加密域名系统的管理方法和本地DNS设备与流程

加密域名系统的管理方法和本地dns设备
技术领域
1.本发明涉及网络技术领域，特别涉及一种加密域名系统的管理方法和本地dns设备。


背景技术：

2.odns(oblivious dns，加密dns)请求是一种新型dns(domain name system，域名系统)域名请求。在该技术中，通过对dns请求进行加密，使dns请求无法被追踪。
3.odns client(客户端)使用odns server(服务器)公钥加密一随机密钥k，用该随机密钥加密域名，形成“加密域名+k”.odns tld(generic top-level domain，通用顶级域)的域名。odns client使用通用dns域名解析请求向运营商local dns(本地dns)加密后的域名解析，local dns向odns serve请求解析，odns server用自身私钥解密以获得随机密钥k，再用k解密以获得域名，然后继续后续的dns流程。
4.odns使用通用dns流程，不改变dns报文格式。


技术实现要素：

5.发明人经过分析后发现，由于odns使用通用dns流程、不改变dns报文格式，local dns仅将其当做普通的dns请求进行处理。由于odns具有一次一密特点，造成了local dns缓存及递归量指数增长。从而，运营商local dns针对明文的dns缓存机制失效，造成了local dns缓存条目及递归查询的指数级大量增长。同时，支持odns的新dns tld服务器已开始部署，odns域名请求正大量增长，对运营商local dns的服务能力及稳定性造成极大挑战。
6.本发明实施例所要解决的一个技术问题是：如何提高local dns的处理能力。
7.根据本发明一些实施例的第一个方面，提供一种加密域名系统的管理方法，包括：统计缓存的相同二级域名的域名系统dns记录数量；在相同二级域名的dns记录的总数量大于预设数量、重复程度低于预设程度的情况下，将二级域名确定为加密域名系统odns域名；将odns域名对应的dns记录添加到odns记录，以便根据odns记录处理odns域名对应的dns请求。
8.在一些实施例中，在相同二级域名的dns记录的总数量大于预设数量、重复程度低于预设程度的情况下，将二级域名确定为odns域名包括：在相同二级域名的dns记录的总数量大于预设数量的情况下，将二级域名确定为疑似odns域名；统计相同的疑似odns域名在预设时间段内的重复程度；在预设时间段内，在相同的疑似odns域名的重复程度低于预设程度的情况下，将疑似odns域名确定为odns域名。
9.在一些实施例中，将odns域名对应的dns记录添加到odns记录包括：将odns域名对应的dns记录添加到odns记录，并删除dns记录中的相应内容。
10.在一些实施例中，在odns记录中，包括odns域名与网络协议ip地址之间的对应关系。
11.在一些实施例中，加密域名系统的管理方法还包括：接收dns请求消息；在dns请求
消息中的域名为确定的odns域名的情况下，利用odns记录处理dns请求。
12.在一些实施例中，加密域名系统的管理方法还包括：接收dns请求消息；在dns请求消息中的域名为确定的odns域名的情况下，判断当前是否处于负载正常状态；在负载正常状态下，对dns请求消息进行递归处理；在负载不正常的情况下，根据dns请求消息中的域名对应的odns记录返回解析结果。
13.根据本发明一些实施例的第二个方面，提供一种本地dns设备，包括：统计模块，统计缓存的相同二级域名的域名系统dns记录数量；odns域名确定模块，被配置为在相同二级域名的dns记录的总数量大于预设数量、重复程度低于预设程度的情况下，将二级域名确定为加密域名系统odns域名；odns记录添加模块，被配置为将odns域名对应的dns记录添加到odns记录，以便根据odns记录处理odns域名对应的dns请求。
14.在一些实施例中，本地dns设备还包括：请求接收模块，被配置为接收dns请求消息；在dns请求消息中的域名为确定的odns域名的情况下，利用odns记录处理dns请求。
15.在一些实施例中，本地dns设备还包括：请求接收模块，被配置为接收dns请求消息；负载判断模块，被配置为在dns请求消息中的域名为确定的odns域名的情况下，判断当前是否处于负载正常状态，以便在负载正常状态下，对dns请求消息进行递归处理，在负载不正常的情况下，根据dns请求消息中的域名对应的odns记录返回解析结果。
16.在一些实施例中，在odns记录中，包括odns域名与网络协议ip地址之间的对应关系。
17.根据本发明一些实施例的第三个方面，提供一种本地dns设备，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基于存储在存储器中的指令，执行前述任意一种加密域名系统的管理方法。
18.根据本发明一些实施例的第四个方面，提供一种计算机可读存储介质，其上存储有计算机程序，其中，该程序被处理器执行时实现前述任意一种加密域名系统的管理方法。
19.上述发明中的一些实施例具有如下优点或有益效果。本发明的实施例利用了odns请求一次一密的特点，通过检测dns记录中二级域名的数量和重复程度识别odns域名，从而可以将odns记录从普通dns记录中分流出来，以便在处理dns请求和odns请求时更有针对性。因此，上述实施例能够提高local dns的处理能力。
20.通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。
附图说明
21.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
22.图1示出了根据本发明一些实施例的odns的管理方法的流程示意图。
23.图2示出了根据本发明另一些实施例的odns的管理方法的流程示意图。
24.图3示出了根据本发明又一些实施例的odns的管理方法的流程示意图。
25.图4示出了根据本发明一些实施例的本地dns设备的结构示意图。
26.图5示出了根据本发明另一些实施例的本地dns设备的结构示意图。
27.图6示出了根据本发明又一些实施例的本地dns设备的结构示意图。
具体实施方式
28.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
29.除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
30.同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
31.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。
32.在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
33.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
34.图1示出了根据本发明一些实施例的odns的管理方法的流程示意图。该方法例如在local dns执行。如图1所示，该实施例的管理方法包括步骤s102～s106。
35.在步骤s102中，统计缓存的相同二级域名的dns记录数量。
36.在一些实施例中，该统计可以定时进行、或通过设置的触发条件进行。
37.在步骤s104中，在相同二级域名的dns记录的总数量大于预设数量、重复程度低于预设程度的情况下，将该二级域名确定为odns域名。
38.重复程度例如为重复比例、重复数量等等。
39.在一些实施例中，在相同二级域名的dns记录的总数量大于预设数量的情况下，将二级域名确定为疑似odns域名；统计相同的疑似odns域名在预设时间段内的重复程度；在预设时间段内，在相同的疑似odns域名的重复程度低于预设程度的情况下，将疑似odns域名确定为odns域名。
40.由于odns具有一次一密的特点，因此相同的域名在加密后可能存在于多条不同的dns记录中，每个结果都具有相同的二级域名、但子域名几乎是不重复的。因此，可以通过这一特点识别odns域名。
41.在步骤s106中，将odns域名对应的dns记录添加到odns记录，以便根据odns记录处理odns域名对应的dns请求。
42.在一些实施例中，将odns域名对应的dns记录添加到odns记录，并删除dns记录中的相应内容。从而，将确定的odns的记录与其他dns记录进行了分流，以便于提高后续dns记录查询的效率。
43.在一些实施例中，在odns记录中，包括odns域名与网络协议ip地址之间的对应关
系。由于原始的dns记录中，odns条目的子域名是采用一次一密的方式加密的，在下一次客户端发送请求时又可能产生变化。因此，在odns记录中可以不记录子域名，仅记录二级域名与网络协议ip地址之间的对应关系，从而降低了缓存数量，提高了查找效率、进而提高了dns服务性能。
44.除了添加odns记录以外，还可以维护odns域名信息，例如，建立odns域名表，其中记录了已识别出的odns域名。从而，当获得dns请求时，通过查找odns域名表可以判断该请求是普通dns请求还是odns请求。
45.上述实施例利用了odns请求一次一密的特点，通过检测dns记录中二级域名的数量和重复程度识别odns域名，从而可以将odns记录从普通dns记录中分流出来，以便在处理dns请求和odns请求时更有针对性。因此，上述实施例能够提高local dns的处理能力。
46.下面示例性地描述基于odns记录处理dns请求的实施例。
47.在一些实施例中，接收dns请求消息；在dns请求消息中的域名为确定的odns域名的情况下，利用odns记录处理dns请求。例如，通过查询odns域名表，确定dns请求消息中的域名是否为odns域名。如果是，可以在odns记录中查询是否有相应的解析结果。
48.图2示出了根据本发明另一些实施例的odns的管理方法的流程示意图。在该实施例中，将local dns执行的各种操作的执行主体划分为了dns请求分流模块、odns检测模块、odns管理模块、dns view(视图)和odns view。这些模块可以以硬件、软件或者硬件和软件相结合的方式实现。当然，该划分方式仅仅是示例性地，本领域技术人员根据需要，可以采用其他的模块划分方式。
49.如图2所示，该实施例的管理方法包括步骤s202～s228。
50.在步骤s202中，dns客户端发起对(s1+k1).sample.com的odns域名解析请求，其中，s1表示加密的域名、k1表示加密的密钥。
51.在步骤s204中，dns请求分流模块查询odns域名表，判断该请求是否为odns域名。
52.在步骤s206中，当前sample.com的相关记录较少，因此未识别出这一odns域名。dns请求分流模块触发dns view执行普通的流程。
53.在步骤s208中，dns view递归并缓存(s1+k1).sample.com的记录。
54.在步骤s210中，dns view向dns客户端返回解析记录。
55.在步骤s212中，dns客户端继续发送(s2+k2).sample.com到(sm+km).sample.com的域名解析请求，这些域名解析请求也未被识别出是odns域名解析请求，因此仍然由dns view执行普通的解析流程，并且缓存(s2+k2).sample.com到(sm+km).sample.com的记录。
56.在步骤s214中，odns检测模块定时从dns view中读取记录。
57.在步骤s216中，odns检测模块发现sample.com这个二级域名下的记录数量达到预设阈值。
58.在步骤s218中，odns检测模块检测预设时间段内sample.com的子域名的重复程度。预设时间段可以根据local dns的解析量设置，这里不再赘述。
59.在步骤s220中，odns检测模块通知odns管理模块，sample.com为odns域名。
60.在步骤s222中，odns管理模块更新odns view中的odns记录。
61.在步骤s224中，dns客户端发起对(sn+kn).sample.com的odns域名解析请求。
62.在步骤s226中，由于之前已识别出sample.com为odns域名，因此直接从odns view
中查询odns记录。
63.在步骤s228中，odns view向dns客户端返回缓存的odns记录中的解析结果。
64.上述实施例优化了local dns处理odns的流程，提升了local dns的稳定性。
65.在一些实施例中，可以根据负载情况确定是否利用odns处理odns域名解析请求。图3示出了根据本发明又一些实施例的odns的管理方法的流程示意图。如图3所示，该实施例的管理方法包括步骤s302～s308。
66.在步骤s302中，接收dns请求消息。
67.在步骤s304中，在dns请求消息中的域名为确定的odns域名的情况下，判断当前是否处于负载正常状态。负载情况可以是local dns中odns的负载情况或者local dns的总体负载情况。
68.在步骤s306中，在负载正常状态下，对dns请求消息进行递归处理。即，递归处理odns请求。
69.在步骤s308中，在负载不正常的情况下，根据dns请求消息中的域名对应的odns记录返回解析结果。
70.负载不正常包括负载压力大或者受到攻击的情况。
71.上述实施例在负载正常的情况仍然采用普通的递归流程处理odns请求，在负载不正常的情况下利用odns记录处理odns请求。从而，在不影响local dns工作的情况下尽量通过普通流程递归以获得更准确的解析结果。而在负载不正常时，也能够通过odns记录快速地向客户端返回解析结果。从而，提高了local dns的服务能力。
72.下面参考图4描述本发明本地dns设备的实施例。
73.图4示出了根据本发明一些实施例的本地dns设备的结构示意图。如图4所示，该实施例的本地dns设备40包括：统计模块410，统计缓存的相同二级域名的域名系统dns记录数量；odns域名确定模块420，被配置为在相同二级域名的dns记录的总数量大于预设数量、重复程度低于预设程度的情况下，将二级域名确定为加密域名系统odns域名；odns记录添加模块430，被配置为将odns域名对应的dns记录添加到odns记录，以便根据odns记录处理odns域名对应的dns请求。
74.在一些实施例中，odns域名确定模块420进一步被配置为在相同二级域名的dns记录的总数量大于预设数量的情况下，将二级域名确定为疑似odns域名；统计相同的疑似odns域名在预设时间段内的重复程度；在预设时间段内，在相同的疑似odns域名的重复程度低于预设程度的情况下，将疑似odns域名确定为odns域名。
75.在一些实施例中，odns记录添加模块430进一步被配置为将odns域名对应的dns记录添加到odns记录，并删除dns记录中的相应内容。
76.在一些实施例中，本地dns设备40还包括：请求接收模块440，被配置为接收dns请求消息；在dns请求消息中的域名为确定的odns域名的情况下，利用odns记录处理dns请求。
77.在一些实施例中，本地dns设备40还包括：请求接收模块440，被配置为接收dns请求消息；负载判断模块450，被配置为在dns请求消息中的域名为确定的odns域名的情况下，判断当前是否处于负载正常状态，以便在负载正常状态下，对dns请求消息进行递归处理，在负载不正常的情况下，根据dns请求消息中的域名对应的odns记录返回解析结果。
78.在一些实施例中，在odns记录中，包括odns域名与网络协议ip地址之间的对应关
系。
79.图5示出了根据本发明另一些实施例的本地dns设备的结构示意图。如图5所示，该实施例的本地dns设备50包括：存储器510以及耦接至该存储器510的处理器520，处理器520被配置为基于存储在存储器510中的指令，执行前述任意一个实施例中的加密域名系统的管理方法。
80.其中，存储器510例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(boot loader)以及其他程序等。
81.图6示出了根据本发明又一些实施例的本地dns设备的结构示意图。如图6所示，该实施例的本地dns设备60包括：存储器610以及处理器620，还可以包括输入输出接口630、网络接口640、存储接口650等。这些接口630，640，650以及存储器610和处理器620之间例如可以通过总线660连接。其中，输入输出接口630为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口640为各种联网设备提供连接接口。存储接口650为sd卡、u盘等外置存储设备提供连接接口。
82.本发明的实施例还提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现前述任意一种加密域名系统的管理方法。
83.本领域内的技术人员应当明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
84.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
85.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
86.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
87.以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。