DoT在DNS权威服务器上的支持方法及系统与流程

dot在dns权威服务器上的支持方法及系统
技术领域
1.本发明涉及互联网域名技术领域，具体地，涉及一种dns
‑
over
‑
tls在dns权威服务器上的支持方法。


背景技术：

2.dot(dns
‑
over
‑
tls)是一种基于tls来进行报文加密的dns请求交互，dot全称是dns over tls，它使用tls协议来传输dns协议。tls协议是目前互联网最常用的安全加密协议之一，我们访问https的安全基础就是基于tls协议的。相比于之前使用无连接无加密的udp模式，tls本身已经实现了保密性与完整性。tls协议的基本思路是证书+加密机制，双管齐下保证安全。证书相当于申请了一个合法的身份证，当客户端向服务器发起连接的时候，双方会相互校验一下身份，服务器把证书给客户端，客户端来校验证书的内容和合法性。和dnssec相比，dot更侧重对dns交互连接的加密保密，虽然这两种标准都对dns请求进行了加密，但是dns over tls相对于dns over https有一些重要的区别。ietf将dns over https定义为了rfc 8484，将dns over tls定义为了rfc 7858和rfc 8310。
3.当客户端发起基于tls的dns域名请求，首先会建立tcp连接，然后再进行tls握手建立加密连接，tls握手时使用的是非对称加密算法，之后的加密连接上传输数据使用的对称加密算法。
4.传统的dns服务器若想支持dot，需要侵入式修改，即在现有框架基础上做代码改动，该种方式对dns服务器的性能有冲击。另外，tls的握手、装载、卸载对dns服务的性能也提出了更高的要求。


技术实现要素：

5.针对现有技术的缺陷，本发明的目的是，提供一种dot在dns权威服务器上的支持方法及系统，该方法不会对原有的dns服务系统做侵入式修改，通过生成独立于现有dns权威服务器之外的一个进程，完成tls的握手、装载和卸载。
6.本发明采用的技术方案如下：
7.一种dot(dns
‑
over
‑
tls)在dns权威服务器上的支持方法，包括：
8.在dns权威服务器和客户端之间设置dot服务进程，所述dot服务进程接收所述客户端的发来的dot请求时，建立tls连接，同时和本机的dns权威服务器建立进程连接。
9.进一步地，所述dot服务进程收到客户端接收的dot请求后先进行ssl卸载，将卸载后的数据以明文形式通过进程间连接传给本机的权威进程。
10.进一步地，所述dot服务进程将从本机权威进程收到的明文应答包进行ssl装载后发送给客户端。
11.进一步地，所述dot服务进程通过监听853端口，以接收客户端发送的dot请求。
12.进一步地，所述dot服务进程读取本地配置文件来获取dot请求中的加密密钥，包括公钥和私钥。
13.进一步地，所述dot服务进程为多个，每一个dot服务进程服务一个客户端。
14.进一步地，通过启动或关闭所述dot服务进程来控制所述dot功能的实现。
15.本发明的另一方面还提供了一种dot(dns
‑
over
‑
tls)在dns权威服务器上的支持系统，该系统包括：
16.dot服务进程模块，设置在dns权威服务器和客户端之间，其中，所述dot服务进程模块接收所述客户端的发来的dot请求，并建立tls连接，同时和本机的dns权威服务器建立进程连接。
17.进一步地，所述dot服务进程模块包括ssl卸载模块和ssl装载模块，其中，
18.所述ssl卸载模块，对从客户端发送的dot请求先进行解密，将解密后的数据以明文形式通过进程间连接传给本机的权威进程；
19.所述ssl装载模块，对从本机权威进程收到的明文应答包进行加密后发送给客户端。
20.进一步地，还包括控制模块，所述控制模块控制所述dot服务进程模块启动、关闭，或者dot服务进程模块的增加、减少。
21.与现有技术相比，本发明提供的一种dns
‑
over
‑
tls在dns权威服务器上的支持方法，达到了如下技术效果：
22.1、本发明以非侵入式、解耦式在现有dns权威服务器的基础上部署dot服务进程，该方式部署灵活，对现有dns权威服务器无改动、无冲击。
23.2、本发明以多进程的方式支持tls装载和卸载，可动态扩展，满足dot的性能需求。
附图说明
24.图1是本发明实施例中的dot在dns权威服务器上的支持方法的流程原理图。
25.图2是本发明实施例中的dot在dns权威服务器上的支持系统的架构图。
具体实施方式
26.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例为实施本发明的较佳实施方式，所述描述是以说明本发明的一般原则为目的，并非用以限定本发明的范围。本发明的保护范围应当以权利要求所界定者为准，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
27.本发明的目的是提供一种dot在dns权威服务器上的支持方法，该方法不会对现有的dns权威服务器系统做侵入式修改，不用对原有的dns服务做任何改动，和原有的dns服务以解耦的方式支持dot。
28.本实施例提供的一种dot(dns
‑
over
‑
tls)在dns权威服务器上的支持方法，该方法包括：
29.在dns权威服务器和客户端之间设置dot服务进程(亦可称dotd，dot daemon)，dot服务进程接收所述客户端的发来的dot请求时，建立tls连接，同时和本机的dns权威服务器建立进程连接。
30.具体来说，当dot服务进程收到客户端接收的dot请求后先进行ssl卸载，也即对内
容进行解密，将卸载后的数据，也即解密后的数据以明文形式传给本机的权威进程。
31.当dot服务进程从本机权威进程收到的明文应答包后，先进行ssl装载，也即对内容进行加密，然后发送给客户端。
32.其中，本发明中的dot服务进程优选为多个，每一个dot服务进程服务一个客户端，dot服务进程可以增加或减少，通过启动或关闭dot服务进程来控制所述dot功能的实现，实现和现有的dns权威服务器的解耦操作。
33.本发明在现有的权威服务器系统架构的基础上，生成独立于现有dns权威之外的dot服务进程，该dot服务进程负责处理ssl的业务逻辑，主要包括完成与tls的握手连接、装载、卸载等，将消耗性能的tls相关操作和现有的dns权威服务器解耦，原有dns服务不做任何改动，提高了服务器的整体性能。
34.配合参照图1所示，下面来对本发明实施例中的的dns
‑
over
‑
tls在dns权威服务器上的支持方法的过程作完整描述。
35.1、原有dns权威服务器额外监听本机回环地址127.0.0.1，它代表设备专的本地虚拟接口，默属被认为是永远不会宕掉的接口，比如tcp54端口，用于和dot服务进程的通信连接，当然，亦可配置成其它任意可用的端口来实现权威进程和dot服务进程间的通信。
36.2、采用多进程架构，也即启动多个dot服务进程(dotd)同时监听853端口(rfc7858)，接收客户端发送的dot请求。通过tls加密和身份验证，dns over tls使用了tcp作为基本的连接协议，dns overtls有自己的端口853。
37.3、dot服务进程读取配置文件来获取请求内容中的加密密钥，包括私钥和公钥。
38.4、dot服务进程(dotd)使用加密密钥与客户端建立tls连接，然后与本机的dns权威服务器建立tcp连接。
39.5、dot服务进程与前端和后端，也就是客户端和本机dns权威服务器，建立连接之后，每次收到客户端的数据先进行ssl卸载，相当于解密，然后将卸载之后的明文数据发送给本机dns权威服务器。
40.6、本机dns权威服务器正常处理tcp协议的dns请求，并发送应答包。
41.7、dotd服务进程收到本机dns权威服务器应答的明文应答包，将数据进行ssl装载，也就是数据加密后发送给客户端。
42.如图1所示，客户端1是假设的原tcp请求，其和dns权威服务器之间通过udp/tcp53端口建立通信。客户端2/3则是在其中耦接有独立的dotd进程，客户端2/3向853端口请求，dotd服务进程收到请求，建立tls连接，同时和本机的权威进程建立进程间连接。dotd服务进程将从客户端侧收到的加密请求进行解密，将明文通过进程间连接传给本机的权威进程。同时将从本机权威服务进程收到的明文应答包进行加密发送给客户端2/3。相比原有的侵入式代码修改，即将dot功能逻辑嵌入到原有代码中，需要修改整体的代码架构的缺陷来说，本发明采用非侵入式，即无需对原来的权威服务器的代码做任何改动，新增dot功能的支持和原来的权威服务完全解耦。而且，通多增加独立的dotd进程(多进程)，dot功能的支持与否通过启动和关闭dot服务进程即可实现。
43.本发明的另一实施例还提供了一种dot(dns
‑
over
‑
tls)在dns权威服务器上的支持系统，该系统包括：
44.dot服务进程模块，设置在dns权威服务器和客户端之间，其中，所述dot服务进程
模块接收所述客户端的发来的dot请求，并建立tls连接，同时和本机的dns权威服务器建立进程连接。
45.具体来说，dot服务进程模块包括ssl卸载模块和ssl装载模块，其中，
46.ssl卸载模块，对从客户端发送的dot请求先进行解密，将解密后的数据以明文形式通过进程间连接传给本机的权威进程；
47.ssl装载模块，对从本机权威进程收到的明文应答包进行加密后发送给客户端。
48.该系统还包括控制模块，控制模块控制所述dot服务进程模块启动、关闭，或者dot服务进程模块的增加、减少。
49.本发明以解耦的方式在现有dns权威服务器的基础上支持dot，部署灵活，对现有dns权威服务器无改动、无冲击。以多进程的方式支持tls装载卸载，可动态扩展，满足dot的性能需求。
50.上述说明示出并描述了本发明的若干优选实施例，但如前所述，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述发明构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。