一种去中心化的APP服务器IP获取技术实现方法与流程

一种去中心化的app服务器ip获取技术实现方法
技术领域
1.本发明属于智能终端设备应用程序安全防御领域，具体地说，是一种去中心化的app服务器ip获取技术实现方法。


背景技术：

2.域名系统(domain name system，dns)是internet上解决网上机器命名的一种系统。internet上当一台主机要访问另外一台主机时，必须首先获知其地址，tcp/ip中的ip地址是由四段以“.”分开的数字组成(此处以ipv4的地址为例，ipv6的地址同理)，记起来总是不如名字那么方便，所以，就采用了域名系统来管理名字和ip的对应关系。
3.httpdns是使用http协议向dns服务器的80端口进行请求，代替传统的dns协议向dns服务器的53端口进行请求，也就是使用http协议去进行dns解析请求，将服务器返回的解析结果（域名对应的服务器ip），直接向该ip发起对应的api服务请求，代替使用域名。
4.app客户端获取服务器ip的方式一般有两种，一种是直接用原生操作系统的dns解析功能找到服务器ip然后进行访问，另外一种是调用httpdns服务得到服务器ip，前者最通用和常见。第一种方式的弊端较为明显，存在dns污染、dns切换时间长、dns解析不准确、dns信息泄漏等问题；第二种方式虽然能解决上述问题，但是httpdns服务器本身是中心化的，一旦（因攻击或操作失误等）故障将导致app业务不可用。


技术实现要素：

5.为了解决上述技术问题，本发明披露了一种去中心化的app服务器ip获取技术实现方法，该方法采用加密key的方式取代传统dns和httpdns技术、客户端真实访问ip透传技术、sdk随机端口技术和app客户端基因报文技术，实现真正的攻击零漏防和零误防。
6.本发明采用的具体技术方案如下：一种去中心化的app服务器ip获取技术实现方法，在用户智能终端设备的app客户端和源站服务器之间设置有安全盾网络，安全盾网络包括不少于两个安全网关形成安全盾管理中心。
7.在上述技术方案中，在用户智能终端设备的app客户端原有代码基础上集成安全盾sdk与初始key，打包成新的app端。当app启动时，sdk解密key得到所有安全盾网关节点，并使用最优网络算法选择与该app客户端响应最快的网关，app发起业务请求时，app原有逻辑直接访问127.0.0.1:随机端口，该请求会被sdk响应并转发到安全盾网关，通过网关认证后，连接转发到代理节点，并由代理节点根据回源规则重构请求并对源站发起访问；当前网关如果故障时，sdk将识别并快速选择次优节点进行重连，实现故障自愈。
8.在上述技术方案中，最优网络算法的具体流程为：终端设备同时并发的对所有安全盾网关节点发送tcp认证包，等待接受网关节点响应的认证包，同时每个网关节点存在健康检查功能，当网关节点的负载达到上限时，将自动禁用自身。后续app的新业务将不会再选用该网关节点，而选用次级最优网关。当网关恢复正常后，将自动启用网关功能。
9.本发明的进一步改进，将安全盾key设置成一串加密字符串，将安全盾网关ip、端口、用户id、回源规则、sdk运行参数（超时时间、数据加密算法、key更新周期等）内容通过aes256加密算法或其他算法加密为一串字符串，当sdk运行时能解密并得到明文信息，整个过程不涉及任何dns或httpdns技术；当发生key变化时，sdk会定期访问最优网关节点的api接口获取更新内容；key由用户在用户平台设置转发规则和sdk参数，结合管理平台配置用户相关信息，用户绑定网关节点信息，设置的加密算法等，生成的一个加密密钥，后续平台对网关节点以及用户对规则的修改，都会导致key的更新；同时sdk支持在线热更，确保用户配置的新规则能在不升级app的情况下，也能正常使用，减少用户开发app的成本。
10.在上述技术方案中，当安全盾sdk运行后，会根据回源规则的端口按照随机算法（10000-60000范围）转化为本地随机监听端口，以确保终端sdk百分之百可用，不会发生端口冲突问题；安全盾网关获取app客户端真实访问ip，并转发到网关，并由网关转发给源站服务器，这里分两种方案，如果业务是http(s)协议，网关和代理将在回源请求中新增xff字段，如果业务是tcp/udp协议，网关和代理将在回源tcp连接中新增tcp/udp option字段，并在这些字段存储真实访问ip；安全盾sdk会携带特定的信息（用户id、终端硬件id、会话id）并加密发送到安全盾网关，确保只有集成了sdk的流量才能通过网关认证并转发到代理节点，实现了真正的攻击零漏防和零误防。
11.本发明的有益效果：在本发明中，app启动后不需要使用dns技术就连接上app服务器，从而规避dns的所有问题；当中间盾节点故障时，app客户端能够发现并自动切换可用节点，实现故障自愈；app客户端采用最优算法连接中间盾节点，不同客户端得到的服务节点不一样，实现了去中心化服务；中间盾节点可以将app客户端真实访问ip透传到源站，实现100%业务兼容；对ddos和cc攻击实现零漏防和零误防效果。
附图说明
12.图1是本发明的结构示意图。
13.图2是本发明披露的方案具体运行示意图。
具体实施方式
14.为了加深对本发明的理解，下面将结合附图和实施例对本发明做进一步详细描述，该实施例仅用于解释本发明，并不对本发明的保护范围构成限定。
15.实施例：如图1所示，一种去中心化的app服务器ip获取技术实现方法，在用户智能终端设备的app客户端和源站服务器之间设置有安全盾网络，安全盾网络包括不少于两个安全网关形成安全盾管理中心。
16.如图2所示，在用户智能终端设备的app客户端原有代码基础上集成安全盾sdk与初始key，打包成新的app端，当app启动时，sdk解密key得到所有安全盾网关节点，并使用最优网络算法选择与该app客户端响应最快的网关，app发起业务请求时，app原有逻辑直接访问127.0.0.1:随机端口，该请求会被sdk响应并转发到安全盾网关，通过网关认证后，连接转发到代理节点，并由代理节点根据回源规则重构请求并对源站发起访问；当前网关如果故障时，sdk将识别并快速选择次优节点进行重连，实现故障自愈。
17.将安全盾key设置成一串加密字符串，将安全盾网关ip、端口、用户id、回源规则、
sdk运行参数（超时时间、数据加密算法、key更新周期等）内容通过aes256加密算法或其他算法加密为一串字符串，当sdk运行时能解密并得到明文信息，整个过程不涉及任何dns或httpdns技术；当发生key变化时，sdk会定期访问最优网关节点的api接口获取更新内容。当安全盾sdk运行后，会根据回源规则的端口按照随机算法（10000-60000范围）转化为本地随机监听端口，以确保终端sdk百分之百可用，不会发生端口冲突问题；安全盾网关获取app客户端真实访问ip，并转发到网关，并由网关转发给源站服务器，这里分两种方案，如果业务是http(s)协议，网关和代理将在回源请求中新增xff字段，如果业务是tcp/udp协议，网关和代理将在回源tcp连接中新增tcp/udp option字段，并在这些字段存储真实访问ip；安全盾sdk会携带特定的信息（用户id、终端硬件id、会话id）并加密发送到安全盾网关，确保只有集成了sdk的流量才能通过网关认证并转发到代理节点，实现了真正的攻击零漏防和零误防。
18.以上所述为本发明的示例性实施例，并非因此限制本发明专利保护范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。