[发明专利]域名劫持的防御保障方法

权利要求书

1.一种域名劫持的防御保障方法，其特征在于，在http请求过程中进行防范，在下述Q3、Q4步骤中增加校验机制，其具体为：

Q1：客户请求端通过浏览器输入服务器端的URL，并通过客户请求端的LOCAL DNS获取到服务器端的IP地址；

Q2：客户请求端在获取到服务器端的IP地址以后，尝试向服务器端IP发起TCP三次握手并建立连接；

Q3：连接建立起来以后，客户请求端向服务器端发起GET/POST请求；

Q4：服务器端接收到客户请求端的GET/POST请求以后，与客户请求端开始交互数据，并校验是否有域名劫持现象，如有劫持现象将做丢弃和、或重试处理；

Q5：传输完毕后断开连接；

其中，

Q3步骤具体为：

客户请求端向服务器端发送GET/POST等请求，并携带一个全局唯一的认证字符串，客户请求端将请求和认证字符串一并发送给服务器端；

所述认证字符串由客户请求端和服务器端共同协商，其属性为一个特殊的header字段或字符串；每个字符串均由十六进制的时间戳和32位随机字符串组成，通过MD5算法计算得出；使得任何两个认证字符串之间都是不同的；

Q4步骤具体为：

服务器端与客户请求端开始交互数据，服务器端接收到认证字符串后，将该认证字符串增加到响应header中、并返回给客户请求端；客户请求端在得到认证字符串的字段值以后，和请求发起时的认证字符串的字段值进行比较，如果一致，则为合法，如果不一致，则为非法。

2.根据权利要求1所述的一种域名劫持的防御保障方法，其特征在于，根据本发明技术方案发现劫持的请求，有如下几种处理措施：

仅记录Q5步骤中反应的劫持监测的结果，用来统计劫持发生的概率和影响范围；

对Q4步骤中发现劫持的响应做进一步的丢弃和、或重试处理，尝试获取正确的响应，提高可用性。

3.根据权利要求1所述的一种域名劫持的防御保障方法，其特征在于，还提供上述技术方案在Q3、Q4步骤时的加解密方法，步骤如下：

Q11：在Q3步骤客户请求端在发起请求时，在CDN内部传输的各节点之间，将URL、请求头信息以加密算法进行加密，加密后URL、请求头信息表现为一串无序的字符串；

Q12：客户请求端将加密后的请求信息发送给服务器端；

Q13：在Q4步骤中，服务器端在接收到请求后，先按照和客户请求端约定好的方式来解密这些字符串，得到原始的请求信息，然后根据自身策略处理请求；在没有相应解密算法的情况下，无法获取信息的正确内容；

Q14：在处理完成后，将响应头信息以同样的加密算法来加密后，将加密信息返回给客户请求端；

Q15：客户请求端在接收到响应内容后，通过约定好的解密算法，将响应头解密并进行后续的处理。