本技術涉及dns網絡，尤其涉及一種dns用戶識別系統和方法。

背景技術：

1、運營商網絡按使用場景包括物聯網絡、寬帶固網、專線等。其中專線會給企業(yè)用戶分配專有的公網ip地址，而其它三種網絡這不會給用戶分配專有公網ip，都是通過網絡地址轉換nat的方式進行互聯網訪問。在此大背景下會存在兩種情況，一種情況是采用靜態(tài)nat，該場景會導致多個用戶的出公網的ip是同一個；另有一種情況是運營商給用戶配置的是動態(tài)的nat，采用一個地址池進行nat上網，該場景導致用戶上網時ip地址是可以動態(tài)變化的。

2、隨著商用安全域名系統dns業(yè)務的興起，dns服務更多的希望只給注冊業(yè)務的用戶提供dns解析，并且給用戶提供個性化的服務。由于上述的兩種情況導致用戶不能被精確識別，并且dns請求可以被任意偽造，不能滿dns業(yè)務的需求。使得現有技術dns用戶識別準確性較差。

技術實現思路

1、本技術提供了一種dns用戶識別系統和方法，用以解決現有技術dns用戶識別的準確性較差的問題。

2、第一方面，本技術提供了一種dns用戶識別系統，所述系統包括：網關設備、dns服務器和認證服務器；

3、所述認證服務器，用于在用戶注冊時，生成所述用戶的認證標識信息和密鑰信息；將所述認證標識信息和所述密鑰信息分別發(fā)送至所述網關設備和所述dns服務器；

4、所述網關設備，用于向所述dns服務器發(fā)送dns請求，所述dns請求中攜帶所述用戶的認證標識信息對應的密文數據；其中，所述密文數據是根據所述密鑰信息對所述認證標識信息加密得到的；

5、所述dns服務器，用于獲取所述dns請求中攜帶的所述密文數據；根據所述密鑰信息對所述密文數據進行解密，若解密得到的認證標識信息與所述認證服務器發(fā)送給所述dns服務器的所述用戶的認證標識信息一致，確定所述用戶為dns用戶。

6、第二方面，本技術提供了一種dns用戶識別方法，應用于網關設備，所述方法包括：

7、向所述dns服務器發(fā)送dns請求，所述dns請求中攜帶用戶的認證標識信息對應的密文數據；其中，所述密文數據是根據密鑰信息對所述認證標識信息加密得到的；由所述dns服務器獲取所述dns請求中攜帶的所述密文數據；根據密鑰信息對所述密文數據進行解密，若解密得到的認證標識信息與認證服務器發(fā)送給所述dns服務器的所述用戶的認證標識信息一致，確定所述用戶為dns用戶；其中，由所述認證服務器在用戶注冊時，生成所述用戶的認證標識信息和密鑰信息；將所述認證標識信息和所述密鑰信息分別發(fā)送至所述網關設備和所述dns服務器。

8、第三方面，本技術提供了一種dns用戶識別方法，應用于dns服務器，所述方法包括：

9、接收網關設備發(fā)送的dns請求；所述dns請求中攜帶用戶的認證標識信息對應的密文數據；其中，所述密文數據是所述網關設備根據密鑰信息對所述認證標識信息加密得到的；

10、獲取所述dns請求中攜帶的所述密文數據；根據所述密鑰信息對所述密文數據進行解密，若解密得到的認證標識信息與所述認證服務器發(fā)送給所述dns服務器的所述用戶的認證標識信息一致，確定所述用戶為dns用戶；

11、其中，由所述認證服務器在用戶注冊時，生成所述用戶的認證標識信息和密鑰信息；將所述認證標識信息和所述密鑰信息分別發(fā)送至所述網關設備和所述dns服務器。

12、第四方面，本技術提供了一種dns用戶識別方法，應用于認證服務器，所述方法包括：

13、在用戶注冊時，生成用戶的認證標識信息和密鑰信息；將所述認證標識信息和所述密鑰信息分別發(fā)送至網關設備和dns服務器；

14、由所述網關設備向所述dns服務器發(fā)送dns請求，所述dns請求中攜帶所述用戶的認證標識信息對應的密文數據；其中，所述密文數據是根據所述密鑰信息對所述認證標識信息加密得到的；

15、由所述dns服務器獲取所述dns請求中攜帶的所述密文數據；根據所述密鑰信息對所述密文數據進行解密，若解密得到的認證標識信息與所述認證服務器發(fā)送給所述dns服務器的所述用戶的認證標識信息一致，確定所述用戶為dns用戶。

16、第五方面，本技術提供了一種dns用戶識別裝置，應用于網關設備，所述裝置包括：

17、加密模塊，用于根據認證服務器發(fā)送的用戶的密鑰信息，對所述認證服務器發(fā)送的所述用戶的認證標識信息加密得到密文數據；

18、第一發(fā)送模塊，用于向dns服務器發(fā)送dns請求，所述dns請求中攜帶用戶的認證標識信息對應的密文數據；

19、由所述dns服務器獲取所述dns請求中攜帶的所述密文數據；根據密鑰信息對所述密文數據進行解密，若解密得到的認證標識信息與認證服務器發(fā)送給所述dns服務器的所述用戶的認證標識信息一致，確定所述用戶為dns用戶；其中，由所述認證服務器在用戶注冊時，生成所述用戶的認證標識信息和密鑰信息；將所述認證標識信息和所述密鑰信息分別發(fā)送至所述網關設備和所述dns服務器。

20、第六方面，本技術提供了一種dns用戶識別裝置，應用于dns服務器，所述裝置包括：

21、接收模塊，用于接收網關設備發(fā)送的dns請求；所述dns請求中攜帶用戶的認證標識信息對應的密文數據；其中，所述密文數據是所述網關設備根據密鑰信息對所述認證標識信息加密得到的；

22、識別模塊，用于獲取所述dns請求中攜帶的所述密文數據；根據所述密鑰信息對所述密文數據進行解密，若解密得到的認證標識信息與所述認證服務器發(fā)送給所述dns服務器的所述用戶的認證標識信息一致，確定所述用戶為dns用戶；

23、其中，由所述認證服務器在用戶注冊時，生成所述用戶的認證標識信息和密鑰信息；將所述認證標識信息和所述密鑰信息分別發(fā)送至所述網關設備和所述dns服務器。

24、第七方面，本技術提供了一種dns用戶識別裝置，應用于認證服務器，所述裝置包括：

25、生成模塊，用于在用戶注冊時，生成用戶的認證標識信息和密鑰信息；

26、第二發(fā)送模塊，用于將所述認證標識信息和所述密鑰信息分別發(fā)送至網關設備和dns服務器；

27、由所述網關設備向所述dns服務器發(fā)送dns請求，所述dns請求中攜帶所述用戶的認證標識信息對應的密文數據；其中，所述密文數據是根據所述密鑰信息對所述認證標識信息加密得到的；

28、由所述dns服務器獲取所述dns請求中攜帶的所述密文數據；根據所述密鑰信息對所述密文數據進行解密，若解密得到的認證標識信息與所述認證服務器發(fā)送給所述dns服務器的所述用戶的認證標識信息一致，確定所述用戶為dns用戶。

29、第八方面，本技術提供了一種網關設備，包括處理器、通信接口、存儲器和通信總線，其中，處理器，通信接口，存儲器通過通信總線完成相互間的通信；

30、存儲器，用于存放計算機程序；

31、處理器，用于執(zhí)行存儲器上所存放的程序時，實現所述的應用于網關設備的dns用戶識別方法。

32、第九方面，本技術提供了一種dns服務器，包括處理器、通信接口、存儲器和通信總線，其中，處理器，通信接口，存儲器通過通信總線完成相互間的通信；

33、存儲器，用于存放計算機程序；

34、處理器，用于執(zhí)行存儲器上所存放的程序時，實現所述的應用于dns服務器的dns用戶識別方法。

35、第十方面，本技術提供了一種認證服務器，包括處理器、通信接口、存儲器和通信總線，其中，處理器，通信接口，存儲器通過通信總線完成相互間的通信；

36、存儲器，用于存放計算機程序；

37、處理器，用于執(zhí)行存儲器上所存放的程序時，實現所述的應用于認證服務器的dns用戶識別方法。

38、第十一方面，本技術提供了一種計算機可讀存儲介質，所述計算機可讀存儲介質內存儲有計算機程序，所述計算機程序被處理器執(zhí)行時實現所述的dns用戶識別方法。

39、第十二方面，本技術提供了一種計算機程序產品，所述計算機程序產品在被計算機調用時，使得所述計算機執(zhí)行所述的dns用戶識別方法。

40、上述的技術方案具有如下優(yōu)點或有益效果：

41、本技術中，在用戶注冊時，認證服務器生成用戶的認證標識信息和密鑰信息；將認證標識信息和密鑰信息分別發(fā)送至網關設備和dns服務器。網關設備向dns服務器發(fā)送dns請求時，采用認證服務器發(fā)送給網關設備的密鑰信息對認證標識信息進行加密，將得到的密文數據攜帶在dns請求中。dns服務器接收到dns請求之后，獲取dns請求中攜帶的密文數據；采用認證服務器發(fā)送給dns服務器的密鑰信息對密文數據進行解密，得到認證標識信息。進而，dns服務器對解密得到的認證標識信息與認證服務器發(fā)送給dns服務器的用戶的認證標識信息進行一致性判斷。若一致，則說明該用戶是向認證服務器注冊的用戶，此時確定用戶為dns用戶。本技術在用戶認證時生成認證標識信息和密鑰信息，在dns請求中攜帶采用密鑰信息對認證標識信息進行加密得到的密文數據，之后dns服務器解密得到認證標識信息，最后通過與認證服務器發(fā)送給dns服務器的用戶的認證標識信息進行一致性判斷，得到dns用戶識別結果。相較于現有技術通過靜態(tài)nat或動態(tài)nat進行用戶識別的方式，提高了dns用戶識別的準確性。