域名解析方法、装置、电子设备和存储介质

技术领域

本发明涉及网络通信技术领域，尤其涉及一种域名解析方法、装置、电子设备和存储介质。

背景技术

域名系统（Domain name system ,DNS）是互联网最关键的基础设施之一，其主要作用是将域名映射为互联网协议（Internet protocol，IP）地址，从而保障网络应用的顺利执行。然而DNS协议最大的缺陷为解析请求者无法验证接收到的应答信息的真实性，目前对DNS协议漏洞的恶意利用已成为互联网第二大攻击媒介，常见的DNS攻击方式包括分布式拒绝服务（Distributed Denial of Service ,DDOS）攻击、缓存投毒、域名劫持。这些DNS攻击往往会造成网站无法访问、访问者被重定向到伪造的钓鱼网站，从而对用户网络安全产生威胁。在数据蜂窝通信系统中，移动终端用户（User Equipment，UE）同样面临着DNS攻击所造成安全风险，主要威胁来自于互联网侧的域名劫持、DNS报文投毒等攻击行为。目前在无线通信领域中亟需一种安全域名解析方法，以提高用户的信息安全。

发明内容

本申请实施例的主要目的在于提出一种域名解析方法、装置、电子设备和存储介质，旨在提高无线通信系统中域名解析的安全性，减少域名解析攻击对无线通信的影响，增强用户信息安全。

本申请实施例提供了一种域名解析方法，该方法包括以下步骤：

获取数字蜂窝网络中终端的域名解析请求，并基于深度报文检测技术提取所述域名解析请求中的域名解析信息；

发送所述域名解析信息到可信域名系统DNS服务器，并接收所述可信域名系统DNS服务器反馈的解析记录；

发送所述解析记录到所述终端。

本申请实施例还提供了一种域名解析装置，该装置包括:

信息解析模块，用于获取数字蜂窝网络中终端的域名解析请求，并基于深度报文检测技术提取所述域名解析请求中的域名解析信息；

解析记录模块，用于发送所述域名解析信息到可信域名系统DNS服务器，并接收所述可信域名系统DNS服务器反馈的解析记录；

信息反馈模块，用于发送所述解析记录到所述终端。

本申请实施例还提供了一种电子设备，该电子设备包括：

一个或多个处理器；

存储器，用于存储一个或多个程序；

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如本申请实施例中任一所述的域名解析方法。

本申请实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如本申请实施例中任一所述的域名解析方法。

本申请实施例，通过从数字蜂窝网络中获取到终端的域名解析请求，并按照深度检测技术提取域名解析请求中的域名解析信息，并转发到可信DNS服务器解析该域名解析信息，并获取到可信DNS服务器反馈的解析记录，发送解析记录发送到终端，实现终端域名解析请求的安全解析，可增强用户的信息安全，提高无线通信网络的安全性。

附图说明

图1是本申请实施例提供的域名解析方法的架构图；

图2是本申请实施例提供的一种域名解析方法的流程图；

图3是本申请实施例提供的另一种域名解析方法的流程图；

图4是本申请实施例提供的另一种域名解析方法的流程图；

图5是本申请实施例提供的另一种域名解析方法的流程图；

图6是本申请实施例提供的一种域名解析方法的示例图；

图7是本申请实施例提供的一种域名解析方法的示例图；

图8是本申请实施例提供的一种域名解析方法的示例图；

图9是本申请实施例提供的一种域名解析装置的结构示意图；

图10是本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明，其本身没有特有的意义。因此，“模块”、“部件”或“单元”可以混合地使用。

图1是本申请实施例提供的域名解析方法的架构图，参见图1，无线通信网络中域名解析涉及的网络视图可以包括移动用户终端UE、数字蜂窝网络通信设备和可信DNS服务器，其中，可信DNS服务器是网络服务商提供的且支持DNS协议安全保护机制的设备，在用户访问移动互联网的过程中，UE承担DNS客户端的角色，数字蜂窝通信网络设备承担透明DNS代理Proxy的角色，负责将UE发起的不安全的DNS解析过程转换为安全的DNS解析过程。UE通过数字蜂窝通信设备接入互联网，发起针对互联网应用的访问之前，首先要对网络应用服务的域名发起DNS解析流程。DNS解析流程包括UE构造域名解析请求消息，发送该域名解析请求消息到指定DNS服务器，并等待DNS服务器应答解析请求，DNS服务器可以通过域名与IP地址等资源记录的映射数据解析域名并生成解析响应消息返回，使得UE获取到互联网应用的IP地址。其中，UE的DNS解析数据的传递途径可以分为两段，一段是数字蜂窝通信网络，另一段是开放的互联网。在前一段中，DNS报文通过具有完整性和机密性保护机制的无线接入网和无线核心网进行传输，而在后一段开放的互联网的传输过程中，数据传输过程缺乏安全防护机制，容易遭受网络攻击。

图2是本申请实施例提供的一种域名解析方法的流程图，本申请实施例可以适用于无线通信网络中域名解析的情况，该方法可以由域名解析装置来执行，该装置通过软件和/或硬件实现，并一般集成在数字蜂窝通信网络设备中，参见图2，本申请实施例提供的方法具体包括如下步骤：

步骤110、获取数字蜂窝网络中终端的域名解析请求，并提取域名解析请求中的域名解析信息。

其中，数字蜂窝网络可以是一种移动通信网络架构，可以由移动站，基站子系统和网络子系统组成，移动站为网络终端设备，可以包括手机和蜂窝工控设备等，基站子系统可以包括移动基站、无线收发设备、专用网络和无线数字设备等，基站子系统可以看作无线网络和有线网络之间的转换器。进一步的，与数字蜂窝网络相似的网络还可以包括无线广域网、无线局域网、无线城域网等无线通信网络，域名解析请求可以是由用户终端UE直接发送的域名解析请求，域名解析请求中可以包括请求的网络应用的域名和用户终端源地址等信息，域名可以是网络应用服务器、主机等信息系统的定位标识，例如，www.abc.com。域名解析信息可以是待进行域名解析的信息，域名解析信息具体可以为终端所访问的网络应用服务的域名。

在本申请实施例中，域名解析装置可以接收终端发送的原始域名解析请求，并在该原始域名解析请求中获取到需要进行解析的域名解析信息。例如，可以基于深度报文检测技术按照域名解析请求的定位其中查询问题区域（Queries）中的查询名（Name）字段所对应的字符串作为域名解析信息。

步骤120、发送域名解析信息到可信域名系统DNS服务器，并接收可信域名系统DNS服务器反馈的解析记录。

其中，可信域名系统（Domain name system ,DNS）服务器可以是服务商提供的存储有域名和IP地址等类型资源记录映射的服务器，可信DNS服务器可以支持DNS协议安全保护机制，可以传输可信的解析记录。解析记录可以是域名解析信息对应的信息，具体可以为网络应用服务的域名对应的IP地址等类型的资源记录，解析记录与域名解析信息可以在可信服务器中关联存储。

具体的，可以将域名解析信息发送到可信DNS服务器，DNS服务器可以根据该域名解析信息查找对应的解析记录，DNS服务器可以将查找到解析记录进行反馈，使得实现本申请实施例方法的设备获取到该解析记录。进一步的，DNS服务器反馈的解析记录可以是伴随有安全保护机制的信息，例如，针对整个解析记录可以先计算哈希散列，然后再通过预设的密码算法对该散列取值进行加密，从而通过该加密取值实现了解析记录的真实性与完整性保护。

进一步的，在上述申请实施例的基础上，所述可信DNS服务器位于互联网。

在本申请实施例中，可信DNS服务器可以位于开放的互联网，可信服务器可以为终端提供安全可靠的域名解析服务，其中，可信服务器可以由服务运营商预先设置，例如，可以通过将可信服务器的信息预先设置在域名解析装置，以便终端进行安全可信的互联网访问。

步骤130、发送解析记录到终端。

在本申请实施例中，域名解析装置可以将解析记录发送到终端，例如，可以将解析记录在域名解析装置中先进行安全性验证，再将验证后的解析记录发送到终端，还可以将通过安全传输层TLS协议通道或者互联网安全协议IPsec通道等安全传输方式接收到的解析记录直接发送到终端。本申请实施例，通过在无线通信网络中获取域名解析请求，并提取域名解析请求中的域名解析信息，发送该域名解析信息到可信DNS服务器，接收可信DNS服务器反馈的解析记录，发送解析记录到终端，实现终端域名解析请求的安全解析，提高无线通信网络的安全性。

在一个示例性的方式中，在无线广域网、无线局域网、无线城域网等无线通信网络中实现域名解析可以包括如下步骤：域名解析装置可以获取无线广域网、无线局域网、无线城域网等无线通信网络中终端发送的域名解析请求，可以按照域名解析请求对应的报文格式提取域名解析信息，发送该域名解析信息到可信域名系统DNS服务器，并接收可信DNS服务器反馈的解析记录，可以将解析记录发送到在无线广域网、无线局域网、无线城域网等无线通信网络，以使终端获取到解析记录。

图3是本申请实施例提供的另一种域名解析方法的流程图，本申请实施例是在上述申请实施例基础上的具体化，参见图3。在本申请实施例中，安全保护策略为DNS OverTLS，TLS协议通道协商所用的信任状为标识可信DNS服务器身份的证书链，针对域名解析记录不需要额外预设验证信息。本申请实施例提供的方法具体包括如下步骤：

步骤210、获取数字蜂窝网络中终端的域名解析请求。

在本申请实施例中，无线通信网络可以具体为数字蜂窝通信网络，终端UE无需进行更新或者升级，可以按照现有的域名解析方式发送域名解析请求，实现本申请实施例方法的装置可以在无线数字蜂窝通信网络中接收终端UE发送的域名解析请求。

步骤220、基于深度报文检测技术提取域名解析请求中的域名解析信息。

其中，深度报文检测技术可以是基于应用层的流量检测和控制技术实现报文解析的方法，可以根据数字蜂窝网络中所承载的UE相关IP报文的源地址、目的地址、源端口、目的端口、协议类型以及应用层信息进行分析识别并获取到对应的信息，深度报文检测技术可以分别按照特征字解析报文、按照业务流解析报文以及按照终端行为模式识别报文。

在本申请实施例中，可以通过深度报文检测（Deep Packet Inspection，DPI）技术对接收到的原始域名解析请求进行处理获取到原始域名解析请求中的请求解析的网站域名作为域名解析信息。

步骤230、通过与可信DNS服务器预先建立的安全传输层TLS协议通道将域名解析信息发送到可信DNS服务器。

其中，安全传输层（Transport Layer Security，TLS）协议通道可以使用TLS协议构建的传输通道，可以防止交换数据时信息被窃听和篡改。

具体的，域名解析代理与可信DNS服务器之间可以根据安全保护策略，预先按照TLS协议构建安全的传输通道，在协商建立TLS协议通道的过程中，使用配置的信任状验证DNS服务器的身份。域名解析代理可以将获取到的域名解析信息通过该传输通道发送到可信DNS服务器，实现域名解析信息的安全传输。

步骤240、监听TLS协议通道以获取可信DNS服务器反馈的解析记录。

在本申请实施例中，解析记录可以通过已经构建的TLS协议通道传输。可以对TLS协议通道进行监听以获取到DNS服务器通过TLS协议通道传输的解析记录。

步骤250、发送解析记录到终端。

具体的，解析记录在安全的TLS协议通道中传输时，可以使用动态协商生成的TLS会话密钥来保护解析记录的安全性，并在数据接收时根据会话密钥自动完成安全性验证。因此，由于TLS协议通道本身具有的机密性与完整性保护机制，从TLS协议通道成功接收的所述域名解析记录即可认为验证成功、满足完整性与真实性的要求，域名解析代理可以发送该解析记录到终端。对于这种情况，进一步的，在发送解析记录到终端前还可以对TLS传输的解析记录进行验证，通过TLS传输的安全验证以及自定义的验证实现解析记录的双重安全验证，进一步提高解析记录的安全性。

图4是本申请实施例提供的另一种域名解析方法的流程图，本申请实施例是在上述申请实施例基础上的具体化，参见图4。在本申请实施例中，安全保护策略为DNS OverIPsec，IPsec通道协商所用的信任状为标识保护可信DNS服务器的安全网关身份的证书链或预共享密钥，针对域名解析记录不需要额外预设验证信息。本申请实施例提供的方法具体包括如下步骤：

步骤310、获取数字蜂窝网络中终端的域名解析请求。

在本申请实施例中，无线通信网络可以具体为数字蜂窝通信网络，终端UE无需进行更新或者升级，可以按照现有的域名解析方式发送域名解析请求，实现本申请实施例方法的装置可以在无线数字蜂窝通信网络中接收终端UE发送的域名解析请求。

步骤320、基于深度报文检测技术提取域名解析请求中的域名解析信息。

其中，深度报文检测技术可以是基于应用层的流量检测和控制技术实现报文解析的方法，可以根据数字蜂窝网络从UE接收的IP报文的源地址、目的地址、源端口、目的端口、协议类型以及应用层信息进行分析识别并获取到对应的信息，深度报文检测技术可以分别按照特征字解析报文、按照业务流解析报文以及按照终端行为模式识别报文。

在本申请实施例中，可以通过深度报文检测（Deep Packet Inspection，DPI）技术对接收到的原始域名解析请求进行处理获取到原始域名解析请求中的请求解析的网站域名作为域名解析信息。

步骤330、通过与可信DNS服务器的安全网关预先建立的互联网安全协议IPsec通道将域名解析信息发送到安全网关，以使安全网关转发域名解析信息到可信DNS服务器。

其中，安全网关可以是设置有安全策略的网关设备，可以用于保护可信DNS服务器，可以防止攻击信息传输到可信DNS服务器，安全网关可以是独立于可信DNS服务器的物理设备，安全网关也可以是可信DNS服务器中的一个软件装置。互联网安全协议（InternetProtocol Security ,IPsec）通道可以是通过IPsec构建的传输通道，该通道传输的数据可以对IP协议的分组进行加密和认证，实现信息安全传输。

在本申请实施例中，域名解析装置与可信DNS服务器的安全网关之间可以预先根据安全保护策略，建立基于IPsec的安全通道，在协商建立IPsec通道的过程中，使用配置的信任状验证安全网关的身份。域名解析装置在获取到域名解析信息后，可以使用IPsec通道传输该域名解析信息到安全网关，由安全网关将域名解析信息转发到可信DNS服务器。

步骤340、监听IPsec通道以获取安全网关转发的解析记录，其中，解析记录由可信DNS服务器反馈。

具体的，解析记录通过IPsec通道传输，可以获取到IPsec通道中由安全网关转发的解析记录，该解析记录可以由可信DNS服务器生成。

步骤350、发送解析记录到终端。

具体的，解析记录在安全的IPsec通道中传输时，将使用动态协商生成的会话密钥来保护解析记录的安全性，并在数据接收时根据会话密钥自动完成安全性验证。因此，由于IPsec通道本身具有的安全保护机制，从IPsec通道成功接收的所述域名解析记录即可认为验证成功、满足完整性与真实性要求，域名解析代理由此发送所述解析记录到终端，对于这种情况，进一步的，在发送解析记录到终端前还可以对IPsec通道传输的解析记录进行验证，通过IPsec通道的安全验证以及自定义的验证实现解析记录的双重安全验证，进一步提高解析记录的安全性。

图5是本申请实施例提供的另一种域名解析方法的流程图，本申请实施例是在上述申请实施例基础上的具体化，参见图5。在本申请实施例中，安全保护策略可以包括但不限于DNSSEC协议,针对域名解析记录的预设校验信息中验证策略为解析记录数字签名，验证凭据为验签密钥或数字证书等凭据。本申请实施例提供的方法具体包括如下步骤：

步骤410、获取数字蜂窝网络中终端的域名解析请求，并提取域名解析请求中的域名解析信息。

具体的，无线通信网络可以具体为数字蜂窝通信网络，终端UE无需进行更新或者升级，可以按照现有的域名解析方式发送域名解析请求，本申请实施例中的域名解析装置可以基于深度报文检测技术对无线数字蜂窝通信网络中接收的终端UE发送的域名解析请求进行处理，提取域名解析请求中的域名解析信息。

步骤420、发送域名解析信息到可信域名系统DNS服务器，并接收可信域名系统DNS服务器反馈的解析记录。

步骤430、提取解析记录相关的验证信息，并使用预先存储的校验信息检验验证信息。

其中，验证信息可以是对解析记录进行完整性保护的信息，验证信息可以是可信DNS服务器生成的一段加密密文。

具体的，验证信息以及验证信息的生成方法可基于且不限于对称加解密算法、非对称加解密算法或同态加解密算法。例如，采用消息认证码（Message AuthenticationCode,MAC）生成签名作为验证信息，验证信息可为与签名密钥相同的对称加密密钥。又例如，采用非对称的加密算法生成签名，签名密钥可以是解析记录生成者的私钥，验证凭据可以是解析记录生成者的公钥。

其中，预先存储的校验信息可以是预先设置的信息，包括验证策略和验证凭据。验证策略是验证的算法和协议，验证凭据的使用应遵循验证策略的规定，可用于验证可信DNS服务器所反馈解析记录的安全性。验证凭据可以是直接验证可信DNS服务器反馈的解析记录真实性与完整性的安全凭据；又或者，验证凭据也可仅作为验证处理中的信任根，从而起到间接验证的作用。验证凭据具体可以为对称加密算法密钥、非对称加密算法或者同态加密算法的公钥、预共享口令、密码、令牌、数字证书、信任锚等。预设验证信息中的所述验证策略可以提前通过用户指令配置，所述验证凭据可以通过用户指令配置或者通过协议生成。例如，对于数字签名方式的验证策略，用户可以配置解析记录签名对应的公钥证书作为验证凭据，来直接验证带有数字签名的域名解析记录的安全性。

在本申请实施例中，解析记录可以仅实施完整性与真实性保护，可信DNS服务器反馈的解析记录可伴随有验证签名，域名解析代理可以使用预先设置的校验信息对验证签名进行验证。

步骤440、若验证信息通过检验，则发送解析记录到终端；若验证信息未通过检验，则确定丢弃解析记录。

在本申请实施例中，可以使用校验信息对接收到的解析记录进行验证，确定该解析记录是否完整且来自真实可信的DNS服务器，可以理解的是，解析记录可以是支持DNS协议安全保护机制的信息，即伴随解析记录可以存在有基于密码学算法的完整性和真实性保护数据，包括但不限于数字签名信息、消息认证码（Message Authentication Code,MAC）等。具体的，可以通过预先存储的校验信息对解析记录相关保护数据进行验证，若验证成功则可以确定解析记录的真实性与完整性，若校验失败则可以认为解析记录不可信，可以将验证通过的解析记录反馈到终端，实现对终端域名解析请求的响应。

进一步的，在上述申请实施例的基础上，还包括：存储域名解析请求中的事务上下文。

在本申请实施例中，在域名解析请求中提取到域名解析信息后，还可以将域名解析请求的事务的上下文进行存储，便于后续生成匹配域名解析请求的域名解析应答，使得终端对于域名安全解析过程无感知，提高用户的使用体验。

进一步的，在上述申请实施例的基础上，所述发送所述解析记录到所述终端包括：基于事务上下文和解析记录生成匹配域名解析请求的域名解析应答；发送域名解析应答到终端。

在本申请实施例中，域名解析代理在接收到可信DNS服务器反馈的解析记录后，可以根据存储的事务上下文以及解析记录构建匹配的原始域名解析请求的域名解析应答，并将该原始域名解析应答发送给终端，使得终端对于域名解析代理过程无感知，无需UE升级或者更新设备，降低安全域名解析对用户使用体验的影响。

在一个示例性的实施方式中，在数字蜂窝通信网络设备中增加透明DNS代理处理模块。该模块可支持通过DPI技术解析并识别UE与互联网之间交互的DNS协议报文，并根据本地配置的可信DNS服务器信息 和 安全保护策略信息，将来自UE的DNS解析请求增加安全保护机制，重定向至可信的DNS服务器，在从可信的DNS服务器获取具备安全保护机制的DNS解析应答报文、并针对解析数据的真实性和完整性验证通过之后，再构造与原始的DNS解析请求请求消息相匹配的DNS解析应答消息反馈给UE。从而保证UE能够获取完整和真实的域名解析数据。

本申请实施例中，将安全的DNS解析过程集中汇聚于数字蜂窝通信网络设备与可信的DNS服务器之间，也解决了众多不同型号的移动终端难以统一实施DNS安全机制的问题，同时也减缓了DNS服务器所面临的DOS攻击的风险。

本申请实施例中提到的通过DPI技术识别数字蜂窝通信网络设备所处理的UE相关的DNS报文，是通过数字蜂窝通信系统所承载的终端用户的 IP报文的传输层协议端口号特征来判断，其中，传输层协议包括传输控制协议（Transmission Control Protocol ,TCP）和用户数据报协议（User Datagram Protocol ，UDP），例如，可以包括DNS协议的知名端口号53 或者配置指定的端口号。

本申请实施例中所提到的数字蜂窝通信网络设备包括但不限于2/3/4/5G数字蜂窝通信系统、以及移动边缘计算（Mobile Edge Computing，MEC）系统中处理UE数据报文的任何物理或逻辑网络功能实体。其中数字蜂窝通信系统包括了无线接入网络（RadioAccess Network，RAN）和核心网络（Core Network，CN）两部分。

本申请实施例所提到的可信DNS服务器信息指的是由可信的网络服务商提供的，且支持DNS安全保护机制的DNS服务器的服务地址信息，例如其IP地址和服务端口号，安全保护策略信息是指该域名服务器所支持的安全保护的协议算法类型和与其互操作的信任状参数，包括且不限于密钥、证书、令牌、密码、口令等。例如，如果采用DNS Over TLS，则信任状参数是可验证对方身份的信任证书链；如果采用 DNS Over IPSec,则信任状参数是可验证对端用于保护可信DNS服务器的安全网关身份的信任证书链或预共享密钥等。

在这里，DNS协议安全保护策略既包括域名系统安全扩展（Domain Name SystemSecurity Extensions，DNSSEC）、基于安全传输层保护的域名系统协议（Domain NameSystem Security Over Transport Layer Security，DNS Over TLS）、基于互联网安全协议保护的域名系统协议(Domain Name System Security Over Internet ProtocolSecurity，DNS Over IPSec)、基于超文本传输安全协议保护的域名系统协议（Domain NameSystem Security Over Hyper Text Transfer Protocol over SecureSocket Layer，DNSOver HTTPS）等知名的协议和方法，也包括且不限于任何能够保证域名解析数据完整性与真实性的算法、协议、流程与方法。

这些信息需要在透明DNS代理处理模块所在的数字蜂窝通信网络设备中预先配置生效，使得透明DNS代理处理模块可以按需访问获取。

透明DNS代理与可信DNS服务器之间的DNS解析请求与应答消息交互应遵循配置信息中的安全保护策略，并根据预设验证信息来验证从可信DNS服务器所接收的域名解析数据的真实完整性与机密性。

透明代理模块接收到来自可信DNS服务器域名解析数据并校验通过后，应找到与来自UE的原始DNS解析请求对应的事务上下文，并封装构造与原始DNS解析请求消息匹配的DNS解析应答报文发送给UE，这里的匹配除了指的是请求和应答的事务标识一致外，还包括协议标准一致。

在一个示例性的实施方式中，图6是本申请实施例提供的一种域名解析方法的示例图，参见图6，基于DNSSEC协议的安全保护策略实现域名解析代理，具体包括如下步骤：

001、移动终端用户（User Equipment，UE）通过数字蜂窝通信系统成功接入互联网，作为DNS客户端，针对待访问应用服务的域名，发送原始DNS解析请求消息。

002、数字蜂窝通信网络设备中的DNS代理模块通过深度报文检测技术解析传输承载中封装的UE相关的IP报文，并识别和捕获UE所发送的原始DNS解析请求消息。识别的依据是DNS协议的知名传输层协议端口号53，其中，知名传输层协议包括TCP与UDP，或配置指定的端口取值。在识别和捕获UE发送的DNS请求报文后，DNS代理模块需要保存原始解析事务的上下文信息，即消息报文的源IP地址+目标IP地址+传输层协议类型+源端口号+目标端口号+事务标识字段所组成的六元组，用于标识一次域名解析事务。

003、DNS代理模块根据配置获取支持DNSSEC保护机制的可信DNS服务器信息，将原始DNS请求消息重定向至该信任服务器，即将原始请求消息中的目标IP地址与目标端口修改为可信DNS服务器的服务IP地址与端口号来构造对应的第二解析请求消息，并通过数字蜂窝通信网络设备固有的上行（指UE至互联网方向）传输承载通道封装发送。

004、支持DNSSEC机制的可信DNS服务器收到第二DNS解析请求消息，查询并获取域名解析结果数据，构造并回送第二DNS解析应答消息，消息中所携带的解析结果数据附带有数据生成者的签名以及签名的公钥信任链。

005、数字蜂窝通信网络设备中的DNS代理模块通过DPI技术识别并捕获来自可信DNS服务器的第二解析应答消息，得到其中带签名的解析数据，根据预设验证信息，将该DNS服务器对应的信任锚作为验证凭据，逐级验证签名，最终证明解析数据的真实性和完整性。

进一步的，经过验证的解析数据除了直接反馈给UE外，还可缓存在数字蜂窝通信网络设备中，用于后续来自UE的DNS解析请求快速匹配，减轻DNS服务器的负担。

006、将第二DNS解析应答消息匹配原始的DNS解析事务，并据此构造与原始的域名解析请求消息相匹配的原始解析应答消息。在原始解析应答消息中，携带的DNS解析数据不携带签名信息。

007、DNS代理模块将第二DNS解析应答报文通过数字蜂窝通信网络设备固有的下行（指互联网至UE方向）传输承载通道发送给UE。至此，UE成功接收并获取真实的域名解析结果。

在一个示例性的实施方式中，图7是本申请实施例提供的一种域名解析方法的示例图，参见图7，基于DNS Over TLS的域名解析保护机制，具体包括如下步骤：

001、无线接入网（Radio Access Network）设备中的DNS代理模块读取配置的支持DNS Over TLS保护机制的可信DNS服务器信息，获取对应的信任状参数，其中，信任状态参数可以为DNS服务器的信任证书链，并主动发起TLS协议通道的建立协商过程。最终，成功建立安全的TLS协议通道。该TLS协议通道为预先建立的长连接，并在后续DNS解析流程中一直维持使用，避免了频繁删除建通道对可信DNS服务器的性能冲击。

002、移动终端用户通过无线接入网成功接入互联网，作为DNS客户端，针对待访问应用服务的域名，发送原始DNS解析请求消息。

003、RAN设备中的DNS代理模块通过深度报文检测技术技术解析传输承载中封装的UE相关的IP报文，并识别和捕获UE所发送的原始DNS解析请求消息。识别的依据是DNS协议的知名传输层协议端口号53，其中，知名传输层协议包括TCP与UDP，或配置指定的端口取值。在识别和捕获UE发送的DNS请求报文后，DNS代理模块需要保存原始解析事务的上下文信息，即消息报文的 源IP地址+目标IP地址+传输层协议类型+源端口号+目标端口号+事务标识字段所组成的六元组，用于标识一次域名解析事务。

004、DNS代理模块根据配置获取支持DNS Over TLS保护机制的可信DNS服务器信息，将原始DNS请求消息重定向至该信任服务器，即将原始请求消息中的目标IP地址与目标端口号修改为可信DNS服务器的服务IP地址与服务端口号、源IP地址修改为DNS代理模块所建TLS协议通道的本端IP地址来构造对应的第二解析请求消息，并通过与可信DNS服务器之间已建立的TLS安全通道发送至该服务器。

005、支持DNS Over TLS机制的可信DNS服务器收到第二DNS解析请求消息，查询得到域名解析结果数据，构造第二DNS解析应答消息并通过已建立的TLS协议通道回送。RAN设备中的DNS代理模块监听已建立的TLS协议通道，从中识别并接收来自可信DNS服务器的第二解析应答消息，得到其中的解析结果数据。在这里，通过TLS协议通道固有的机密性和完整性保护措施即可证明所成功接收的解析数据的真实性与完整性。进一步的，经过验证的解析数据除了直接反馈给UE外，还可缓存在RAN网络设备中，用于后续来自UE的DNS解析请求快速匹配，减轻DNS服务器的负担。

进一步的，在上述申请实施例的基础上，除了DNS Over TLS自带的安全验证外，还可以使用预先存储的验证信息对TLS协议通道中传输的第二解析应答消息进行验证，通过双重验证的方式进一步提高解析数据的完整性和真实性。

006、DNS代理模块将第二DNS解析应答消息匹配原始的DNS解析事务，并据此构造与原始的域名解析请求消息相匹配的原始解析应答消息。

007、DNS代理模块将第二DNS解析应答报文通过RAN网络设备固有的下行（指互联网至UE方向）传输承载通道发送给UE。至此，UE成功接收并获取真实的域名解析结果。

在一个示例性的实施方式中，图8是本申请实施例提供的一种域名解析方法的示例图，参见图8，基于DNS Over IPSec的域名解析保护机制，具体包括如下步骤：

001、RAN设备中的DNS代理模块读取配置的支持DNS Over IPSec保护机制的可信DNS服务器信息，并根据已配置的用于保护可信DNS服务器的安全网关身份的信任状参数，其中，信任状参数可以包括与所述安全网关之间实施认证所需的信任证书链 或预共享密钥等信息，并主动发起IPSec通道的建立协商过程。最终，成功建立安全的IPSec通道。该IPSec通道为预先建立的长连接通道，并在后续DNS解析流程中一直维持使用，避免了频繁删建通道对安全网关的性能冲击。

002、移动终端用户通过无线接入网成功接入互联网，作为DNS客户端，针对待访问应用服务的域名，发送原始DNS解析请求消息。

003、RAN设备中的DNS代理模块通过深度报文检测技术解析传输承载中封装的UE相关的IP报文，并识别和捕获UE所发送的原始DNS解析请求消息。识别的依据是DNS协议的知名传输层协议端口号53，其中，知名传输层协议包括TCP与UDP，或配置指定的端口取值。在识别和捕获UE发送的DNS请求报文后，DNS代理模块需要保存原始解析事务的上下文信息，即消息报文的源IP地址+目标IP地址+传输层协议类型+源端口号+目标端口号+事务标识字段所组成的六元组，用于标识一次域名解析事务。

004、DNS代理模块根据配置获取支持DNS Over IPSec保护机制的可信DNS服务器信息，将原始DNS请求消息重定向至该信任服务器，即将原始请求消息中的目标IP地址与目标端口号修改为可信DNS服务器的服务IP地址与服务端口号来构造对应的第二解析请求消息，并通过与可信DNS服务器之间已建立的IPSec通道封装发送至对端安全网关。DNS请求消息依赖IPSec通道固有的机密性和完整性保护机制来确保传输安全。

005、可信DNS服务器侧部署的安全网关从IPSec通道接收第二DNS解析请求报文，将其转发至可信DNS服务器。

006、可信DNS服务器收到第二DNS解析请求消息，经查询得到域名解析结果数据，构造第二DNS解析应答消息回送至安全网关。

007、安全网关将第二DNS解析应答消息通过已建立的IPSec通道转发给RAN网络设备。DNS应答消息依赖IPSec通道固有的机密性和完整性保护机制来确保传输安全。RAN设备中的DNS代理模块从IPSec通道接收来自安全网关的报文，并识别其中源于可信DNS服务器的第二解析应答消息，得到其中的解析结果数据。解析结果数据的真实性与完整性依赖IPSec通道固有的机密性和完整性保护机制来得到证明。进一步的，经过验证的解析数据除了直接反馈给UE外，还可缓存在RAN设备中，用于后续来自UE的DNS解析请求快速匹配，减轻DNS服务器的负担。

进一步的，在上述申请实施例的基础上，除了IPSec自带的安全验证机制外，还可以使用预先存储的验证信息对IPSec通道中传输的第二解析应答消息进行验证，通过双重验证的方式进一步提高解析数据的完整性和真实性。

008、DNS代理模块将第二DNS解析应答消息匹配原始的DNS解析事务，并据此构造与原始的域名解析请求消息相匹配的原始解析应答消息。

009、DNS代理模块将第二DNS解析应答报文通过RAN设备固有的下行（指互联网至UE方向）传输承载通道发送给UE。至此，UE成功接收并获取真实的域名解析结果。

图9是本申请实施例提供的一种域名解析装置的结构示意图，可执行本申请任意实施例所提供的域名代理解析方法，具体执行方法相应的功能模块和有益效果。该装置可以由软件和/或硬件实现，具体包括：信息解析模块501、解析记录模块502和信息反馈模块503。

信息解析模块501，用于获取数字蜂窝网络中终端的域名解析请求，并基于深度报文检测技术提取所述域名解析请求中的域名解析信息。

解析记录模块502，用于发送所述域名解析信息到可信域名系统DNS服务器，并接收所述可信DNS服务器反馈的解析记录。

信息反馈模块503，用于发送所述解析记录到所述终端。

本申请实施例，通过信息解析模块在数字蜂窝网络中获取域名解析请求，并基于深度报文检测技术提取域名解析请求中的域名解析信息，解析记录模块发送该域名解析信息到可信DNS服务器，接收可信DNS服务器反馈的解析记录，信息反馈模块发送解析记录到终端，实现终端域名解析请求的安全解析，提高无线通信网络的安全性。

进一步的，在上述申请实施例的基础上，所述装置中的所述可信DNS服务器位于互联网。

进一步的，在上述申请实施例的基础上，所述解析记录模块502包括：

第一传输单元，用于通过与所述可信DNS服务器预先建立的安全传输层TLS协议通道将所述域名解析信息发送到所述DNS服务器。

第一接收单元，用于监听所述TLS协议通道以获取所述DNS服务器反馈的解析记录。

进一步的，在上述申请实施例的基础上，所述解析记录模块502还包括：

第二传输单元，用于通过与所述可信DNS服务器的安全网关预先建立的互联网安全协议IPsec通道将所述域名解析信息发送到所述安全网关，以使所述安全网关转发所述域名解析信息到所述可信DNS服务器。

第二接收单元，用于监听所述IPsec通道以获取所述安全网关转发的解析记录，其中，所述解析记录由所述可信DNS服务器反馈。

进一步的，在上述申请实施例的基础上，所述信息反馈模块503包括：

验证单元，用于提取所述解析记录相关的验证信息，并使用预先存储的校验信息检验所述验证信息。

安全发送单元，用于若所述验证信息通过检验，则发送所述解析记录到所述终端。

异常处理单元，用于若所述验证信息未通过检验，则确定丢弃所述解析记录。

进一步的，在上述申请实施例的基础上，所述装置还包括：

上下文存储模块，用于存储所述域名解析请求中的事务上下文。

进一步的，在上述申请实施例的基础上，所述安全发送单元具体用于：基于所述事务上下文和所述解析记录生成匹配所述域名解析请求的域名解析应答；发送所述域名解析应答到所述终端。

图10是本申请实施例提供的一种电子设备的结构示意图，该电子设备包括处理器60、存储器61、输入装置62和输出装置63；电子设备中处理器60的数量可以是一个或多个，图10中以一个处理器60为例；电子设备中处理器60、存储器61、输入装置62和输出装置63可以通过总线或其他方式连接，图10中以通过总线连接为例。

存储器61作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本申请实施例中的域名代理解析装置对应的模块（信息解析模块501、解析记录模块502和信息反馈模块503）。处理器60通过运行存储在存储器61中的软件程序、指令以及模块，从而执行电子设备的各种功能应用以及数据处理，即实现上述的域名代理解析方法。

存储器61可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据电子设备的使用所创建的数据等。此外，存储器61可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储器61可进一步包括相对于处理器60远程设置的存储器，这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置62可用于接收输入的数字或字符信息，以及产生与电子设备的用户设置以及功能控制有关的键信号输入。输出装置63可包括显示屏等显示设备。

本申请实施例还提供一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行一种域名解析方法，该方法包括：

获取数字蜂窝网络中终端的域名解析请求，并基于深度报文检测技术提取所述域名解析请求中的域名解析信息；

发送所述域名解析信息到可信域名系统DNS服务器，并接收所述可信域名系统DNS服务器反馈的解析记录；

发送所述解析记录到所述终端。

通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本发明可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器（Read-Only Memory, ROM）、随机存取存储器（RandomAccess Memory, RAM）、闪存（FLASH）、硬盘或光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本申请各个实施例所述的方法。

值得注意的是，上述域名解析装置的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。

在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质（或非暂时性介质）和通信介质（或暂时性介质）。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息（诸如计算机可读指令、数据结构、程序模块或其他数据）的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘（DVD）或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

以上参照附图说明了本发明的优选实施例，并非因此局限本发明的权利范围。本领域技术人员不脱离本发明的范围和实质内所作的任何修改、等同替换和改进，均应在本发明的权利范围之内。