点击一键订阅《云荐大咖》栏目,获取官方推荐优质内容,学技术不迷路!从单一的域名解析产品到日均解析量超过1.6万亿次的庞然大物,DNSpod经历了海量的升级迭代、创新与试错,而国米DoH就是其最新的秘诀。在这篇文章中,DNSpod的创始人吴鸿升将亲自讲述那些DNS相关的产品和服务是如何被时代选中的。大家好,我是吴鸿升。2005年做了一个DNS相关的小产品DNSPod。当时做这样一款产品的背景非常简单。那还是一个“南电北联(网通)”的时代。是“电信1”、“电信2”、“网通1”、“网通2”的密集网络。运营商互相设置门槛,互访速度下降的结果是用户买单。而DNSPod非常优雅的解决了这个问题,自动将用户导流到对应的服务器上。也正是因为这个方法,让很多朋友认识了DNSPod,认识了我。对于很多人来说,甚至是DNSPod的长期用户,对DNSPod的印象还处于最早的阶段。事实上,今天的DNSPod已经不再是单一的域名解析产品,它已经悄然成长为一个日均解析量超过1.6万亿次的庞然大物。在此期间,我们的技术方案经历了数次重大的升级迭代,包括对底层分析技术的长期细致分析,不断创新和试错,形成了基于F-Stack/DPDK基础框架服务器架构不断探索性能极限,力求为用户提供高速稳定的分析体验。除了技术硬实力的突飞猛进之外,我一直在思考探索更多未被满足的DNS使用需求。所以这几年除了对知名权威包进行全面升级外,我们还推出了移动解析(HTTPDNS)、内网解析(PrivateDNS)、公共解析(PublicDNS)、智能流量调度(IGTM)),DoT、DoH等一系列DNS相关产品和服务,经过数年的底层模块灰度和打磨,完成了完整的全链路DNS解决方案的构建。新DNSPod的威力,国密DoH全新DNSPod有哪些优势?今天主要跟大家分享一下我们的国家机密DoH。DoH的全称是DNSoverHTTPs,即使用HTTPs传输DNS协议。DoH的安全原理与DoT相同,使用TLS协议传输DNS协议。TLS协议是目前互联网上最常用的安全加密协议之一。我们访问HTTPs的安全基础是基于TLS协议。相对于之前UDP模式的无连接、无加密,TLS本身就做到了保密性和完整性。那么TLS协议本身是如何实现完整性和保密性的呢?TLS协议的基本思想是证书+加密机制,双管齐下保证安全。该证书相当于申请一张合法的身份证。当客户端向服务器发起连接时,双方将验证对方的身份,服务器将证书交给客户端,客户端验证证书的内容和合法性。握手协议使用公钥加密:首先,客户端会向服务器请求并验证公钥。验证通过后,双方将协商生成一个“对话密钥”,类似于两人独有的莫尔斯电码。之后,双方将使用会话密钥进行加密通信。通俗的理解是:你想给你的笔友写一封信,握手协议就是你和你的笔友协商的一套加密通信方式,证书是为了保证收到你发的信的人是你的笔友本人。DoT在专用端口上通过TLS连接到DNS服务器,而DoH是基于使用HTTP应用层协议在HTTPS端口上向特定HTTP端点发送查询。这里外界的感知是端口号的不同。DoT的端口号是853,DoH的端口号是443。但是由于增加了握手过程和数据的加密步骤,前面协商造成的时间损失必然导致传输速度变慢的问题。但!通过我们团队的努力,通过客户端的改造优化,采用本地缓存、提前预取、连接复用等技术方案,积极优化了整体流程,延迟效果与原来的DNS协议已经实现。其实这只是DNSPod硬实力的一个小例子,我们并没有就此止步。开发国密产品是时代的需要。作为网络安全行业的从业者,密码算法是保障信息安全的核心技术。但我国很多核心领域长期采用国际通行的3DES等密码算法体系。密码技术可以直接作用于数据。它是数据保护的核心手段,是保障信息产业生态安全和正常运行的重要基础。它在计算机和网络系统中起着不可替代的安全作用。推广国产密码技术,应用商用密码算法,是建设我国网络空间安全基础设施的必要措施之一。基于以上原因,开发国密产品不仅是企业需要,也是时代需要。因此,我们将SM2适配到通信报文中的密钥协商部分。在节点握手过程中,使用了SM2密码组件和SM2数字证书,因此DNSPodDoH转化为SM2DoH。base和SM2加密算法的tls过程分为以下几个步骤:握手请求阶段:客户端向服务器发送hello消息,请求服务器证书;服务器端认证阶段:服务器向客户端发送服务器端证书;客户端认证阶段:客户端验证服务器证书的有效性,并发起密钥交换过程;完成握手阶段:密钥交换完成,后续数据传输根据协商好的密钥进行加密。可以看出,与传统的TLS握手过程有一个主要区别:在服务端认证阶段,服务端使用的是SM2证书,其中包含SM2公钥。在客户端认证阶段,密钥交换消息包含预主密钥,预主密钥使用服务器端SM2公钥加密。在客户端认证阶段,客户端收到客户端证书请求,首先向服务器发送客户端SM2证书,发送密钥交换报文后,还发送客户端SM2证书签名;服务器使用收到的客户端SM2证书签名验证客户端。发送客户端SM2证书签名时,将服务器端SM2证书中的公钥计算出的哈希值添加到签名原文中。DNSPod国密DoH是国内首款支持国产密码算法的DoH产品。事实上,这样的产品需要投入巨大的人力和精力,但很难在短时间内实现商业回报。在我看来,DNSPod作为中国领先的DNS服务商,推出了中国人自己的网络加密技术产品,保护了中国人自己的机密信息、隐私和安全,填补了我国国产的技术和产品空白。独立可控的安全产品。留白,某种程度上,这是一种作为先行者的使命感。也希望未来能有更多的企业和开发者投身于国密领域,共同打造这条产业链。《云荐大咖》是腾讯云家社区的优质内容栏目。云推荐官特邀行业领袖,聚焦前沿技术落地与理论实践,持续为您解读云时代热点技术,探索行业发展新机遇。点击一键订阅,我们会定期为您推送优质内容。
