CN117527750A - 域名解析方法、装置、电子设备和计算机可读介质 - Google Patents
域名解析方法、装置、电子设备和计算机可读介质 Download PDFInfo
- Publication number
- CN117527750A CN117527750A CN202311524463.3A CN202311524463A CN117527750A CN 117527750 A CN117527750 A CN 117527750A CN 202311524463 A CN202311524463 A CN 202311524463A CN 117527750 A CN117527750 A CN 117527750A
- Authority
- CN
- China
- Prior art keywords
- domain name
- name resolution
- server
- list
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000012795 verification Methods 0.000 claims abstract description 64
- 230000004044 response Effects 0.000 claims abstract description 30
- 238000004590 computer program Methods 0.000 claims description 15
- 238000004458 analytical method Methods 0.000 claims description 10
- 238000012163 sequencing technique Methods 0.000 claims description 5
- 230000006854 communication Effects 0.000 description 18
- 238000004891 communication Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 8
- 238000007726 management method Methods 0.000 description 8
- 238000013461 design Methods 0.000 description 5
- 238000005259 measurement Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了域名解析方法、装置、电子设备和计算机可读介质,涉及域名解析技术领域。该方法包括:接收应用程序发送的域名解析调用请求,查询缓存中是否存在待解析域名对应IP,若否,则向域名解析服务端发送域名解析请求;接收所述域名解析服务端返回的IP列表、列表签名和服务端证书;采用预置的根证书对所述服务端证书进行证书链校验,响应于证书链校验通过,采用所述服务端证书中的服务端公钥对所述列表签名进行签名校验,响应于签名校验通过,将所述IP列表中的推荐IP存储到所述缓存中,并将所述推荐IP返回给所述应用程序。该实施方式能够解决HTTPDNS服务的延迟较高的技术问题。
Description
技术领域
本发明涉及域名解析技术领域,尤其涉及一种域名解析方法、装置、电子设备和计算机可读介质。
背景技术
当前,互联网企业通常使用域名来给用户提供服务,因此无法避免在互联网环境中遭遇到各种域名劫持、域名被缓存、用户跨网访问缓慢等问题。域名劫持是指恶意攻击者通过修改DNS配置或劫持DNS请求,将域名解析指向未经授权的IP地址,这可能导致用户被重定向到钓鱼网站、广告页面或恶意软件下载页面,从而引发安全风险和用户隐私泄露。
HTTPDNS是为移动客户端量身定做的基于Http协议和域名解析的流量调度解决方案,是一种可信的域名解析技术,旨在提供更安全、更可靠的域名解析服务,以防止域名劫持、LocalDNS解析异常以及流量调度不准。HTTPDNS基于高度受信任的DNS服务器,采用了动态切换和监测机制,确保域名解析始终指向正确IP地址。目前,通常采用的HTTPDNS解析技术的实现逻辑是:移动端访问目标域名,HTTPDNS客户端向HTTPDNS服务端发送域名解析请求,HTTPDNS服务端基于预置的IP库,对目标域名进行解析,获得对应目标IP地址返回给客户端,客户端根据目标IP地址访问对应的服务器。
在现有技术中,通常使用HTTP或者HTTPS协议进行域名解析通信,使用HTTP请求安全性较低,服务端返回同样容易被劫持修改。为了保证HTTPDNS服务端返回解析结果的完整性,且服务端身份的可信,HTTPDNS服务一般建议采用HTTPS通信。HTTPS首先是通过TCP的三次握手建立连接,然后为建立SSL/TLS协议保护,需要客户端和服务端双方交换证书,并在应用层协议传输数据之前协商出一个加密算法和会话密钥,初次握手需要3或4个RTT(Round-Trip Time,往返时延),导致HTTPDNS服务的延迟较高。
发明内容
有鉴于此,本发明实施例提供一种域名解析方法和装置,以解决HTTPDNS服务的延迟较高的技术问题。
为实现上述目的,根据本发明实施例的一个方面,提供了一种域名解析方法,应用于域名解析工具包,包括:
接收应用程序发送的域名解析调用请求,查询缓存中是否存在待解析域名对应的IP,若否,则向域名解析服务端发送域名解析请求;
接收所述域名解析服务端返回的IP列表、列表签名和服务端证书;
采用预置的根证书对所述服务端证书进行证书链校验,响应于证书链校验通过,采用所述服务端证书中的服务端公钥对所述列表签名进行签名校验,响应于签名校验通过,将所述IP列表中的推荐IP存储到所述缓存中,并将所述推荐IP返回给所述应用程序。
可选地,采用所述服务端证书中的服务端公钥对所述列表签名进行签名校验,包括:
采用所述服务端证书中的服务端公钥对所述列表签名进行解密,从而得到散列值;
对所述IP列表进行哈希运算,从而得到散列值;
比对解密得到的散列值与运算得到的散列值是否一致。
可选地,采用预置的根证书对所述服务端证书进行证书链校验,包括:
从预置的根证书中获取根证书公钥,采用所述根证书公钥验证所述服务端证书。
可选地,将所述IP列表中的推荐IP存储到所述缓存中,并将所述推荐IP返回给所述应用程序,包括:
对所述IP列表中的每个IP进行测速,判断速度最快的IP与所述推荐IP的速度差值是否超过速度阈值;
若是,则将速度最快的IP存储到所述缓存中,并将所述速度最快的IP返回给所述应用程序;
若否,将所述推荐IP存储到所述缓存中,并将所述推荐IP返回给所述应用程序;其中,所述IP列表中的第一个IP为推荐IP。
另外,根据本发明实施例的另一个方面,提供了一种域名解析方法,应用于域名解析服务端,包括:
接收域名解析工具包发送的域名解析请求,查询并获取待解析域名对应的IP列表;
对所述IP列表进行哈希运算,从而得到散列值,采用服务端私钥对所述散列值进行加密,生成列表签名;
将所述IP列表、所述列表签名和服务端证书返回至所述域名解析工具包。
可选地,接收域名解析工具包发送的域名解析请求,查询并获取待解析域名对应IP列表,包括:
接收并解析域名解析工具包发送的域名解析请求,从而得到所述域名解析请求中携带的待解析域名;
通过基数树查找IP区间表,得到所述域名解析请求对应的客户端网络出口IP的所属地区和运营商信息;
从所述待解析域名对应的IP集合中,优先查询并获取所属地区和运营商信息与所述客户端网络出口IP一致的IP,以生成所述待解析域名对应的IP列表;
若不存在所属地区和运营商信息与所述客户端网络出口IP一致的IP,则根据所述待解析域名对应的IP集合中各个IP的权重对所述各个IP进行排序,以生成所述待解析域名对应的IP列表;其中,所述IP列表中的第一个IP为推荐IP。
可选地,接收域名解析工具包发送的域名解析请求之前,还包括:
生成根证书公私钥对,采用所述根证书私钥对所述根证书公钥、用途、颁发者、有效时间进行自签名,从而生成根证书;
生成服务端公私钥对,采用所述根证书私钥对所述服务端公钥和持有者信息进行签名,从而生成服务端证书;
将所述根证书预置到所述域名解析工具包中。
另外,根据本发明实施例的另一个方面,提供了一种域名解析装置,设置于域名解析工具包,包括:
缓存模块,用于接收应用程序发送的域名解析调用请求,查询缓存中是否存在待解析域名对应的IP,若否,则向域名解析服务端发送域名解析请求;
接收模块,用于接收所述域名解析服务端返回的IP列表、列表签名和服务端证书;
解析模块,用于采用预置的根证书对所述服务端证书进行证书链校验,响应于证书链校验通过,采用所述服务端证书中的服务端公钥对所述列表签名进行签名校验,响应于签名校验通过,将所述IP列表中的推荐IP存储到所述缓存中,并将所述推荐IP返回给所述应用程序。
可选地,所述解析模块还用于:
采用所述服务端证书中的服务端公钥对所述列表签名进行解密,从而得到散列值;
对所述IP列表进行哈希运算,从而得到散列值;
比对解密得到的散列值与运算得到的散列值是否一致。
可选地,所述解析模块还用于:
从预置的根证书中获取根证书公钥,采用所述根证书公钥验证所述服务端证书。
可选地,所述解析模块还用于:
对所述IP列表中的每个IP进行测速,判断速度最快的IP与所述推荐IP的速度差值是否超过速度阈值;
若是,则将速度最快的IP存储到所述缓存中,并将所述速度最快的IP返回给所述应用程序;
若否,将所述推荐IP存储到所述缓存中,并将所述推荐IP返回给所述应用程序;其中,所述IP列表中的第一个IP为推荐IP。
另外,根据本发明实施例的另一个方面,提供了一种域名解析装置,设置于域名解析服务端,包括:
查询模块,用于接收域名解析工具包发送的域名解析请求,查询并获取待解析域名对应的IP列表;
签名模块,用于对所述IP列表进行哈希运算,从而得到散列值,采用服务端私钥对所述散列值进行加密,生成列表签名;
返回模块,用于将所述IP列表、所述列表签名和服务端证书返回至所述域名解析工具包。
可选地,所述查询模块还用于:
接收并解析域名解析工具包发送的域名解析请求,从而得到所述域名解析请求中携带的待解析域名;
通过基数树查找IP区间表,得到所述域名解析请求对应的客户端网络出口IP的所属地区和运营商信息;
从所述待解析域名对应的IP集合中,优先查询并获取所属地区和运营商信息与所述客户端网络出口IP一致的IP,以生成所述待解析域名对应的IP列表;
若不存在所属地区和运营商信息与所述客户端网络出口IP一致的IP,则根据所述待解析域名对应的IP集合中各个IP的权重对所述各个IP进行排序,以生成所述待解析域名对应的IP列表;其中,所述IP列表中的第一个IP为推荐IP。
可选地,还包括证书模块,用于:
生成根证书公私钥对,采用所述根证书私钥对所述根证书公钥、用途、颁发者、有效时间进行自签名,从而生成根证书;
生成服务端公私钥对,采用所述根证书私钥对所述服务端公钥和持有者信息进行签名,从而生成服务端证书;
将所述根证书预置到所述域名解析工具包中。
根据本发明实施例的另一个方面,还提供了一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,所述一个或多个处理器实现上述任一实施例所述的方法。
根据本发明实施例的另一个方面,还提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现上述任一实施例所述的方法。
根据本发明实施例的另一个方面,还提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现上述任一实施例所述的方法。
上述发明中的一个实施例具有如下优点或有益效果:因为采用接收域名解析服务端返回的IP列表、列表签名和服务端证书,采用预置的根证书对服务端证书进行证书链校验,响应于证书链校验通过,采用服务端证书中的服务端公钥对列表签名进行签名校验,响应于签名校验通过,将IP列表中的推荐IP存储到缓存中,并将推荐IP返回给应用程序的技术手段,所以克服了现有技术中HTTPDNS服务的延迟较高的技术问题。本发明实施例在普通HTTP通信(TCP三次握手)的基础上,多了对服务端身份验证和防篡改设计,不但可以实现服务端身份验证和防篡改验证,还可以减少往返时延,从而提高响应速度。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。其中:
图1是根据本发明一个实施例的域名解析方法的流程图;
图2是根据本发明实施例的客户端应用程序、域名解析工具包和域名解析服务端之间的交互图;
图3是根据本发明一个可参考实施例的域名解析方法的流程图;
图4是根据本发明实施例的域名解析工具包与域名解析服务端的交互图;
图5是根据本发明另一个实施例的域名解析方法的流程图;
图6是根据本发明另一个可参考实施例的域名解析方法的流程图;
图7是根据本发明一个实施例的域名解析装置的示意图;
图8是根据本发明另一个实施例的域名解析装置的示意图;
图9是本发明实施例可以应用于其中的示例性系统架构图;
图10是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
需要说明的是,本公开的技术方案中,所涉及的用户个人信息的采集、收集、更新、分析、处理、使用、传输、存储等方面,均符合相关法律法规的规定,被用于合法的用途,且不违背公序良俗。对用户个人信息采取必要措施,防止对用户个人信息数据的非法访问,维护用户个人信息安全、网络安全和国家安全。
为了解决HTTPDNS服务的延迟较高的技术问题,本发明实施例采用HTTP协议进行域名解析通信,因为通信中传递的内容并没有需要保密的部分,所以不需要进行加密。但是,域名解析最主要的是需要保证服务端返回的IP列表的确为服务端所返回,且中途没有被篡改过。因此本发明实施例在普通HTTP通信(TCP三次握手)的基础上,多了对服务端身份验证和防篡改设计。
而且,从实际应用的角度来说,DNS解析请求与响应消息,传递内容分别是域名和IP列表,并无保密性要求,也并不需要对客户端的身份进行认证。所以,只为实现保证服务端响应消息的完整性与服务器身份的认证的需求,实际上相比于HTTPS,可以采取更简洁、快速的方式。
图1是根据本发明一个实施例的域名解析方法的流程图。作为本发明的一个实施例,如图1所示,所述域名解析方法应用于域名解析工具包,可以包括如下步骤:
步骤101,接收应用程序发送的域名解析调用请求,查询缓存中是否存在待解析域名对应的IP,若是,则向域名解析服务端发送域名解析请求。
如图2所示,客户端应用程序Request数据请求,调用内置在应用程序中的域名解析工具包(HTTPDNSSDK)进行HTTPDNS域名解析,域名解析工具包接收到应用程序发送的域名解析调用请求后,查询缓存中是否存在待解析域名对应的IP,如果是,则将缓存中存储的IP返回至应用程序,如果否,则向域名解析服务端(HTTPDNS服务端)发送域名解析请求。
需要说明的是,缓存中存储了各个域名与IP的对应关系以及存活时间(TTL),TTL决定了在缓存中保留多长时间,域名解析工具包接收到应用程序发送的域名解析调用请求后,查询缓存中是否存在待解析域名对应的在存活时间内的有效IP。
如图2所示,HTTPDNS由HTTPDNSSDK、HTTPDNS服务端两部分组成,其中,HTTPDNS服务端包含服务端程序与管理平台两部分组成,HTTPDNSSDK是HTTPDNS的客户端,集成在客户端APP中,客户端APP调用HTTPDNSSDK进行域名解析,HTTPDNSSDK收到域名解析调用请求后,先从本地缓存中查找是否存在有效域名解析结果。如果缓存中存在有效域名解析结果,则直接返回给APP。缓存中解析结果的有效性由IP配置的TTL决定,单位为秒。例如TTL为3秒,则3秒内对同一域名解析的请求都可以直接返回此缓存IP。如果没有缓存,则HTTPDNSSDK向HTTPDNS服务端发送域名解析请求,请求查询待解析域名对应的IP,传递的内容包括但不限于:待解析域名等。
HTTPDNS:基于HTTP协议的域名系统,使用HTTP协议进行域名解析。域名解析请求直接发送到HTTPDNS服务器,从而绕过运营商的本地域名系统LocalDNS。将域名解析任务放到HTTPDNS服务器端,目的是为了防止DNS被劫持将用户导入非目的网站的情况。
步骤102,接收所述域名解析服务端返回的IP列表、列表签名和服务端证书。
HTTPDNS服务端基于预置的IP库查询待解析域名对应的IP列表,接着对所述IP列表进行哈希运算,从而得到散列值,然后采用服务端私钥对所述散列值进行加密,生成列表签名,最后将所述IP列表、所述列表签名和服务端证书返回至所述域名解析工具包。其中,所述IP列表中的第一个IP为推荐IP。
步骤103,采用预置的根证书对所述服务端证书进行证书链校验,响应于证书链校验通过,采用所述服务端证书中的服务端公钥对所述列表签名进行签名校验,响应于签名校验通过,将所述IP列表中的推荐IP存储到所述缓存中,并将所述推荐IP返回给所述应用程序。
如图2所示,域名解析工具包采用预置的根证书对所述服务端证书进行证书链校验,响应于证书链校验通过,继续采用所述服务端证书中的服务端公钥对所述列表签名进行签名校验,响应于签名校验通过,判断IP列表是否为空,如果是,说明服务端返回的IP列表为空列表,则将该结果返回给客户端应用程序,如果否,则将所述IP列表中的推荐IP(通常是IP列表中的第一个IP)存储到所述缓存中并将所述推荐IP返回给所述应用程序。
客户端应用程序接收到域名解析工具包返回的解析结果后,先判断结果是否为空,如果是,则向运营商LocalDNS服务器发送域名解析请求,采用运营商LocalDNS服务器返回的IP访问业务服务,如果否,则向域名解析工具包返回的IP发出网络请求,从而访问业务服务。
可选地,采用预置的根证书对所述服务端证书进行证书链校验,包括:从预置的根证书中获取根证书公钥,采用所述根证书公钥验证所述服务端证书。在本发明的实施例中,域名解析服务端要先自制根证书并签发服务端证书,具体地,如图3所示,域名解析服务端先生成根证书公私钥对,采用根证书私钥对根证书公钥、用途、颁发者、有效时间等信息进行自签名,从而得到根证书;然后,域名解析服务端生成服务端公私钥对,采用根证书私钥对服务端公钥及其持有者信息施加数字签名,生成服务端证书。因此,如图3所示,域名解析工具包首先从根证书中获取根证书公钥,采用根证书公钥验证带有根证书数字签名的服务端证书,验证通过则确认了服务端公钥的合法性,说明证书链校验通过(完成了服务端身份验证)。需要说明的是,域名解析服务端会预先将根证书发送给域名解析工具包并预置到域名解析工具包中。
可选地,采用所述服务端证书中的服务端公钥对所述列表签名进行签名校验,包括:采用所述服务端证书中的服务端公钥对所述列表签名进行解密,从而得到散列值;对所述IP列表进行哈希运算,从而得到散列值;比对解密得到的散列值与运算得到的散列值是否一致。在本发明的实施例中,如图3所示,服务端查询并获取待解析域名对应IP列表后,对所述IP列表进行哈希运算,从而得到散列值,然后采用服务端私钥对所述散列值进行加密,生成列表签名,最后将所述IP列表、所述列表签名和服务端证书一起返回至所述域名解析工具包。所述域名解析工具包确认了服务端公钥的合法性后,采用所述服务端证书中的服务端公钥对所述列表签名进行解密,从而得到散列值,然后对所述IP列表进行哈希运算,从而得到散列值,最后比对解密得到的散列值与运算得到的散列值是否一致。散列值一致性比对通过后,证实了服务端返回的IP列表的真实性和完整性(完成了防篡改验证)。
可选地,域名解析工具包与域名解析服务端两方通信的过程中使用了国密的SM2和SM3算法实现服务端信息的防篡改及身份认证。具体地,服务端通过国密SM3对IP列表做哈希运算,从而得到散列值,采用国密SM2的私钥对散列值加密,SDK收到后做验证的方式,保证了消息的完整性。通过先在域名解析工具包中预置服务端根证书,域名解析工具包收到服务端返回的IP列表、列表签名和服务端证书后,对服务端证书进行证书链验证的方式,保证了服务器身份的可信。国密SM2、SM3的使用,保障了域名解析场景下服务端消息的完整性并达成了验证服务端身份的目的。
从图3中可以看出,除去预置根证书的过程,单次域名解析请求过程只需要1个RTT(Round-Trip Time,往返时延),相比HTTPS的通讯方式,本发明实施例少了2-3个RTT,所以速度更快,延时更少。
根据上面所述的各种实施例,可以看出本发明实施例通过接收域名解析服务端返回的IP列表、列表签名和服务端证书,采用预置的根证书对服务端证书进行证书链校验,响应于证书链校验通过,采用服务端证书中的服务端公钥对列表签名进行签名校验,响应于签名校验通过,将IP列表中的推荐IP存储到缓存中,并将推荐IP返回给应用程序的技术手段,解决了现有技术中HTTPDNS服务的延迟较高的技术问题。本发明实施例在普通HTTP通信(TCP三次握手)的基础上,多了对服务端身份验证和防篡改设计,不但可以实现服务端身份验证和防篡改验证,还可以减少往返时延,从而提高响应速度。
图4是根据本发明一个可参考实施例的域名解析方法的流程图。作为本发明的又一个实施例,如图4所示,所述域名解析方法应用于域名解析工具包,可以包括如下步骤:
步骤401,接收应用程序发送的域名解析调用请求,查询缓存中是否存在待解析域名对应的IP;若是,则执行步骤402;若否,则执行步骤403。
步骤402,将从缓存中查询到的待解析域名对应的IP返回至所述应用程序。
步骤403,向域名解析服务端发送域名解析请求,所述域名解析请求携带待解析域名。
步骤404,接收所述域名解析服务端返回的IP列表、列表签名和服务端证书。
步骤405,采用预置的根证书对所述服务端证书进行证书链校验,若校验不通过,则执行步骤406;若校验通过,则执行步骤407。
步骤406,向应用程序返回的结果为空。
步骤407,采用所述服务端证书中的服务端公钥对所述列表签名进行签名校验,若校验不通过,则执行步骤406;若校验通过,则执行步骤408。
步骤408,对所述IP列表中的每个IP进行测速,判断速度最快的IP与所述推荐IP的速度差值是否超过速度阈值;若是,则执行步骤409;若否,则执行步骤410。
步骤409,将速度最快的IP存储到所述缓存中,并将所述速度最快的IP返回给所述应用程序。
步骤410,将所述IP列表中的第一个IP(即推荐IP)存储到所述缓存中,并将该IP返回给所述应用程序。
在现有技术中,HTTPDNS的客户端是完全根据服务端解析的IP地址访问的,没有结合客户端的实际情况与速度,遇到信号、运营商服务不稳定、服务端IP库更新不及时的问题时,客户端自己没有校准优化功能,造成访问到异常服务节点、网络访问缓慢等问题。
在本发明的实施例中,依次对IP列表中每一个server IP进行TCP连接测速,得到响应最快的IP。测速指通过测算域名解析工具包与各Server IP TCP连接建立所消耗的时间。如果速度最快的IP与服务端推荐IP的速度差距超出了阈值,那么使用实际测速最快的IP返回至应用程序,否则仍使用服务端推荐的IP返回至应用程序。本发明实施例采用了服务端基于预置IP库进行域名解析的方式基础上,增加了客户端测速校准的方法,使得域名解析可用性更高、服务稳定性更强。
另外,在本发明一个可参考实施例中域名解析方法的具体实施内容,在上面所述域名解析方法中已经详细说明了,故在此重复内容不再说明。
图5是根据本发明另一个实施例的域名解析方法的流程图。作为本发明的一个实施例,如图5所示,所述域名解析方法应用于域名解析服务端,可以包括如下步骤:
步骤501,接收域名解析工具包发送的域名解析请求,查询并获取待解析域名对应的IP列表。
HTTPDNS由HTTPDNSSDK、HTTPDNS服务端两部分组成,其中,HTTPDNS服务端包含服务端程序与管理平台两部分组成。由应用管理员在管理平台配置DNS解析策略,单条策略记录内容包含:域名、IP、TTL(Time To Live,存活时间)、threshold(阈值)、weight(权重)、运营商以及地区。同域名下的记录,要求TTL和threshold保持一致,修改同域名下的一条记录的TTL和threshold值时,会自动同步更新其他记录。
允许对解析记录进行禁用或启动,方便管理员运维,运维期间不影响到当前整体的域名解析服务。
管理平台中简单的域名解析策略配置如下表所示:
除管理平台上由管理员点击页面操作外,另外预留一套独立的带权限验证的接口供自动化程序调度,可以支持新增、删除、修改、禁用、启用、批量禁用、批量启用解析策略的功能。
HTTPDNS服务端程序执行步骤501-步骤503。
可选地,步骤501可以包括:接收并解析域名解析工具包发送的域名解析请求,从而得到所述域名解析请求中携带的待解析域名;通过基数树查找IP区间表,得到所述域名解析请求对应的客户端网络出口IP的所属地区和运营商信息;从所述待解析域名对应的IP集合中,优先查询并获取所属地区和运营商信息与所述客户端网络出口IP一致的IP,以生成所述待解析域名对应的IP列表;若不存在所属地区和运营商信息与所述客户端网络出口IP一致的IP,则根据所述待解析域名对应的IP集合中各个IP的权重对所述各个IP进行排序,以生成所述待解析域名对应的IP列表;其中,所述IP列表中的第一个IP为推荐IP。
需要说明的是,本发明实施例只根据网络请求来源得到客户端的网络出口IP,即客户端所在局域网的运营商的出口IP,通过该出口IP得到用户的运营商和所在地区,不采集客户端IP。
基数树:radix tree,是一种高效用来存储键/值关联集合的特殊树数据结构,是计算机科学家发明的一种高效存储字符串和特征匹配算法,它允许使用者更精确、更快速地检索字符串。
域名解析服务端接收域名解析工具包发送的域名解析请求后,从中解析出待解析域名,然后通过基数树查找IP区间表,得到域名解析请求对应的客户端网络出口IP的所属地区和运营商信息。需要说明的是,IP区间表可定期更新,客户端网络出口IP支持ipv4和ipv6,IP区间表样例如下:
1.0.0.0/22,中国,福建省,福州市,电信(IPV4区间)
240e:7a2:d600::/40,中国,江苏,连云港,电信(IPV6区间)
域名解析服务端优先考虑运营商、地区与客户端网络出口IP解析出的运营商、所属地区一致的server IP,若没有一致的,则根据server IP的权重对所有IP进行排序。也就是说,运营商、所属地区一致的server IP在IP列表中处于第一位,其次权重越高server IP在IP列表中越靠前。
例如:按照上表中管理平台配置的策略,移动端访问a.xyz.com,客户端网络出口IP解析到运营商为“移动”,地区是“北京”。但是在策略表中没找到运营商、地区相同的server IP,那么考虑权重排序。该域名下server IP有两个,权重分别是70和100,那么当有170次该域名解析请求过来,70次优先推荐10.17.10.2,100次优先推荐10.17.10.1,优先推荐的放在IP列表的第一位,返回至域名解析工具包的IP列表如:[10.17.10.1,10.17,10.2]。
步骤502,对所述IP列表进行哈希运算,从而得到散列值,采用服务端私钥对所述散列值进行加密,生成列表签名。
步骤503,将所述IP列表、所述列表签名和服务端证书返回至所述域名解析工具包。
如图3所示,查询并获取待解析域名对应IP列表后,对所述IP列表进行哈希运算,从而得到散列值,然后采用服务端私钥对所述散列值进行加密,生成列表签名,最后将所述IP列表、所述列表签名和服务端证书一起返回至所述域名解析工具包。域名解析工具包与域名解析服务端两方通信的过程中使用了国密的SM2和SM3算法实现服务端信息的防篡改及身份认证。具体地,服务端通过国密SM3对IP列表做哈希运算,从而得到散列值,采用国密SM2的私钥对散列值加密,SDK收到后做验证的方式,保证了消息的完整性。
可选地,步骤501之前,还包括:生成根证书公私钥对,采用所述根证书私钥对所述根证书公钥、用途、颁发者、有效时间进行自签名,从而生成根证书;生成服务端公私钥对,采用所述根证书私钥对所述服务端公钥和持有者信息进行签名,从而生成服务端证书;将所述根证书预置到所述域名解析工具包中。如图3所示,域名解析服务端先生成根证书公私钥对,采用根证书私钥对根证书公钥、用途、颁发者、有效时间等信息进行自签名,从而得到根证书;然后,域名解析服务端生成服务端公私钥对,采用根证书私钥对服务端公钥及其持有者信息施加数字签名,生成服务端证书。
通过先在域名解析工具包中预置服务端根证书,域名解析工具包收到服务端返回的IP列表、列表签名和服务端证书后,对服务端证书进行证书链验证的方式,保证了服务器身份的可信。国密SM2、SM3的使用,保障了域名解析场景下服务端消息的完整性并达成了验证服务端身份的目的。
本发明实施例采用了服务端基于预置IP库进行域名解析的方式基础上,增加了按运营商与所属地区分流、按权重排序、移动端测速校准的方法,使得域名解析可用性更高、可配置程度更高、服务稳定性更强。
图6是根据本发明另一个可参考实施例的域名解析方法的流程图。作为本发明的又一个实施例,如图6所示,所述域名解析方法应用于域名解析服务端,可以包括如下步骤:
步骤601,生成根证书公私钥对,采用所述根证书私钥对所述根证书公钥、用途、颁发者、有效时间进行自签名,从而生成根证书。
步骤602,生成服务端公私钥对,采用所述根证书私钥对所述服务端公钥和持有者信息进行签名,从而生成服务端证书。
步骤603,将所述根证书预置到所述域名解析工具包中。
步骤604,接收域名解析工具包发送的域名解析请求,查询并获取待解析域名对应的IP列表。
步骤605,对所述IP列表进行哈希运算,从而得到散列值,采用服务端私钥对所述散列值进行加密,生成列表签名。
步骤606,将所述IP列表、所述列表签名和服务端证书返回至所述域名解析工具包。
另外,在本发明另一个可参考实施例中域名解析方法的具体实施内容,在上面所述域名解析方法中已经详细说明了,故在此重复内容不再说明。
图7是根据本发明一个实施例的域名解析装置的示意图。如图7所示,所述域名解析装置700设置于域名解析工具包,包括缓存模块701、接收模块702和解析模块703;其中,缓存模块701用于接收应用程序发送的域名解析调用请求,查询缓存中是否存在待解析域名对应的IP,若否,则向域名解析服务端发送域名解析请求;接收模块702用于接收所述域名解析服务端返回的IP列表、列表签名和服务端证书;解析模块703用于采用预置的根证书对所述服务端证书进行证书链校验,响应于证书链校验通过,采用所述服务端证书中的服务端公钥对所述列表签名进行签名校验,响应于签名校验通过,将所述IP列表中的推荐IP存储到所述缓存中,并将所述推荐IP返回给所述应用程序。
可选地,所述解析模块703还用于:
采用所述服务端证书中的服务端公钥对所述列表签名进行解密,从而得到散列值;
对所述IP列表进行哈希运算,从而得到散列值;
比对解密得到的散列值与运算得到的散列值是否一致。
可选地,所述解析模块703还用于:
从预置的根证书中获取根证书公钥,采用所述根证书公钥验证所述服务端证书。
可选地,所述解析模块703还用于:
对所述IP列表中的每个IP进行测速,判断速度最快的IP与所述推荐IP的速度差值是否超过速度阈值;
若是,则将速度最快的IP存储到所述缓存中,并将所述速度最快的IP返回给所述应用程序;
若否,将所述推荐IP存储到所述缓存中,并将所述推荐IP返回给所述应用程序;其中,所述IP列表中的第一个IP为推荐IP。
需要说明的是,在本发明所述域名解析装置的具体实施内容,在上面所述域名解析方法中已经详细说明了,故在此重复内容不再说明。
图8是根据本发明另一个实施例的域名解析装置的示意图。如图8所示,所述域名解析装置800设置于域名解析服务端,包括查询模块801、签名模块802和返回模块803;其中,查询模块801用于接收域名解析工具包发送的域名解析请求,查询并获取待解析域名对应的IP列表;签名模块802用于对所述IP列表进行哈希运算,从而得到散列值,采用服务端私钥对所述散列值进行加密,生成列表签名;返回模块803用于将所述IP列表、所述列表签名和服务端证书返回至所述域名解析工具包。
可选地,所述查询模块801还用于:
接收并解析域名解析工具包发送的域名解析请求,从而得到所述域名解析请求中携带的待解析域名;
通过基数树查找IP区间表,得到所述域名解析请求对应的客户端网络出口IP的所属地区和运营商信息;
从所述待解析域名对应的IP集合中,优先查询并获取所属地区和运营商信息与所述客户端网络出口IP一致的IP,以生成所述待解析域名对应的IP列表;
若不存在所属地区和运营商信息与所述客户端网络出口IP一致的IP,则根据所述待解析域名对应的IP集合中各个IP的权重对所述各个IP进行排序,以生成所述待解析域名对应的IP列表;其中,所述IP列表中的第一个IP为推荐IP。
可选地,还包括证书模块,用于:
生成根证书公私钥对,采用所述根证书私钥对所述根证书公钥、用途、颁发者、有效时间进行自签名,从而生成根证书;
生成服务端公私钥对,采用所述根证书私钥对所述服务端公钥和持有者信息进行签名,从而生成服务端证书;
将所述根证书预置到所述域名解析工具包中。
需要说明的是,在本发明所述域名解析装置的具体实施内容,在上面所述域名解析方法中已经详细说明了,故在此重复内容不再说明。
图9示出了可以应用本发明实施例的域名解析方法或域名解析装置的示例性系统架构900。
如图9所示,系统架构900可以包括终端设备901、902、903,网络904和服务器905。网络904用以在终端设备901、902、903和服务器905之间提供通信链路的介质。网络904可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备901、902、903通过网络904与服务器905交互,以接收或发送消息等。终端设备901、902、903上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备901、902、903可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器905可以是提供各种服务的服务器,例如对用户利用终端设备901、902、903所浏览的购物类网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的物品信息查询请求等数据进行分析等处理,并将处理结果反馈给终端设备。
需要说明的是,本发明实施例所提供的域名解析方法一般由服务器905执行,相应地,所述域名解析装置一般设置在服务器905中。本发明实施例所提供的域名解析方法也可以由终端设备901、902、903执行,相应地,所述域名解析装置可以设置在终端设备901、902、903中。
应该理解,图9中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图10,其示出了适于用来实现本发明实施例的终端设备的计算机系统1000的结构示意图。图10示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图10所示,计算机系统1000包括中央处理单元(CPU)1001,其可以根据存储在只读存储器(ROM)1002中的程序或者从存储部分1008加载到随机访问存储器(RAM)1003中的程序而执行各种适当的动作和处理。在RAM 1003中,还存储有系统1000操作所需的各种程序和数据。CPU 1001、ROM 1002以及RAM1003通过总线1004彼此相连。输入/输出(I/O)接口1005也连接至总线1004。
以下部件连接至I/O接口1005:包括键盘、鼠标等的输入部分1006;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1007;包括硬盘等的存储部分1008;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至I/O接口1005。可拆卸介质1011,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1010上,以便于从其上读出的计算机程序根据需要被安装入存储部分1008。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1009从网络上被下载和安装,和/或从可拆卸介质1011被安装。在该计算机程序被中央处理单元(CPU)1001执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括缓存模块、接收模块和解析模块,其中,这些模块的名称在某种情况下并不构成对该模块本身的限定。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括查询模块、签名模块和返回模块,其中,这些模块的名称在某种情况下并不构成对该模块本身的限定。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,该设备实现如下方法:接收应用程序发送的域名解析调用请求,查询缓存中是否存在待解析域名对应的IP,若否,则向域名解析服务端发送域名解析请求;接收所述域名解析服务端返回的IP列表、列表签名和服务端证书;采用预置的根证书对所述服务端证书进行证书链校验,响应于证书链校验通过,采用所述服务端证书中的服务端公钥对所述列表签名进行签名校验,响应于签名校验通过,将所述IP列表中的推荐IP存储到所述缓存中,并将所述推荐IP返回给所述应用程序。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,该设备实现如下方法:接收域名解析工具包发送的域名解析请求,查询并获取待解析域名对应的IP列表;对所述IP列表进行哈希运算,从而得到散列值,采用服务端私钥对所述散列值进行加密,生成列表签名;将所述IP列表、所述列表签名和服务端证书返回至所述域名解析工具包。
作为另一方面,本发明实施例还提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现上述任一实施例所述的方法。
根据本发明实施例的技术方案,因为采用接收域名解析服务端返回的IP列表、列表签名和服务端证书,采用预置的根证书对服务端证书进行证书链校验,响应于证书链校验通过,采用服务端证书中的服务端公钥对列表签名进行签名校验,响应于签名校验通过,将IP列表中的推荐IP存储到缓存中,并将推荐IP返回给应用程序的技术手段,所以克服了现有技术中HTTPDNS服务的延迟较高的技术问题。本发明实施例在普通HTTP通信(TCP三次握手)的基础上,多了对服务端身份验证和防篡改设计,不但可以实现服务端身份验证和防篡改验证,还可以减少往返时延,从而提高响应速度。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (12)
1.一种域名解析方法,其特征在于,应用于域名解析工具包,包括:
接收应用程序发送的域名解析调用请求,查询缓存中是否存在待解析域名对应的IP,若否,则向域名解析服务端发送域名解析请求;
接收所述域名解析服务端返回的IP列表、列表签名和服务端证书;
采用预置的根证书对所述服务端证书进行证书链校验,响应于证书链校验通过,采用所述服务端证书中的服务端公钥对所述列表签名进行签名校验,响应于签名校验通过,将所述IP列表中的推荐IP存储到所述缓存中,并将所述推荐IP返回给所述应用程序。
2.根据权利要求1所述的方法,其特征在于,采用所述服务端证书中的服务端公钥对所述列表签名进行签名校验,包括:
采用所述服务端证书中的服务端公钥对所述列表签名进行解密,从而得到散列值;
对所述IP列表进行哈希运算,从而得到散列值;
比对解密得到的散列值与运算得到的散列值是否一致。
3.根据权利要求1所述的方法,其特征在于,采用预置的根证书对所述服务端证书进行证书链校验,包括:
从预置的根证书中获取根证书公钥,采用所述根证书公钥验证所述服务端证书。
4.根据权利要求1所述的方法,其特征在于,将所述IP列表中的推荐IP存储到所述缓存中,并将所述推荐IP返回给所述应用程序,包括:
对所述IP列表中的每个IP进行测速,判断速度最快的IP与所述推荐IP的速度差值是否超过速度阈值;
若是,则将速度最快的IP存储到所述缓存中,并将所述速度最快的IP返回给所述应用程序;
若否,将所述推荐IP存储到所述缓存中,并将所述推荐IP返回给所述应用程序;其中,所述IP列表中的第一个IP为推荐IP。
5.一种域名解析方法,其特征在于,应用于域名解析服务端,包括:
接收域名解析工具包发送的域名解析请求,查询并获取待解析域名对应的IP列表;
对所述IP列表进行哈希运算,从而得到散列值,采用服务端私钥对所述散列值进行加密,生成列表签名;
将所述IP列表、所述列表签名和服务端证书返回至所述域名解析工具包。
6.根据权利要求5所述的方法,其特征在于,接收域名解析工具包发送的域名解析请求,查询并获取待解析域名对应IP列表,包括:
接收并解析域名解析工具包发送的域名解析请求,从而得到所述域名解析请求中携带的待解析域名;
通过基数树查找IP区间表,得到所述域名解析请求对应的客户端网络出口IP的所属地区和运营商信息;
从所述待解析域名对应的IP集合中,优先查询并获取所属地区和运营商信息与所述客户端网络出口IP一致的IP,以生成所述待解析域名对应的IP列表;
若不存在所属地区和运营商信息与所述客户端网络出口IP一致的IP,则根据所述待解析域名对应的IP集合中各个IP的权重对所述各个IP进行排序,以生成所述待解析域名对应的IP列表;其中,所述IP列表中的第一个IP为推荐IP。
7.根据权利要求6所述的方法,其特征在于,接收域名解析工具包发送的域名解析请求之前,还包括:
生成根证书公私钥对,采用所述根证书私钥对所述根证书公钥、用途、颁发者、有效时间进行自签名,从而生成根证书;
生成服务端公私钥对,采用所述根证书私钥对所述服务端公钥和持有者信息进行签名,从而生成服务端证书;
将所述根证书预置到所述域名解析工具包中。
8.一种域名解析装置,其特征在于,设置于域名解析工具包,包括:
缓存模块,用于接收应用程序发送的域名解析调用请求,查询缓存中是否存在待解析域名对应的IP,若否,则向域名解析服务端发送域名解析请求;
接收模块,用于接收所述域名解析服务端返回的IP列表、列表签名和服务端证书;
解析模块,用于采用预置的根证书对所述服务端证书进行证书链校验,响应于证书链校验通过,采用所述服务端证书中的服务端公钥对所述列表签名进行签名校验,响应于签名校验通过,将所述IP列表中的推荐IP存储到所述缓存中,并将所述推荐IP返回给所述应用程序。
9.一种域名解析装置,其特征在于,设置于域名解析服务端,包括:
查询模块,用于接收域名解析工具包发送的域名解析请求,查询并获取待解析域名对应的IP列表;
签名模块,用于对所述IP列表进行哈希运算,从而得到散列值,采用服务端私钥对所述散列值进行加密,生成列表签名;
返回模块,用于将所述IP列表、所述列表签名和服务端证书返回至所述域名解析工具包。
10.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
11.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-7中任一所述的方法。
12.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311524463.3A CN117527750A (zh) | 2023-11-15 | 2023-11-15 | 域名解析方法、装置、电子设备和计算机可读介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311524463.3A CN117527750A (zh) | 2023-11-15 | 2023-11-15 | 域名解析方法、装置、电子设备和计算机可读介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117527750A true CN117527750A (zh) | 2024-02-06 |
Family
ID=89754609
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311524463.3A Pending CN117527750A (zh) | 2023-11-15 | 2023-11-15 | 域名解析方法、装置、电子设备和计算机可读介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117527750A (zh) |
-
2023
- 2023-11-15 CN CN202311524463.3A patent/CN117527750A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9781082B2 (en) | Selectively performing man in the middle decryption | |
US8850219B2 (en) | Secure communications | |
US10326730B2 (en) | Verification of server name in a proxy device for connection requests made using domain names | |
US9900161B2 (en) | Method for certifying android client application by local service unit | |
US7861087B2 (en) | Systems and methods for state signing of internet resources | |
US10904227B2 (en) | Web form protection | |
WO2022056996A1 (zh) | 一种安全访问内网应用的方法和装置 | |
US10333716B2 (en) | Script verification using a digital signature | |
US10257171B2 (en) | Server public key pinning by URL | |
CN113364781A (zh) | 请求处理方法及系统 | |
WO2022057002A1 (zh) | 一种异常请求处理方法和装置 | |
US11451517B2 (en) | Secure and auditable proxy technology using trusted execution environments | |
CN111049789B (zh) | 域名访问的方法和装置 | |
CN107026828A (zh) | 一种基于互联网缓存的防盗链方法及互联网缓存 | |
US10084797B2 (en) | Enhanced access security gateway | |
CN112565156B (zh) | 信息注册方法、装置和系统 | |
CN114598549B (zh) | 客户ssl证书验证方法及装置 | |
CN117527750A (zh) | 域名解析方法、装置、电子设备和计算机可读介质 | |
CN114172698A (zh) | 一种业务请求处理方法、Web服务器、设备及介质 | |
CN116170164A (zh) | 请求调度的方法、装置、电子设备及存储介质 | |
CN113726917A (zh) | 域名确定方法、装置和电子设备 | |
US9036822B1 (en) | Methods for managing user information and devices thereof | |
CN113420331B (zh) | 一种文件下载权限的管理方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |