CN116938876A - 域名接入控制方法、系统、设备和存储介质 - Google Patents
域名接入控制方法、系统、设备和存储介质 Download PDFInfo
- Publication number
- CN116938876A CN116938876A CN202311005924.6A CN202311005924A CN116938876A CN 116938876 A CN116938876 A CN 116938876A CN 202311005924 A CN202311005924 A CN 202311005924A CN 116938876 A CN116938876 A CN 116938876A
- Authority
- CN
- China
- Prior art keywords
- domain name
- identification code
- query request
- access control
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000004044 response Effects 0.000 claims description 48
- 238000012795 verification Methods 0.000 claims description 10
- 238000004458 analytical method Methods 0.000 claims description 7
- 238000004806 packaging method and process Methods 0.000 claims description 6
- 230000008859 change Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种域名接入控制方法、系统、设备和存储介质,该方法包括:接收域名查询请求;在所述域名查询请求的报文通过安全校验后,获取预先配置的目标标识码,将所述目标标识码封装到所述域名查询请求中;将封装有目标标识码的域名查询请求发送到域名服务器,所述域名服务器将所述域名查询请求中的目标标识码与接入控制列表的至少一个标识码进行比对,若比对成功,则确认所述域名查询请求鉴权认证通过;其中,在所述接入控制列表中的至少一个标识码包含所述目标标识码时,确认比对成功。本申请可以减少域名接入的复杂度。
Description
技术领域
本申请涉及互联网域名技术领域,特别是涉及一种域名接入控制方法、系统、设备和存储介质。
背景技术
目前,DNS(Domain Name System,域名系统)作为互联网的关键基础设施,要实现准确的接入,并保证解析接入的合法性,大多采用了无状态UDP(User Datagram Protocol,用户数据报协议)加明文和IP的方式进行域名解析,这种简单易用性提升用户域名访问的体验,但对于一些出口IP不固定又需要接入DNS服务器的用户,显然无法以这种解析访问方式实现,由于出口IP不停变化,致使解析请求无法安全有效的接入。
目前主流的DNS服务器都是按标准的DNS协议解析加IP接入的方式实现域名解析,虽然可以通过DNS访问控制过滤器对解析请求的接入IP进行鉴权放行等处理。但是这种接入识别放行处理都存在一个共性问题:许多互联网公司并未采用固定的出口IP接入互联网,因此,在域名解析时携带的源地址总是在不停的变化,这就导致需要在域名解析请求之前,不停更新本地出口IP至DNS服务器的访问控制接入IP列表中,才能完成对客户域名解析请求的正常识别并返回正确的解析结果,整个流程操作复杂,并且给用户产生额外的使用负担。因此,如何解决用户出口IP不停变更导致的解析接入复杂的问题,是亟需解决的技术问题。
发明内容
基于此,本申请提供了一种域名接入控制方法、系统、设备和存储介质,以解决现有技术中存在的问题。
第一方面,提供一种域名接入控制方法,该方法包括:
接收域名查询请求;
在所述域名查询请求的报文通过安全校验后,获取预先配置的目标标识码,将所述目标标识码封装到所述域名查询请求中;
将封装有目标标识码的域名查询请求发送到域名服务器,所述域名服务器将所述域名查询请求中的目标标识码与接入控制列表的至少一个标识码进行比对,若比对成功,则确认所述域名查询请求鉴权认证通过;其中,在所述接入控制列表中的至少一个标识码包含所述目标标识码时,确认比对成功。
根据本申请实施例中一种可实现的方式,所述方法还包括:
接收所述域名服务器反馈的域名响应结果,所述域名响应结果携带有所述目标标识码;
将所述域名响应结果返回至发送所述域名查询请求的客户端。
根据本申请实施例中一种可实现的方式,所述将所述域名响应结果返回至发送所述域名查询请求的客户端,包括:
获取所述域名查询请求中封装的目标标识码;
获取所述域名响应结果中携带的标识码;
响应于所述域名查询请求中封装的目标标识码与所述域名响应结果中携带的标识码一致,则向所述客户端发送所述域名响应结果。
根据本申请实施例中一种可实现的方式,所述域名服务器确认所述域名查询请求鉴权认证通过之后,还包括:所述域名服务器对所述域名查询请求进行域名解析,生成解析结果,其中,所述域名解析包含递归解析或权威解析;
根据所述解析结果生成域名响应结果。
根据本申请实施例中一种可实现的方式,所述在所述域名查询请求的报文通过安全校验后,获取预先配置的标识码,将所述标识码封装到所述域名查询请求中,包括:
在域名查询请求的报文通过安全校验后,获取预先配置的目标标识码,其中,所述目标标识码是表征发送所述域名查询请求的客户端身份的唯一标识;
在所述域名查询请求的报文的域名扩展协议中创建标记选项,在所述标记选项中写入所述目标标识码。
根据本申请实施例中一种可实现的方式,所述接入控制列表中预先存储有符合接入条件的至少一个标识码,所述域名服务器在所述域名查询请求中的目标标识码与接入控制列表的至少一个标识码比对成功时,确认所述域名查询请求符合所述域名服务器接入条件。
根据本申请实施例中一种可实现的方式,所述方法还包括:
接收所述域名服务器发送的拒绝请求结果,将所述拒绝请求结果返回至发送所述域名查询请求的客户端;
其中,所述域名服务器将所述域名查询请求中的目标标识码与接入控制列表的至少一个标识码进行比对,若比对不成功,则确认所述域名查询请求鉴权认证不通过,并生成拒绝请求结果,其中,所述拒绝请求结果携带有所述目标标识码。
第二方面,提供了一种域名接入控制系统,该系统包括:
接收模块:用于接收域名查询请求;
封装模块:用于在所述域名查询请求的报文通过安全校验后,获取预先配置的目标标识码,将所述目标标识码封装到所述域名查询请求中;
验证模块:用于将封装有目标标识码的域名查询请求发送到域名服务器,所述域名服务器将所述域名查询请求中的目标标识码与接入控制列表的至少一个标识码进行比对,若比对成功,则确认所述域名查询请求鉴权认证通过;其中,在所述接入控制列表中的至少一个标识码包含所述目标标识码时,确认比对成功。
第三方面,提供了一种计算机设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机指令,所述计算机指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述第一方面中涉及的方法。
第四方面,提供了一种计算机可读存储介质,其上存储有计算机指令,其特征在于,所述计算机指令用于使计算机执行上述第一方面中涉及的方法。
根据本申请实施例所提供的技术内容,本申请通过增加额外的DNS接入模块接收域名查询请求,在域名查询请求的报文通过安全校验后,获取预先配置的目标标识码,将目标标识码封装到域名查询请求中,将封装有目标标识码的域名查询请求发送到域名服务器,域名服务器将域名查询请求中的目标标识码与接入控制列表的至少一个标识码进行比对,若比对成功,则确认域名查询请求鉴权认证通过。通过在接到域名查询请求时,添加标识码再将包含标识码的域名查询请求转发到域名服务器,使得域名服务器基于标识码对进行鉴权。由于标识码是内部设定且唯一的,不会经常改变,所以域名服务器中的接入控制列表中记载的标识码也无需频繁更新,解决了现有技术中当域名查询请求对应的IP经常变化时,需要频繁更新接入控制列表中的IP导致应用负担增加的问题。
附图说明
图1为一个实施例中域名接入控制方法的流程示意图;
图2为一个实施例中域名接入控制方法的示意图;
图3为一个实施例中域名接入控制系统的结构框图;
图4为一个实施例中计算机设备的示意性结构图。
具体实施方式
以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
图1为本申请实施例提供的一种域名接入控制方法的流程图,如图1所示,该方法可以包括以下步骤:
步骤101:接收域名查询请求。
具体地,结合图2,图2中示出了客户端(即PC端),DNS服务器以及连接在PC端和DNS服务器之间的DNS接入模块。DNS接入模块用于对DNS的访问和使用进行管理和控制。其中,PC端与DNS接入模块信号连接,DNS接入模块与DNS服务器信号连接。
本申请实施例提供的一种域名接入控制方法,该方法可以由图2所示的DNS接入模块执行。在本步骤中,客户端发送一个DNS域名查询请求,由DNS接入模块接收该域名查询请求并进行格式检查,DNS接入模块对该域名查询请求的报文进行合法性检测,确认报文是否是标准的DNS查询报文。例如,一台pc主机上构造了一个域名为“www.baidu.com”的DNS域名查询请求,DNS接入模块接收该域名查询请求并进行格式检查。
步骤102:在域名查询请求的报文通过安全校验后,获取预先配置的目标标识码,将目标标识码封装到域名查询请求中。
具体地,如图2所示,DNS接入模块接收客户端发送的域名查询请求并进行报文的格式检查,在域名查询请求的报文通过安全校验后,则确定域名查询请求的报文通过安全校验。在DNS服务器中预先存储有若干标识码,DNS接入模块在DNS服务器中获取预先配置的目标标识码,该目标标识码是唯一的用于识别该客户端的身份的标识。将该目标标识码封装到该域名查询请求中,为该域名查询请求填充唯一的用于识别该客户端的标识。例如,DNS接入模块接收到DNS查询报文,对报文进行合法性检测,确认报文是否是标准的DNS查询报文,如果是的话,则确定域名查询请求的报文通过安全校验,将DNS接入模块启动时指定的接入标识,假如是Zone821EF366,封装到该域名查询请求的报文中。如果域名查询请求的报文没有通过安全校验,则不封装标识码并丢弃该报文。
在本申请的一个实施例中,步骤102中的,在域名查询请求的报文通过安全校验后,获取预先配置的标识码,将标识码封装到域名查询请求中,包括:在域名查询请求的报文通过安全校验后,获取预先配置的目标标识码,其中,目标标识码是表征发送域名查询请求的客户端身份的唯一标识;在域名查询请求的报文的域名扩展协议中创建标记选项,在标记选项中写入目标标识码。
具体地,如图2所示,DNS接入模块接收客户端发送的域名查询请求并进行报文的格式检查,在域名查询请求的报文通过安全校验后,则确定域名查询请求的报文通过安全校验。在DNS服务器中预先存储有若干标识码,DNS接入模块在DNS服务器中获取预先配置的目标标识码,该目标标识码是唯一的用于识别该客户端的身份的标识。将该目标标识码封装到该域名查询请求中,在域名查询请求的报文的域名扩展协议EDNS(ExtensionMechanisms for DNS)中创建标记选项,例如标记选项EDNS0LOCALSTART,在标记选项中写入目标标识码。其中,EDNS是一种用于扩展DNS(Domain Name System)协议的机制,允许在DNS消息中添加额外的选项和扩展功能。EDNS0LOCALSTART标记选项用于指定本地或私有选项的开始标记。该选项一般是特定于某些DNS服务器或应用程序的自定义选项。
例如,DNS接入模块接收到DNS查询报文,对报文进行合法性检测,确认报文是否是标准的DNS查询报文,如果是的话,则确定域名查询请求的报文通过安全校验,将DNS接入模块启动时指定的接入标识,假如是Zone821EF366,写入报文的EDNS选项中,选项码为EDNS0LOCALSTART。如果域名查询请求的报文没有通过安全校验,则不封装标识码并丢弃该报文。
步骤103:将封装有目标标识码的域名查询请求发送到域名服务器,域名服务器将域名查询请求中的目标标识码与接入控制列表的至少一个标识码进行比对,若比对成功,则确认域名查询请求鉴权认证通过;其中,在接入控制列表中的至少一个标识码包含目标标识码时,确认比对成功。在域名查询请求鉴权认证通过时,允许所述域名查询请求接入。
具体地,DNS接入模块将目标标识码封装到域名查询请求中之后,将封装有目标标识码的域名查询请求发送到域名服务器。域名服务器将域名查询请求中的目标标识码与后台接入控制列表进行比对,其中,接入控制列表包含至少一个标识码。在接入控制列表中的至少一个标识码包含目标标识码时,确认比对成功。若比对成功,则确认域名查询请求鉴权认证通过,鉴权认证通过之后,可以继续进行递归或权威解析。若比对失败,则确认域名查询请求鉴权认证不通过,生成鉴权失败的响应结果。例如,DNS服务器取出DNS报文的EDNS选项字段,判断报文的EDNS选项中是否携带了选项码为EDNS0LOCALSTART的附加信息,如果存在,则取出里面的唯一标识,将获取到的唯一标识Zone821EF366与DNS服务器的接入控制列表比对,比对成功后则确认域名查询请求鉴权认证通过。其中,在域名查询请求鉴权认证通过时,允许所述域名查询请求接入。
可以看出,本申请实施例通过增加额外的DNS接入模块接收域名查询请求,在域名查询请求的报文通过安全校验后,获取预先配置的目标标识码,将目标标识码封装到域名查询请求中,将封装有目标标识码的域名查询请求发送到域名服务器,域名服务器将域名查询请求中的目标标识码与接入控制列表的至少一个标识码进行比对,若比对成功,则确认域名查询请求鉴权认证通过。通过在接到域名查询请求时,添加标识码再将包含标识码的域名查询请求转发到域名服务器,使得域名服务器基于标识码对进行鉴权。由于标识码是内部设定且唯一的,不会经常改变,所以域名服务器中的接入控制列表中记载的标识码也无需频繁更新,解决了现有技术中当域名查询请求对应的IP经常变化时,需要频繁更新接入控制列表中的IP导致应用负担增加的问题。
在本申请的一个实施例中,在步骤103中域名服务器确认域名查询请求鉴权认证通过之后,还包括:对域名查询请求进行域名解析,生成解析结果,其中,域名解析包含递归解析或权威解析;根据解析结果生成域名响应结果。
具体地,如图2所示,在域名服务器确认域名查询请求鉴权认证通过之后,域名服务器对域名查询请求进行域名解析并生成解析结果,域名解析包含递归解析或权威解析。其中,如果客户端请求的DNS服务器是权威服务器,则直接进行权威解析。如果客户端请求的DNS服务器不是权威服务器,则这个DNS服务器进行递归解析从根域名服务器递归查下来最终找到权威服务器取得结果并返回给客户。在DNS服务器对域名查询请求进行权威解析或递归解析之后,根据权威解析或递归解析结果生成域名响应结果,并由DNS服务器将该响应结果发送到DNS接入模块。
在本申请的一个实施例中,本实施例提供的一种域名接入控制方法还包括:步骤104:接收域名服务器反馈的域名响应结果,域名响应结果携带有目标标识码;步骤105:将域名响应结果返回至发送域名查询请求的客户端。
具体地,如图2所示,DNS服务器将域名响应结果发送到DNS接入模块,DNS接入模块接收域名服务器反馈的域名响应结果,其中,域名响应结果携带有目标标识码。DNS接入模块根据该目标标识码识别对应的客户端信息,将域名响应结果返回至发送域名查询请求的客户端。
在本申请的一个实施例中,上述步骤105中的将域名响应结果返回至发送域名查询请求的客户端,包括:获取域名查询请求中封装的目标标识码;获取域名响应结果中携带的标识码;响应于域名查询请求中封装的目标标识码与域名响应结果中携带的标识码一致,则向客户端发送域名响应结果。
具体地,如图2所示DNS接入模块接收域名服务器反馈的域名响应结果,域名响应结果携带有目标标识码。DNS接入模块获取域名查询请求中封装的目标标识码作为第一标识码,同时获取域名响应结果中携带的标识码作为标识码;响应于域名查询请求中封装的第一标识码与域名响应结果中携带的第二标识码一致,则表征目标标识码对应的客户端为该域名响应结果对应的客户端,则向该客户端发送域名响应结果。若域名查询请求中封装的第一标识码与域名响应结果中携带的第二标识码一致,则表示目标标识码对应的客户端不是改域名响应结果对应的客户端,则不向该客户端发送响应结果。
在本申请的一个实施例中,接入控制列表中预先存储有符合接入条件的至少一个标识码,域名服务器在域名查询请求中的目标标识码与接入控制列表的至少一个标识码比对成功时,确认域名查询请求符合域名服务器接入条件。
具体地,在DNS服务器的接入控制列表中包含至少一个标识码。在接入控制列表中的至少一个标识码包含目标标识码时,确认比对成功。若比对成功,则确认域名查询请求符合域名服务器接入条件,可以进一步进行递归或权威解析并生成应答包返回至客户端。例如,DNS服务器取出DNS报文的EDNS选项字段,判断报文的EDNS选项中是否携带了选项码为EDNS0LOCALSTART的附加信息,如果存在,则取出里面的唯一标识,将获取到的唯一标识Zone821EF366与DNS服务器的接入控制列表比对,比对成功后则确认DNS查询请求符合DNS服务器接入条件。
在本申请的一个实施例中,本实施例提供的一种域名接入控制方法还包括:接收域名服务器发送的拒绝请求结果,将拒绝请求结果发送到域名查询请求的客户端;其中,域名服务器将域名查询请求中的目标标识码与接入控制列表的至少一个标识码进行比对,若比对不成功,则确认域名查询请求鉴权认证不通过,并生成拒绝结果,其中,拒绝结果携带有目标标识码。
具体地,如图2所示,DNS接入模块将目标标识码封装到域名查询请求中之后,将封装有目标标识码的域名查询请求发送到域名服务器。域名服务器将域名查询请求中的目标标识码与后台接入控制列表进行比对,其中,接入控制列表包含至少一个标识码。在接入控制列表中的至少一个标识码包含目标标识码时,确认通过授权鉴定。在接入控制列表中没有标识码包含目标标识码时,确认鉴权失败,生成拒绝请求结果,其中,拒绝请求结果携带有目标标识码。并将拒绝请求结果发送到DNS接入模块。DNS接入模块根据拒绝请求结果携带的目标标识码,将拒绝请求结果发送到对应的目标客户端,目标客户端即发送域名查询请求的客户端。
本申请通过增加额外的DNS接入模块接收域名查询请求,在域名查询请求的报文通过安全校验后,获取预先配置的目标标识码,将目标标识码封装到域名查询请求中,将封装有目标标识码的域名查询请求发送到域名服务器,域名服务器将域名查询请求中的目标标识码与接入控制列表的至少一个标识码进行比对,若比对成功,则确认域名查询请求鉴权认证通过。通过在接到域名查询请求时,添加标识码再将包含标识码的域名查询请求转发到域名服务器,使得域名服务器基于标识码对进行鉴权。由于标识码是内部设定且唯一的,不会经常改变,所以域名服务器中的接入控制列表中记载的标识码也无需频繁更新,解决了现有技术中当域名查询请求对应的IP经常变化时,需要频繁更新接入控制列表中的IP导致应用负担增加的问题。
现有技术方案是直接将域名查询请求发送到域名服务器,域名服务器在对域名查询请求进行鉴权时,需解析出域名查询请求对应的IP,再将这个IP与接入控制列表中的IP进行对比,比对成功则鉴权通过。但是,域名查询请求对应的IP经常变化,这种情况需要频繁更新接入控制列表中的IP
本申请的实施例在接到域名查询请求时,进行打标后再将包含标识码的域名查询请求转发到域名服务器。域名服务器基于标识码对请求进行鉴权。由于标识码是内部设定的,不会经常改变,所以域名服务器中的接入控制列表中记载的标识码也无需频繁更新,解决了现有技术中当域名查询请求对应的IP经常变化时,需要频繁更新接入控制列表中的IP导致应用负担增加的问题。
应该理解的是,虽然图1和2的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本申请中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1和2中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
图3为本申请实施例提供的一种域名接入控制系统的结构示意图,如图3所示,该系统可以包括:接收模块301、封装模块302、验证模块303。其中各组成模块的主要功能如下:
接收模块301:用于接收域名查询请求;
封装模块302:用于在所述域名查询请求的报文通过安全校验后,获取预先配置的目标标识码,将所述目标标识码封装到所述域名查询请求中;
验证模块303:用于将封装有目标标识码的域名查询请求发送到域名服务器,所述域名服务器将所述域名查询请求中的目标标识码与接入控制列表的至少一个标识码进行比对,若比对成功,则确认所述域名查询请求鉴权认证通过;其中,在所述接入控制列表中的至少一个标识码包含所述目标标识码时,确认比对成功。
在本申请的一个实施例中,该系统还包括:反馈模块304:用于接收所述域名服务器反馈的域名响应结果,所述域名响应结果携带有所述目标标识码;发送模块305:用于将所述域名响应结果返回至发送所述域名查询请求的客户端。
在本申请的一个实施例中,发送模块305:还用于获取所述域名查询请求中封装的目标标识码;获取所述域名响应结果中携带的标识码;响应于所述域名查询请求中封装的目标标识码与所述域名响应结果中携带的标识码一致,则向所述客户端发送所述域名响应结果。
在本申请的一个实施例中,所述域名服务器确认所述域名查询请求鉴权认证通过之后,还包括:对所述域名查询请求进行域名解析,生成解析结果,其中,所述域名解析包含递归解析或权威解析;根据所述解析结果生成域名响应结果。
在本申请的一个实施例中,封装模块302:还用于在域名查询请求的报文通过安全校验后,获取预先配置的目标标识码,其中,所述目标标识码是表征发送所述域名查询请求的客户端身份的唯一标识;在所述域名查询请求的报文的域名扩展协议中创建标记选项,在所述标记选项中写入所述目标标识码。
在本申请的一个实施例中,所述接入控制列表中预先存储有符合接入条件的至少一个标识码,所述域名服务器在所述域名查询请求中的目标标识码与接入控制列表的至少一个标识码比对成功时,确认所述域名查询请求符合所述域名服务器接入条件。
在本申请的一个实施例中,反馈模块304:还用于接收所述域名服务器发送的拒绝请求结果,将所述拒绝请求结果发送所述域名查询请求的客户端;其中,所述域名服务器将所述域名查询请求中的目标标识码与接入控制列表的至少一个标识码进行比对,若比对不成功,则确认所述域名查询请求鉴权认证不通过,并生成拒绝结果,其中,所述拒绝结果携带有所述目标标识码。
根据本申请提供的具体实施例,本申请所提供的技术方案可以具备以下优点:
本申请通过增加额外的DNS接入模块接收域名查询请求,在域名查询请求的报文通过安全校验后,获取预先配置的目标标识码,将目标标识码封装到域名查询请求中,将封装有目标标识码的域名查询请求发送到域名服务器,域名服务器将域名查询请求中的目标标识码与接入控制列表的至少一个标识码进行比对,若比对成功,则确认域名查询请求鉴权认证通过。通过在接到域名查询请求时,添加标识码再将包含标识码的域名查询请求转发到域名服务器,使得域名服务器基于标识码对进行鉴权。由于标识码是内部设定且唯一的,不会经常改变,所以域名服务器中的接入控制列表中记载的标识码也无需频繁更新,解决了现有技术中当域名查询请求对应的IP经常变化时,需要频繁更新接入控制列表中的IP导致应用负担增加的问题。
现有技术方案是直接将域名查询请求发送到域名服务器,域名服务器在对域名查询请求进行鉴权时,需解析出域名查询请求对应的IP,再将这个IP与接入控制列表中的IP进行对比,比对成功则鉴权通过。但是,域名查询请求对应的IP经常变化,这种情况需要频繁更新接入控制列表中的IP
本申请的实施例在接到域名查询请求时,进行打标后再将包含标识码的域名查询请求转发到域名服务器。域名服务器基于标识码对请求进行鉴权。由于标识码是内部设定的,不会经常改变,所以域名服务器中的接入控制列表中记载的标识码也无需频繁更新,解决了现有技术中当域名查询请求对应的IP经常变化时,需要频繁更新接入控制列表中的IP导致应用负担增加的问题。
上述各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,本申请实施例中可能会涉及到对用户数据的使用,在实际应用中,可以在符合所在国的适用法律法规要求的情况下(例如用户明确同意,对用户切实通知,用户明确授权等),在适用法律法规允许的范围内在本文描述的方案中使用用户特定的个人数据。
根据本申请的实施例,本申请还提供了一种计算机设备、一种计算机可读存储介质。本申请还提供了一种计算机设备,包括至少一个处理器,以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的计算机指令,计算机指令被至少一个处理器执行,以使至少一个处理器能够执行上述任一实施例所述域名接入控制方法。
如图4所示,是根据本申请实施例的计算机设备的框图。计算机设备旨在表示各种形式的数字计算机或移动系统。其中数字计算机可以包括台式计算机、便携式计算机、工作台、个人数字助理、服务器、大型计算机和其它适合的计算机。移动系统可以包括平板电脑、智能电话、可穿戴式设备等。
如图4所示,计算机设备400包括计算单元401、ROM 402、RAM 403、总线404以及输入/输出(I/O)接口405,计算单元401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
计算单元401可以根据存储在只读存储器(ROM)402中的计算机指令或者从存储单元408加载到随机访问存储器(RAM)403中的计算机指令,来执行本申请方法实施例中的各种处理。计算单元401可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元401可以包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。在一些实施例中,本申请实施例提供的方法可被实现为计算机软件程序,其被有形地包含于计算机可读存储介质,例如存储单元408。
RAM 404还可存储设备400操作所需的各种程序和数据。计算机程序的部分或者全部可以经由ROM 402和/或通信单元409而被载入和/或安装到设备400上。
计算机设备400中的输入单元406、输出单元407、存储单元408和通信单元409可以连接至I/O接口405。其中,输入单元406可以是诸如键盘、鼠标、触摸屏、麦克风等;输出单元407可以是诸如显示器、扬声器、指示灯等。设备400能够通过通信单元409与其他设备进行信息、数据等的交换。
需要说明的是,该设备还可以包括实现正常运行所必需的其他组件。也可以仅包含实现本申请方案所必需的组件,而不必包含图中所示的全部组件。
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件和/或它们的组合中实现。
用于实施本申请的方法的计算机指令可以采用一个或多个编程语言的任何组合来编写。这些计算机指令可以提供给计算单元401,使得计算机指令当由诸如处理器等计算单元401执行时使执行本申请方法实施例中涉及的各步骤。
本申请还提供了一种计算机可读存储介质,其上存储有计算机指令,所述计算机指令用于使计算机执行上述任一实施例所述域名接入控制方法。
本申请提供的计算机可读存储介质可以是有形的介质,其可以包含或存储计算机指令,用以执行本申请方法实施例中涉及的各步骤。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的等形式的存储介质。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。
Claims (10)
1.一种域名接入控制方法,其特征在于,该方法包括:
接收域名查询请求;
在所述域名查询请求的报文通过安全校验后,获取预先配置的目标标识码,将所述目标标识码封装到所述域名查询请求中;
将封装有目标标识码的域名查询请求发送到域名服务器,所述域名服务器将所述域名查询请求中的目标标识码与接入控制列表的至少一个标识码进行比对,若比对成功,则确认所述域名查询请求鉴权认证通过;其中,在所述接入控制列表中的至少一个标识码包含所述目标标识码时,确认比对成功。
2.根据权利要求1所述的域名接入控制方法,其特征在于,所述方法还包括:
接收所述域名服务器反馈的域名响应结果,所述域名响应结果携带有所述目标标识码;
将所述域名响应结果返回至发送所述域名查询请求的客户端。
3.根据权利要求2所述的域名接入控制方法,其特征在于,所述将所述域名响应结果返回至发送所述域名查询请求的客户端,包括:
获取所述域名查询请求中封装的目标标识码;
获取所述域名响应结果中携带的标识码;
响应于所述域名查询请求中封装的目标标识码与所述域名响应结果中携带的标识码一致,则向所述客户端发送所述域名响应结果。
4.根据权利要求2所述的域名接入控制方法,其特征在于,所述域名服务器确认所述域名查询请求鉴权认证通过之后,还包括:
所述域名服务器对所述域名查询请求进行域名解析,生成解析结果,其中,所述域名解析包含递归解析或权威解析;
根据所述解析结果生成域名响应结果。
5.根据权利要求1所述的域名接入控制方法,其特征在于,所述在所述域名查询请求的报文通过安全校验后,获取预先配置的标识码,将所述标识码封装到所述域名查询请求中,包括:
在域名查询请求的报文通过安全校验后,获取预先配置的目标标识码,其中,所述目标标识码是表征发送所述域名查询请求的客户端身份的唯一标识;
在所述域名查询请求的报文的域名扩展协议中创建标记选项,在所述标记选项中写入所述目标标识码。
6.根据权利要求1所述的域名接入控制方法,其特征在于,所述接入控制列表中预先存储有符合接入条件的至少一个标识码,所述域名服务器在所述域名查询请求中的目标标识码与接入控制列表的至少一个标识码比对成功时,确认所述域名查询请求符合所述域名服务器接入条件。
7.根据权利要求1所述的域名接入控制方法,其特征在于,所述方法还包括:
接收所述域名服务器发送的拒绝请求结果,将所述拒绝请求结果返回至发送所述域名查询请求的客户端;
其中,所述域名服务器将所述域名查询请求中的目标标识码与接入控制列表的至少一个标识码进行比对,若比对不成功,则确认所述域名查询请求鉴权认证不通过,并生成拒绝请求结果,其中,所述拒绝请求结果携带有所述目标标识码。
8.一种域名接入控制系统,其特征在于,该系统包括:
接收模块:用于接收域名查询请求;
封装模块:用于在所述域名查询请求的报文通过安全校验后,获取预先配置的目标标识码,将所述目标标识码封装到所述域名查询请求中;
验证模块:用于将封装有目标标识码的域名查询请求发送到域名服务器,所述域名服务器将所述域名查询请求中的目标标识码与接入控制列表的至少一个标识码进行比对,若比对成功,则确认所述域名查询请求鉴权认证通过;其中,在所述接入控制列表中的至少一个标识码包含所述目标标识码时,确认比对成功。
9.一种计算机设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机指令,所述计算机指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,所述计算机指令用于使计算机执行权利要求1至7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311005924.6A CN116938876A (zh) | 2023-08-10 | 2023-08-10 | 域名接入控制方法、系统、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311005924.6A CN116938876A (zh) | 2023-08-10 | 2023-08-10 | 域名接入控制方法、系统、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116938876A true CN116938876A (zh) | 2023-10-24 |
Family
ID=88380832
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311005924.6A Pending CN116938876A (zh) | 2023-08-10 | 2023-08-10 | 域名接入控制方法、系统、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116938876A (zh) |
-
2023
- 2023-08-10 CN CN202311005924.6A patent/CN116938876A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109325729B (zh) | 一种生成电子合同的方法及服务器 | |
| US10891383B2 (en) | Validating computer resource usage | |
| CN112333198B (zh) | 安全跨域登录方法、系统及服务器 | |
| CN110839014B (zh) | 一种认证方法、装置、计算机设备及可读存储介质 | |
| CN112118269A (zh) | 一种身份认证方法、系统、计算设备及可读存储介质 | |
| KR20160018554A (ko) | 신뢰 및 비신뢰 플랫폼에 걸쳐 인터넷 액세스가능 애플리케이션 상태를 로밍하는 기법 | |
| US8738605B2 (en) | Systems for discovering sensitive information on computer networks | |
| US8738604B2 (en) | Methods for discovering sensitive information on computer networks | |
| CN114866258A (zh) | 一种访问关系的建立方法、装置、电子设备及存储介质 | |
| CN114144780A (zh) | 用于控制和提供资源访问的方法 | |
| US10243924B2 (en) | Service providing system, service providing method, and information processing apparatus | |
| CN111431857B (zh) | 超级账本的授权访问方法、装置及存储介质 | |
| CN114398631A (zh) | 一种业务处理方法及装置、电子设备、存储介质 | |
| CN110049106B (zh) | 业务请求处理系统及方法 | |
| CN112364334A (zh) | 单点登录方法、装置及电子设备和存储介质 | |
| CN108259487B (zh) | 信息交互方法和计算机可读介质 | |
| CN116938876A (zh) | 域名接入控制方法、系统、设备和存储介质 | |
| JP2002083102A (ja) | 電子文書承認方式及びその方法 | |
| CN112788017B (zh) | 一种安全校验方法、装置、设备及介质 | |
| US20220058287A1 (en) | Modifying elements of a secure document workflow based on change in profile of recipient | |
| CN110401674B (zh) | 数据访问方法、装置、系统、电子设备及计算机可读介质 | |
| CN113472781A (zh) | 一种服务获取方法、服务器及计算机可读存储介质 | |
| KR101451683B1 (ko) | Epcis 접근제어 시스템 및 그 시스템을 구현하기 위한 데이터가 저장되어 컴퓨터에 의해 판독 가능한 기록매체 | |
| CN115987683B (zh) | 区块链网络中节点访问控制方法、装置、设备和介质 | |
| CN115659405B (zh) | 数字对象的交互方法和装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |