12222:根据第一加密策略信息对第一密文信息进行第二加密处理得到密文敏感信息,其中,密文敏感信息的信息长度小于第一密文信息的信息长度。
本步骤中,根据第一加密策略信息对第一密文信息进行第二加密处理得到密文敏感信息,例如,首先从源端敏感信息中提取网际协议版本4形式的域名字段,并将其通过字符串转换函数转换成整实数,并可以通过数值限制将转换后的整数限制在0~15之间,由于经过加密后的伪地址也是网际协议版本4地址,因此需要预留32位的地址空间,将转换后的整实数再转换为4个四位的二进制数,余下地址空间补零,再从头每次取8位二进制数转换为十进制数,以得到网际协议版本4地址,再采用第二加密处理获得该网际协议版本4地址所对应的伪地址,以实现对于敏感信息的加密。由于地址位数限制,若网际协议版本4地址经过一次第二加密处理后仍超过32位,则再次进行至少一次第二加密处理,以防止加密处理后得到的密文敏感信息的信息长度大于第一密文的信息长度而导致信息丢失。
又如,当源端敏感信息对应网际协议版本6地址,第一加密策略信息则配置为对应于网际协议版本6地址的第一加密策略信息,将源端敏感信息视为一个整字符串进行加密,该过程所使用的加密算法包括但不限于,由于源端敏感信息对应网际协议版本6地址,因此需要预留128位的地址空间。若源端敏感信息经过第一加密处理后获得的网际协议版本6地址经过一次第二加密处理后信息长度仍超过128位,则再次进行至少一次第二加密处理,以防止加密处理后得到的密文敏感信息的信息长度大于第一密文的信息长度而导致信息丢失。
在一实施例中,第二加密处理采用的算法包括但不限于哈希算法或MD5信息摘要算法。
在一实施例中,对密文敏感信息进行加密后,根据对敏感信息进行加密所使用的加密算法类型设置ECRYPTION TYPE字段。例如,当敏感信息未经加密,则ECRYPTION TYPE字段赋值为0,当采用MD5信息摘要算法对敏感信息进行加密,则ECRYPTION TYPE字段赋值为1,当使用使用安全散列算法1(Secure Hash Algorithm 1,SHA-1)则ECRYPTION TYPE字段赋值为2。
如图12所示,图12是图2中步骤S120的另一具体方法的流程图,图12对步骤S120进行进一步的说明,当第一域名系统请求信息不包括第一扩展域名系统附加选项信息,该步骤S120可以包括但不限于有步骤S125、步骤S126、步骤S127和步骤S128。
步骤S125:根据第一域名系统请求信息获取本地敏感信息。
本步骤中,中间解析器首先检测获取到的第一域名系统请求信息是否携带有敏感信息,由于敏感信息携带于系统客户端子网选项信息,因此通过检测第一域名系统请求信息是否包括第一扩展域名系统附加选项信息即可确定第一域名系统请求信息是否携带有敏感信息。当第一域名系统请求信息未携带敏感信息,则该中间解析器获取本地敏感信息。本地敏感信息包括但不限于该中间解析器的网际互联协议地址以及该中间解析器的硬件标识码。
步骤S126:对本地敏感信息进行加密处理得到密文敏感信息。
需要说明的是,对本地敏感信息进行加密处理而采用到的加密算法,可以是对称加密算法、高级加密标准或者其他加密算法,可以根据实际的应用情况而进行适当的选择,本实施例对此并不作具体限定。其中,对称加密算法是指加密和解密使用相同密钥的加密算法,收发双方在进行安全通信之前,需要商定一个公共密钥。高级加密标准又称Rijndael加密法,是一种区块加密标准,能够支持更大范围的区块和密钥长度。
需要说明的是,对敏感数据进行加密处理而采用到的加密算法或加密策略等信息,可以包含在中间解析器中,也可以是中间解析器从其他地方获取得到,例如从权威域名系统服务器中获取得到或者从第一域名系统请求信息中获取得到,本实施例对此并不作具体限定。
在一实施例中,加密后的密文敏感信息存储于第二域名系统请求信息PADR字段的SIGNATURE字段中。
在一实施例中,第二域名系统请求信息包括扩展域名系统客户端子网选项信息,加密后的密文敏感信息存储于该扩展域名系统客户端子网选项信息中。
在一实施例中,第二域名系统请求信息包括ECRYPTION TYPE字段,ECRYPTIONTYPE字段用于表示对敏感信息进行加密所使用的加密算法类型。例如,当敏感信息未经加密,则ECRYPTION TYPE字段赋值为0,当采用MD5信息摘要算法对敏感信息进行加密,则ECRYPTION TYPE字段赋值为1,当使用使用安全散列算法1(Secure Hash Algorithm 1,SHA-1)则ECRYPTION TYPE字段赋值为2。
步骤S127:构建第二附加选项信息,其中,第二附加选项信息包括第一密文标记信息。
本步骤中,第二附加选项信息包括第一密文标记信息,第一密文标记信息用于指示密文敏感信息为密文信息,权威域名系统服务器在接收到第二域名系统请求信息后首先检测该第二域名系统请求信息是否携带有第一密文标记信息,在权威域名系统服务器检测到第一密文标记信息的情况下,权威域名系统服务器对密文敏感信息进行解密。
在一实施例中,第一域名系统请求信息是根据扩展域名系统客户端子网选项协议构建的,第二附加选项信息可以包含在扩展域名系统客户端子网选项信息中。
在一实施例中,第二附加选项信息存储于第二域名系统请求信息的RDATA元素的消息体子结构中。
在一实施例中,第一域名系统请求信息是根据扩展域名系统客户端子网选项协议构建的,第二附加选项信息可以包含在扩展域名系统客户端子网选项信息中。
在一实施例中,第一密文标记信息存储于第二域名系统请求信息的OPTION-CODE字段,OPTION-CODE字段在本发明实施例中用于表示域名系统请求信息是否携带有加密后的密文敏感信息,也即表示域名系统请求信息是否携带有用户端设备的网际协议地址或中间解析器的网际协议地址经过加密后得到的伪地址。
步骤S128:根据密文敏感信息和第二附加选项信息得到第二域名系统请求信息。
本步骤中,将密文敏感信息和第一域名系统请求信息中的第二附加选项信息合并形成第二域名系统请求信息,由于本发明实施例的方案通过将包括有密文敏感信息和第一密文标记信息的第二域名系统请求信息进行传输,无需对整个第一域名系统请求信息进行加密处理,从而能够在避免敏感信息暴露在安全风险之下的情况下,降低网络资源的开销,从而降低设备的维护成本;另外,由于第一密文标记信息用于指示密文敏感信息为密文信息,因此权威域名系统服务器可以根据第一密文标记信息对密文敏感信息进行适当的解密处理,从而可以提高权威域名系统服务器对第二域名系统请求信息的处理准确性。
需要说明的是,本发明实施例中的密文敏感信息与第二附加选项信息不限于是并列关系,例如,密文敏感信息和第二附加选项信息可以存储于第二域名系统请求信息中的两个不同的字段中,再如,密文敏感信息可以包含于第二附加选项信息中,使得密文敏感信息和第二附加选项信息可以存储于第二域名系统请求信息中的同一个字段中。
在一实施例中,第二附加选项信息包括第二加密签名字段。
如图13所示,图13是图12中步骤S128的具体方法的流程图,图13对步骤S128进行进一步的说明,该步骤S128可以包括但不限于有步骤S1281和步骤S1282。
步骤S1281:将密文敏感信息填充进第二加密签名字段。
本步骤中,密文敏感信息被填充进第二加密签名字段,第二加密签名字段被包含在第二附加选项信息中,第二附加选项信息可以是根据扩展域名系统客户端子网选项协议生成的,也可以是根据扩展域名系统客户端子网协议生成的。权威域名系统服务器在获取到第二域名系统请求信息后对其进行解析以获得第二附加选项信息,并通过检测第二附加选项信息中的第二加密签名字段获取密文敏感信息。
在一实施例中,密文敏感信息被填充进第二域名系统请求信息的SIGNATURE字段中。
步骤S1282:根据包括第一密文标记信息和密文敏感信息的第二附加选项信息,得到第二域名系统请求信息。
本步骤中,权威域名系统服务器在获取到第二域名系统请求信息后对其进行解析以获得第二附加选项信息,并通过检测第二附加选项信息中的第二加密签名字段获取密文敏感信息。如图14所示,图14是图12中步骤S128的另一具体方法的流程图,图14对步骤S128进行进一步的说明,该步骤S128还可以包括但不限于有步骤S1283和步骤S1284。
步骤S1283:根据密文敏感信息构建第二扩展域名系统附加选项信息,其中,第二扩展域名系统附加选项信息包括密文敏感信息。
本步骤中,根据密文敏感信息构建第二扩展域名系统附加选项信息,因此第二域名系统请求信息相比第一域名系统请求信息仅对于本地敏感信息进行了加密,且本地敏感信息进行加密后生成的密文敏感信息仍包含于第二扩展域名系统附加选项信息中,因此第二域名系统请求信息并未整体进行加密,相比第一域名系统请求信息,第二域名系统请求信息于第一域名系统请求信息仍具有相同的数据结构,因此,本发明实施例并未对整个第一域名系统请求信息进行加密处理,而是能够将敏感信息单独加密得到携带有密文敏感信息的第二域名系统请求信息以实现对敏感信息的保护,使得传输路径中的设备无需支持整个域名系统请求信息的加密和解密处理,从而减少了网络资源的开销,降低了设备的维护成本。
在一实施例中,密文敏感信息填充至第二扩展域名系统附加选项信息中,此外,第二扩展域名系统附加选项信息还可用于保存加密后的密文敏感信息所使用的密钥。
在一实施例中,密文敏感信息可以存储在第二扩展域名系统附加选项信息中的ADDRESS字段中。
步骤S1284:根据第二扩展域名系统附加选项信息和第二附加选项信息得到第二域名系统请求信息。
本步骤中,中间解析器根据第二附加选项信息得到第二域名系统请求信息,由于本地敏感信息经加密后的密文敏感信息仍包含在第二附加选项信息中,因此,本发明实施例并未对整个第一域名系统请求信息进行加密处理,而是能够将敏感信息单独加密得到携带有密文敏感信息的第二域名系统请求信息以实现对敏感信息的保护,使得传输路径中的设备无需支持整个域名系统请求信息的加密和解密处理,从而减少了网络资源的开销,降低了设备的维护成本。
在一实施例中,第一扩展域名系统附加选项信息中可以存储有密文敏感信息,也可以存储有加密敏感信息所使用的密钥,第二附加选项信息包括存储有SIGNATURE字段,SIGNATURE字段可以存储密文敏感信息,也可以存储用于加密敏感信息所使用的密钥。因此根据更新后的第一扩展域名系统附加选项信息和第二附加选项信息得到第二域名系统请求信息,其仅仅对敏感信息进行了加密,并未对整个域名系统请求信息进行加密。
如图15所示,图15是图14中步骤S1284的具体方法的流程图,图15对步骤S1284进行进一步的说明,该步骤S1284可以包括但不限于有步骤S12841和步骤S12842。
步骤S12841:在第二加密签名字段中填充密钥信息或者第二签名信息,其中,密钥信息用于解密密文敏感信息,第二签名信息用于验证加密后的本地敏感信息的完整性。
本步骤中,密钥信息可以是加密敏感信息所使用的公钥,权威域名系统服务器能够根据该密钥信息对密文敏感信息进行解密,此外,密钥信息还可以反应加密敏感信息时所使用的加密算法。第二签名信息可以用于对加密后的本地敏感信息进行校验,以保证本地敏感信息的完整性。
在一实施例中,第二域名系统请求信息的SIGNATURE字段也可以用于存储加密敏感信息所使用的公钥。
步骤S12842:根据第二扩展域名系统附加选项信息,以及包括密钥信息或者第二签名信息的第二附加选项信息,得到第二域名系统请求信息。
本步骤中,第二域名系统请求信息相比第一域名系统请求信息在第二附加选项信息中携带了密文敏感信息,因此,本发明实施例并未对整个第一域名系统请求信息进行加密处理,而是能够将敏感信息单独加密得到携带有密文敏感信息的第二域名系统请求信息以实现对敏感信息的保护,使得传输路径中的设备无需支持整个域名系统请求信息的加密和解密处理,从而减少了网络资源的开销,降低了设备的维护成本。
如图16所示,图16是图12中步骤S126的具体方法的流程图,图16对步骤S126进行进一步的说明,该步骤S126可以包括但不限于有步骤S1261和步骤S1262。
步骤S1261:根据本地敏感信息的信息长度确定第二加密策略信息,其中,第二加密策略信息包括第二密文长度。
本步骤中,通过本地敏感信息的信息长度确定第二加密策略信息。当本地敏感信息对应网际协议版本4(Internet Protocol version 4,IPv4)地址,中间解析器能够通过检测本地敏感信息的信息长度确定远端敏感信息类型为网际协议版本4地址,并将第二加密策略信息配置为对应于网际协议版本4地址的第二加密策略信息。当本地敏感信息对应网际协议版本6(Internet Protocol version 6,IPv4)地址,中间解析器能够通过检测本地敏感信息的信息长度确定远端敏感信息类型为网际协议版本6地址,并将第二加密策略信息配置为对应于网际协议版本6地址的第二加密策略信息。
在一实施例中,第二加密策略信息除了包括第一密文长度,还包括对于本地敏感信息的加密方法,例如,当本地敏感信息对应于网际协议版本4地址,根据加密方法,首先从本地敏感信息中提取网际协议版本4形式的域名字段,并将其通过字符串转换函数转换成整实数,并可以通过数值限制将转换后的整数限制在0~15之间,由于经过加密后的伪地址也是网际协议版本4地址,因此需要预留32位的地址空间,将转换后的整实数再转换为4个四位的二进制数,余下地址空间补零,再从头每次取8位二进制数转换为十进制数,以得到网际协议版本4地址,再采用哈希算法获得该网际协议版本4地址所对应的伪地址,以实现对于敏感信息的加密。
又如,当本地敏感信息对应于网际协议版本6地址,根据加密方法,将本地敏感信息视为一个整字符串进行加密,该过程所使用的加密算法包括但不限于MD5信息摘要算法,由于本地敏感信息为网际协议版本6地址,因此需要预留128位的地址空间。
再如,当本地敏感信息过长,根据加密方法,对本地敏感信息进行二次加密处理以缩减加密后的密文敏感信息的位数。
步骤S1262:根据第二加密策略信息对本地敏感信息进行加密处理得到密文敏感信息,其中,密文敏感信息的信息长度与第一密文长度相匹配。
本步骤中,根据第二加密策略信息对本地敏感信息进行加密处理得到密文敏感信息,例如,当本地敏感信息对应网际协议版本4地址,第二加密策略信息则配置为对应于网际协议版本4地址的第二加密策略信息,具体地,首先从本地敏感信息中提取网际协议版本4形式的域名字段,并将其通过字符串转换函数转换成整实数,并可以通过数值限制将转换后的整数限制在0~15之间,由于经过加密后的伪地址也是网际协议版本4地址,因此需要预留32位的地址空间,将转换后的整实数再转换为4个四位的二进制数,余下地址空间补零,再从头每次取8位二进制数转换为十进制数,以得到网际协议版本4地址,再采用哈希算法获得该网际协议版本4地址所对应的伪地址,以实现对于敏感信息的加密。
此外,当本地敏感信息对应网际协议版本6地址,第二加密策略信息则配置为对应于网际协议版本6地址的第二加密策略信息,将本地敏感信息视为一个整字符串进行加密,该过程所加密算法包括但不限于MD5信息摘要算法,由于本地敏感信息为网际协议版本6地址,因此需要预留128位的地址空间。
在一实施例中,第一域名系统请求信息基于本发明实施例的伪地址类型消息体构建,通过第一域名系统请求信息能够得知本地敏感信息的类型,例如,若本地敏感信息对应网际协议版本4地址,则将第二域名系统请求信息的FAMILY字段赋值为1,若本地敏感信息对应网际协议版本6地址,则将第二域名系统请求信息的FAMILY字段赋值为2。
在一实施例中,本地敏感信息的类型是通过第一域名系统请求信息的FAMILY字段确定的,例如,当第一域名系统请求信息的FAMILY字段赋值为1,则本地敏感信息对应网际协议版本4地址,当第一域名系统请求信息的FAMILY字段赋值为1,则本地敏感信息对应网际协议版本6地址。
如图17所示,图17是图16中步骤S1262的具体方法的流程图,图17对步骤S1262进行进一步的说明,该步骤S1262可以包括但不限于有步骤S12621和步骤S12622。
步骤S12621:根据第二加密策略信息对本地敏感信息进行第一加密处理得到第二密文信息。
本步骤中,根据第二加密策略信息对本地敏感信息进行第一加密处理得到第二密文信息,第二密文信息可以是根据本地敏感信息得到的网际互连协议地址,例如,当本地敏感信息对应网际协议版本4地址,第二加密策略信息则配置为对应于网际协议版本4地址的第二加密策略信息,具体地,首先从本地敏感信息中提取网际协议版本4形式的域名字段,并将其通过字符串转换函数转换成整实数,并可以通过数值限制将转换后的整数限制在0~15之间,由于经过加密后的伪地址也是网际协议版本4地址,因此需要预留32位的地址空间,将转换后的整实数再转换为4个四位的二进制数,余下地址空间补零,再从头每次取8位二进制数转换为十进制数,以得到网际协议版本4地址。又如,当本地敏感信息对应网际协议版本6地址,第二加密策略信息则配置为对应于网际协议版本6地址的第二加密策略信息,通过本地敏感信息进行第一加密处理得到128位的网际协议版本6地址。
步骤S12622:根据第二加密策略信息对第二密文信息进行第二加密处理得到密文敏感信息,其中,密文敏感信息的信息长度小于第二密文信息的信息长度。
本步骤中,根据第二加密策略信息对第二密文信息进行第二加密处理得到密文敏感信息,例如,首先从本地敏感信息中提取网际协议版本4形式的域名字段,并将其通过字符串转换函数转换成整实数,并可以通过数值限制将转换后的整数限制在0~15之间,由于经过加密后的伪地址也是网际协议版本4地址,因此需要预留32位的地址空间,将转换后的整实数再转换为4个四位的二进制数,余下地址空间补零,再从头每次取8位二进制数转换为十进制数,以得到网际协议版本4地址,再采用第二加密处理获得该网际协议版本4地址所对应的伪地址,以实现对于敏感信息的加密。由于地址位数限制,若网际协议版本4地址经过一次第二加密处理后仍超过32位,则再次进行至少一次第二加密处理,以防止加密处理后得到的密文敏感信息的信息长度大于第二密文的信息长度而导致信息丢失。
又如,当本地敏感信息对应网际协议版本6地址,第二加密策略信息则配置为对应于网际协议版本6地址的第二加密策略信息,将本地敏感信息视为一个整字符串进行加密,该过程所使用的加密算法包括但不限于,由于本地敏感信息对应网际协议版本6地址,因此需要预留128位的地址空间。若本地敏感信息经过第一加密处理后获得的网际协议版本6地址经过一次第二加密处理后信息长度仍超过128位,则再次进行至少一次第二加密处理,以防止加密处理后得到的密文敏感信息的信息长度大于第二密文的信息长度而导致信息丢失。
在一实施例中,第二加密处理采用的算法包括但不限于哈希算法或MD5信息摘要算法。
在一实施例中,对密文敏感信息进行加密后,根据对敏感信息进行加密所使用的加密算法类型设置ECRYPTION TYPE字段。例如,当敏感信息未经加密,则ECRYPTION TYPE字段赋值为0,当采用MD5信息摘要算法对敏感信息进行加密,则ECRYPTION TYPE字段赋值为1,当使用使用安全散列算法1(Secure Hash Algorithm 1,SHA-1)则ECRYPTION TYPE字段赋值为2。
如图18所示,图18是本发明另一个实施例提供的信息处理方法的流程图,参照图18,该信息处理方法还可以包括但不限于有步骤S140和步骤S150。
步骤S140:接收权威域名系统服务器根据密文敏感信息和第一密文标记信息发送的反馈信息,其中,反馈信息包括反馈类型信息和第二密文标记信息。
本步骤中,权威域名系统服务器接收到第二域名系统请求信息后,根据第二域名系统请求信息生成反馈信息,并向客户端设备发送该反馈信息,反馈信息用于使客户端设备得到所需的域名与网际互连协议地址的对应关系,此外,反馈信息还用于使得中间解析器或客户端设备获知权威域名系统服务器是否成功解密第二域系统名请求信息中的密文敏感信息。
在一实施例中,反馈信息是根据本发明实施例中的PADR消息体结合类型构建的。
在一实施例中,反馈信息也包括有扩展域名系统子网选项信息。
步骤S150:根据反馈类型信息和第二密文标记信息进行信息处理。
本步骤中,中间解析器根据反馈信息所携带的反馈类型信息和第二密文标记信息进行信息处理,使得中间解析器能够根据权威域名系统服务器的处理情况做进一步的处理。
如图19所示,图19是图18中步骤S150的具体方法的流程图,图19对步骤S150进行进一步的说明,该步骤S150可以包括但不限于有步骤S151和步骤S152。
步骤S151:当反馈类型信息表示权威域名系统服务器无法识别第二域名系统请求信息,并且第二密文标记信息表示权威域名系统服务器无法解密密文敏感信息,根据第一域名系统请求信息重构第三域名系统请求信息,其中,第三域名系统请求信息不包括密文敏感信息。
本步骤中,当反馈类型信息表示权威域名系统服务器无法识别第二域名系统请求信息,则权威域名系统服务器亦无法对密文敏感信息进行解密,因此中间解析器根据第一域名系统请求信息重构第三域名系统请求信息,该第三域名系统请求信息不包括密文敏感信息。当反馈类型信息表示权威域名系统服务器无法识别第二域名系统请求信息,例如对应的权威域名系统服务器不支持扩展域名系统客户端子网选项或对应的权威域名系统服务器没有预先配置相应的解密算法或该权威域名系统服务器失效,则重构第三域名系统请求信息,并将该第三域名系统请求信息发送至权威域名系统服务器,以对于该权威域名系统服务器的可用性进行检测。
在一实施例中,反馈信息使用了本发明实施例中的伪地址类型消息体结构,因此通过检验反馈信息中的ECRYPTION FLAG字段能够确定权威域名系统服务器是否能够识别第二域名系统请求信息以及是否能够对第二域名系统请求信息中的密文敏感信息进行解密。
具体的,当反馈信息的ECRYPTION FLAG字段中的FLAG标志位为0,则表示权威域名系统服务器不能识别第二域名系统请求信息,也无法对第二域名系统请求信息中的密文敏感信息进行解密。
在一实施例中,当检测到当前选择的权威域名系统服务器失效,则选择新的权威域名系统服务器。
需要说明的是,第三域名系统请求信息可以携带也可以不携带第二附加选项信息和/或第一扩展域名系统附加选项信息,本实施例对此不做具体限定。
需要说明的是,第三域名系统请求信息可以携带也可以不携带第二附加选项信息和/或第二扩展域名系统附加选项信息,本实施例对此不做具体限定。
步骤S152:将第三域名系统请求信息发送给权威域名系统服务器,使得权威域名系统服务器根据第三域名系统请求信息进行信息处理。
本步骤中,中间解析器将第三域名系统请求信息发送至权威域名系统服务器,使得权威域名系统服务器根据第三域名系统请求信息进行信息处理。
如图20所示,图20是图18中步骤S150的另一具体方法的流程图,图20对步骤S150进行进一步的说明,该步骤S150可以包括但不限于有步骤S153和步骤S154。
步骤S153:当反馈类型信息表示权威域名系统服务器正常识别第二域名系统请求信息,并且第二密文标记信息表示权威域名系统服务器没有解密密文敏感信息,根据第一域名系统请求信息重构第四域名系统请求信息,其中,第四域名系统请求信息包括密文敏感信息对应的明文敏感信息。
本步骤中,当反馈类型信息表示权威域名系统服务器无法识别第二域名系统请求信息,则权威域名系统服务器亦无法对密文敏感信息进行解密,因此中间解析器根据第一域名系统请求信息重构第四域名系统请求信息,该第四域名系统包括密文敏感信息对应的明文敏感信息。当反馈类型信息表示权威域名系统服务器无法识别第二域名系统请求信息,例如对应的权威域名系统服务器不支持扩展域名系统客户端子网选项或对应的权威域名系统服务器没有预先配置相应的解密算法,则重构使用明文记载敏感信息的第四域名系统请求信息,并将该第四域名系统请求信息发送至权威域名系统服务器,以提高兼容性。
在一实施例中,反馈信息使用了本发明实施例中的伪地址类型消息体结构,因此通过检验反馈信息中的ECRYPTION FLAG字段能够确定权威域名系统服务器是否能够识别第二域名系统请求信息以及是否能够对第二域名系统请求信息中的密文敏感信息进行解密。
具体的,当反馈信息的ECRYPTION FLAG字段中的FLAG标志位为2,则表示权威域名系统服务器能够识别第二域名系统请求信息,但无法对第二域名系统请求信息中的密文敏感信息进行解密。
需要说明的是,第四域名系统请求信息可以携带也可以不携带第二附加选项信息和/或第一扩展域名系统附加选项信息,本实施例对此不做具体限定。
需要说明的是,第四域名系统请求信息可以携带也可以不携带第二附加选项信息和/或第二扩展域名系统附加选项信息,本实施例对此不做具体限定。
步骤S154:将第四域名系统请求信息发送给权威域名系统服务器,使得权威域名系统服务器根据明文敏感信息进行信息处理。
本步骤中,中间解析器将第四域名系统请求信息发送至权威域名系统服务器,使得权威域名系统服务器根据第四域名系统请求信息携带的明文敏感信息进行信息处理。
在一实施例中,反馈信息还包括目标网际互连协议地址,目标网际互连协议地址是第一域名系统请求信息对应的网际互连协议地址。
如图21所示,图21是图18中步骤S150的另一具体方法的流程图,图21对步骤S150进行进一步的说明,该步骤S150可以包括但不限于有步骤S155和步骤S156。
步骤S155:当反馈类型信息表示权威域名系统服务器正常识别第二域名系统请求信息,并且第二密文标记信息表示权威域名系统服务器正确解密密文敏感信息,缓存第一域名系统请求信息与目标网际互连协议地址之间的映射关系。
本步骤中,当反馈类型信息表示权威域名系统服务器正常识别第二域名系统请求信息,并且第二密文标记信息表示权威域名系统服务器正确解密密文敏感信息,因此证明权威域名系统服务器能够正常识别第二域名系统请求信息,并对第二域名系统请求信息中的密文敏感信息进行解密,通过将第一域名系统请求信息与目标网际互连协议地址之间的映射关系缓存在中间解析器,能够提高客户端设备获取第一域名系统请求信息与目标网际互连协议地址之间的映射关系的效率,减少了系统调度的复杂性。
在一实施例中,反馈信息使用了本发明实施例中的伪地址类型消息体结构,因此通过检验反馈信息中的ECRYPTION FLAG字段能够确定权威域名系统服务器是否能够识别第二域名系统请求信息以及是否能够对第二域名系统请求信息中的密文敏感信息进行解密。
具体的,当反馈信息的ECRYPTION FLAG字段中的FLAG标志位为1,则表示权威域名系统服务器能够识别第二域名系统请求信息,且能够对密文敏感信息进行解密。
步骤S156:将反馈信息转发回第一域名系统请求信息的发起方。
本步骤中,反馈信息包括第一域名系统请求信息对应的网际互连协议地址,通过将反馈信息转发回第一域名系统请求信息的发起方,能够使得第一第一域名系统请求信息的发起方获得第一域名系统请求信息与目标网际互连协议地址之间的映射关系。此外,反馈信息可以是经过加密的,也可以是未经加密的,本实施例对此不做具体限定。
需要说明的是,第一域名系统请求信息的发起方可以是客户端设备,也可以是中间解析器,本实施例对此不做具体限定。
为了更加清楚的说明本发明实施例提供的信息处理方法的处理流程,下面以具体的示例进行说明。
如图22所示,图22是本发明一个具体示例提供的信息处理方法的流程图。该信息处理方法应用于,该信息处理方法包括以下步骤:
步骤S101:接收第一域名系统请求信息;
步骤S102a:提取第一域名系统请求信息中的域名字段并查找本地DNS缓存是否存在对应的解析记录,当本地DNS缓存中有相应的解析记录,根据解析记录构造DNS响应信息并发送至用户端设备;
步骤S102b:当本地DNS缓存中没有对应的解析记录,获取敏感信息;
步骤S103:根据敏感信息的长短选择加密算法对敏感信息进行加密,得到密文敏感信息;
步骤S104:根据密文敏感信息以eDNS0格式重构第一域名系统请求信息得到第二域名系统请求信息;
步骤S105:将第二域名系统请求信息封装成UDP包后发送至权威域名系统服务器;
步骤S106:从权威域名系统服务器接收反馈信息,检查反馈信息中的RCODE字段,当RCODE的字段返回代码是0,检查PADR字段中的ENCRYPTION FLAG字段;
步骤S107a:当ENCRYPTION FLAG字段的字段返回代码是0,以未加密的敏感信息进行RDATA字段的填写以构造第三域名系统请求信息并发送至权威域名系统服务器;
步骤S107b:当ENCRYPTION FLAG字段的字段返回代码是1,检查反馈信息的其它字段。
步骤S108:在反馈信息的所有字段正常的情况下,将反馈信息中的域名映射关系记录到本地DNS缓存中,并将域名映射关系转发回客户端设备。
需要说明的是,步骤S103根据敏感信息的长短选择加密算法的具体方法包括:在敏感信息的目标是映射为较短的IPv4地址的情况下,预留32位的地址空间,并且每4位对应一个整数。将敏感信息以字符串转换函数转换为整实数,将转换后的整实数再转换为4个四位的二进制数,余下地址空间补零,再从头每次取8位二进制数转换为十进制数,以得到IPv4地址。在以eDNS0格式重构第二域名系统请求信息的过程中,将TTL元素中的EXTENDED-RCODE字段设置为0x1,表示该域名系统请求信息携带有密文敏感信息。RDATA字段中的OPTION-CODE字段设置为27000,OPTION-LENGTH字段设置为36,FAMILY字段设置为1,表示后续将使用IPv4地址格式;ENCRYPTION TYPE字段设置为2,表示使用crc32(),bese_convert()的加密机制;ENCRYPTION FLAG字段设置为0,用于DNS请求消息中,代表本消息存在加密的伪地址,并且默认远端的DNS权威服务器不能识别本消息;SIGNATURE字段中填入加密后的密文敏感信息或加密过程中使用的密钥。另外,还可以将加密后得到的伪地址填写入扩展域名系统客户端子网选项信息的ADDRESS字段中。
需要说明的是,步骤S103根据敏感信息的长短选择加密算法的具体方法还包括:在敏感信息的目标是映射为较长的IPv6地址的情况下,预留128位的地址空间。将敏感信息以MD5方式转换成一个128位的字符串,每4个位对应一个字符获得IPv6地址。在以eDNS0格式重构第二域名系统请求信息的过程中,将TTL元素中的EXTENDED-RCODE字段设置为0x1,表示该域名系统请求信息携带有密文敏感信息。RDATA字段中的OPTION-CODE字段设置为27000,OPTION-LENGTH字段设置为132,FAMILY字段设置为2,表示后续将使用IPv6地址格式;ENCRYPTION TYPE字段设置为1;ENCRYPTION FLAG字段设置为0,用于DNS请求消息中,代表本消息存在加密的伪地址,并且默认远端的DNS权威服务器不能识别本消息;SIGNATURE字段中填入加密后的密文敏感信息或加密过程中使用的密钥。另外,还可以将加密后得到的伪地址填写入扩展域名系统客户端子网选项信息的ADDRESS字段中。
另外,本发明的一个实施例还提供了一种中间解析器,该中间解析器包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序。
处理器和存储器可以通过总线或者其他方式连接。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
需要说明的是,本实施例中的中间解析器,可以应用至例如图1所示实施例中的中间解析器120,本实施例中的中间解析器能够构成例如图1所示实施例中的系统架构的一部分,这些实施例均属于相同的发明构思,因此这些实施例具有相同的实现原理以及技术效果,此处不再详述。
实现上述实施例的信息处理方法所需的非暂态软件程序以及指令存储在存储器中,当被处理器执行时,执行上述实施例中的信息处理方法,例如,执行以上描述的图2中的方法步骤S110至S130、图6中的方法步骤S121至S124、图7中的方法步骤S1241至S1242、图8中的方法步骤S1243至S1244、图9中的方法步骤S12441至S12442、图10中的方法步骤S1221至S1222、图11中的方法步骤S12221至S12222、图12中的方法步骤S125至S128、图13中的方法步骤S1281至S1282、图14中的方法步骤S1283至S1284、图15中的方法步骤S12841至S12842、图16中的方法步骤S1261至S1262、图17中的方法步骤S12621至S12622、图18中的方法步骤S140至S150、图19中的方法步骤S151至S152、图20中的方法步骤S153至S154、图21中的方法步骤S155至S156或者如图22中示出的方法步骤S101至S108。
另外,本发明的一个实施例还提供了一种网络设备,该网络设备包括有上述实施例的中间解析器,因此本实施例中的网络设备与上述实施例中的中间解析器属于相同的发明构思,因此这些实施例具有相同的实现原理以及技术效果,此处不再详述。
以上所描述的装置实施例或者系统实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
此外,本发明的一个实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个处理器或控制器执行,例如,被上述装置实施例中的一个处理器执行,可使得上述处理器执行上述实施例中的信息处理方法,例如,执行以上描述的图2中的方法步骤S110至S130、图6中的方法步骤S121至S124、图7中的方法步骤S1241至S1242、图8中的方法步骤S1243至S1244、图9中的方法步骤S12441至S12442、图10中的方法步骤S1221至S1222、图11中的方法步骤S12221至S12222、图12中的方法步骤S125至S128、图13中的方法步骤S1281至S1282、图14中的方法步骤S1283至S1284、图15中的方法步骤S12841至S12842、图16中的方法步骤S1261至S1262、图17中的方法步骤S12621至S12622、图18中的方法步骤S140至S150、图19中的方法步骤S151至S152、图20中的方法步骤S153至S154、图21中的方法步骤S155至S156或者如图22中示出的方法步骤S101至S108。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
以上是对本发明的较佳实施进行了具体说明,但本发明并不局限于上述实施方式,熟悉本领域的技术人员在不违背本发明精神的前提下还可作出种种的等同变形或替换,这些等同的变形或替换均包含在本发明权利要求所限定的范围内。
Claims (20)
1.一种信息处理方法,应用于中间解析器,所述方法包括:
接收第一域名系统请求信息;
根据所述第一域名系统请求信息得到第二域名系统请求信息,其中,所述第二域名系统请求信息包括密文敏感信息和第一密文标记信息,所述第一密文标记信息用于指示所述密文敏感信息为密文信息;
将所述第二域名系统请求信息发送给权威域名系统服务器,使得所述权威域名系统服务器根据所述密文敏感信息和所述第一密文标记信息进行信息处理。
2.根据权利要求1所述的方法,其特征在于,所述第一域名系统请求信息包括第一扩展域名系统附加选项信息,其中,所述第一扩展域名系统附加选项信息包括源端敏感信息;
所述根据所述第一域名系统请求信息得到第二域名系统请求信息,包括:
获取所述第一扩展域名系统附加选项信息中的所述源端敏感信息;
对所述源端敏感信息进行加密处理得到所述密文敏感信息;
构建第一附加选项信息,其中,所述第一附加选项信息包括所述第一密文标记信息;
根据所述密文敏感信息和所述第一附加选项信息得到第二域名系统请求信息。
3.根据权利要求2所述的方法,其特征在于,所述第一附加选项信息包括第一加密签名字段;
所述根据所述密文敏感信息和所述第一附加选项信息得到第二域名系统请求信息,包括:
将所述密文敏感信息填充进所述第一加密签名字段;
根据包括所述第一密文标记信息和所述密文敏感信息的所述第一附加选项信息,得到第二域名系统请求信息。
4.根据权利要求2所述的方法,其特征在于,所述根据所述密文敏感信息和所述第一附加选项信息得到第二域名系统请求信息,包括:
将所述第一扩展域名系统附加选项信息中的所述源端敏感信息更新为所述密文敏感信息;
根据更新后的所述第一扩展域名系统附加选项信息和所述第一附加选项信息得到第二域名系统请求信息。
5.根据权利要求4所述的方法,其特征在于,所述第一附加选项信息包括第一加密签名字段;
所述根据更新后的所述第一扩展域名系统附加选项信息和所述第一附加选项信息得到第二域名系统请求信息,包括:
在所述第一加密签名字段中填充密钥信息或者第一签名信息,其中,所述密钥信息用于解密所述密文敏感信息,所述第一签名信息用于验证加密后的所述源端敏感信息的完整性;
根据更新后的所述第一扩展域名系统附加选项信息,以及包括所述密钥信息或者所述第一签名信息的所述第一附加选项信息,得到第二域名系统请求信息。
6.根据权利要求2所述的方法,其特征在于,所述对所述源端敏感信息进行加密处理得到所述密文敏感信息,包括:
根据所述源端敏感信息的信息长度确定第一加密策略信息,其中,所述第一加密策略信息包括第一密文长度;
根据所述第一加密策略信息对所述源端敏感信息进行加密处理得到所述密文敏感信息,其中,所述密文敏感信息的信息长度与所述第一密文长度相匹配。
7.根据权利要求6所述的方法,其特征在于,所述根据所述第一加密策略信息对所述源端敏感信息进行加密处理得到所述密文敏感信息,包括:
根据所述第一加密策略信息对所述源端敏感信息进行第一加密处理得到第一密文信息;
根据所述第一加密策略信息对所述第一密文信息进行第二加密处理得到所述密文敏感信息,其中,所述密文敏感信息的信息长度小于所述第一密文信息的信息长度。
8.根据权利要求1所述的方法,其特征在于,所述第一域名系统请求信息不包括第一扩展域名系统附加选项信息;
所述根据所述第一域名系统请求信息得到第二域名系统请求信息,包括:
根据所述第一域名系统请求信息获取本地敏感信息;
对所述本地敏感信息进行加密处理得到所述密文敏感信息;
构建第二附加选项信息,其中,所述第二附加选项信息包括所述第一密文标记信息;
根据所述密文敏感信息和所述第二附加选项信息得到第二域名系统请求信息。
9.根据权利要求8所述的方法,其特征在于,所述第二附加选项信息包括第二加密签名字段;
所述根据所述密文敏感信息和所述第二附加选项信息得到第二域名系统请求信息,包括:
将所述密文敏感信息填充进所述第二加密签名字段;
根据包括所述第一密文标记信息和所述密文敏感信息的所述第二附加选项信息,得到第二域名系统请求信息。
10.根据权利要求8所述的方法,其特征在于,所述根据所述密文敏感信息和所述第二附加选项信息得到第二域名系统请求信息,包括:
根据所述密文敏感信息构建第二扩展域名系统附加选项信息,其中,所述第二扩展域名系统附加选项信息包括所述密文敏感信息;
根据所述第二扩展域名系统附加选项信息和所述第二附加选项信息得到第二域名系统请求信息。
11.根据权利要求10所述的方法,其特征在于,所述第二附加选项信息包括第二加密签名字段;
所述根据所述第二扩展域名系统附加选项信息和所述第二附加选项信息得到第二域名系统请求信息,包括:
在所述第二加密签名字段中填充密钥信息或者第二签名信息,其中,所述密钥信息用于解密所述密文敏感信息,所述第二签名信息用于验证加密后的所述本地敏感信息的完整性;
根据所述第二扩展域名系统附加选项信息,以及包括所述密钥信息或者所述第二签名信息的所述第二附加选项信息,得到第二域名系统请求信息。
12.根据权利要求8所述的方法,其特征在于,所述对所述本地敏感信息进行加密处理得到所述密文敏感信息,包括:
根据所述本地敏感信息的信息长度确定第二加密策略信息,其中,所述第二加密策略信息包括第二密文长度;
根据所述第二加密策略信息对所述本地敏感信息进行加密处理得到所述密文敏感信息,其中,所述密文敏感信息的信息长度与所述第二密文长度相匹配。
13.根据权利要求12所述的方法,其特征在于,所述根据所述第二加密策略信息对所述本地敏感信息进行加密处理得到所述密文敏感信息,包括:
根据所述第二加密策略信息对所述本地敏感信息进行第一加密处理得到第二密文信息;
根据所述第二加密策略信息对所述第二密文信息进行第二加密处理得到所述密文敏感信息,其中,所述密文敏感信息的信息长度小于所述第二密文信息的信息长度。
14.根据权利要求1至13任意一项所述的方法,其特征在于,所述将所述第二域名系统请求信息发送给权威域名系统服务器之后,所述方法还包括:
接收所述权威域名系统服务器根据所述密文敏感信息和所述第一密文标记信息发送的反馈信息,其中,所述反馈信息包括反馈类型信息和第二密文标记信息;
根据所述反馈类型信息和所述第二密文标记信息进行信息处理。
15.根据权利要求14所述的方法,其特征在于,所述根据所述反馈类型信息和所述第二密文标记信息进行信息处理,包括:
当所述反馈类型信息表示所述权威域名系统服务器无法识别所述第二域名系统请求信息,并且所述第二密文标记信息表示所述权威域名系统服务器无法解密所述密文敏感信息,根据所述第一域名系统请求信息重构第三域名系统请求信息,其中,所述第三域名系统请求信息不包括所述密文敏感信息;
将所述第三域名系统请求信息发送给所述权威域名系统服务器,使得所述权威域名系统服务器根据所述第三域名系统请求信息进行信息处理。
16.根据权利要求14所述的方法,其特征在于,所述根据所述反馈类型信息和所述第二密文标记信息进行信息处理,包括:
当所述反馈类型信息表示所述权威域名系统服务器正常识别所述第二域名系统请求信息,并且所述第二密文标记信息表示所述权威域名系统服务器没有解密所述密文敏感信息,根据所述第一域名系统请求信息重构第四域名系统请求信息,其中,所述第四域名系统请求信息包括所述密文敏感信息对应的明文敏感信息;
将所述第四域名系统请求信息发送给所述权威域名系统服务器,使得所述权威域名系统服务器根据所述明文敏感信息进行信息处理。
17.根据权利要求14所述的方法,其特征在于,所述反馈信息还包括目标网际互连协议地址;所述根据所述反馈类型信息和所述第二密文标记信息进行信息处理,包括:
当所述反馈类型信息表示所述权威域名系统服务器正常识别所述第二域名系统请求信息,并且所述第二密文标记信息表示所述权威域名系统服务器正确解密所述密文敏感信息,缓存所述第一域名系统请求信息与所述目标网际互连协议地址之间的映射关系;
将所述反馈信息转发回所述第一域名系统请求信息的发起方。
18.一种中间解析器,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至17任意一项所述的信息处理方法。
19.一种网络设备,其特征在于,包括有如权利要求18所述的中间解析器。
20.一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行权利要求1至17任意一项所述的信息处理方法。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110712488.0A CN115604221A (zh) | 2021-06-25 | 2021-06-25 | 信息处理方法、中间解析器、网络设备及存储介质 |
PCT/CN2022/099220 WO2022267977A1 (zh) | 2021-06-25 | 2022-06-16 | 信息处理方法、中间解析器、网络设备及存储介质 |
EP22827472.6A EP4362421A1 (en) | 2021-06-25 | 2022-06-16 | Information processing method, intermediate parser, network device and storage medium |
US18/547,070 US20240056318A1 (en) | 2021-06-25 | 2022-06-16 | Information processing method, intermediate parser, network device and storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110712488.0A CN115604221A (zh) | 2021-06-25 | 2021-06-25 | 信息处理方法、中间解析器、网络设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115604221A true CN115604221A (zh) | 2023-01-13 |
Family
ID=84544922
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110712488.0A Pending CN115604221A (zh) | 2021-06-25 | 2021-06-25 | 信息处理方法、中间解析器、网络设备及存储介质 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20240056318A1 (zh) |
EP (1) | EP4362421A1 (zh) |
CN (1) | CN115604221A (zh) |
WO (1) | WO2022267977A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115941647A (zh) * | 2023-02-21 | 2023-04-07 | 中国信息通信研究院 | 确保网络标识迭代查询数据可靠性与真实性的方法和装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116980151A (zh) * | 2022-04-22 | 2023-10-31 | 戴尔产品有限公司 | 用于地址加密的方法、电子设备和计算机程序产品 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103825969A (zh) * | 2013-10-29 | 2014-05-28 | 电子科技大学 | 一种基于匿名网络的dns查询方法 |
CN105959433B (zh) * | 2016-07-22 | 2019-02-19 | 无锡华云数据技术服务有限公司 | 一种域名解析方法及其域名解析系统 |
-
2021
- 2021-06-25 CN CN202110712488.0A patent/CN115604221A/zh active Pending
-
2022
- 2022-06-16 EP EP22827472.6A patent/EP4362421A1/en active Pending
- 2022-06-16 WO PCT/CN2022/099220 patent/WO2022267977A1/zh active Application Filing
- 2022-06-16 US US18/547,070 patent/US20240056318A1/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115941647A (zh) * | 2023-02-21 | 2023-04-07 | 中国信息通信研究院 | 确保网络标识迭代查询数据可靠性与真实性的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2022267977A1 (zh) | 2022-12-29 |
EP4362421A1 (en) | 2024-05-01 |
US20240056318A1 (en) | 2024-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11330008B2 (en) | Network addresses with encoded DNS-level information | |
JP4464963B2 (ja) | 暗号で保護されたプレフィクスを用いたインターネットプロトコルネットワーク用のロケーションプライバシー | |
US9088415B2 (en) | Authentication of cache DNS server responses | |
US9729413B2 (en) | Apparatus and method for identifying domain name system tunneling, exfiltration and infiltration | |
US9378245B2 (en) | Name database server, name resolution system, entry search method and entry search program | |
WO2022267977A1 (zh) | 信息处理方法、中间解析器、网络设备及存储介质 | |
JP4054007B2 (ja) | 通信システム、ルータ装置、通信方法、ルーティング方法、通信プログラムおよびルーティングプログラム | |
US20130212127A1 (en) | Name database server, name resolution system, entry search method and entry search program | |
US10341286B2 (en) | Methods and systems for updating domain name service (DNS) resource records | |
CN109688243B (zh) | 基于可信身份标识的传感节点IPv6地址分配方法 | |
US20110099370A1 (en) | Method, apparatus, and system for processing dynamic host configuration protocol message | |
CN112995138B (zh) | 一种数据通信方法、装置、电子设备及可读存储介质 | |
US11888828B2 (en) | Domain name system queries | |
US10965651B2 (en) | Secure domain name system to support a private communication service | |
WO2017185978A1 (zh) | 一种报文解析方法及设备 | |
CN110913036A (zh) | 一种基于权威dns识别终端位置的方法 | |
CN113347198B (zh) | Arp报文处理方法、装置、网络设备及存储介质 | |
CN110832806B (zh) | 针对面向身份的网络的基于id的数据面安全 | |
US20190306110A1 (en) | Experience differentiation | |
WO2008014666A1 (fr) | Appareil et procédé de communication de l'erreur de chaque niveau du paquet de données tunnel dans un réseau de communication | |
CN115941192A (zh) | 一种IPv6地址前缀编码方法、装置、存储介质及电子设备 | |
CN114006724A (zh) | 一种加密dns解析器发现及认证的方法与系统 | |
KR101326360B1 (ko) | Dns 서버 간의 보안 통신 방법 및 이를 위한 관할 dns 서버, 그리고 보안 통신 시스템 | |
JP4294938B2 (ja) | ファイル転送システム、キーサーバ装置、ファイル送信装置、ファイル蓄積装置、ファイル受信装置、ならびに、プログラム | |
CN109120417B (zh) | 计费报文的抄送方法、装置、计费服务器及接入设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |