一种量子安全网络的域名解析处理方法和系统与流程

1.本发明涉及信息安全技术领域，具体涉及一种量子安全网络的域名解析处理方法和系统。


背景技术：

2.现有技术中，用户主机访问某一网站时，需要向域名服务器发送域名请求报文，该域名请求报文中包括用户主机需要访问的网站的域名，域名服务器根据网站的域名查询到该网站的ip地址，并将该ip地址发送给用户主机，以使用户主机根据该ip地址访问该网站。
3.即上述域名服务器相当于因特网上域名和ip地址相互映射的一个分布式数据库，能够使用户更方便地访问互联网，而不用去记住能够被机器直接读取的ip数串。通过域名，最终得到该域名对应的ip地址的过程叫做域名解析。
4.在量子安全网络中，量子安全设备一方面要通过量子密钥中继网络进行量子密钥的中继，另一方面还要通过用户数据网络传输通过量子密钥加密的用户数据；即在量子安全终端进行通信时，其不仅要查询密钥中继网络中服务器的入网id，还需要查询服务端对应的通信模块可达ip，以及待查询域名信息对应的量子安全ip地址。而传统互联网域名解析系统仅能提供域名信息的查询，无法响应量子安全ip地址的直接查询，以及入网id和通信模块可达ip的查询，灵活性相对不高，进而也无法为量子安全的终端的通信提供服务；为此如何为量子安全网络中的域名查询和量子安全ip地址查询提供服务支撑成为亟待解决的问题。


技术实现要素：

5.为解决上述问题，本发明公开了一种量子安全网络的域名解析处理方法和系统。
6.本技术提供了一种量子安全网络的域名解析处理方法，该方法包括：
7.域名查询端接收量子安全终端发送的查询请求：
8.a、当所述查询请求是标准域名查询请求时；
9.根据所述标准域名查询请求中的域名、请求类型和请求类别查询域名解析库，生成标准域名查询响应消息，并将所述标准域名查询响应消息发送至量子安全终端，所述标准域名查询响应消息携带有查询到的量子安全ip地址；
10.根据量子安全终端的通信类型、通信类别及待查询的域名查询域名解析库，生成关联查询响应消息，再将所述关联查询响应消息发送至量子安全终端，所述关联查询响应消息中携带有查询到的量子安全ip地址，通信模块可达ip及入网id；
11.b、当所述查询请求是ip查询请求时；
12.根据所述ip查询请求中的量子安全ip地址、通信类型和通信类别查询数据库并生成ip查询响应消息，并将所述ip查询响应消息发送至量子安全终端，其中所述ip查询响应消息携带有查询到的通信模块可达ip和入网id。
13.上述方案中，若所述查询请求是加密的请求消息，则域名查询端接收该请求消息
后，对其解密以确定查询请求的内容。
14.上述方案中，在所述域名查询端向量子安全终端发送标准域名查询响应消息和关联查询响应消息前，分别对两者加密以形成标准域名查询响应消息密文和关联查询响应消息密文；
15.所述量子安全终端接收标准域名查询响应消息密文和关联查询响应消息密文，解密后得到标准域名查询响应消息明文和关联查询响应消息明文。
16.上述方案中，在所述域名查询端向量子安全终端发送ip查询响应消息前，对其加密以形成ip查询响应消息密文；
17.所述量子安全终端接收ip查询响应消息密文，解密后得到ip查询响应消息明文。
18.上述方案中，所述量子安全终端的通信类型和通信类别的获取方法具体包括：
19.所述域名查询端接收标准域名查询请求，根据所述标准域名查询请求中的域名、请求类型和请求类别生成关联查询请求通知消息，并向量子安全终端发送所述关联查询请求通知消息，所述关联查询请求通知消息携带有所述标准域名查询请求中的域名、请求类型和请求类别；
20.所述量子安全终端接收所述关联查询请求通知消息，根据所述关联查询请求通知消息生成关联查询请求，所述关联查询请求中携带有量子安全终端中通信模块的通信类型和通信类别，再向所述域名查询端发送所述关联查询请求；
21.域名查询端接收所述关联查询请求，根据所述关联查询请求获取量子安全终端中通信模块的通信类型和通信类别。
22.本技术还提供了一种量子安全网络的域名解析系统，该系统包括：
23.通信模块，用于接收量子安全终端发送的查询请求，并向隔离模块发送所述查询请求；以及接收所述隔离模块转发的响应消息，再向量子安全终端发送所述响应消息；
24.隔离模块，与通信模块连接，用于接收来自通信模块的查询请求；还与隐私模块相连接，用于向隐私模块转发所述查询请求，以及接收来自隐私模块发送的响应消息，并向所述通信模块转发所述响应消息；
25.隐私模块，用于接收来自隔离模块的查询请求，根据所述查询请求查询并生成响应消息，再向所述隔离模块发送所述响应消息。
26.上述方案中，所述通信模块还用于接收来自量子安全终端的查询请求密文，向所述隔离模块转发所述查询请求密文；以及接收所述隔离模块转发的响应消息密文，再向量子安全终端发送所述响应消息密文；
27.所述隔离模块还用于接收来自通信模块的查询请求密文，并向隐私模块转发所述查询请求密文；以及接收来自隐私模块发送的响应消息密文，向所述通信模块转发所述响应消息密文；
28.所述隐私模块还用于接收来自隔离模块的查询请求密文，对其解密后得到查询请求明文，根据所述查询请求明文查询数据库并生成响应消息，再加密响应消息形成响应消息密文，向所述隔离模块发送所述响应消息密文。
29.上述方案中，所述隐私模块包括加密单元，所述加密单元用于接收来自隔离模块的查询请求密文，并对其进行解密，以及对生成的响应消息加密形成响应消息密文，再向所述隔离模块发送所述响应消息密文。
30.上述方案中，所述隐私模块还包括存储单元，所述存储单元用于存储预设域名对应的解析信息，以及预设量子安全ip地址对应的解析信息。
31.上述方案中，所述预设域名对应的解析信息至少包括与所述预设域名对应的量子安全ip地址、通信模块可达ip以及入网id；
32.所述预设量子安全ip地址对应的解析信息至少包括与所述预设量子安全ip地址对应的通信模块可达ip以及入网id。
33.相对于现有技术，本发明的有益效果为：本技术的方法，一方面通过在标准域名查询时，向量子安全终端响应标准域名响应消息和关联查询响应消息，利用一次查询同时提供量子安全终端对应的量子密钥传输网络配置信息，即入网id和量子安全ip地址，以及互联网通信ip地址，即通信模块可达ip，提高了量子安全终端在域名查询过程中的效率；另一方面在量子安全终端使用ip直接查询时，也能够为其返回ip查询响应消息，两者相结合提高了用户使用量子安全网络时的便利性；本技术的域名查询系统包括通信模块、隔离模块和隐私模块，查询过程中由隐私模块生成响应消息，且隐私模块不直接与外部通信而是由专用的隔离模块和通信模块与量子安全终端进行通信，提高了域名解析响应过程中的安全性。
附图说明
34.图1为本技术实施例中标准域名查询时域名查询端的时序图；
35.图2为本技术实施例中ip查询时域名查询端的时序图；
36.图3为本技术实施例中一种域名查询端的结构示意图；
37.图4为本技术实施例中域名查询端中隐私模块的结构示意图；
38.图5为本技术实施例中另一种域名查询端的结构示意图。
具体实施方式
39.为了使本技术的目的、技术方案和优点更加清楚，下面将结合附图本技术作进一步地详细描述，显然，所描述的实施例仅是本技术的一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
40.实施例1，一种量子安全网络的域名解析处理方法，其中，量子安全终端进行量子安全通信时，一方面要通过局域网或者互联网发送通过量子密钥加密形成的加密数据，另一方面还要通过量子安全网中继用于加密的量子密钥，即量子真随机数；在中继过程中，量子密钥由发送端发送至中继节点，再由中继节点转发至接收端；量子密钥中继过程中，依靠入网id查找下一跳节点，中继节点可以为服务器基站；加密数据经量子安全终端构造形成应用报文，应用报文传输时依靠查询对端的通信模块可达ip，以建立通信连接；
41.本实施例中，量子安全终端主要指利用量子加解密技术通信的量子安全终端，通信过程中利用量子随机数对发送的数据进行加密；例如中国专利申请号为cn201510325943.6，名称为基于量子真随机数的移动终端保密系统及方法的专利申请文件中所涉及的系统，又例如中国专利申请号为cn201611255339.1的专利申请文件中提及的量子终端；在一种示例中，该量子安全终端还可以包括第一隐私模块、第一隔离模块、第一加
密模块、第一通信模块；域名解析端包括第二隐私模块、第二隔离模块、第二通信模块；其中，第一隔离模块分别与第一隐私模块、第一加密模块及第一通信模块通信连接，第一隐私模块产生的应用报文经第一隔离模块转发至第一加密模块，由第一加密模块加密后形成加密报文，再转发至第一隔离模块，通过第一隔离模块发送至第一通信模块，经第一通信模块发送至对端，期间为保障不同量子安全终端之间的正常通信，需要为第一隐私模块分配唯一的ip地址，即量子安全ip地址，第一隐私模块在发送应用报文时需携带对端的量子安全ip地址，以便于进行通信；查询过程中域名解析端的第二通信模块接收来自第一通信模块的查询请求，将该查询请求发送至第二隔离模块，由第二隔离模块转发至第二隐私模块，再通过第二隐私模块响应查询请求，生成响应消息，生成的响应消息通过第二隔离模块转发至第二通信模块，经第二通信模块发送至量子安全终端的第一通信模块；
42.上述方法具体包括：
43.参见图1，当量子安全终端向域名查询端发送的查询请求是标准域名查询请求时，在所述标准域名查询请求中携带待查询的域名、请求类型和请求类别；
44.域名查询端接收所述标准域名查询请求，根据所述标准域名查询请求中的域名、请求类型和请求类别查询域名解析库，生成标准域名查询响应消息，并将所述标准域名查询响应消息发送至量子安全终端，所述标准域名查询响应消息携带有查询到的量子安全ip地址；同时再根据量子安全终端中通信模块的通信类型、通信类别及待查询的域名查询域名解析库，生成关联查询响应消息，再将所述关联查询响应消息发送至量子安全终端，所述关联查询响应消息中携带有查询到的量子安全ip地址，通信模块可达ip及入网id；即利用一次查询同时提供量子安全终端对应的量子密钥传输网络配置信息，即入网id和量子安全ip地址，以及互联网通信ip地址，即通信模块可达ip，提高了量子安全终端在域名查询过程中的效率；
45.参加图1-2其中，量子安全终端中通信模块的通信类型和通信类别的获取方法具体包括：
46.所述域名查询端的隐私模块接收标准域名查询请求，根据所述标准域名查询请求中的域名、请求类型和请求类别生成关联查询请求通知消息，并加密后形成请求通知消息密文，再向量子安全终端发送所述关联查询请求通知消息密文，所述关联查询请求通知消息携带有所述标准域名查询请求中的域名、请求类型和请求类别；
47.所述量子安全终端的通信模块接收所述关联查询请求通知消息密文，将该关联查询请求通知消息密文转发至量子安全终端的加密模块，加密模块对其解密后，根据所述关联查询请求通知消息生成关联查询请求，所述关联查询请求中携带有量子安全终端中通信模块的通信类型和通信类别，再向所述域名查询端发送所述关联查询请求，并加密形成关联查询请求密文；
48.域名查询端接收所述关联查询请求密文，解密后根据所述关联查询请求获取量子安全终端中通信模块的通信类型和通信类别；量子安全终端和域名查询端的加密模块可使用现有量子加解密模块，量子安全终端中通信模块的通信类型和通信类别均由量子安全终端的加密模块提供，整个过程的信息传递也通过量子加密方式实现，进一步提高了该过程信息获取的安全性。
49.参见图2，当量子安全终端向域名查询端发送的查询请求是ip查询请求时，在所述
ip查询请求中携带有待查询的量子安全ip地址和量子安全终端中通信模块的通信类型和通信类别；
50.域名查询端接收所述ip查询请求，根据所述ip查询请求中的量子安全ip地址、通信类型和通信类别查询数据库并生成ip查询响应消息，并将所述ip查询响应消息发送至量子安全终端，其中所述ip查询响应消息携带有查询到的通信模块可达ip和入网id；在量子安全终端使用ip直接查询时，也能够为其返回ip查询响应消息，结合上述标准域名查询的查询过程，通过该方法提高了用户使用量子安全网络时的便利性。
51.为了提高量子安全终端发送查询请求时信息在传输过程中的安全性，所述方法还包括：
52.在所述量子安全终端向域名查询端发送标准域名查询请求前，对其进行加密，以形成标准域名查询请求密文；
53.所述域名查询端接收标准域名查询请求密文，对其解密，以确定标准域名查询请求中待查询的域名、请求类型和请求类别；
54.在所述量子安全终端向域名查询端发送ip查询请求前，对其进行加密，以形成ip查询请求密文；
55.所述域名查询端接收ip查询请求密文，对其解密，以确定ip查询请求中的量子安全ip地址、通信类型和通信类别。
56.为了提高域名查询端发送响应消息时信息传在输过程中的安全性，所述方法还包括：
57.在所述域名查询端向量子安全终端发送标准域名查询响应消息和关联查询响应消息前，分别对两者加密以形成标准域名查询响应消息密文和关联查询响应消息密文；
58.所述量子安全终端接收标准域名查询响应消息密文和关联查询响应消息密文，解密后得到标准域名查询响应消息明文和关联查询响应消息明文；
59.在所述域名查询端向量子安全终端发送ip查询响应消息前，对其加密以形成ip查询响应消息密文；
60.所述量子安全终端接收ip查询响应消息密文，解密后得到ip查询响应消息明文。
61.此外为了提升量子安全终端和域名查询端发送查询请求和响应消息整个流程中信息交互的安全性，量子安全终端和域名查询端对各自生成的消息均进行加密发送。
62.所述标准域名查询请求密文、ip查询请求密文、标准域名查询响应消息密文、关联查询响应消息密文和ip查询响应消息密均通过量子随机数加密生成，其中，量子随机数使用真随机数发生器生成，生成的随机数第三方无法预测并知晓，加密后的数据安全性更高。
63.上述方案中，所述方法还包括：
64.所述域名查询端接收标准域名查询请求，根据所述标准域名查询请求中的域名、请求类型和请求类别生成关联查询请求通知消息，并向量子安全终端发送所述关联查询请求通知消息，所述关联查询请求通知消息携带有所述标准域名查询请求中的域名、请求类型和请求类别；
65.所述量子安全终端接收所述关联查询请求通知消息，根据所述关联查询请求通知消息生成关联查询请求，所述关联查询请求中携带有量子安全终端中通信模块的通信类型和通信类别，再向所述域名查询端发送所述关联查询请求；
66.域名查询端接收所述关联查询请求，根据所述关联查询请求获取量子安全终端中通信模块的通信类型和通信类别；
67.上述查询过程中的域名解析库中存储有预设域名对应的解析信息，以及预设量子安全ip地址对应的解析信息；其中所述预设域名对应的解析信息至少包括与所述预设域名对应的量子安全ip地址、通信模块可达ip以及入网id；
68.所述预设量子安全ip地址对应的解析信息至少包括与所述预设量子安全ip地址对应的通信模块可达ip以及入网id；以便于根据不同的查询请求，查询并获取对应的解析信息。
69.参见图1-4，本技术还提供了一种量子安全网络的域名解析系统，该系统包括：
70.通信模块，用于接收量子安全终端发送的查询请求，并向隔离模块发送所述查询请求；以及接收所述隔离模块转发的响应消息，再向量子安全终端发送所述响应消息；
71.隔离模块，与通信模块连接，用于接收来自通信模块的查询请求；还与隐私模块相连接，用于向隐私模块转发所述查询请求，以及接收来自隐私模块发送的响应消息，并向所述通信模块转发所述响应消息；
72.隐私模块，用于接收来自隔离模块的查询请求，根据所述查询请求查询并生成响应消息，再向所述隔离模块发送所述响应消息。
73.为了提高量子安全终端发送查询请求时信息在传输过程中的安全性，所述通信模块还用于接收来自量子安全终端的查询请求密文，向所述隔离模块转发所述查询请求密文；以及接收所述隔离模块转发的响应消息密文，再向量子安全终端发送所述响应消息密文；
74.所述隔离模块还用于接收来自通信模块的查询请求密文，并向隐私模块转发所述查询请求密文；以及接收来自隐私模块发送的响应消息密文，向所述通信模块转发所述响应消息密文；
75.所述隐私模块还用于接收来自隔离模块的查询请求密文，对其解密后得到查询请求明文，根据所述查询请求明文查询数据库并生成响应消息，再加密响应消息形成响应消息密文，向所述隔离模块发送所述响应消息密文。
76.为了提高域名查询端发送响应消息时信息传在输过程中的安全性，所述隐私模块还包括加密单元，所述加密单元用于接收来自隔离模块的查询请求密文，并对其进行解密，以及对生成的响应消息加密形成响应消息密文，再向所述隔离模块发送所述响应消息密文。
77.在一种示例中，所述隐私模块还包括存储单元，所述存储单元用于存储预设域名对应的解析信息，以及预设量子安全ip地址对应的解析信息；其中所述预设域名对应的解析信息至少包括与所述预设域名对应的量子安全ip地址、通信模块可达ip以及入网id；
78.所述预设量子安全ip地址对应的解析信息至少包括与所述预设量子安全ip地址对应的通信模块可达ip以及入网id；以便于根据不同的查询请求，查询并获取对应的解析信息。
79.实施例2，参见图5，本实施例中，域名查询端主要包括隐私模块、隔离模块、加密模块及通信模块，其中隔离模块用于接收隐私模块构造的响应消息，并根据所述隔离模块到加密模块的数据通道的端口的mac地址，对所述响应消息的链路层信息进行替换，以将所述
应用报文发送至所述加密模块；即隐私模块与隔离模块之间通过专用链路层进行信息的传输，外部信息无法直接进入隐私模块，需要隔离模块进行通信代理，这样大大提高了隐私模块接收查询请求和构造响应消息过程中的安全性；
80.所述加密模块从所述响应消息中提取量子安全终端的ip地址，根据获取到的密钥以及预设的加密方式，对所述响应消息进行加密，得到响应消息密文；再根据所述ip地址，查询预先配置的记录，获取所述量子安全终端的入网标识以及可达ip地址；将获取到的配置信息、响应消息密文及加密密钥信息发送至所述隔离模块，以通过所述隔离模块将所述配置信息、响应消息密文及加密密钥信息发送至所述通信模块；
81.所述通信模块接收所述配置信息、响应消息密文及加密密钥信息；根据配置信息携带的可达ip地址，将所述响应消息密文发送至所述量子安全终端；根据配置信息中的量子安全终端的入网标识，将所述加密密钥信息通过所述入网标识所确定基站转发至所述量子安全终端。
82.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。