一种面向用户隐私保护的域名解析服务方法和系统与流程

本发明涉及计算机领域，尤其涉及一种面向用户隐私保护的域名解析服务方法和系统。

背景技术：

域名服务(DNS)是互联网的基础服务，用于实现域名到主机IP地址的定位。对于互联网用户而言，几乎所有的网络行为都需要通过DNS来寻找和定位相应的网络资源。因此，DNS含有丰富的涉及用户互联网访问行为的敏感信息。然而，DNS在设计之初，并未考虑其中潜在的隐私泄露问题，导致当前借助DNS而开展的各类网络隐私挖掘和网络监听行为愈演愈烈，使得DNS隐私泄露风险日益凸显，开始成为业界广泛关注的热点问题。

根据现行的DNS协议，用户端发起的DNS查询请求的解析过程如图1所示。首先，用户端(具体来说是用户端的DNS解析器)将该DNS查询请求发往给预先设定的递归服务器(步骤1)；递归服务器收到该请求后，首先检查本地缓存中是否存在相应的资源记录，若存在则直接将该记录返回给用户(步骤5)，否则递归服务器会将该DNS查询请求依次发给各级权威服务器(步骤2-4)，直到得到关于该DNS查询请求的权威应答。最后，递归服务器将该权威应答载入缓存，并返回给用户(步骤5)。

通过上述解析过程可以发现，对于用户的每次DNS查询请求，都需要通过递归服务器来接收相应的应答信息，换句话说，递归服务器能够记录用户的所有DNS查询请求信息；同样的，对于用户发来的每次DNS查询请求，递归服务器(不考虑缓存因素)都需要将其转发给各级权威服务器以获取相应的权威应答，换句话说，各级权威服务器也能够相应的获得大量的DNS查询请求信息。因此，递归服务器和各级权威服务器都能够轻易的掌握DNS查询请求信息，从中实现用户隐私信息的窥探和挖掘分析。另一方面，由于当前DNS的请求解析过程基本是基于UDP协议的明文传输，这也导致整个DNS请求解析过程能够轻易的被第三方实施基于通信链路的网络监听。

技术实现要素：

本发明的目的是通过以下技术方案实现的。

本发明提出了一种面向用户隐私保护的域名解析服务方法，其包括以下步骤：

获取用户输入的将要访问的原始域名；

将隐私保护服务器的域名与所述原始域名组合成第一隐蔽域名；

通过所述隐私保护服务器进行访问操作。

其中，在所述将隐私保护服务器的域名与所述原始域名组合成第一隐蔽域名之前，还包括：为隐私保护服务器设置第一域名，所述第一域名为所述隐私保护服务器的域名。

其中，所述将隐私保护服务器的域名与所述原始域名组合成第一隐蔽域名具体包括：

使用第一加密密钥对所述原始域名进行加密得到第一暗文；

对所述第一暗文添加所述第一域名作为后缀得到第一隐蔽域名。

其中，所述通过所述隐私保护服务器进行访问操作包括：

由递归服务器将所述第一隐蔽域名转发给所述隐私保护服务器；

所述隐私保护服务器解析所述第一隐蔽域名后，获取用户请求访问的原始域名；

访问所述原始域名所在权威服务器。

其中，所述通过所述隐私保护服务器进行访问操作还包括：

所述隐私保护服务器获取所述权威服务器的访问结果，并暗文形式将访问结果返回给所述递归服务器；

所述递归服务器将访问结果返回给请求的用户；

通过第一加密密钥对所述访问结果进行解密，得到最终解析结果。

本发明还提出了一种面向用户隐私保护的域名解析服务系统，其包括：

用户访问设备，其用于输入用于将要访问的原始域名；

递归服务器，用于在所述用户访问设备和隐私保护服务器之间传送的信息；

隐私保护服务器，其用于在所述递归服务器和权威服务器之间传送信息；

权威服务器，其用于存储所述用户访问设备将要访问的数据。

其中，所述用户访问设备还用于：

使用第一加密密钥对所述原始域名进行加密得到第一暗文；

对所述第一暗文添加所述第一域名作为后缀得到第一隐蔽域名；

将所述第一隐蔽域名传递给所述递归服务器。

其中，所述隐私保护服务器还用于：解析所述第一隐蔽域名，获取用户请求访问的原始域名。

本发明的优点在于：

本发明所提出的域名解析服务能够有效防止用户所面临的各种隐私泄露风险；

本发明所提出的域名解析服务与现行的域名解析服务相比，仅增加了隐私保护服务器组件，并不对现行的其他DNS服务器作修改，因此具有部署成本低的优点；

本发明所提出的域名解析服务对于用户来说是透明的，且可以根据自身的具体情况决定是否使用，不具任何强制性，因此具有灵活部署的优点。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

附图1示出了现有技术中DNS查询请求解析过程图；

附图2示出了根据本发明实施方式的面向用户隐私保护的域名解析服务方法的流程图；

附图3示出了根据本发明实施方式的面向用户隐私保护的域名解析服务方法的过程图；

附图4示出了根据本发明实施方式的面向用户隐私保护的域名解析服务系统框图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施方式。虽然附图中显示了本公开的示例性实施方式，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

如图2所示，根据本发明的实施方式，提出一种面向用户隐私保护的域名解析服务方法，其包括以下步骤：

获取用户输入的将要访问的原始域名；

将隐私保护服务器的域名与所述原始域名组合成第一隐蔽域名；

通过所述隐私保护服务器进行访问操作。

其中，在所述将隐私保护服务器的域名与所述原始域名组合成第一隐蔽域名之前，还包括：为隐私保护服务器设置第一域名，所述第一域名为所述隐私保护服务器的域名。

其中，所述将隐私保护服务器的域名与所述原始域名组合成第一隐蔽域名具体包括：

使用第一加密密钥对所述原始域名进行加密得到第一暗文；

对所述第一暗文添加所述第一域名作为后缀得到第一隐蔽域名。

其中，所述通过所述隐私保护服务器进行访问操作包括：

由递归服务器将所述第一隐蔽域名转发给所述隐私保护服务器；

所述隐私保护服务器解析所述第一隐蔽域名后，获取用户请求访问的原始域名；

访问所述原始域名所在权威服务器。

其中，所述通过所述隐私保护服务器进行访问操作还包括：

所述隐私保护服务器获取所述权威服务器的访问结果，并暗文形式将访问结果返回给所述递归服务器；

所述递归服务器将访问结果返回给请求的用户；

通过第一加密密钥对所述访问结果进行解密，得到最终解析结果。

如图3所示，用户在将域名查询请求发给递归服务器之前，首先使用某个隐私保护服务器所提供的密钥将原始域名(例如“www.example.cn”)转换成暗文(假定加密后变为“e5sdn49imw”)，并以该隐私保护服务器的域名(例如“privacy.cn”)作为后缀，从而组合成一个隐蔽域名(即“e5sdn49imw.privacy.cn”)(步骤①)；递归服务器收到对该隐蔽域名的查询请求后，将通过现行DNS解析流程将其转发至隐私保护服务器(步骤②)；隐私保护服务器解密其中的原始域名并对其进行传统的域名解析过程，然而再以暗文形式将解析结果返回给递归服务器(步骤③-⑤)，递归服务器最终将该结果返回给用户。

根据现行的域名服务框架可以发现，递归服务器由于处在连接用户和权威服务器的枢纽位置，同时拥有着对DNS数据的接收权和发送权，因此递归服务器对于DNS数据的无隐藏收发是导致用户隐私泄露风险的直接原因。因此，本发明所提出的域名解析服务增加了隐私保护服务器这一重要组件。用户在将域名查询请求发给递归服务器之前，首先使用某个隐私保护服务器所提供的密钥将原始域名转换成暗文，并以该隐私保护服务器的域名作为后缀，从而组合成一个隐蔽域名；递归服务器收到用户对该隐蔽域名的查询请求后，将通过现行DNS解析流程将其转发至隐私保护服务器；隐私保护服务器解密其中的原始域名并对其进行传统的域名解析过程，然而再以暗文形式将解析结果返回给递归服务器，递归服务器最终将该结果返回给用户；最后用户通过密钥对该结果进行解密，获得最终的解析结果。

可以看出，上述整个域名解析过程中的任一通信链路和服务器，都将无法实现对用户IP地址和所查原始域名的同时获取，从而可以有效的避免前文提到的每种DNS隐私泄露风险，且未对现行DNS服务器作任何修改，因此本发明拟提出的这种域名解析服务具有极高的有效性和可用性。

如图4所示，本发明还提出了一种面向用户隐私保护的域名解析服务系统，其包括：

用户访问设备，其用于输入用于将要访问的原始域名；

递归服务器，用于在所述用户访问设备和隐私保护服务器之间传送的信息；

隐私保护服务器，其用于在所述递归服务器和权威服务器之间传送信息；

权威服务器，其用于存储所述用户访问设备将要访问的数据。

其中，所述用户访问设备还用于：

使用第一加密密钥对所述原始域名进行加密得到第一暗文；

对所述第一暗文添加所述第一域名作为后缀得到第一隐蔽域名；

将所述第一隐蔽域名传递给所述递归服务器。

其中，所述隐私保护服务器还用于：解析所述第一隐蔽域名，获取用户请求访问的原始域名。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。