本發(fā)明涉及計(jì)算機(jī)領(lǐng)域,尤其涉及一種面向用戶隱私保護(hù)的域名解析服務(wù)方法和系統(tǒng)。
背景技術(shù):
域名服務(wù)(DNS)是互聯(lián)網(wǎng)的基礎(chǔ)服務(wù),用于實(shí)現(xiàn)域名到主機(jī)IP地址的定位。對(duì)于互聯(lián)網(wǎng)用戶而言,幾乎所有的網(wǎng)絡(luò)行為都需要通過(guò)DNS來(lái)尋找和定位相應(yīng)的網(wǎng)絡(luò)資源。因此,DNS含有豐富的涉及用戶互聯(lián)網(wǎng)訪問(wèn)行為的敏感信息。然而,DNS在設(shè)計(jì)之初,并未考慮其中潛在的隱私泄露問(wèn)題,導(dǎo)致當(dāng)前借助DNS而開(kāi)展的各類網(wǎng)絡(luò)隱私挖掘和網(wǎng)絡(luò)監(jiān)聽(tīng)行為愈演愈烈,使得DNS隱私泄露風(fēng)險(xiǎn)日益凸顯,開(kāi)始成為業(yè)界廣泛關(guān)注的熱點(diǎn)問(wèn)題。
根據(jù)現(xiàn)行的DNS協(xié)議,用戶端發(fā)起的DNS查詢請(qǐng)求的解析過(guò)程如圖1所示。首先,用戶端(具體來(lái)說(shuō)是用戶端的DNS解析器)將該DNS查詢請(qǐng)求發(fā)往給預(yù)先設(shè)定的遞歸服務(wù)器(步驟1);遞歸服務(wù)器收到該請(qǐng)求后,首先檢查本地緩存中是否存在相應(yīng)的資源記錄,若存在則直接將該記錄返回給用戶(步驟5),否則遞歸服務(wù)器會(huì)將該DNS查詢請(qǐng)求依次發(fā)給各級(jí)權(quán)威服務(wù)器(步驟2-4),直到得到關(guān)于該DNS查詢請(qǐng)求的權(quán)威應(yīng)答。最后,遞歸服務(wù)器將該權(quán)威應(yīng)答載入緩存,并返回給用戶(步驟5)。
通過(guò)上述解析過(guò)程可以發(fā)現(xiàn),對(duì)于用戶的每次DNS查詢請(qǐng)求,都需要通過(guò)遞歸服務(wù)器來(lái)接收相應(yīng)的應(yīng)答信息,換句話說(shuō),遞歸服務(wù)器能夠記錄用戶的所有DNS查詢請(qǐng)求信息;同樣的,對(duì)于用戶發(fā)來(lái)的每次DNS查詢請(qǐng)求,遞歸服務(wù)器(不考慮緩存因素)都需要將其轉(zhuǎn)發(fā)給各級(jí)權(quán)威服務(wù)器以獲取相應(yīng)的權(quán)威應(yīng)答,換句話說(shuō),各級(jí)權(quán)威服務(wù)器也能夠相應(yīng)的獲得大量的DNS查詢請(qǐng)求信息。因此,遞歸服務(wù)器和各級(jí)權(quán)威服務(wù)器都能夠輕易的掌握DNS查詢請(qǐng)求信息,從中實(shí)現(xiàn)用戶隱私信息的窺探和挖掘分析。另一方面,由于當(dāng)前DNS的請(qǐng)求解析過(guò)程基本是基于UDP協(xié)議的明文傳輸,這也導(dǎo)致整個(gè)DNS請(qǐng)求解析過(guò)程能夠輕易的被第三方實(shí)施基于通信鏈路的網(wǎng)絡(luò)監(jiān)聽(tīng)。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的。
本發(fā)明提出了一種面向用戶隱私保護(hù)的域名解析服務(wù)方法,其包括以下步驟:
獲取用戶輸入的將要訪問(wèn)的原始域名;
將隱私保護(hù)服務(wù)器的域名與所述原始域名組合成第一隱蔽域名;
通過(guò)所述隱私保護(hù)服務(wù)器進(jìn)行訪問(wèn)操作。
其中,在所述將隱私保護(hù)服務(wù)器的域名與所述原始域名組合成第一隱蔽域名之前,還包括:為隱私保護(hù)服務(wù)器設(shè)置第一域名,所述第一域名為所述隱私保護(hù)服務(wù)器的域名。
其中,所述將隱私保護(hù)服務(wù)器的域名與所述原始域名組合成第一隱蔽域名具體包括:
使用第一加密密鑰對(duì)所述原始域名進(jìn)行加密得到第一暗文;
對(duì)所述第一暗文添加所述第一域名作為后綴得到第一隱蔽域名。
其中,所述通過(guò)所述隱私保護(hù)服務(wù)器進(jìn)行訪問(wèn)操作包括:
由遞歸服務(wù)器將所述第一隱蔽域名轉(zhuǎn)發(fā)給所述隱私保護(hù)服務(wù)器;
所述隱私保護(hù)服務(wù)器解析所述第一隱蔽域名后,獲取用戶請(qǐng)求訪問(wèn)的原始域名;
訪問(wèn)所述原始域名所在權(quán)威服務(wù)器。
其中,所述通過(guò)所述隱私保護(hù)服務(wù)器進(jìn)行訪問(wèn)操作還包括:
所述隱私保護(hù)服務(wù)器獲取所述權(quán)威服務(wù)器的訪問(wèn)結(jié)果,并暗文形式將訪問(wèn)結(jié)果返回給所述遞歸服務(wù)器;
所述遞歸服務(wù)器將訪問(wèn)結(jié)果返回給請(qǐng)求的用戶;
通過(guò)第一加密密鑰對(duì)所述訪問(wèn)結(jié)果進(jìn)行解密,得到最終解析結(jié)果。
本發(fā)明還提出了一種面向用戶隱私保護(hù)的域名解析服務(wù)系統(tǒng),其包括:
用戶訪問(wèn)設(shè)備,其用于輸入用于將要訪問(wèn)的原始域名;
遞歸服務(wù)器,用于在所述用戶訪問(wèn)設(shè)備和隱私保護(hù)服務(wù)器之間傳送的信息;
隱私保護(hù)服務(wù)器,其用于在所述遞歸服務(wù)器和權(quán)威服務(wù)器之間傳送信息;
權(quán)威服務(wù)器,其用于存儲(chǔ)所述用戶訪問(wèn)設(shè)備將要訪問(wèn)的數(shù)據(jù)。
其中,所述用戶訪問(wèn)設(shè)備還用于:
使用第一加密密鑰對(duì)所述原始域名進(jìn)行加密得到第一暗文;
對(duì)所述第一暗文添加所述第一域名作為后綴得到第一隱蔽域名;
將所述第一隱蔽域名傳遞給所述遞歸服務(wù)器。
其中,所述隱私保護(hù)服務(wù)器還用于:解析所述第一隱蔽域名,獲取用戶請(qǐng)求訪問(wèn)的原始域名。
本發(fā)明的優(yōu)點(diǎn)在于:
本發(fā)明所提出的域名解析服務(wù)能夠有效防止用戶所面臨的各種隱私泄露風(fēng)險(xiǎn);
本發(fā)明所提出的域名解析服務(wù)與現(xiàn)行的域名解析服務(wù)相比,僅增加了隱私保護(hù)服務(wù)器組件,并不對(duì)現(xiàn)行的其他DNS服務(wù)器作修改,因此具有部署成本低的優(yōu)點(diǎn);
本發(fā)明所提出的域名解析服務(wù)對(duì)于用戶來(lái)說(shuō)是透明的,且可以根據(jù)自身的具體情況決定是否使用,不具任何強(qiáng)制性,因此具有靈活部署的優(yōu)點(diǎn)。
附圖說(shuō)明
通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中,用相同的參考符號(hào)表示相同的部件。在附圖中:
附圖1示出了現(xiàn)有技術(shù)中DNS查詢請(qǐng)求解析過(guò)程圖;
附圖2示出了根據(jù)本發(fā)明實(shí)施方式的面向用戶隱私保護(hù)的域名解析服務(wù)方法的流程圖;
附圖3示出了根據(jù)本發(fā)明實(shí)施方式的面向用戶隱私保護(hù)的域名解析服務(wù)方法的過(guò)程圖;
附圖4示出了根據(jù)本發(fā)明實(shí)施方式的面向用戶隱私保護(hù)的域名解析服務(wù)系統(tǒng)框圖。
具體實(shí)施方式
下面將參照附圖更詳細(xì)地描述本公開(kāi)的示例性實(shí)施方式。雖然附圖中顯示了本公開(kāi)的示例性實(shí)施方式,然而應(yīng)當(dāng)理解,可以以各種形式實(shí)現(xiàn)本公開(kāi)而不應(yīng)被這里闡述的實(shí)施方式所限制。相反,提供這些實(shí)施方式是為了能夠更透徹地理解本公開(kāi),并且能夠?qū)⒈竟_(kāi)的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。
如圖2所示,根據(jù)本發(fā)明的實(shí)施方式,提出一種面向用戶隱私保護(hù)的域名解析服務(wù)方法,其包括以下步驟:
獲取用戶輸入的將要訪問(wèn)的原始域名;
將隱私保護(hù)服務(wù)器的域名與所述原始域名組合成第一隱蔽域名;
通過(guò)所述隱私保護(hù)服務(wù)器進(jìn)行訪問(wèn)操作。
其中,在所述將隱私保護(hù)服務(wù)器的域名與所述原始域名組合成第一隱蔽域名之前,還包括:為隱私保護(hù)服務(wù)器設(shè)置第一域名,所述第一域名為所述隱私保護(hù)服務(wù)器的域名。
其中,所述將隱私保護(hù)服務(wù)器的域名與所述原始域名組合成第一隱蔽域名具體包括:
使用第一加密密鑰對(duì)所述原始域名進(jìn)行加密得到第一暗文;
對(duì)所述第一暗文添加所述第一域名作為后綴得到第一隱蔽域名。
其中,所述通過(guò)所述隱私保護(hù)服務(wù)器進(jìn)行訪問(wèn)操作包括:
由遞歸服務(wù)器將所述第一隱蔽域名轉(zhuǎn)發(fā)給所述隱私保護(hù)服務(wù)器;
所述隱私保護(hù)服務(wù)器解析所述第一隱蔽域名后,獲取用戶請(qǐng)求訪問(wèn)的原始域名;
訪問(wèn)所述原始域名所在權(quán)威服務(wù)器。
其中,所述通過(guò)所述隱私保護(hù)服務(wù)器進(jìn)行訪問(wèn)操作還包括:
所述隱私保護(hù)服務(wù)器獲取所述權(quán)威服務(wù)器的訪問(wèn)結(jié)果,并暗文形式將訪問(wèn)結(jié)果返回給所述遞歸服務(wù)器;
所述遞歸服務(wù)器將訪問(wèn)結(jié)果返回給請(qǐng)求的用戶;
通過(guò)第一加密密鑰對(duì)所述訪問(wèn)結(jié)果進(jìn)行解密,得到最終解析結(jié)果。
如圖3所示,用戶在將域名查詢請(qǐng)求發(fā)給遞歸服務(wù)器之前,首先使用某個(gè)隱私保護(hù)服務(wù)器所提供的密鑰將原始域名(例如“www.example.cn”)轉(zhuǎn)換成暗文(假定加密后變?yōu)椤癳5sdn49imw”),并以該隱私保護(hù)服務(wù)器的域名(例如“privacy.cn”)作為后綴,從而組合成一個(gè)隱蔽域名(即“e5sdn49imw.privacy.cn”)(步驟①);遞歸服務(wù)器收到對(duì)該隱蔽域名的查詢請(qǐng)求后,將通過(guò)現(xiàn)行DNS解析流程將其轉(zhuǎn)發(fā)至隱私保護(hù)服務(wù)器(步驟②);隱私保護(hù)服務(wù)器解密其中的原始域名并對(duì)其進(jìn)行傳統(tǒng)的域名解析過(guò)程,然而再以暗文形式將解析結(jié)果返回給遞歸服務(wù)器(步驟③-⑤),遞歸服務(wù)器最終將該結(jié)果返回給用戶。
根據(jù)現(xiàn)行的域名服務(wù)框架可以發(fā)現(xiàn),遞歸服務(wù)器由于處在連接用戶和權(quán)威服務(wù)器的樞紐位置,同時(shí)擁有著對(duì)DNS數(shù)據(jù)的接收權(quán)和發(fā)送權(quán),因此遞歸服務(wù)器對(duì)于DNS數(shù)據(jù)的無(wú)隱藏收發(fā)是導(dǎo)致用戶隱私泄露風(fēng)險(xiǎn)的直接原因。因此,本發(fā)明所提出的域名解析服務(wù)增加了隱私保護(hù)服務(wù)器這一重要組件。用戶在將域名查詢請(qǐng)求發(fā)給遞歸服務(wù)器之前,首先使用某個(gè)隱私保護(hù)服務(wù)器所提供的密鑰將原始域名轉(zhuǎn)換成暗文,并以該隱私保護(hù)服務(wù)器的域名作為后綴,從而組合成一個(gè)隱蔽域名;遞歸服務(wù)器收到用戶對(duì)該隱蔽域名的查詢請(qǐng)求后,將通過(guò)現(xiàn)行DNS解析流程將其轉(zhuǎn)發(fā)至隱私保護(hù)服務(wù)器;隱私保護(hù)服務(wù)器解密其中的原始域名并對(duì)其進(jìn)行傳統(tǒng)的域名解析過(guò)程,然而再以暗文形式將解析結(jié)果返回給遞歸服務(wù)器,遞歸服務(wù)器最終將該結(jié)果返回給用戶;最后用戶通過(guò)密鑰對(duì)該結(jié)果進(jìn)行解密,獲得最終的解析結(jié)果。
可以看出,上述整個(gè)域名解析過(guò)程中的任一通信鏈路和服務(wù)器,都將無(wú)法實(shí)現(xiàn)對(duì)用戶IP地址和所查原始域名的同時(shí)獲取,從而可以有效的避免前文提到的每種DNS隱私泄露風(fēng)險(xiǎn),且未對(duì)現(xiàn)行DNS服務(wù)器作任何修改,因此本發(fā)明擬提出的這種域名解析服務(wù)具有極高的有效性和可用性。
如圖4所示,本發(fā)明還提出了一種面向用戶隱私保護(hù)的域名解析服務(wù)系統(tǒng),其包括:
用戶訪問(wèn)設(shè)備,其用于輸入用于將要訪問(wèn)的原始域名;
遞歸服務(wù)器,用于在所述用戶訪問(wèn)設(shè)備和隱私保護(hù)服務(wù)器之間傳送的信息;
隱私保護(hù)服務(wù)器,其用于在所述遞歸服務(wù)器和權(quán)威服務(wù)器之間傳送信息;
權(quán)威服務(wù)器,其用于存儲(chǔ)所述用戶訪問(wèn)設(shè)備將要訪問(wèn)的數(shù)據(jù)。
其中,所述用戶訪問(wèn)設(shè)備還用于:
使用第一加密密鑰對(duì)所述原始域名進(jìn)行加密得到第一暗文;
對(duì)所述第一暗文添加所述第一域名作為后綴得到第一隱蔽域名;
將所述第一隱蔽域名傳遞給所述遞歸服務(wù)器。
其中,所述隱私保護(hù)服務(wù)器還用于:解析所述第一隱蔽域名,獲取用戶請(qǐng)求訪問(wèn)的原始域名。
以上所述,僅為本發(fā)明較佳的具體實(shí)施方式,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)以所述權(quán)利要求的保護(hù)范圍為準(zhǔn)。