设置为只读,不可更改。
[0058]可更新数据模块,负责存储服务器端下发的DNS数据,本方案中,由服务器端模块定期集中地打包下发数据给用户端模块,该数据模块一般设为只读不可更改,只有与服务器端模块进行更新任务时,通过密钥验证后,才可写入数据。该模块存储大量的DNS信息,主要为大多数用户常用的DNS信息。
[0059]更新策略模块,负责根据根据用户访问的情况向服务器端提交更新需求,如果用户期望访问的网址在固定数据模块和可更新数据模块中均不存在,可在数据更新时向服务器端模块提出请求,该模块在不与服务器端通讯时,整理用户访问数据,生成更新序列。该模块的启用需要用户认可。
[0060]服务器端模块包含多个子模块,加密通信模块,数据收集模块,数据处理模块,数据下发模块,任务调度模块。
[0061]加密通信模块,负责通过私有加密协议将数据加密,与用户端模块建立通信关系,通过私有协议集中传递数据。
[0062]数据收集模块,负责从DNS系统获取可靠的DNS数据,该模块具备良好的安全防护策略,部署DNSSEC,只从获得认可的数据源获取数据,保证数据的可靠性。
[0063]数据处理模块,负责处理收集到的数据,根据用户反馈的信息,整理出多个版本的更新数据包。
[0064]数据下发模块,负责下发更新数据包,根据任务调度模块指令,将更新数据定期包分发给用户端模块。
[0065]任务调度模块,负责收集用户的请求信息,判断用户类型,匹配相应的更新包,调度分发任务。
[0066]本发明方案的模块关系如图3所示。整个“用户端模块”直接部署在用户的主机上,用户需要将首选DNS地址设为本地。这样用户的DNS请求首先发送给“用户端模块”,将用户请求交给其子模块“固定数据模块”,如果“固定数据模块”能匹配到该数据,直接反馈给用户,如果没有就转交给“可更新数据模块”,如果能匹配到对应的数据,直接反馈给用户,如果没有,反馈查询失败信息,用户将选用备用DNS,同时“可更新数据模块”将该记录发给“更新策略模块”,更新策略模块存储和整理这类信息,等到定时更新时,将整理的信息通过“加密通信模块”发送给“服务器端模块”,“加密通信模块”从“服务器端模块”获取更新信息,并储存在“可更新模块中”供查询。
[0067]整个“服务器端模块”部署在方案提供商的数据中心服务器上,由该方案的提供商负责维护和管理。“加密通信模块”负责使用私有加密协议来接收和下发数据,“任务调度模块”负责协调各个模块的工作任务,“数据收集模块”用于从指定的DNS可靠数据源获取DNS数据,可靠DNS数据为通过核准的数据,由相关机构直接提供和数据学习训练得到,“数据处理模块”将获取的数据分类整理和存储,按用户类型打包成若干个数据包,“数据下发模块”根据任务调度模块的指令,将整理好的数据包依次下发,由“加密通信模块”转发给“用户端模块”对应的子模块。
[0068]用户端模块处理流程如图4所示。
[0069]第一步,接收用户指令,判断指令类型,如果是DNS请求,转第二步,如果是更新请求转第四步。
[0070]第二步,查询固定数据模块,如果匹配,返回查询结果;如果不匹配,转第三步。
[0071]第三步,查询可更新数据模块,如果匹配,返回查询结果,如果不匹配,返回查询失败信息。
[0072]第四步,开启更新进程,发送更新请求,监测是否收到回馈信息,如果收到回馈信息,转第五步,如果没有收到回馈信息,等待直至超时,向用户反馈更新失败信息。
[0073]第五步,建立加密连接,下载更新数据包。
[0074]第六步,对可更新数据模块进行数据更新处理。
[0075]服务器端模块处理流程如图5所示
[0076]第一步,接收系统指令,判断任务类型,如果是DNS数据处理任务,转第二步,如果是用户更新请求,转第六步。
[0077]第二步,调用数据收集模块,集中统计用户需求,生成数据需求表;
[0078]第三步,根据需求列表,获取可靠DNS数据;
[0079]第四步,调用数据处理模块,对获取的数据进行分类,分类存储数据;
[0080]第五步,依据用户类型,分类生成数据更新包,供数据下发模块使用;
[0081]第六步,匹配用户类型,确定对应的更新包;
[0082]第七步,建立加密连接;
[0083]第八步,调用数据下发模块,分发对应的更新包;
[0084]第九步,完成数据更新包的发送,同时收集用户的更新策略需求。
[0085]安装在移动存储设备(如U盘,小型终端等)上的客户端模块,包含在本发明方案的范围内,如果用户使用安装了客户端模块的U盘和小型终端,连接在用户主机上使用,属于本发明方案的保护范畴。
[0086]以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求所述为准。
【主权项】
1.一种基于本地解析的安全DNS系统,其特征在于,包括用户端模块和服务器端模块,用户端模块部署在用户自身的主机上,服务器端模块部署在服务提供商; 所述用户端模块包含: 加密通信模块,负责通过私有加密协议将数据加密,与服务器端建立通信关系,通过私有协议集中传递数据; 固定数据模块,负责存储无需更新的数据; 可更新数据模块,负责存储服务器端下发的DNS数据,为用户提供常用的DNS信息; 更新策略模块,负责根据根据用户访问的情况向服务器端提交更新需求; 所述服务器端模块包含: 加密通信模块,负责通过私有加密协议将数据加密,与用户端模块建立通信关系,通过私有协议集中传递数据; 数据收集模块,负责从DNS系统获取可靠的DNS数据; 数据处理模块,负责处理收集到的DNS数据,根据用户反馈的信息,生成更新数据包; 数据下发模块,负责下发更新数据包,根据任务调度模块指令,将更新数据定期包分发给用户端模块。 任务调度模块,负责收集用户的请求信息,判断用户类型,匹配相应的更新包,调度分发任务。
2.如权利要求1所述的系统,其特征在于:所述固定数据模块存储的无需更新的数据包括服务器端的IP地址,常用IP地址库。
3.如权利要求1所述的系统,其特征在于:所述固定数据模块设置为只读,不可更改;所述可更新数据模块设为只读,不可更改,只有与服务器端模块进行更新任务时,通过密钥验证后,才可写入数据。
4.如权利要求1所述的系统,其特征在于:如果用户期望访问的网址在固定数据模块和可更新数据模块中均不存在,则在数据更新时通过所述更新策略模块向服务器端模块提出请求;所述更新策略模块在不与服务器端通讯时,整理用户访问数据,生成更新序列;所述更新策略模块的启用需要用户认可。
5.如权利要求1所述的系统,其特征在于:所述数据收集模块具备良好的安全防护策略,部署DNSSEC,只从获得认可的数据源获取数据,保证数据的可靠性。
6.一种采用权利要求1所述系统的DNS安全解析方法,其特征在于,包括用户端模块的处理步骤和服务器端模块的处理步骤; 所述用户端模块处理步骤包括: 第一步,接收用户指令,判断指令类型,如果是DNS请求,转第二步;如果是更新请求转第四步; 第二步,查询固定数据模块,如果匹配,返回查询结果;如果不匹配,转第三步; 第三步,查询可更新数据模块,如果匹配,返回查询结果;如果不匹配,返回查询失败信息; 第四步,更新策略模块开启更新进程,向服务器端发送更新请求,并监测是否收到回馈信息,如果收到回馈信息,转第五步;如果没有收到回馈信息,等待直至超时,向用户反馈更新失败信息; 第五步,与服务器端模块建立加密连接,并从服务器端模块下载更新数据包; 第六步,利用下载的更新数据包对可更新数据模块进行数据更新处理。 所述服务器端模块处理步骤包括: 第一步,接收系统指令,判断任务类型,如果是DNS数据处理任务,转第二步,如果是用户更新请求,转第六步; 第二步,调用数据收集模块,根据用户需求获取可靠DNS数据; 第三步,调用数据处理模块,对获取的DNS数据进行分类存储; 第四步,依据用户类型,分类生成更新数据包,供数据下发模块使用; 第五步,匹配用户类型,确定对应的更新数据包; 第六步,与用户端模块建立加密连接; 第七步,调用数据下发模块,根据任务调度模块指令,向用户端模块分发对应的更新数据包。
7.如权利要求6所述的方法,其特征在于:所述数据收集模块集中统计用户需求,生成数据需求表,并根据需求列表,获取可靠DNS数据。
8.如权利要求6所述的方法,其特征在于:所述更新策略模块在不与服务器端通讯时,整理用户访问数据,生成更新序列;所述更新策略模块的启用需要用户认可。
【专利摘要】本发明涉及一种基于本地解析的安全DNS系统和DNS安全解析方法。该系统包括用户端模块和服务器端模块,用户端模块部署在用户自身的主机上,服务器端模块部署在该解决方案的提供商;用户端模块和服务器端模块通过私有加密协议进行通信。所述用户端模块包含:加密通信模块,固定数据模块,可更新数据模块,更新策略模块;所述服务器端模块包含:加密通信模块,数据收集模块,数据处理模块,数据下发模块,任务调度模块。本发明提供了一种普通用户能快速实现的DNS安全解析方案,用户可以通过自主部署完成安全级别的提升,无需等待网络提供商大规模部署安全设备,从而将安全问题掌控在用户自身手中。
【IPC分类】H04L29-12, H04L29-06
【公开号】CN104539603
【申请号】CN201410806841
【发明人】项炎平, 陈远民, 金键
【申请人】中国科学院计算机网络信息中心
【公开日】2015年4月22日
【申请日】2014年12月22日