[发明专利]一种保证安全和隐私的DNS端到端解析方法

说明书

技术领域

本发明属于DNS安全防范技术领域，尤其涉及一种保证安全和隐私的DNS端到端解析方法。

背景技术

DNS为互联网提供重要的服务，其本质是建立了人的名字世界和底层的二进制协议地址世界之间的桥梁。DNS解析框架是一个使用UDP协议并通过地理分布的具有缓存功能的递归解析器来实现。其基本流程如图1所示：用户发出一个域名的DNS请求到本地ISP的递归解析器(RecursiveResolver)。如果本地的递归服务器缓存了这个DNS请求条目，则递归服务器直接向用户返回DNS相应消息。如果本地的递归服务器没有缓存这个DNS请求消息，则本地的递归服务器从根服务器开始，根据所返回的信息，一级一级地递归查询所请求的域名。最终查找到所要查询的DNS信息。递归服务器将返回的DNS查询结果存储到自己的缓存中，同时将结果返回给用户。这样一个完整的DNS查询过程就完成了。

但是在这个过程中存在着许多的安全和隐私方面的问题。首先从用户到递归服务器这一段。由于DNS查询中包含着用户的地址和期望查询的内容。窃听者就很容易地窃听到这些信息。其次，存在一些网络设备基于经济上的原因，蓄意地阻断、捕获或修改DNS的流量，如一些旅馆的WiFi系统、用户的ISP等。由于DNS通过UDP传输的无状态特性，用户无法辨别这些信息的真伪。在递归解析器到名字服务器这一段中，由于DNS请求是通过递归服务器发送的，所以监听者无法获知DNS请求真正来源于哪一个用户，所以就不存在隐私泄露问题。但是注入攻击(如Kaminsky攻击)会向递归服务器缓存中注入虚假的域名信息，使得用户从递归服务器缓存中获得的DNS数据不是他真正需要的，用户可能访问攻击者的地址。

针对DNS的隐私问题提出了许多解决方案，如DNSoverTCP和DNSoverHTTP(S)，但这些方案的缺点是客户端和解析侧之间需要建立TCP连接，TCP连接的建立需要较长的时延和维护状态信息的开销。特别是从递归解析侧到权威名字服务器这一侧，由于较长的RTT值，带来的时延更显著。DNSSEC协议通过加密机制能够保证用户得到的数据的真实性和完整性，避免注入攻击带来的安全问题。但是DNSSEC消息需要更强的计算能力来处理开销，这对普通的终端设备，特别是如一些智能手机设备是接受不了的。

发明内容

为了解决传统的DNS协议通过UDP传输DNS消息时所存在的安全和隐私泄露的问题，本发明提出了一种保证安全和隐私的DNS端到端解析方法，包括：

步骤1、首先在客户端操作系统的配置文件中配置递归服务器的地址；

步骤2、当客户端发送DNS查询消息后，DNS消息将首先被发送到本机的127.X.X.X的地址上，客户端代理进程接收到DNS查询消息；

步骤3、客户端代理负责同递归服务器的代理建立HTTP或HTTPS连接；

步骤4、如果递归服务器的代理不支持安全机制，则使用递归服务器的80端口建立TCP连接；如果服务器支持HTTP或HTTPS，则使用服务器的443端口建立TCP连接；

步骤5、客户端采用POST的交互方式向递归服务器发送数据，DNS消息以二进制内容通过HTTP或HTTPS发送到递归服务器代理；

步骤6、当递归服务器代理接收到DNS消息后，会将DNS消息转交给递归服务器的53端口；

步骤7、当从递归服务器获取DNS的响应消息后，采用跟DNS请求消息相反的过程将DNS响应消息发送到客户端；

步骤8、当递归服务器的缓存中不存在DNS查询的信息时，递归服务器向权威服务器发送DNS请求；递归服务器在DNS查询中设置“DO”标记位，表示支持DNSSEC协议。

所述递归服务器代理通过Ngnix或Apache配置HTTP或HTTPS服务器。

所述递归服务器通过BIND或PowerDNS或Unbound的开源DNS软件搭建。

所述递归服务器与客户端之间设置UDP或TCP的DNS请求机制，用于HTTP或HTTPS的客户端代理或递归服务器代理因处理能力或各种故障导致不工作时的备用保障机制。