設(shè)置為只讀��,不可更改����。
[0058]可更新數(shù)據(jù)模塊�,負(fù)責(zé)存儲(chǔ)服務(wù)器端下發(fā)的DNS數(shù)據(jù),本方案中�����,由服務(wù)器端模塊定期集中地打包下發(fā)數(shù)據(jù)給用戶端模塊,該數(shù)據(jù)模塊一般設(shè)為只讀不可更改���,只有與服務(wù)器端模塊進(jìn)行更新任務(wù)時(shí)��,通過密鑰驗(yàn)證后�,才可寫入數(shù)據(jù)��。該模塊存儲(chǔ)大量的DNS信息�,主要為大多數(shù)用戶常用的DNS信息。
[0059]更新策略模塊�,負(fù)責(zé)根據(jù)根據(jù)用戶訪問的情況向服務(wù)器端提交更新需求,如果用戶期望訪問的網(wǎng)址在固定數(shù)據(jù)模塊和可更新數(shù)據(jù)模塊中均不存在����,可在數(shù)據(jù)更新時(shí)向服務(wù)器端模塊提出請(qǐng)求,該模塊在不與服務(wù)器端通訊時(shí)�����,整理用戶訪問數(shù)據(jù)�����,生成更新序列����。該模塊的啟用需要用戶認(rèn)可����。
[0060]服務(wù)器端模塊包含多個(gè)子模塊�,加密通信模塊,數(shù)據(jù)收集模塊����,數(shù)據(jù)處理模塊���,數(shù)據(jù)下發(fā)模塊��,任務(wù)調(diào)度模塊�。
[0061]加密通信模塊����,負(fù)責(zé)通過私有加密協(xié)議將數(shù)據(jù)加密,與用戶端模塊建立通信關(guān)系��,通過私有協(xié)議集中傳遞數(shù)據(jù)�。
[0062]數(shù)據(jù)收集模塊,負(fù)責(zé)從DNS系統(tǒng)獲取可靠的DNS數(shù)據(jù)��,該模塊具備良好的安全防護(hù)策略,部署DNSSEC�����,只從獲得認(rèn)可的數(shù)據(jù)源獲取數(shù)據(jù)��,保證數(shù)據(jù)的可靠性�。
[0063]數(shù)據(jù)處理模塊,負(fù)責(zé)處理收集到的數(shù)據(jù)�����,根據(jù)用戶反饋的信息����,整理出多個(gè)版本的更新數(shù)據(jù)包。
[0064]數(shù)據(jù)下發(fā)模塊���,負(fù)責(zé)下發(fā)更新數(shù)據(jù)包�����,根據(jù)任務(wù)調(diào)度模塊指令����,將更新數(shù)據(jù)定期包分發(fā)給用戶端模塊。
[0065]任務(wù)調(diào)度模塊���,負(fù)責(zé)收集用戶的請(qǐng)求信息���,判斷用戶類型,匹配相應(yīng)的更新包���,調(diào)度分發(fā)任務(wù)�。
[0066]本發(fā)明方案的模塊關(guān)系如圖3所示���。整個(gè)“用戶端模塊”直接部署在用戶的主機(jī)上,用戶需要將首選DNS地址設(shè)為本地����。這樣用戶的DNS請(qǐng)求首先發(fā)送給“用戶端模塊”,將用戶請(qǐng)求交給其子模塊“固定數(shù)據(jù)模塊”���,如果“固定數(shù)據(jù)模塊”能匹配到該數(shù)據(jù)�����,直接反饋給用戶����,如果沒有就轉(zhuǎn)交給“可更新數(shù)據(jù)模塊”,如果能匹配到對(duì)應(yīng)的數(shù)據(jù)���,直接反饋給用戶���,如果沒有,反饋查詢失敗信息��,用戶將選用備用DNS�����,同時(shí)“可更新數(shù)據(jù)模塊”將該記錄發(fā)給“更新策略模塊”�,更新策略模塊存儲(chǔ)和整理這類信息,等到定時(shí)更新時(shí)����,將整理的信息通過“加密通信模塊”發(fā)送給“服務(wù)器端模塊”,“加密通信模塊”從“服務(wù)器端模塊”獲取更新信息����,并儲(chǔ)存在“可更新模塊中”供查詢。
[0067]整個(gè)“服務(wù)器端模塊”部署在方案提供商的數(shù)據(jù)中心服務(wù)器上,由該方案的提供商負(fù)責(zé)維護(hù)和管理�。“加密通信模塊”負(fù)責(zé)使用私有加密協(xié)議來接收和下發(fā)數(shù)據(jù)���,“任務(wù)調(diào)度模塊”負(fù)責(zé)協(xié)調(diào)各個(gè)模塊的工作任務(wù)����,“數(shù)據(jù)收集模塊”用于從指定的DNS可靠數(shù)據(jù)源獲取DNS數(shù)據(jù)��,可靠DNS數(shù)據(jù)為通過核準(zhǔn)的數(shù)據(jù)�,由相關(guān)機(jī)構(gòu)直接提供和數(shù)據(jù)學(xué)習(xí)訓(xùn)練得到,“數(shù)據(jù)處理模塊”將獲取的數(shù)據(jù)分類整理和存儲(chǔ)�����,按用戶類型打包成若干個(gè)數(shù)據(jù)包��,“數(shù)據(jù)下發(fā)模塊”根據(jù)任務(wù)調(diào)度模塊的指令���,將整理好的數(shù)據(jù)包依次下發(fā),由“加密通信模塊”轉(zhuǎn)發(fā)給“用戶端模塊”對(duì)應(yīng)的子模塊��。
[0068]用戶端模塊處理流程如圖4所示�。
[0069]第一步,接收用戶指令,判斷指令類型����,如果是DNS請(qǐng)求,轉(zhuǎn)第二步��,如果是更新請(qǐng)求轉(zhuǎn)第四步�。
[0070]第二步,查詢固定數(shù)據(jù)模塊�����,如果匹配����,返回查詢結(jié)果;如果不匹配�����,轉(zhuǎn)第三步��。
[0071]第三步����,查詢可更新數(shù)據(jù)模塊����,如果匹配����,返回查詢結(jié)果,如果不匹配���,返回查詢失敗信息�。
[0072]第四步�,開啟更新進(jìn)程,發(fā)送更新請(qǐng)求�,監(jiān)測(cè)是否收到回饋信息,如果收到回饋信息�����,轉(zhuǎn)第五步���,如果沒有收到回饋信息��,等待直至超時(shí),向用戶反饋更新失敗信息���。
[0073]第五步���,建立加密連接��,下載更新數(shù)據(jù)包����。
[0074]第六步�����,對(duì)可更新數(shù)據(jù)模塊進(jìn)行數(shù)據(jù)更新處理���。
[0075]服務(wù)器端模塊處理流程如圖5所示
[0076]第一步�,接收系統(tǒng)指令��,判斷任務(wù)類型���,如果是DNS數(shù)據(jù)處理任務(wù)��,轉(zhuǎn)第二步�,如果是用戶更新請(qǐng)求��,轉(zhuǎn)第六步。
[0077]第二步����,調(diào)用數(shù)據(jù)收集模塊,集中統(tǒng)計(jì)用戶需求����,生成數(shù)據(jù)需求表;
[0078]第三步����,根據(jù)需求列表,獲取可靠DNS數(shù)據(jù)����;
[0079]第四步,調(diào)用數(shù)據(jù)處理模塊�����,對(duì)獲取的數(shù)據(jù)進(jìn)行分類����,分類存儲(chǔ)數(shù)據(jù);
[0080]第五步�,依據(jù)用戶類型��,分類生成數(shù)據(jù)更新包,供數(shù)據(jù)下發(fā)模塊使用�;
[0081]第六步,匹配用戶類型��,確定對(duì)應(yīng)的更新包�;
[0082]第七步,建立加密連接��;
[0083]第八步��,調(diào)用數(shù)據(jù)下發(fā)模塊���,分發(fā)對(duì)應(yīng)的更新包�����;
[0084]第九步����,完成數(shù)據(jù)更新包的發(fā)送���,同時(shí)收集用戶的更新策略需求�����。
[0085]安裝在移動(dòng)存儲(chǔ)設(shè)備(如U盤��,小型終端等)上的客戶端模塊����,包含在本發(fā)明方案的范圍內(nèi),如果用戶使用安裝了客戶端模塊的U盤和小型終端����,連接在用戶主機(jī)上使用,屬于本發(fā)明方案的保護(hù)范疇�。
[0086]以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非對(duì)其進(jìn)行限制,本領(lǐng)域的普通技術(shù)人員可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換����,而不脫離本發(fā)明的精神和范圍,本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求所述為準(zhǔn)��。
【主權(quán)項(xiàng)】
1.一種基于本地解析的安全DNS系統(tǒng)�,其特征在于,包括用戶端模塊和服務(wù)器端模塊���,用戶端模塊部署在用戶自身的主機(jī)上�����,服務(wù)器端模塊部署在服務(wù)提供商�����; 所述用戶端模塊包含: 加密通信模塊���,負(fù)責(zé)通過私有加密協(xié)議將數(shù)據(jù)加密,與服務(wù)器端建立通信關(guān)系��,通過私有協(xié)議集中傳遞數(shù)據(jù)�; 固定數(shù)據(jù)模塊,負(fù)責(zé)存儲(chǔ)無需更新的數(shù)據(jù)���; 可更新數(shù)據(jù)模塊���,負(fù)責(zé)存儲(chǔ)服務(wù)器端下發(fā)的DNS數(shù)據(jù),為用戶提供常用的DNS信息���; 更新策略模塊���,負(fù)責(zé)根據(jù)根據(jù)用戶訪問的情況向服務(wù)器端提交更新需求��; 所述服務(wù)器端模塊包含: 加密通信模塊�,負(fù)責(zé)通過私有加密協(xié)議將數(shù)據(jù)加密��,與用戶端模塊建立通信關(guān)系�����,通過私有協(xié)議集中傳遞數(shù)據(jù)�; 數(shù)據(jù)收集模塊,負(fù)責(zé)從DNS系統(tǒng)獲取可靠的DNS數(shù)據(jù)�; 數(shù)據(jù)處理模塊,負(fù)責(zé)處理收集到的DNS數(shù)據(jù)���,根據(jù)用戶反饋的信息����,生成更新數(shù)據(jù)包����; 數(shù)據(jù)下發(fā)模塊,負(fù)責(zé)下發(fā)更新數(shù)據(jù)包�,根據(jù)任務(wù)調(diào)度模塊指令,將更新數(shù)據(jù)定期包分發(fā)給用戶端模塊。 任務(wù)調(diào)度模塊�����,負(fù)責(zé)收集用戶的請(qǐng)求信息����,判斷用戶類型,匹配相應(yīng)的更新包����,調(diào)度分發(fā)任務(wù)�。
2.如權(quán)利要求1所述的系統(tǒng),其特征在于:所述固定數(shù)據(jù)模塊存儲(chǔ)的無需更新的數(shù)據(jù)包括服務(wù)器端的IP地址�����,常用IP地址庫(kù)���。
3.如權(quán)利要求1所述的系統(tǒng)��,其特征在于:所述固定數(shù)據(jù)模塊設(shè)置為只讀�,不可更改���;所述可更新數(shù)據(jù)模塊設(shè)為只讀���,不可更改�,只有與服務(wù)器端模塊進(jìn)行更新任務(wù)時(shí)��,通過密鑰驗(yàn)證后���,才可寫入數(shù)據(jù)���。
4.如權(quán)利要求1所述的系統(tǒng),其特征在于:如果用戶期望訪問的網(wǎng)址在固定數(shù)據(jù)模塊和可更新數(shù)據(jù)模塊中均不存在���,則在數(shù)據(jù)更新時(shí)通過所述更新策略模塊向服務(wù)器端模塊提出請(qǐng)求����;所述更新策略模塊在不與服務(wù)器端通訊時(shí)���,整理用戶訪問數(shù)據(jù)�����,生成更新序列�;所述更新策略模塊的啟用需要用戶認(rèn)可。
5.如權(quán)利要求1所述的系統(tǒng)����,其特征在于:所述數(shù)據(jù)收集模塊具備良好的安全防護(hù)策略,部署DNSSEC����,只從獲得認(rèn)可的數(shù)據(jù)源獲取數(shù)據(jù),保證數(shù)據(jù)的可靠性�����。
6.一種采用權(quán)利要求1所述系統(tǒng)的DNS安全解析方法�����,其特征在于�,包括用戶端模塊的處理步驟和服務(wù)器端模塊的處理步驟�����; 所述用戶端模塊處理步驟包括: 第一步��,接收用戶指令����,判斷指令類型���,如果是DNS請(qǐng)求,轉(zhuǎn)第二步�;如果是更新請(qǐng)求轉(zhuǎn)第四步; 第二步�,查詢固定數(shù)據(jù)模塊,如果匹配�,返回查詢結(jié)果;如果不匹配���,轉(zhuǎn)第三步���; 第三步,查詢可更新數(shù)據(jù)模塊�,如果匹配,返回查詢結(jié)果�;如果不匹配,返回查詢失敗信息; 第四步�����,更新策略模塊開啟更新進(jìn)程�����,向服務(wù)器端發(fā)送更新請(qǐng)求,并監(jiān)測(cè)是否收到回饋信息�,如果收到回饋信息,轉(zhuǎn)第五步����;如果沒有收到回饋信息,等待直至超時(shí)�,向用戶反饋更新失敗信息; 第五步�����,與服務(wù)器端模塊建立加密連接����,并從服務(wù)器端模塊下載更新數(shù)據(jù)包; 第六步����,利用下載的更新數(shù)據(jù)包對(duì)可更新數(shù)據(jù)模塊進(jìn)行數(shù)據(jù)更新處理�����。 所述服務(wù)器端模塊處理步驟包括: 第一步,接收系統(tǒng)指令�����,判斷任務(wù)類型��,如果是DNS數(shù)據(jù)處理任務(wù)�����,轉(zhuǎn)第二步��,如果是用戶更新請(qǐng)求��,轉(zhuǎn)第六步����; 第二步,調(diào)用數(shù)據(jù)收集模塊����,根據(jù)用戶需求獲取可靠DNS數(shù)據(jù); 第三步��,調(diào)用數(shù)據(jù)處理模塊�����,對(duì)獲取的DNS數(shù)據(jù)進(jìn)行分類存儲(chǔ); 第四步�����,依據(jù)用戶類型�����,分類生成更新數(shù)據(jù)包�����,供數(shù)據(jù)下發(fā)模塊使用���; 第五步����,匹配用戶類型�,確定對(duì)應(yīng)的更新數(shù)據(jù)包; 第六步���,與用戶端模塊建立加密連接����; 第七步��,調(diào)用數(shù)據(jù)下發(fā)模塊�,根據(jù)任務(wù)調(diào)度模塊指令,向用戶端模塊分發(fā)對(duì)應(yīng)的更新數(shù)據(jù)包�����。
7.如權(quán)利要求6所述的方法���,其特征在于:所述數(shù)據(jù)收集模塊集中統(tǒng)計(jì)用戶需求���,生成數(shù)據(jù)需求表,并根據(jù)需求列表���,獲取可靠DNS數(shù)據(jù)����。
8.如權(quán)利要求6所述的方法���,其特征在于:所述更新策略模塊在不與服務(wù)器端通訊時(shí)�,整理用戶訪問數(shù)據(jù),生成更新序列���;所述更新策略模塊的啟用需要用戶認(rèn)可����。
【專利摘要】本發(fā)明涉及一種基于本地解析的安全DNS系統(tǒng)和DNS安全解析方法��。該系統(tǒng)包括用戶端模塊和服務(wù)器端模塊����,用戶端模塊部署在用戶自身的主機(jī)上,服務(wù)器端模塊部署在該解決方案的提供商���;用戶端模塊和服務(wù)器端模塊通過私有加密協(xié)議進(jìn)行通信���。所述用戶端模塊包含:加密通信模塊,固定數(shù)據(jù)模塊�,可更新數(shù)據(jù)模塊,更新策略模塊�;所述服務(wù)器端模塊包含:加密通信模塊,數(shù)據(jù)收集模塊���,數(shù)據(jù)處理模塊���,數(shù)據(jù)下發(fā)模塊,任務(wù)調(diào)度模塊���。本發(fā)明提供了一種普通用戶能快速實(shí)現(xiàn)的DNS安全解析方案���,用戶可以通過自主部署完成安全級(jí)別的提升,無需等待網(wǎng)絡(luò)提供商大規(guī)模部署安全設(shè)備����,從而將安全問題掌控在用戶自身手中。
【IPC分類】H04L29-12, H04L29-06
【公開號(hào)】CN104539603
【申請(qǐng)?zhí)枴緾N201410806841
【發(fā)明人】項(xiàng)炎平, 陳遠(yuǎn)民, 金鍵
【申請(qǐng)人】中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心
【公開日】2015年4月22日
【申請(qǐng)日】2014年12月22日