域名解析方法和系统、授信域名系统服务器与流程

本发明涉及数据通信中域名解析领域，特别涉及一种域名解析方法和系统、授信域名系统服务器。

背景技术：

当用户使用网站域名发起某一网络访问请求时，会由dns(domainnamesystem，域名系统)将域名解析为对应的ip地址，从而建立网络连接。

在现有网络，尤其是公网相对开放的环境下，一些别有用心之人会利用宽带路由器的缺陷对用户dns进行篡改，从而破坏dns域名解析结果的真实性，导致用户受到广告骚扰，甚至被钓鱼网站诈骗。

然而，现有的域名解析并不能很好的解决上述问题。例如，现有的一种域名解析代理方法是将域名解析请求同时转发至多个服务器，分别解析，然后判断解析结果是否有交集，以发现是否存在域名劫持和dns缓存区污染；该方案所用的服务器本身就可能被劫持或不可信，故而判断的结果并不可靠，且其在多dns解析和获得解析结果的过程中需要更多的数据交互与判断，增加了网络负荷，可能影响解析速度。

可见，目前域名解析技术中，用户的dns太易篡改，域名解析服务的可信度低，且缺乏有效的结果评判及网络监管机制。

技术实现要素：

鉴于以上技术问题，本发明提供了一种域名解析方法和系统、授信域名系统服务器，可以及时发现及记录真实性存疑的解析数据。

根据本发明的一个方面，提供一种域名解析方法，包括：

响应于客户机发起的域名解析请求，将所述域名解析请求牵引到授信域名系统dns服务器，其中，所述域名解析请求中包括目标域名服务器地址，目标域名服务器为客户机请求访问的域名服务器；

授信dns服务器判断所述目标域名服务器地址是否属于预定的域名服务器白名单；

若所述目标域名服务器地址不属于预定的域名服务器白名单，则授信dns服务器向所述目标域名服务器发送所述域名解析请求；

授信dns服务器将所述目标域名服务器返回的域名解析记录与授信dns服务器自身维护的基准域名解析记录进行对比校验；

授信dns服务器根据校验结果形成最终解析结果并返回给客户机。

在本发明的一个实施例中，所述授信dns服务器将所述目标域名服务器返回的域名解析记录与授信dns服务器自身维护的基准域名解析记录进行对比校验包括：

授信dns服务器通过递归服务器向授权服务器发送所述域名解析请求；

授信dns服务器接收授权服务器返回的基准域名解析记录；

授信dns服务器将所述目标域名服务器返回的域名解析记录与所述基准域名解析记录进行对比校验。

在本发明的一个实施例中，所述授信dns服务器根据校验结果形成最终解析结果并返回给客户机包括：

若所述目标域名服务器返回的域名解析记录与所述基准域名解析记录一致，则校验通过，将所述基准域名解析记录返回给客户机。

在本发明的一个实施例中，所述授信dns服务器根据校验结果形成最终解析结果并返回给客户机包括：

若所述目标域名服务器返回的域名解析记录与所述基准域名解析记录不一致，则校验不通过；

在校验不通过的情况下，根据所述基准域名解析记录修正所述目标域名服务器返回的域名解析记录，再将修正后的域名解析记录返回客户机；

和/或，

在校验不通过的情况下，对目标域名服务器返回的域名解析记录与所述基准域名解析记录进行记录，并将多份记录归集为一个数据库。

在本发明的一个实施例中，所述方法还包括：

若所述目标域名服务器地址属于预定的域名服务器白名单，则直接将所述域名解析请求转发给所述目标域名服务器，以便目标域名服务器进行域名解析得到域名解析结果，并将所述域名解析结果返回给客户机。

根据本发明的另一方面，提供一种授信域名系统服务器，包括：

请求接收模块，用于接收路由装置牵引来的域名解析请求，其中，路由装置将客户机发起的域名解析请求牵引到授信域名系统服务器，所述域名解析请求中包括目标域名服务器地址，目标域名服务器为客户机请求访问的域名服务器；

地址判断模块，用于判断所述目标域名服务器地址是否属于预定的域名服务器白名单；

第一请求转发模块，用于在地址判断模块判定所述目标域名服务器地址不属于预定的域名服务器白名单的情况下，向所述目标域名服务器发送所述域名解析请求；

对比校验模块，用于将所述目标域名服务器返回的域名解析记录与授信dns服务器自身维护的基准域名解析记录进行对比校验；

解析结果确定模块，用于根据校验结果形成最终解析结果并返回给客户机。

在本发明的一个实施例中，所述授信域名系统服务器还包括：

第二请求转发模块，用于在地址判断模块判定所述目标域名服务器地址不属于预定的域名服务器白名单的情况下，通过递归服务器向授权服务器发送所述域名解析请求；

基准记录接收模块，用于接收授权服务器返回的基准域名解析记录；

对比校验模块用于将所述目标域名服务器返回的域名解析记录与所述基准域名解析记录进行对比校验。

在本发明的一个实施例中，解析结果确定模块用于在对比校验模块判定所述目标域名服务器返回的域名解析记录与所述基准域名解析记录一致、校验通过的情况下，将所述基准域名解析记录返回给客户机。

在本发明的一个实施例中，解析结果确定模块用于在所述目标域名服务器返回的域名解析记录与所述基准域名解析记录不一致、校验不通过的情况下，根据所述基准域名解析记录修正所述目标域名服务器返回的域名解析记录，再将修正后的域名解析记录返回客户机；和/或，对目标域名服务器返回的域名解析记录与所述基准域名解析记录进行记录，并将多份记录归集为一个数据库。

在本发明的一个实施例中，所述授信域名系统服务器还包括：

第三请求转发模块，用于在地址判断模块判定所述目标域名服务器地址不属于预定的域名服务器白名单的情况下，直接将所述域名解析请求转发给所述目标域名服务器，以便目标域名服务器进行域名解析得到域名解析结果，并将所述域名解析结果返回给客户机。

根据本发明的另一方面，提供一种域名解析系统，包括目标域名服务器、路由装置以及如上述任一实施例所述的授信域名系统服务器。

在本发明的一个实施例中，所述域名解析系统还包括：

递归服务器，用于在授信域名系统服务器判定所述目标域名服务器地址不属于预定的域名服务器白名单的情况下，将所述域名解析请求发送给授权服务器；

授权服务器，用于对所述域名解析请求进行解析，并向授信域名系统服务器返回基准域名解析记录。

本发明通过在通常的域名解析数据链路中增加了一个授信dns节点(服务器)，并对部分可能有问题的解析结果进行校验，能够兼顾域名解析的效率和结果真实性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明域名解析系统第一实施例的示意图。

图2为本发明域名解析方法第一实施例的示意图。

图3为本发明域名解析方法第二实施例的示意图。

图4为本发明域名解析系统第二实施例的示意图。

图5为本发明授信域名系统服务器第一实施例的示意图。

图6为本发明授信域名系统服务器第二实施例的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

图1为本发明域名解析系统第一实施例的示意图。如图1所示，所述域名解析系统包括授信域名系统(dns)服务器100、路由装置200和目标域名服务器300，其中：

客户机400，用于发起域名解析请求，其中，所述域名解析请求中包括目标域名服务器地址，目标域名服务器300为客户机请求访问的域名服务器。

路由装置200，用于采用策略路由将请求牵引至授信dns服务器100。

授信dns服务器100，用于判断所述目标域名服务器地址是否属于预定的域名服务器白名单；若所述目标域名服务器地址不属于预定的域名服务器白名单，则授信dns服务器向所述目标域名服务器300发送所述域名解析请求；将所述目标域名服务器返回的域名解析记录与授信dns服务器自身维护的基准域名解析记录进行对比校验；并根据校验结果形成最终解析结果并返回给客户机。

在本发明的一个实施例中，授信dns服务器100可以实现为授信dns节点。所述授信dns节点或授信dns服务器100的功能可以由多组服务器共同实现。

基于本发明上述实施例提供的基于授信服务器的域名解析系统，在通常的域名解析数据链路中增加了一个授信dns节点，并对部分可能有问题的解析结果进行校验，能够兼顾域名解析的效率和结果真实性。

本发明上述实施例可以在现有域名解析和网络访问机制上通过数据链路跳转实现，不需要硬件投入，改造成本低，而解析结果的真实性大大提高，投产效益比较显著。

图2为本发明域名解析方法第一实施例的示意图。优选的，本实施例可由本发明域名解析系统执行。如图2所示，所述方法可以包括：

步骤201，路由装置200响应于客户机400发起的域名解析请求，将所述域名解析请求牵引到授信dns服务器100，其中，所述域名解析请求中包括目标域名服务器地址，目标域名服务器300为客户机400请求访问的域名服务器。

步骤202，授信dns服务器100判断所述目标域名服务器地址是否属于预定的域名服务器白名单。

步骤203，若所述目标域名服务器地址不属于预定的域名服务器白名单，则授信dns服务器100向所述目标域名服务器300发送所述域名解析请求。

步骤204，授信dns服务器100将所述目标域名服务器300返回的域名解析记录与授信dns服务器100自身维护的基准域名解析记录进行对比校验。

步骤205，授信dns服务器100根据校验结果形成最终解析结果并返回给客户机400。

基于本发明上述实施例提供的基于授信服务器的域名解析方法，在通常的域名解析数据链路中增加了一个授信dns节点，并对部分可能有问题的解析结果进行校验，能够兼顾域名解析的效率和结果真实性。

本发明上述实施例可以在现有域名解析和网络访问机制上通过数据链路跳转实现，不需要硬件投入，改造成本低，而解析结果的真实性大大提高，投产效益比较显著。

图3为本发明域名解析方法第二实施例的示意图。优选的，本实施例可由本发明域名解析系统执行。如图3所示，所述方法可以包括：

步骤301，客户机400发起域名解析请求。

步骤302：路由装置200采用策略路由将请求牵引至授信dns服务器100上。其中，在授信dns服务器100上维系一份域名服务器地址的白名单。

步骤303，授信dns服务器100判断所述目标域名服务器地址是否属于预定的域名服务器白名单。若所述目标域名服务器地址属于预定的域名服务器白名单，则执行步骤304；否则，若所述目标域名服务器地址不属于预定的域名服务器白名单，则执行步骤306。

步骤304，授信dns服务器100对于目标域名服务器地址在白名单内的请求直接转发不做处理。

步骤305，该目标域名服务器(白名单目标域名服务器)进行域名解析，并将解析结果返回给客户机400；之后不再执行本实施例的其它步骤。

步骤306，授信dns服务器100向所述目标域名服务器300(非授信dns服务器)发起所述域名解析请求。

步骤307，授信dns服务器100将所述目标域名服务器300(非授信dns服务器)返回的域名解析记录与授信dns服务器100自身维护的基准域名解析记录进行对比校验。

步骤308，授信dns服务器100基于预设机制，根据校验结果形成最终解析结果并返回给客户机400。

本发明上述实施例在网络中部署授信dns节点，承接用户发起的域名解析请求，基于白名单作部分分流和结果响应。

本发明上述实施例在域名服务器地址为白名单的解析请求不做处理，牵引回网络；对于非白名单的域名解析请求，由授信dns节点作为代理向非授信dns发起解析请求，并将获取的结果与自身维护的解析结果进行对比校验，发现恶意劫持或篡改域名，并可根据预设策略决定最终解析结果。

由此本发明上述实施例在通常的域名解析数据链路中增加了一个授信dns节点，并对部分可能有问题的解析结果进行校验，能够兼顾域名解析的效率和结果真实性；本发明上述实施例能在现有域名解析和网络访问机制上通过数据链路跳转实现，不需要硬件投入，改造成本低，而解析结果的真实性大大提高，投产效益比较显著。

图4为本发明域名解析系统第二实施例的示意图。与图1所示实施例相比，在图4所示实施例中，所述域名解析系统还可以包括递归服务器500和授权服务器600，其中：

递归服务器500，用于在授信域名系统服务器100判定所述目标域名服务器地址不属于预定的域名服务器白名单的情况下，将所述域名解析请求发送给授权服务器600。

授权服务器600，用于对所述域名解析请求进行解析，并向授信域名系统服务器100返回基准域名解析记录。

图4实施例还给出了本发明域名解析方法第三实施例的示意图。如图4所示，所述本发明域名解析方法可以包括：

步骤1，客户机400发起域名解析请求。

步骤2：路由装置200采用策略路由将请求牵引至授信dns服务器100上。其中，在授信dns服务器100上维系一份域名服务器地址的白名单。

步骤3，授信dns服务器100判断所述目标域名服务器地址是否属于预定的域名服务器白名单。若所述目标域名服务器地址不属于预定的域名服务器白名单，则执行步骤4a和步骤4c；否则，若所述目标域名服务器地址属于预定的域名服务器白名单，则执行步骤4b。

步骤4b，授信dns服务器100对于目标域名服务器地址在白名单内的请求直接转发不做处理。

步骤5b，该目标域名服务器(白名单目标域名服务器)进行域名解析，并将解析结果返回给客户机400；之后不再执行本实施例的其它步骤。

步骤4a，授信dns服务器100向所述目标域名服务器300(非授信dns服务器)发起所述域名解析请求。

步骤5a，所述目标域名服务器300(非授信dns服务器)将域名解析记录(即，解析的ip地址)返回授信dns服务器100；之后执行步骤7。

例如：在图4的具体实施例中，目标域名服务器300解析的ip地址为3.3.3.3。

步骤4c，授信dns服务器100将所述域名解析请求转发给递归服务器500。

步骤5c，递归服务器500向授权服务器600发起域名解析请求。

步骤6c，授权服务器600对所述域名解析请求进行解析，并向授信域名系统服务器100返回基准域名解析记录；之后执行步骤7。

例如：在图4具体实施例中，授权服务器600解析的基准ip地址为1.1.1.1。

步骤7，授信dns服务器100将所述目标域名服务器300(非授信dns服务器)返回的域名解析记录(例如3.3.3.3)、与授权服务器600返回的基准域名解析记录(例如1.1.1.1)进行对比校验。

步骤8，授信dns服务器100基于预设机制，根据校验结果形成最终解析结果并返回给客户机400。

本发明上述实施例提出了一种基于授信服务器的域名解析方法，可以提高解析结果的真实性，并能及时发现及记录真实性存疑的解析数据。

在本发明的一个实施例中，所述预设机制可以包括：在所述目标域名服务器300返回的域名解析记录与所述基准域名解析记录一致、校验通过的情况下，将所述基准域名解析记录返回给客户机400。

在本发明的另一实施例中，所述预设机制可以包括：在所述目标域名服务器300返回的域名解析记录(例如3.3.3.3)与所述基准域名解析记录(例如1.1.1.1)不一致、校验不通过的情况下，根据所述基准域名解析记录修正所述目标域名服务器300返回的域名解析记录(例如3.3.3.3)，再将修正后的域名解析记录(例如1.1.1.1)返回客户机400；和/或，在校验不通过的情况下，校验不通过时仅做记录(即，对目标域名服务器300返回的域名解析记录与所述基准域名解析记录进行记录)，将多份记录归集为一个数据库，以供监管或数据分析使用。

本发明上述实施例在校验不通过时可以修正ip地址，再返回客户机；或者，校验不通过时仅做记录，将多份记录归集为一个数据库，以供监管或其它场合做数据分析使用。由此，本发明上述实施例可以通过结果校验收集数据，形成参考数据库，有利于域名解析的监督管理，或为其它统计分析提供数据支撑。

下面通过具体实施例对本发明图1或图4实施例中提到的授信dns服务器100的结构和功能进行进一步说明。

图5为本发明授信域名系统服务器第一实施例的示意图。如图5所示，本发明图1或图4实施例的授信dns服务器100可以包括请求接收模块110、地址判断模块120、第一请求转发模块130和对比校验模块140和解析结果确定模块150，其中：

请求接收模块110，用于接收路由装置牵引来的域名解析请求，其中，路由装置将客户机400发起的域名解析请求牵引到授信域名系统服务器，所述域名解析请求中包括目标域名服务器地址，目标域名服务器300为客户机400请求访问的域名服务器。

地址判断模块120，用于判断所述目标域名服务器地址是否属于预定的域名服务器白名单。

第一请求转发模块130，用于在地址判断模块120判定所述目标域名服务器地址不属于预定的域名服务器白名单的情况下，向所述目标域名服务器300发送所述域名解析请求。

对比校验模块140，用于将所述目标域名服务器300返回的域名解析记录与授信dns服务器100自身维护的基准域名解析记录进行对比校验。

解析结果确定模块150，用于根据校验结果形成最终解析结果并返回给客户机400。

基于本发明上述实施例提供的授信域名系统服务器，在通常的域名解析数据链路中增加了一个授信dns节点，并对部分可能有问题的解析结果进行校验，能够兼顾域名解析的效率和结果真实性。

本发明上述实施例可以在现有域名解析和网络访问机制上通过数据链路跳转实现，不需要硬件投入，改造成本低，而解析结果的真实性大大提高，投产效益比较显著。

本发明上述实施例可以提高解析结果的真实性，并能及时发现及记录真实性存疑的解析数据。

在本发明的一个实施例中，解析结果确定模块150具体可以用于在对比校验模块140判定所述目标域名服务器300返回的域名解析记录与所述基准域名解析记录一致、校验通过的情况下，将所述基准域名解析记录返回给客户机400。

在本发明的一个实施例中，解析结果确定模块150具体可以用于在所述目标域名服务器300返回的域名解析记录与所述基准域名解析记录不一致、校验不通过的情况下，根据所述基准域名解析记录修正所述目标域名服务器300返回的域名解析记录，再将修正后的域名解析记录返回客户机400。

在本发明的另一实施例中，解析结果确定模块150具体可以用于在所述目标域名服务器300返回的域名解析记录与所述基准域名解析记录不一致、校验不通过的情况下，对目标域名服务器300返回的域名解析记录与所述基准域名解析记录进行记录，并将多份记录归集为一个数据库。

本发明上述实施例可以通过结果校验收集数据，形成参考数据库，有利于域名解析的监督管理，或为其它统计分析提供数据支撑。

图6为本发明授信域名系统服务器第二实施例的示意图。与图5所示实施例相比，在图6所示实施例中，所述授信域名系统服务器还可以包括第二请求转发模块160和基准记录接收模块170，其中：

第二请求转发模块160，用于在地址判断模块120判定所述目标域名服务器地址不属于预定的域名服务器白名单的情况下，通过递归服务器500向授权服务器600发送所述域名解析请求。

基准记录接收模块170，用于接收授权服务器600返回的基准域名解析记录。

对比校验模块140用于将所述目标域名服务器300返回的域名解析记录与所述基准域名解析记录进行对比校验。

在本发明的一个实施例中，如图6所示，所述授信域名系统服务器还可以包括第三请求转发模块180，其中：

第三请求转发模块180，用于在地址判断模块120判定所述目标域名服务器地址属于预定的域名服务器白名单的情况下，直接将所述域名解析请求转发给所述目标域名服务器，以便目标域名服务器进行域名解析得到域名解析结果，并将所述域名解析结果返回给客户机400。

本发明上述实施例在网络中部署授信dns节点，承接用户发起的域名解析请求，基于白名单作部分分流和结果响应。

本发明上述实施例在域名服务器地址为白名单的解析请求不做处理，牵引回网络；对于非白名单的域名解析请求，由授信dns节点作为代理向非授信dns发起解析请求，并将获取的结果与自身维护的解析结果进行对比校验，发现恶意劫持或篡改域名，并可根据预设策略决定最终解析结果。

由此本发明上述实施例在通常的域名解析数据链路中增加了一个授信dns节点，并对部分可能有问题的解析结果进行校验，能够兼顾域名解析的效率和结果真实性；本发明上述实施例能在现有域名解析和网络访问机制上通过数据链路跳转实现，不需要硬件投入，改造成本低，而解析结果的真实性大大提高，投产效益比较显著。

在上面所描述的授信域名系统服务器可以实现为用于执行本申请所描述功能的通用处理器、可编程逻辑控制器(plc)、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。

至此，已经详细描述了本发明。为了避免遮蔽本发明的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。