CN116633701A - 信息传输方法、装置、计算机设备和存储介质 - Google Patents
信息传输方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN116633701A CN116633701A CN202310915601.4A CN202310915601A CN116633701A CN 116633701 A CN116633701 A CN 116633701A CN 202310915601 A CN202310915601 A CN 202310915601A CN 116633701 A CN116633701 A CN 116633701A
- Authority
- CN
- China
- Prior art keywords
- domain name
- request message
- subnet information
- server
- resolved
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 72
- 230000005540 biological transmission Effects 0.000 title claims abstract description 59
- 238000012545 processing Methods 0.000 claims abstract description 45
- 238000004590 computer program Methods 0.000 claims description 25
- MGKJFRPUFVNFPI-GPHNJDIKSA-N dcid Chemical compound C1=CC=C2[C@@]3(OC(=O)C)[C@]4(OC(C)=O)C5=CC=CC=C5C(=O)[C@@H]4[C@H]3C(=O)C2=C1 MGKJFRPUFVNFPI-GPHNJDIKSA-N 0.000 description 18
- 238000010586 diagram Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 11
- 238000004458 analytical method Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000013478 data encryption standard Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000012804 iterative process Methods 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种信息传输方法、装置、计算机设备和存储介质,所述方法包括:基于客户端发送的域名解析请求,获取携带有待解析域名和所述客户端的用户子网信息的请求报文;通过密钥对所述用户子网信息进行加密处理,基于处理得到的加密用户子网信息对所述请求报文进行更新,得到第一请求报文;基于多级域名服务器,对所述第一请求报文中的待解析域名进行迭代查询,得到所述待解析域名的别名;将所述别名、所述密钥和所述加密用户子网信息,发送至调度服务器,使所述调度服务器通过所述密钥对所述加密用户子网信息进行解密处理,根据解密的用户子网信息和所述别名,对所述客户端所需的服务器进行调度。采用本方法能够实现用户子网信息的安全传输。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种信息传输方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
域名系统(Domain Name System,DNS)是一种将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。目前,本运营商通常是使用扩展域名技术(扩展DNS或称EDNS),利用递归的请求报文携带用户子网信息,从而协助内容分发网络(Content Delivery Network,CDN)进行精准调度,实现流量本地化。
然而,目前的请求报文的传输是采用的ECS协议(EDNS-Client-Subnet,DNS服务支持的新协议),本地域名服务器在一级级的迭代查询过程中,请求报文是采用明文传输用户子网信息。但用户子网信息对运营商来说是内部保密信息,且迭代查询的各级DNS域名服务器分属不同的运营实体,因此容易造成运营商的网络信息泄露。
发明内容
基于此,有必要针对上述方法容易造成运营商的网络信息泄露的技术问题,提供一种信息传输方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种应用于本地域名服务器的信息传输方法。所述方法包括:
基于客户端发送的域名解析请求,获取所述客户端的请求报文;所述请求报文携带有待解析域名和所述客户端对应的用户子网信息;
通过密钥对所述用户子网信息进行加密处理,基于处理得到的加密用户子网信息对所述请求报文进行更新,得到第一请求报文;
基于多级域名服务器,对所述第一请求报文中的所述待解析域名进行迭代查询,得到所述待解析域名的别名;
将所述别名、所述密钥和所述加密用户子网信息,发送至调度服务器;所述调度服务器用于通过所述密钥对所述加密用户子网信息进行解密处理,根据解密的用户子网信息和所述别名,对所述客户端所需的服务器进行调度。
在其中一个实施例中,所述通过密钥对所述用户子网信息进行加密处理之前,还包括:
按照所述用户子网信息对应的网络地址格式,生成密钥;
所述通过密钥对所述用户子网信息进行加密处理,包括:
通过预设的加密算法和所述密钥,对所述用户子网信息进行加密处理,得到所述加密用户子网信息。
在其中一个实施例中,所述基于处理得到的加密用户子网信息对所述请求报文进行更新,得到第一请求报文,包括:
将所述加密用户子网信息,封装至所述请求报文的扩展字段中,并删除所述请求报文中的用户子网信息,得到所述第一请求报文。
在其中一个实施例中,所述基于多级域名服务器,对所述第一请求报文中的所述待解析域名进行迭代查询,得到所述待解析域名的别名,包括:
发送所述第一请求报文至根域名服务器;所述根域名服务器用于对所述第一请求报文中的所述待解析域名进行查询,得到所述第一请求报文关联的顶级域名服务器的第一网络地址;
基于所述第一网络地址,发送所述第一请求报文至对应的顶级域名服务器;所述顶级域名服务器用于对所述第一请求报文中的所述待解析域名进行查询,得到所述第一请求报文关联的权限域名服务器的第二网络地址;
基于所述第二网络地址,发送所述第一请求报文至对应的权限域名服务器;所述权限域名服务器用于对所述第一请求报文中的所述待解析域名进行查询,得到所述待解析域名的别名;
接收所述权限域名服务器返回的所述待解析域名的别名。
在其中一个实施例中,所述将所述别名、所述密钥和所述加密用户子网信息,发送至调度服务器,包括:
将所述密钥封装至传输层网络协议中,得到封装后的传输层网络协议,以及基于所述别名和所述加密用户子网信息,得到第二请求报文;
通过所述封装后的传输层网络协议,将所述第二请求报文发送至所述调度服务器。
在其中一个实施例中,所述将所述密钥封装至传输层网络协议中,得到封装后的传输层网络协议,包括:
获取编码格式;
按照所述编码格式,将所述密钥封装至所述传输层网络协议的目标连接标识符中,得到封装后的传输层网络协议;所述目标连接标识符用于建立所述本地域名服务器与所述调度服务器之间的连接。
第二方面,本申请还提供了一种应用于调度服务器的信息传输方法。所述方法包括:
接收本地域名服务器发送的待解析域名的别名、密钥和加密用户子网信息;所述待解析域名的别名为所述本地域名服务器对第一请求报文中的待解析域名进行迭代查询得到;所述第一请求报文为所述本地域名服务器通过所述密钥,对客户端的请求报文携带的用户子网信息进行加密处理,基于处理得到的加密用户子网信息对所述请求报文进行更新得到;所述请求报文为所述本地域名服务器基于所述客户端发送的域名解析请求获取得到;
通过所述密钥对所述加密用户子网信息进行解密处理,得到解密的用户子网信息;
根据所述解密的用户子网信息和所述待解析域名的别名,对所述客户端所需的服务器进行调度。
第三方面,本申请还提供了一种设置于本地域名服务器的信息传输装置。所述装置包括:
获取模块,用于基于客户端发送的域名解析请求,获取所述客户端的请求报文;所述请求报文携带有待解析域名和所述客户端对应的用户子网信息;
加密模块,用于通过密钥对所述用户子网信息进行加密处理,基于处理得到的加密用户子网信息对所述请求报文进行更新,得到第一请求报文;
查询模块,用于基于多级域名服务器,对所述第一请求报文中的所述待解析域名进行迭代查询,得到所述待解析域名的别名;
发送模块,用于将所述别名、所述密钥和所述加密用户子网信息,发送至调度服务器;所述调度服务器用于通过所述密钥对所述加密用户子网信息进行解密处理,根据解密的用户子网信息和所述别名,对所述客户端所需的服务器进行调度。
第四方面,本申请还提供了一种设置于调度服务器的信息传输装置。所述装置包括:
接收模块,用于接收本地域名服务器发送的待解析域名的别名、密钥和加密用户子网信息;所述待解析域名的别名为所述本地域名服务器对第一请求报文中的待解析域名进行迭代查询得到;所述第一请求报文为所述本地域名服务器通过所述密钥,对客户端的请求报文携带的用户子网信息进行加密处理,基于处理得到的加密用户子网信息对所述请求报文进行更新得到;所述请求报文为所述本地域名服务器基于所述客户端发送的域名解析请求获取得到;
解密模块,用于通过所述密钥对所述加密用户子网信息进行解密处理,得到解密的用户子网信息;
调度模块,用于根据所述解密的用户子网信息和所述待解析域名的别名,对所述客户端所需的服务器进行调度。
第五方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
基于客户端发送的域名解析请求,获取所述客户端的请求报文;所述请求报文携带有待解析域名和所述客户端对应的用户子网信息;
通过密钥对所述用户子网信息进行加密处理,基于处理得到的加密用户子网信息对所述请求报文进行更新,得到第一请求报文;
基于多级域名服务器,对所述第一请求报文中的所述待解析域名进行迭代查询,得到所述待解析域名的别名;
将所述别名、所述密钥和所述加密用户子网信息,发送至调度服务器;所述调度服务器用于通过所述密钥对所述加密用户子网信息进行解密处理,根据解密的用户子网信息和所述别名,对所述客户端所需的服务器进行调度。
第六方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
基于客户端发送的域名解析请求,获取所述客户端的请求报文;所述请求报文携带有待解析域名和所述客户端对应的用户子网信息;
通过密钥对所述用户子网信息进行加密处理,基于处理得到的加密用户子网信息对所述请求报文进行更新,得到第一请求报文;
基于多级域名服务器,对所述第一请求报文中的所述待解析域名进行迭代查询,得到所述待解析域名的别名;
将所述别名、所述密钥和所述加密用户子网信息,发送至调度服务器;所述调度服务器用于通过所述密钥对所述加密用户子网信息进行解密处理,根据解密的用户子网信息和所述别名,对所述客户端所需的服务器进行调度。
第七方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
基于客户端发送的域名解析请求,获取所述客户端的请求报文;所述请求报文携带有待解析域名和所述客户端对应的用户子网信息;
通过密钥对所述用户子网信息进行加密处理,基于处理得到的加密用户子网信息对所述请求报文进行更新,得到第一请求报文;
基于多级域名服务器,对所述第一请求报文中的所述待解析域名进行迭代查询,得到所述待解析域名的别名;
将所述别名、所述密钥和所述加密用户子网信息,发送至调度服务器;所述调度服务器用于通过所述密钥对所述加密用户子网信息进行解密处理,根据解密的用户子网信息和所述别名,对所述客户端所需的服务器进行调度。
上述信息传输方法、装置、计算机设备、存储介质和计算机程序产品,本地域名服务器基于客户端发送的域名解析请求,获取客户端的请求报文后,先通过密钥对请求报文中的用户子网信息进行加密处理,基于处理得到的加密用户子网信息对请求报文进行更新,得到第一请求报文,进一步通过传输第一请求报文,实现对待解析域名的迭代查询,由于第一请求报文携带的为加密用户子网信息,由此迭代查询过程中各级域名服务器将无法查看用户子网信息,只可以对待解析域名进行查询,从而可以在不影响业务处理流程的基础上,避免了用户子网信息的泄露。同时在查询到待解析域名的别名后,将别名、密钥和加密用户子网信息,一起发送至调度服务器,使得调度服务器可以通过密钥对加密用户子网信息进行解密,进而能够根据解密的用户子网信息和待解析域名的别名,精确的解析客户端的IP地址,实现精准调度。
附图说明
图1为一个实施例中信息传输方法的应用环境图;
图2为一个实施例中信息传输方法的流程示意图;
图3为一个实施例中信息传输方法的原理示意图;
图4为一个实施例中加密算法的示意图;
图5为一个实施例中QUIC协议中目标连接标识符的编码格式的示意图;
图6为另一个实施例中信息传输方法的流程示意图;
图7为一个实施例中改进的EDNS递归系统和GLSB服务器的内部结构示意图;
图8为一个实施例中信息传输方法业务交互流程的示意图;
图9为一个实施例中信息传输装置的结构框图;
图10为另一个实施例中信息传输装置的结构框图;
图11为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
为便于本领域技术人员更好地理解以下实施例,以下先对本申请涉及的主要缩略语进行简要说明:
DNS,全称为Domain Name System,表示域名系统,是一种将域名和IP地址相互映射的一个分布式数据库。
Local DNS,表示本地域名服务器。
EDNS,扩展的DNS技术。
CDN,全称为Content Delivery Network,表示内容分发网络。
ESC协议,全称为EDNS-Client-Subnet,是EDNS扩展的DNS协议,其目的在于用用户的真实IP地址而不是用户的DNS服务器地址来进行DNS查询。
GSLB服务器,全称为Global Server Load Balance服务器,表示全局负载均衡服务器,主要的目的是在整个网络范围内将用户的请求定向到链路最好的服务器。
QUIC协议,全称为Quick UDP Internet Connections,表示基于UDP的快速网络连接,是一种新型的传输层协议。其中,UDP全称为User Datagram Protocol,表示用户数据报协议,UDP为应用程序提供了一种无需建立连接就可以发送封装的IP数据包的方法。
QUIC CID,或称QUIC Connection ID,为QUIC协议中的连接标识符,用来唯一标识一个连接,当源IP、源端口、目的IP、目的端口中的任一项改变时,只需查看CID,即可判断该连接与之前的连接是否为同一连接。
QUIC中的CID包括目标连接标识符(Destination Connection ID,DCID)和源连接标识符(Source Connection ID,SCID)。其中,DCID是一个在客户端和服务器之间交换的随机值,用于唯一标识一个连接。客户端通过将DCID包含在其初始握手消息中,向服务器指定要连接的特定目标。在建立连接后,服务器将使用DCID来标识连接,并将其包含在所有响应消息中,以便客户端可以正确地将其路由到该连接。
可以理解的是,现有的ESC协议(EDNS Client Subnet)在additional字段用明文传递客户端用户子网信息,其目的是使GSLB服务器可识别到用户网络位置,实现CDN资源的精准业务调度。但在现网部署时存在以下安全隐患:(1)网络信息泄露:在递归迭代过程,各级域名服务器(非运营商所有)均可捕获用户子网信息,导致运营商的网络拓扑泄密,增加网络运维风险。(2)如果内容运营商的授权的域名服务器收集用户地址分布,就可绕开运营商独自开展精准调度服务,给运营商带来损失。
本申请主要面向运营商的Local DNS,使用EDNS技术实现精准调度的业务场景。针对现有EDNS递归报文用明文传输用户子网信息(ECS)容易造成网络信息泄漏的技术缺陷,本申请设计了一种基于QUIC协议传输EDNS信息的方法,一方面提出对原始的用户子网信息加密处理后再送往各级域名服务器传输,既不违背业务处理流程,又可避免网络信息泄露,保证了运营数据的安全。另一方面充分利用QUIC DCID可编程的技术特点,对DCID进行扩展定义,提出在DCID字段中隐藏传输密钥信息,这种方法隐蔽性强,对QUIC传输协议无缝兼容,易于实施。
本申请实施例提供的信息传输方法,可以应用于如图1所示的应用环境中。其中,客户端102通过网络与本地域名服务器104进行通信,本地域名服务器104通过网络与多级域名服务器106和调度服务器108进行通信。数据存储系统可以存储本地域名服务器104需要处理的数据。数据存储系统可以集成在本地域名服务器104上,也可以放在云上或其他网络服务器上。
在本申请的应用场景中,客户端102发送域名解析请求至本地域名服务器104,域名解析请求携带有请求报文,请求报文中携带有待解析域名和客户端对应的用户子网信息。本地域名服务器104接收到请求报文后,通过密钥对请求报文中的用户子网信息进行加密处理,基于处理得到的加密用户子网信息对请求报文进行更新,得到第一请求报文,之后本地域名服务器104会通过多级域名服务器106对第一请求报文中的待解析域名进行迭代查询,得到待解析域名的别名。最后将待解析域名的别名、密钥和加密用户子网信息,一起发送至调度服务器108,使调度服务器108通过密钥对加密用户子网信息进行解密处理,根据解密的用户子网信息和别名,对客户端102对应的服务器进行调度。
其中,客户端102可部署或安装于各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。本地域名服务器104、各级域名服务器106和调度服务器108可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种信息传输方法,以该方法应用于图1中的本地域名服务器104为例进行说明,包括以下步骤:
步骤S210,基于客户端发送的域名解析请求,获取客户端的请求报文;请求报文携带有待解析域名和客户端对应的用户子网信息。
其中,域名(又称网域)是由一串用点分隔的名字组成的互联网上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识,例如,www. example.com便为一个域名。
其中,用户子网信息可以理解为客户端用户的真实IP地址的信息。
其中,请求报文为DNS报文。
具体实现中,当客户端的用户要访问某个网址时,可在浏览器的地址栏中输入待解析域名,执行访问操作,客户端响应于该访问操作,生成携带待解析域名和客户端的用户子网信息的域名解析请求,其中,待解析域名和客户端的用户子网信息以请求报文的形式进行传输。进一步地,域名解析请求会先被路由至本地域名服务器,本地域名服务器基于域名解析请求获取请求报文,对待解析域名进行查询处理。
步骤S220,通过密钥对用户子网信息进行加密处理,基于处理得到的加密用户子网信息对请求报文进行更新,得到第一请求报文。
可以理解的是,本地域名服务器在对待解析域名进行查询时,是通过传输请求报文至多级域名服务器来递归查询待解析域名的,并且,目前本地域名服务器在传输客户端的请求报文时,是采用明文进行的传输,但是用户子网信息对运营商来说是内部保密信息,且用于迭代查询的各级DNS域名服务器分属不同的运营实体,因此容易造成运营商的网络信息泄露。因此,本实施例提出了在进行请求报文的传输前,对请求报文中的用户子网信息进行加密处理,基于得到的加密用户子网信息对请求报文进行更新,由此得到的第一请求报文将包含的是加密用户子网信息和待解析域名,继而第一请求报文在后续的传输过程中,将不会泄露用户子网信息,并且各级域名服务器也可以对待解析域名进行查询处理。
具体实现中,对用户子网信息进行加密处理前,需要先确定用于进行加密的密钥和加密算法,通过确定的密钥和加密算法对用户子网信息进行加密处理,得到加密用户子网信息。其中,密钥是用于加密的依据,也是后续调度服务器用于解密的依据。在完成加密后,可用加密用户子网信息替换请求报文中原有的用户子网信息,将替换处理后得到的请求报文,作为第一请求报文。
步骤S230,基于多级域名服务器,对第一请求报文中的待解析域名进行迭代查询,得到待解析域名的别名。
可以理解的是,域名系统(DNS)实际上为一个存储域名和IP地址对应关系的分布式数据库。域名解析的结果有两种,一种叫A记录,返回的是域名对应的IP地址;另一种为CNAME记录,返回的是另一个域名,也就是说当前域名的解析要跳转至另一个域名的解析上。本申请中,为利用DNS技术协助内容分发网络进行的服务器调度,因此,需要域名系统返回的是另一个域名(别名),从而内容分发网络可通过另一个域名进行服务器的调度。也就是说,在用户访问某网页、视频等资源时,会将域名指向另一个内容分发网络中定义的域名,再解析成另一个IP地址来供客户端进行访问。因此,待解析域名的别名可以理解为待解析域名在内容分发网络中定义的另一个域名。
具体实现中,本地域名服务器对待解析域名的迭代查询,通过多级域名服务器实现,多级域名服务器包括根域名服务器、顶级域名服务器和权限域名服务器等。若本地域名服务器不知道待解析域名的别名,则本地域名服务器将向根域名服务器继续查询,根域名服务器通知本地域名服务器下一步到哪里去查询,然后本地域名服务器再去查询,以此类推,直至查询到待解析域名的别名,本地域名服务器每次都是以客户端的身份去各级域名服务器进行查询,这种查询方式称为迭代查询。
在本步骤中,为了防止用户子网信息的泄露,本地域名服务器在对待解析域名进行查询时,是通过在各级域名服务器上传输第一请求报文来实现的迭代查询,由于第一请求报文中的用户子网信息已经被加密处理,因此,各级域名服务器将无法得到客户端的用户子网信息,由此保证用户子网信息的安全传输。
步骤S240,将别名、密钥和加密用户子网信息,发送至调度服务器;调度服务器用于通过密钥对加密用户子网信息进行解密处理,根据解密的用户子网信息和别名,对客户端所需的服务器进行调度。
其中,调度服务器属于内容分发网络中的一个设备,调度服务器具体可为全局负载均衡(Global Server Load Balance,GSLB)服务器,用于将客户端的域名解析请求定向到最优的服务器,为客户端提供服务。
具体实现中,在查询得到待解析域名的别名后,本地域名服务器可将该别名与加密用户子网信息作为第二请求报文,发送至内容分发网络中的调度服务器,使调度服务器查询该别名对应的网络地址。另外,由于调度服务器用于确定为客户端提供服务的服务器,因此,为了实现精准调度,调度服务器还需要知道客户端的用户子网信息,故而需要本地域名服务器在将第二请求报文发送至调度服务器的同时,将加密用户子网信息的密钥一同发送给调度服务器,以使调度服务器能够通过密钥对加密用户子网信息进行解密处理,得到客户端的用户子网信息,进而能够根据用户子网信息和待解析域名的别名,精确的解析客户端的IP地址,实现精准调度。
参考图3,为本申请提供的信息传输方法的原理示意图,如图3所示,本地域名服务器包括EDNS缓存系统和EDNS递归系统,在获取到用户通过客户端发送的请求报文后,先查找EDNS缓存系统中是否存在请求报文中的待解析域名的解析记录,若存在,则直接返回相应的解析记录至客户端;若不存在,则通过EDNS递归系统对待解析域名进行进一步查询处理。其中,EDNS递归系统在查询处理时,发往根域名服务器、顶级域名服务器和权限域名服务器等各级域名服务器的报文,包含的是加密用户子网信息,但不包含密钥,从而可防止用户子网信息的泄露。而发往调度服务器(GLSB服务器)进行递归查询时,发起QUIC连接的DCID中含有密钥信息,使调度服务器可解密还原原始的用户子网信息,保证精准调度的实现。
上述信息传输方法中,本地域名服务器基于客户端发送的域名解析请求,获取客户端的请求报文后,先通过密钥对请求报文中的用户子网信息进行加密处理,基于处理得到的加密用户子网信息对请求报文进行更新,得到第一请求报文,进一步通过传输第一请求报文,实现对待解析域名的迭代查询,由于第一请求报文携带的为加密用户子网信息,由此迭代查询过程中各级域名服务器将无法查看用户子网信息,只可以对待解析域名进行查询,从而可以在不影响业务处理流程的基础上,避免了用户子网信息的泄露。同时在查询到待解析域名的别名后,将别名、密钥和加密用户子网信息,一起发送至调度服务器,使得调度服务器可以通过密钥对加密用户子网信息进行解密,进而能够根据解密的用户子网信息和待解析域名的别名,精确的解析客户端的IP地址,实现精准调度。
在一示例性实施例中,上述步骤S220中通过密钥对用户子网信息进行加密处理之前,还包括:按照用户子网信息对应的网络地址格式,生成密钥;
通过密钥对用户子网信息进行加密处理,具体包括:通过预设的加密算法和密钥,对用户子网信息进行加密处理,得到加密用户子网信息。
具体实现中,本地域名服务器可按照用户子网信息对应的网络地址格式,生成密钥,密钥格式为32位的IP地址格式,在生成密钥后,可通过预设的加密算法和密钥,对用户子网信息进行加密处理,得到加密用户子网信息。
例如,参考图4,为一实施例示出的加密算法的示意图,如图4所示,设原始的用户子网信息为“1.2.3.4”,密钥KEY=“120.233.28.122”,通过密钥对用户子网信息进行加密处理的加密算法为将密钥与用户子网信息中用点分隔的信息相加,例如,1+120=121,2+233=235,3+28=31,4+122=126,因此,得到的加密用户子网信息为“121.235.31.126”。
另外,加密处理后得到的加密用户子网信息符合ESC协议的字段格式要求,其中,ESC协议(EDNS-Client-Subnet)是EDNS扩展的DNS协议,其目的在于用用户的真实IP地址而不是用户的DNS服务器地址来进行DNS查询。
需要说明的是,本实施例示出的加密算法仅用作示例性说明,本申请提供的信息传输方法也可以兼容不同的加/解密算法,例如,数据加密标准算法(Data EncryptionStandard,DES,一种使用密钥加密的块算法)、高级加密标准算法(Advanced EncryptionStandard,AES,一种分组加密算法)、对称流密码算法(Rivest Cipher 4,RC4)等。
本实施例中,按照用户子网信息对应的网络地址格式,生成密钥,使得密钥的格式与用户子网信息的网络地址格式相一致,从而便于对用户子网信息进行加密,进而使得后续对待解析域名进行迭代查询过程中,各级域名服务器不会获知用户子网信息,提高用户子网信息传输过程中的安全性。
在一示例性实施例中,上述步骤S220中基于处理得到的加密用户子网信息对请求报文进行更新,得到第一请求报文,具体包括:将加密用户子网信息,封装至请求报文的扩展字段中,并删除请求报文中的用户子网信息,得到第一请求报文。
具体实现中,为了避免用户子网信息在迭代查询待解析域名过程中的泄露,因此,需要在对待解析域名进行迭代查询前,先基于加密用户子网信息对请求报文进行更新,使得更新的第一请求报文携带的为加密用户子网信息。具体而言,基于加密用户子网信息对请求报文的更新可以为用加密用户子网信息替换请求报文中的用户子网信息,更具体地,为删除请求报文中原始的用户子网信息,将加密用户子网信息封装至请求报文的扩展字段“additional”中,由此得到携带加密用户子网信息和待解析域名的第一请求报文。
本实施例中,通过将加密用户子网信息,封装至请求报文的扩展字段中,并删除请求报文中的用户子网信息,使得第一请求报文携带的为加密用户子网信息,从而后续在通过传输第一请求报文进行待解析域名的查询的过程中,可以避免用户子网信息的泄露,加固EDNS业务的安全性。
在一示例性实施例中,上述步骤S230中对第一请求报文中的待解析域名进行迭代查询,得到待解析域名的别名,具体包括:
步骤S231,发送第一请求报文至根域名服务器;根域名服务器用于对第一请求报文中的待解析域名进行查询,得到第一请求报文关联的顶级域名服务器的第一网络地址;
步骤S232,基于第一网络地址,发送第一请求报文至对应的顶级域名服务器;顶级域名服务器用于对第一请求报文中的待解析域名进行查询,得到第一请求报文关联的权限域名服务器的第二网络地址;
步骤S233,基于第二网络地址,发送第一请求报文至对应的权限域名服务器;权限域名服务器用于对第一请求报文中的待解析域名进行查询,得到待解析域名的别名;
步骤S234,接收权限域名服务器返回的待解析域名的别名。
具体实现中,本地域名服务器针对待解析域名进行迭代查询的过程为:发送第一请求报文至根域名服务器,根域名服务器在收到第一请求报文后,先查询自己的缓存,如果有待解析域名的解析记录,则直接将记录返回给本地域名服务器,若没有,则根据第一请求报文中的待解析域名的后缀确定关联的顶级域名服务器(如.com,.cn等)的第一网络地址,并返回第一网络地址至本地域名服务器;本地域名服务器根据第一网络地址向对应的顶级域名服务器发送第一请求报文,对应的顶级域名服务器在收到第一请求报文后,先查询自己的缓存,如果有待解析域名的解析记录,则直接将记录返回给本地域名服务器,若没有,则会将查询的权限域名服务器的第二网络地址返回给本地域名服务器,以此类推,直至最终对应的权限域名服务器将查询到的待解析域名的别名返回给本地域名服务器。
本实施例中,通过在各级域名服务器上对待解析域名进行迭代查询,得到待解析域名的别名,能够根据查询条件逐步缩小查询范围,获取查询结果,避免重复查询的问题,提高查询效率。
在一示例性实施例中,上述步骤S240中,将别名、密钥和加密用户子网信息,发送至调度服务器,包括:将密钥封装至传输层网络协议中,得到封装后的传输层网络协议,以及基于别名和加密用户子网信息,得到第二请求报文;通过封装后的传输层网络协议,将第二请求报文发送至调度服务器。
其中,传输层网络协议具体可为QUIC协议(Quick UDP Internet Connections,基于UDP的快速网络连接),是一种新型的传输层协议。其中,UDP全称为User DatagramProtocol,表示用户数据报协议,UDP为应用程序提供了一种无需建立连接就可以发送封装的IP数据包的方法。
具体实现中,将密钥传输至内容分发网络(CDN)中的调度服务器,本申请采用了基于QUIC协议传输密钥的方法,通过对QUIC协议进行扩展,将密钥封装至QUIC协议中,得到封装后的QUIC协议,进一步利用封装后的QUIC协议发起与调度服务器的连接,实现将密钥传输至调度服务器,同时基于待解析域名在内容分发网络(CDN)中的别名和加密用户子网信息,得到第二请求报文,在通过封装后的QUIC协议发起与调度服务器的连接的同时,将第二请求报文发送至调度服务器,由此实现将待解析域名、加密用户子网信息,以及加密用户子网信息的密钥均发送至调度服务器,使得调度服务器可以通过密钥对加密用户子网信息进行解密,进而能够根据解密的用户子网信息和待解析域名的别名,精确的解析客户端的IP地址,实现精准调度。
本实施例中,基于QUIC协议实现EDNS信息传输的方法,对QUIC协议进行扩展,定义密钥传输方法,从而可解决用户子网信息泄漏问题,加固EDNS业务的安全性。
进一步地,在一示例性实施例中,将密钥封装至传输层网络协议中,得到封装后的传输层网络协议,包括:获取编码格式;按照编码格式,将密钥封装至传输层网络协议的目标连接标识符中,得到封装后的传输层网络协议;目标连接标识符用于建立本地域名服务器与调度服务器之间的连接。
具体实现中,将密钥封装至传输层网络协议的目标连接标识符中具体为封装至目标连接标识符的Decode Key字段中,编码格式是指针对传输层网络协议的编码格式,具体为针对QUIC协议中的目标连接标识符(DCID)的编码格式,QUIC连接使用随机生成的64bit(比特)的CID唯一确定,因此,目标连接标识符(DCID)也是64bit,在编码过程中,需保证DCID的后31~64位不变。
例如,参考图5,为一实施例示出的QUIC协议中连接标识符的编码格式的示意图,包括如下字段:
QUIC Connection ID {
First Octet (8),
Random Bits (20),
Decode Version (4)
Decode Key (32),
Nonce (96),
}
其中,First Octet 表示第一个八位字节,Random Bits表示随机比特位,共有20位,QUICDCID的Decode Version标识加密类型,共有4位;DecodeKey字段为填入密钥的字段,为32位,因此,密钥也需为32位,密钥格式按IP地址格式生成;Nonce字段为临时字段。
本实施例提供的密钥传输方法,充分利用QUIC DCID可编程的技术特点,对DCID进行扩展定义,提出在DCID字段中隐藏传输密钥信息,这种方法隐蔽性强,对QUIC传输协议无缝兼容,易于实施。
在一个实施例中,如图6所示,提供了一种信息传输方法,以该方法应用于图1中的调度服务器108为例进行说明,包括以下步骤:
步骤S610,接收本地域名服务器发送的待解析域名的别名、密钥和加密用户子网信息;待解析域名的别名为本地域名服务器对第一请求报文中的待解析域名进行迭代查询得到;第一请求报文为本地域名服务器通过密钥,对客户端的请求报文携带的用户子网信息进行加密处理,基于处理得到的加密用户子网信息对请求报文进行更新得到;请求报文为本地域名服务器基于客户端发送的域名解析请求获取得到;
步骤S620,通过密钥对加密用户子网信息进行解密处理,得到解密的用户子网信息;
步骤S630,根据解密的用户子网信息和待解析域名的别名,对客户端所需的服务器进行调度。
具体实现中,当客户端的用户要访问某个网址时,可在浏览器的地址栏中输入待解析域名,执行访问操作,客户端响应于该访问操作,生成携带待解析域名和客户端的用户子网信息的域名解析请求,其中,待解析域名和客户端的用户子网信息以请求报文的形式进行传输。进一步地,域名解析请求会先被路由至本地域名服务器,本地域名服务器基于域名解析请求获取请求报文,对待解析域名进行查询处理。并且,为了避免用户子网信息的泄露,本地域名服务器会对用户子网信息进行加密处理,并用得到的加密用户子网信息替换请求报文中原有的用户子网信息,将替换处理后得到的请求报文,作为第一请求报文。然后本地域名服务器通过多级域名服务器,对待解析域名的迭代查询,得到待解析域名的别名,之后将该别名、加密用户子网信息和密钥一同发送给调度服务器。调度服务器接收到待解析域名的别名、加密用户子网信息和密钥后,则可按照约定的方式取出密钥,对用户子网信息进行解密处理,得到客户端原始的用户子网信息,进而可根据用户子网信息和待解析域名的别名,精确的解析客户端的IP地址,实现精准调度。
本实施例在查询到待解析域名的别名后,将别名、密钥和加密用户子网信息,一起发送至调度服务器,使得调度服务器可以通过密钥对加密用户子网信息进行解密,进而能够根据解密的用户子网信息和待解析域名的别名,精确的解析客户端的IP地址,实现精准调度。同时发给各级域名服务器的为第一请求报文,由于第一请求报文携带的为加密用户子网信息,由此迭代查询过程中各级域名服务器将无法查看用户子网信息,只可以对待解析域名进行查询,从而可以在不影响业务处理流程的基础上,避免了用户子网信息的泄露。
在一个实施例中,为了便于本领域技术人员理解本申请实施例,以下将结合附图的具体示例进行说明。
参考图7,示出了本申请改进的EDNS递归系统和GLSB服务器的内部结构示意图,如图7所示,本申请在EDNS递归系统的内部新增了用户子网信息加密模块和QUIC CID编码模块,在GLSB服务器内部新增了用户子网信息解密模块。新增的各模块的主要功能说明如下:
(1)用户子网信息加密模块的主要功能包括:
用户子网信息管理。维护原始的用户子网信息数据表,包括原始的用户子网信息所对应的视图,加密前/后的用户子网信息的关联存储,以及用户子网信息列表的增、删、改、查等维护操作。
用户子网信息加密运算。从QUIC Connection ID编码模块提取密钥,用约定的加密算法对原始的用户子网信息进行加密运算处理。
加密结果同步输出。加密结果返回用户子网信息数据表保存,并向EDNS递归模块输出。
(2)QUIC CID编码模块的主要功能包括:
密钥和GSLB服务器关联。密钥由本地域名服务器产生,发往同一GSLB服务器的递归请求使用相同密钥。密钥按下述的编码方式存放在发起QUIC连接时的DCID中。
QUIC Connection ID编码:按图5所示的编码方式生成QUIC协议的目标连接标识符(目标CID,DCID),并在整个服务流程中,保证DCID的后31~64位不变。
(3)用户子网信息解密模块的主要功能包括:
QUIC Connection ID解析。从来自本地域名服务器的QUIC连接的CID中,按约定格式提取密钥信息。
密钥和用户子网信息关联管理。维护密钥、加密用户子网信息、原始的用户子网信息的关联列表,供GSLB递归模块调用。
解密及原始的用户子网信息输出。取得密钥后,用约定的解密算法还原原始的用户子网信息,解密结果返回用户子网信息关联列表同步保存,并向GSLB递归模块输出。
本申请提出的信息传输方法,具有以下效果:(1)随着DNS over QUIC的不断推广应用,使用本申请的信息传输方法可避免用户子网信息泄露风险,完善了EDNS业务安全性,可促进EDNS的进一步部署以及内容分发网络节点的下沉工作,在网络建设和网络维护方面具有很高的推广价值。(2)本申请的方法遵循现有IETF QUIC标准,在EDNS的递归系统增加相应的处理模块,不违背原有的EDNS访问流程,不影响EDNS的正常业务开展,模块开发难度不大,易于在现网设备上升级部署。
参考图8,为一实施例示出的信息传输方法业务交互流程的示意图,如图8所示,本申请在本地域名服务器的EDNS递归系统,新增用户子网信息加密模块和QUIC CID编码模块,在内容分发网络的GSLB服务器中新增用户子网信息解密模块,而其他各级DNS服务器无需作任何改动。
主要业务交互流程包括:
客户端发送请求报文至本地域名服务器,本地域名服务器的EDNS缓存系统查询是否存在请求报文中待解析域名的解析记录,若不存在,则将客户端的请求报文发送至EDNS递归系统,如图8所示,设请求报文携带的用户子网信息为“1.2.3.4”,待解析域名为“qq.com”。
EDNS递归系统接收到请求报文后,通过用户子网信息加密模块对请求报文中原始的用户子网信息进行加密,并仍然使用DNS的additional扩展字段传输加密用户子网信息。同时,使用QUIC CID编码模块生成内含密钥信息的目标连接标识符(DICD),该DCID用于建立与GSLB服务器的QUIC连接。
之后,EDNS递归系统发送包含加密用户子网信息和待解析域名,但不含密钥的第一请求报文给根等各级域名服务器,得到返回的待解析域名的别名(CNAME):“qq.com.cdn1.net”。以及发送包含加密用户子网信息、待解析域名,以及携带密钥的QUICDCID至GSLB服务器,GSLB服务器使用密钥对加密用户子网信息解密还原,返回精确的域名解析结果,如根据用户子网信息“1.2.3.4”精确解析“qq.com”为“9.10.10.1”。根等各级DNS域名服务器由于没有密钥,无法对用户子网信息解密,从而避免网络信息泄漏风险。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的信息传输方法的信息传输装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个信息传输装置实施例中的具体限定可以参见上文中对于信息传输方法的限定,在此不再赘述。
在一个实施例中,如图9所示,提供了一种设置于本地域名服务器的信息传输装置,包括:获取模块910、加密模块920、查询模块930和发送模块940,其中:
获取模块910,用于基于客户端发送的域名解析请求,获取客户端的请求报文;请求报文携带有待解析域名和客户端对应的用户子网信息;
加密模块920,用于通过密钥对用户子网信息进行加密处理,基于处理得到的加密用户子网信息对请求报文进行更新,得到第一请求报文;
查询模块930,用于基于多级域名服务器,对第一请求报文中的待解析域名进行迭代查询,得到待解析域名的别名;
发送模块940,用于将别名、密钥和加密用户子网信息,发送至调度服务器;调度服务器用于通过密钥对加密用户子网信息进行解密处理,根据解密的用户子网信息和别名,对客户端所需的服务器进行调度。
在其中一个实施例中,加密模块920,还用于按照用户子网信息对应的网络地址格式,生成密钥;通过预设的加密算法和密钥,对用户子网信息进行加密处理,得到加密用户子网信息。
在其中一个实施例中,加密模块920,还用于将加密用户子网信息,封装至请求报文的扩展字段中,并删除请求报文中的用户子网信息,得到第一请求报文。
在其中一个实施例中,查询模块930,还用于发送第一请求报文至根域名服务器;根域名服务器用于对第一请求报文中的待解析域名进行查询,得到第一请求报文关联的顶级域名服务器的第一网络地址;基于第一网络地址,发送第一请求报文至对应的顶级域名服务器;顶级域名服务器用于对第一请求报文中的待解析域名进行查询,得到第一请求报文关联的权限域名服务器的第二网络地址;基于第二网络地址,发送第一请求报文至对应的权限域名服务器;权限域名服务器用于对第一请求报文中的待解析域名进行查询,得到待解析域名的别名;接收权限域名服务器返回的待解析域名的别名。
在其中一个实施例中,发送模块940,还用于协议中,得到封装后的传输层网络协议,以及基于别名和加密用户子网信息,得到第二请求报文;通过封装后的传输层网络协议,将第二请求报文发送至调度服务器。
在其中一个实施例中,发送模块940,还用于获取编码格式;按照编码格式,将密钥封装至传输层网络协议的目标连接标识符中,得到封装后的传输层网络协议;目标连接标识符用于建立本地域名服务器与调度服务器之间的连接。
在一个实施例中,如图10所示,还提供了一种设置于本地域名服务器的信息传输装置,包括:接收模块1001、解密模块1002和调度模块1003,其中:
接收模块1001,用于接收本地域名服务器发送的待解析域名的别名、密钥和加密用户子网信息;待解析域名的别名为本地域名服务器对第一请求报文中的待解析域名进行迭代查询得到;第一请求报文为本地域名服务器通过密钥,对客户端的请求报文携带的用户子网信息进行加密处理,基于处理得到的加密用户子网信息对请求报文进行更新得到;请求报文为本地域名服务器基于客户端发送的域名解析请求获取得到;
解密模块1002,用于通过密钥对加密用户子网信息进行解密处理,得到解密的用户子网信息;
调度模块1003,用于根据解密的用户子网信息和待解析域名的别名,对客户端所需的服务器进行调度。
上述信息传输装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图11所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储信息传输过程中的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种信息传输方法。
本领域技术人员可以理解,图11中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(MagnetoresistiveRandom Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccessMemory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (12)
1.一种信息传输方法,其特征在于,应用于本地域名服务器,所述方法包括:
基于客户端发送的域名解析请求,获取所述客户端的请求报文;所述请求报文携带有待解析域名和所述客户端对应的用户子网信息;
通过密钥对所述用户子网信息进行加密处理,基于处理得到的加密用户子网信息对所述请求报文进行更新,得到第一请求报文;
基于多级域名服务器,对所述第一请求报文中的所述待解析域名进行迭代查询,得到所述待解析域名的别名;
将所述别名、所述密钥和所述加密用户子网信息,发送至调度服务器;所述调度服务器用于通过所述密钥对所述加密用户子网信息进行解密处理,根据解密的用户子网信息和所述别名,对所述客户端所需的服务器进行调度。
2.根据权利要求1所述的方法,其特征在于,所述通过密钥对所述用户子网信息进行加密处理之前,还包括:
按照所述用户子网信息对应的网络地址格式,生成密钥;
所述通过密钥对所述用户子网信息进行加密处理,包括:
通过预设的加密算法和所述密钥,对所述用户子网信息进行加密处理,得到所述加密用户子网信息。
3.根据权利要求1所述的方法,其特征在于,所述基于处理得到的加密用户子网信息对所述请求报文进行更新,得到第一请求报文,包括:
将所述加密用户子网信息,封装至所述请求报文的扩展字段中,并删除所述请求报文中的用户子网信息,得到所述第一请求报文。
4.根据权利要求1所述的方法,其特征在于,所述基于多级域名服务器,对所述第一请求报文中的所述待解析域名进行迭代查询,得到所述待解析域名的别名,包括:
发送所述第一请求报文至根域名服务器;所述根域名服务器用于对所述第一请求报文中的所述待解析域名进行查询,得到所述第一请求报文关联的顶级域名服务器的第一网络地址;
基于所述第一网络地址,发送所述第一请求报文至对应的顶级域名服务器;所述顶级域名服务器用于对所述第一请求报文中的所述待解析域名进行查询,得到所述第一请求报文关联的权限域名服务器的第二网络地址;
基于所述第二网络地址,发送所述第一请求报文至对应的权限域名服务器;所述权限域名服务器用于对所述第一请求报文中的所述待解析域名进行查询,得到所述待解析域名的别名;
接收所述权限域名服务器返回的所述待解析域名的别名。
5.根据权利要求1所述的方法,其特征在于,所述将所述别名、所述密钥和所述加密用户子网信息,发送至调度服务器,包括:
将所述密钥封装至传输层网络协议中,得到封装后的传输层网络协议,以及基于所述别名和所述加密用户子网信息,得到第二请求报文;
通过所述封装后的传输层网络协议,将所述第二请求报文发送至所述调度服务器。
6.根据权利要求5所述的方法,其特征在于,所述将所述密钥封装至传输层网络协议中,得到封装后的传输层网络协议,包括:
获取编码格式;
按照所述编码格式,将所述密钥封装至所述传输层网络协议的目标连接标识符中,得到封装后的传输层网络协议;所述目标连接标识符用于建立所述本地域名服务器与所述调度服务器之间的连接。
7.一种信息传输方法,其特征在于,应用于调度服务器,所述方法包括:
接收本地域名服务器发送的待解析域名的别名、密钥和加密用户子网信息;所述待解析域名的别名为所述本地域名服务器对第一请求报文中的待解析域名进行迭代查询得到;所述第一请求报文为所述本地域名服务器通过所述密钥,对客户端的请求报文携带的用户子网信息进行加密处理,基于处理得到的加密用户子网信息对所述请求报文进行更新得到;所述请求报文为所述本地域名服务器基于所述客户端发送的域名解析请求获取得到;
通过所述密钥对所述加密用户子网信息进行解密处理,得到解密的用户子网信息;
根据所述解密的用户子网信息和所述待解析域名的别名,对所述客户端所需的服务器进行调度。
8.一种信息传输装置,其特征在于,设置于本地域名服务器,所述装置包括:
获取模块,用于基于客户端发送的域名解析请求,获取所述客户端的请求报文;所述请求报文携带有待解析域名和所述客户端对应的用户子网信息;
加密模块,用于通过密钥对所述用户子网信息进行加密处理,基于处理得到的加密用户子网信息对所述请求报文进行更新,得到第一请求报文;
查询模块,用于基于多级域名服务器,对所述第一请求报文中的所述待解析域名进行迭代查询,得到所述待解析域名的别名;
发送模块,用于将所述别名、所述密钥和所述加密用户子网信息,发送至调度服务器;所述调度服务器用于通过所述密钥对所述加密用户子网信息进行解密处理,根据解密的用户子网信息和所述别名,对所述客户端所需的服务器进行调度。
9.一种信息传输装置,其特征在于,设置于调度服务器,所述装置包括:
接收模块,用于接收本地域名服务器发送的待解析域名的别名、密钥和加密用户子网信息;所述待解析域名的别名为所述本地域名服务器对第一请求报文中的待解析域名进行迭代查询得到;所述第一请求报文为所述本地域名服务器通过所述密钥,对客户端的请求报文携带的用户子网信息进行加密处理,基于处理得到的加密用户子网信息对所述请求报文进行更新得到;所述请求报文为所述本地域名服务器基于所述客户端发送的域名解析请求获取得到;
解密模块,用于通过所述密钥对所述加密用户子网信息进行解密处理,得到解密的用户子网信息;
调度模块,用于根据所述解密的用户子网信息和所述待解析域名的别名,对所述客户端所需的服务器进行调度。
10.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的信息传输方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的信息传输方法的步骤。
12.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至7中任一项所述的信息传输方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310915601.4A CN116633701B (zh) | 2023-07-25 | 2023-07-25 | 信息传输方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310915601.4A CN116633701B (zh) | 2023-07-25 | 2023-07-25 | 信息传输方法、装置、计算机设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116633701A true CN116633701A (zh) | 2023-08-22 |
CN116633701B CN116633701B (zh) | 2023-10-27 |
Family
ID=87610251
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310915601.4A Active CN116633701B (zh) | 2023-07-25 | 2023-07-25 | 信息传输方法、装置、计算机设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116633701B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117278211A (zh) * | 2023-09-27 | 2023-12-22 | 北京火山引擎科技有限公司 | 基于内容分发网络的域名加密方法、解密方法和装置 |
CN117997868A (zh) * | 2024-04-01 | 2024-05-07 | 北京长亭未来科技有限公司 | Cdn场景下有效域名的筛选方法、装置、电子设备和介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106357841A (zh) * | 2016-11-02 | 2017-01-25 | 腾讯科技(深圳)有限公司 | 一种域名解析方法、装置和系统 |
CN106936945A (zh) * | 2017-04-25 | 2017-07-07 | 中国联合网络通信集团有限公司 | 分布式域名解析方法及装置 |
CN110113364A (zh) * | 2019-05-29 | 2019-08-09 | 深圳市网心科技有限公司 | 域名劫持防御方法及装置、计算机装置及存储介质 |
US20190306110A1 (en) * | 2018-04-03 | 2019-10-03 | Comcast Cable Communications, Llc | Experience differentiation |
CN111818196A (zh) * | 2020-07-22 | 2020-10-23 | 深圳市有方科技股份有限公司 | 域名解析方法、装置、计算机设备和存储介质 |
-
2023
- 2023-07-25 CN CN202310915601.4A patent/CN116633701B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106357841A (zh) * | 2016-11-02 | 2017-01-25 | 腾讯科技(深圳)有限公司 | 一种域名解析方法、装置和系统 |
CN106936945A (zh) * | 2017-04-25 | 2017-07-07 | 中国联合网络通信集团有限公司 | 分布式域名解析方法及装置 |
US20190306110A1 (en) * | 2018-04-03 | 2019-10-03 | Comcast Cable Communications, Llc | Experience differentiation |
CN110113364A (zh) * | 2019-05-29 | 2019-08-09 | 深圳市网心科技有限公司 | 域名劫持防御方法及装置、计算机装置及存储介质 |
CN111818196A (zh) * | 2020-07-22 | 2020-10-23 | 深圳市有方科技股份有限公司 | 域名解析方法、装置、计算机设备和存储介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117278211A (zh) * | 2023-09-27 | 2023-12-22 | 北京火山引擎科技有限公司 | 基于内容分发网络的域名加密方法、解密方法和装置 |
CN117997868A (zh) * | 2024-04-01 | 2024-05-07 | 北京长亭未来科技有限公司 | Cdn场景下有效域名的筛选方法、装置、电子设备和介质 |
Also Published As
Publication number | Publication date |
---|---|
CN116633701B (zh) | 2023-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108123800B (zh) | 密钥管理方法、装置、计算机设备及存储介质 | |
CN109983752B (zh) | 带有编码dns级信息的网络地址 | |
US9754128B2 (en) | Dynamic pseudonymization method for user data profiling networks and user data profiling network implementing the method | |
US8489637B2 (en) | User-based DNS server access control | |
JP3263878B2 (ja) | 暗号通信システム | |
US9674157B2 (en) | Secure network communication | |
CN109981633B (zh) | 访问服务器的方法、设备及计算机可读存储介质 | |
US20210092106A1 (en) | User authentication in communication systems | |
CN116633701B (zh) | 信息传输方法、装置、计算机设备和存储介质 | |
CN114449363B (zh) | 一种基于IPv6的可编码可溯源的数字对象管控方法 | |
US20170302681A1 (en) | System and method for parallel secure content bootstrapping in content-centric networks | |
CN113094334B (zh) | 基于分布式存储的数字服务方法、装置、设备及储存介质 | |
US10965651B2 (en) | Secure domain name system to support a private communication service | |
US20190306110A1 (en) | Experience differentiation | |
CN113364781A (zh) | 请求处理方法及系统 | |
CN114448936A (zh) | 一种基于IPv6可编码可溯源的网络传输规则验证方法 | |
CN108881257B (zh) | 分布式搜索集群加密传输方法及加密传输分布式搜索集群 | |
CN114979253A (zh) | 数据推送决策方法及装置 | |
US11991291B1 (en) | Content-based domain name enconding, encryption, and routing system | |
US11892997B1 (en) | Content-based sharding and routing system | |
CN113783847B (zh) | 消息交互方法、装置、计算机设备和存储介质 | |
CN113169965B (zh) | 一种资源配置方法、设备及存储介质 | |
CN109274765B (zh) | 一种数据传输方法、设备及系统 | |
US20240146766A1 (en) | Stateless network address privacy (snap) | |
Subramanian et al. | An Architectural Framework for Secure Cloud data Storage Management by using Orthogonal Handshaking Authentication Mechanism (OHSAM) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |