自適應(yīng)名字解析的制作方法
【專利摘要】本發(fā)明為自適應(yīng)名字解析。一種方法����、系統(tǒng)、和包括指令的計算機可讀存儲器包括:接收DNS請求�����,該請求包含與用戶特有信息�����、設(shè)備特有信息��、和/或認證信息相關(guān)的信息�;分析該信息����;基于分析狀態(tài)確定要采取的合適的動作����;以及采取合適的動作。動作可包括:用個性化網(wǎng)絡(luò)層地址或服務(wù)定位地址響應(yīng)�;延遲發(fā)送響應(yīng)消息;發(fā)送對應(yīng)于包含認證信息的站點的網(wǎng)絡(luò)層地址或服務(wù)定位地址��;以及發(fā)送具有網(wǎng)絡(luò)層地址或服務(wù)定位地址的響應(yīng)�����,網(wǎng)絡(luò)層地址或服務(wù)定位地址具有被配置成模擬與所請求的資源相關(guān)的網(wǎng)站的網(wǎng)址����。
【專利說明】自適應(yīng)名字解析
[0001]相關(guān)申請交叉引用
[0002]本申請為2011年10月3日提交的�、序號為13/251,607的美國專利申請的部分繼續(xù)申請����,其公開通過引用全部合并入本文中。
【技術(shù)領(lǐng)域】
[0003]本公開一般地涉及域名服務(wù)(DNS)解析��。具體來說,本公開涉及用于對DNS請求的自適應(yīng)DNS解析并提供自適應(yīng)和相關(guān)響應(yīng)的方法和系統(tǒng)�����。
【背景技術(shù)】
[0004]DNS系統(tǒng)利用層次化結(jié)構(gòu)以響應(yīng)于DNS查詢而將完全限定域名關(guān)聯(lián)至特定IP地址����。例如,如果用戶在其計算機的互聯(lián)網(wǎng)瀏覽器上訪問網(wǎng)站W(wǎng)WW.example, com,通常,計算機上的樁解析器將:(1)首先檢查自身的DNS緩存是否有合適的響應(yīng)�;(2)如果在緩存中不可獲得,則查詢遞歸名字服務(wù)器或可能地用相同信息從根DNS服務(wù)器向下查詢委托圖的每一等級�����,期望回復(fù)��。如果所查詢的系統(tǒng)具有該信息或?qū)υ摐蚀_問題是權(quán)威的��,則提供響應(yīng)或錯誤����。如果它不具有信息但知道誰是,則其提供委托/指引給應(yīng)當(dāng)具有更準確信息的子級�。為運用更大的緩存機制,DNS解析器(遞歸名字服務(wù)器)可在步驟⑴和(2)之間被使用����。因為DNS解析器服務(wù)多個用戶���,其通常含有更大緩存,有助于降低根服務(wù)器和登記服務(wù)器上的負載并經(jīng)常最小化用戶的響應(yīng)時間��,因為其通常在拓撲上更接近于客戶端����。DNS解析器還可作為遞歸名字服務(wù)器,處理不同名字服務(wù)器之間的多個事務(wù)和跟隨的委托/指引鏈以解析考慮中的資源的最終IP地址�����,簡單地將最終應(yīng)答傳送回用戶計算機�����。DNS解析器可以最終在其響應(yīng)中提供網(wǎng)絡(luò)層標識符或服務(wù)定位id����,其在一些實例中可以是相同的����。
[0005]一些DNS服務(wù)器支持基于初始查詢機的源IP地址的對DNS查詢的基本過濾��。例如�����,一些服務(wù)器可將源IP地址與IP地址白名單或黑名單相比較并因此允許或不允許該IP地址��。其它服務(wù)器可使用源IP地址來接近查詢源機的定位(地理定位)����,并使用該定位信息通過返回被認為比另一資源服務(wù)器更接近的資源服務(wù)器的IP地址來定制該響應(yīng)�����。在所有這些情況中���,總體而言���,一旦響應(yīng)被允許,DNS響應(yīng)就返回將提供對資源服務(wù)器的訪問的機器的IP地址(或網(wǎng)絡(luò)層標識符或服務(wù)定位id)�����。該IP地址、網(wǎng)絡(luò)層標識符和服務(wù)定位id被解析�����,而與最終使用該資源的用戶許可的狀態(tài)無關(guān)���。
[0006]例如����,假設(shè)用戶訪問其上具有定制門戶的網(wǎng)站�,如mypage.example, com。如果用戶不具有關(guān)于mypage.example, com的有效賬戶�,則允許用戶訪問站點可能是完全沒必要的,并且通過該資源的網(wǎng)絡(luò)層標識符和定位符的公開造成潛在安全風(fēng)險����。即使用戶不具有關(guān)于mypage.example, com的賬戶,仍必須對用戶采用一些機制以被網(wǎng)站標識和認證�����。
[0007]存在各種手段來認證請求資源的用戶�����。在典型情形中��,用戶可具有網(wǎng)站上的登錄憑證����,或與這些憑證的先前交換關(guān)聯(lián)的cookie。曾經(jīng)被驗證的該登錄憑證認證該用戶�����,以允許對僅會員或特定用戶資源的訪問���。例如���,訪問銀行網(wǎng)站的用戶可登錄以查看與用戶的賬戶關(guān)聯(lián)的信息。
[0008]這個類型的認證的一個問題在于:直到該用戶被認證或標識��,該資源解析過程通常以對每個用戶相同的方式進行�。可在該資源服務(wù)器上采用高級聯(lián)網(wǎng)機制��,以在認證前過濾不同類型的請求�����,諸如基于用戶的IP地址地理定位轉(zhuǎn)移網(wǎng)絡(luò)流量,例如�����,歐洲的用戶可被轉(zhuǎn)移至在歐洲建立的服務(wù)器����。
[0009]單獨地,由于幾個原因�����,這些技術(shù)是有問題的�。這些技術(shù)的一個問題是:在每個實例中,資源IP地址(或網(wǎng)絡(luò)層標識符和服務(wù)定位標識符)被暴露�。這是不合乎希望的,因為解析的IP地址(或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)的該公開的屬性把資源暴露給分布式拒絕服務(wù)(DDoS)攻擊���,與該IP地址關(guān)聯(lián)的系統(tǒng)的軟件的安全弱點探查�����,或獲得對用戶賬戶或通常在該IP地址(或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)處訪問的其它資源的未授權(quán)訪問或控制的嘗試���。這種情況類似于���,在接收到前門上的敲擊之后,將門僅打開一縫隙看誰在外面�����。如果外面的人是惡意的��,一旦你打開門�����,這個人可能能夠進來����。在打開門之前證實誰站在外面���、或可能首先不公開你的家庭地址以及那里什么些資源可以是可用的將更加安全����。
[0010]希望一種方法和系統(tǒng)���,其可在返回IP地址(或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)之前執(zhí)行自適應(yīng)的(包括但不限于)對DNS請求者的認證響應(yīng)����,以部分地確保在打開門或公開地址之前請求者具有對最終資源訪問的授權(quán)。后面的公開解決了這些問題并向名字解析過程提供增加的便利性和功能�。例如,如下面所描述的��,該預(yù)認證系統(tǒng)使管理員基于請求者的認證狀態(tài)在DNS等級規(guī)定專門的行為�。
【發(fā)明內(nèi)容】
[0011]一種方法,系統(tǒng)�����,和包含指令的計算機可讀存儲器�,包括:接收包含信息的DNS請求,該信息包括但不限于驗證信息和與發(fā)起DNS請求的用戶和/或用戶設(shè)備的操作環(huán)境相關(guān)的信息��;驗證該信息����;基于該驗證狀態(tài)確定要采取的合適的動作;以及采取合適的動作���。與用戶的操作環(huán)境相關(guān)的信息可包括但不限于��,空間的(即用戶的定位)����、時間的(即作出DNS請求的日時或星期時)、用戶的安全等級或訪問許可等級�����,或其組合�����。與用戶設(shè)備的操作環(huán)境相關(guān)的信息可包括但不限于����,設(shè)備的類型���、硬件配置����、軟件配置���、設(shè)備的平臺類型�����、無線連通性信息(即無線信號的強度)�����,空間的(即設(shè)備的定位)���,及其組合�。動作可包括:用個性化網(wǎng)絡(luò)層標識符或服務(wù)定位標識符(諸如IPv4或IPv6網(wǎng)絡(luò)層地址)響應(yīng)�����、延遲發(fā)送響應(yīng)消息����、發(fā)送對應(yīng)于包含驗證信息的站點的IP地址(或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)、以及發(fā)送具有對應(yīng)于被配置成模擬與所請求的資源相關(guān)的網(wǎng)站的網(wǎng)址的IP地址(或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)的響應(yīng)����。在實施方式中,基于與用戶和/或用戶設(shè)備的操作環(huán)境相關(guān)的信息���,該動作可為依賴性的和/或定制的�����。
[0012]在實施例中���,該信息通過起源DNS解析請求的設(shè)備以外的設(shè)備增加至DNS解析請求���。在一些實施例中,該信息包括驗證信息���,例如以下一個或多個:源IP地址�、用戶名/密碼組合���、加密數(shù)據(jù)包、和硬件標識信息�����。
[0013]在一些實施例中�����,該信息接受自資源服務(wù)器并且該信息在自適應(yīng)DNS服務(wù)器中被更新�。在一些實施例中,個性化網(wǎng)絡(luò)層標識符或服務(wù)定位標識符可對應(yīng)于一次使用標識符或通常專用于特定用戶的標識符����。
[0014]在一些實施例中���,其中標識信息確定該請求者先前已被拒絕對資源服務(wù)器IP地址,網(wǎng)絡(luò)層標識符或服務(wù)定位標識符訪問�����,并且接收延遲的響應(yīng)��,后續(xù)的DNS請求在處理之前接收越來越長的延遲��。在一些實施例中���,該認證的用戶被分類到類中��,并取決于該類接收對資源服務(wù)器的優(yōu)先訪問�����。
[0015]在一些實施例中��,社區(qū)授權(quán)信任可發(fā)布認證證書��,認證證書確認請求域名的名字解析的用戶的身份�����。用戶可使用認證證書來作出名字解析請求����。一旦被驗證,該認證證書就可由自適應(yīng)DNS服務(wù)器使用以確定響應(yīng)于請求提供的IP地址(或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)��。
[0016]在一些實施例中����,DNS請求和標識信息可連同DNS響應(yīng)或采取的其它動作一起被記錄??蔀榱苏埱蠛晚憫?yīng)中的統(tǒng)計數(shù)據(jù)趨勢來分析這些記錄。該記錄還可被分析以確定各種源IP地址中的安全趨勢�����,例如���,用于標識應(yīng)列入黑名單的IP地址或用戶。
[0017]在一些實施例中�,認證信息的驗證結(jié)果可用于創(chuàng)建計費信息,使服務(wù)運營商能夠針對特定類型的響應(yīng)對客戶端記費。
[0018]在實施方式中�����,公開了用于認證DNS請求的系統(tǒng)���。該系統(tǒng)可包括:社區(qū)授權(quán)信任��;認證DNS服務(wù)器�,包括處理器和計算機可讀存儲器����。該計算機可讀存儲器包含指令,當(dāng)在處理器上執(zhí)行時�����,該指令執(zhí)行一種方法�,方法包括:在認證服務(wù)器接收來自用戶的DNS解析請求,其中該請求包括要解析的域名和認證證書����,其中該認證證書響應(yīng)于用戶的標識認證請求而由社區(qū)授權(quán)信任發(fā)布;在認證服務(wù)器上驗證該認證證書��;基于對認證證書的驗證,由認證服務(wù)器確定網(wǎng)絡(luò)層地址或服務(wù)定位地址��;以及發(fā)送該網(wǎng)絡(luò)層地址或服務(wù)定位地址至用戶�。
[0019]在實施方式中,該認證證書指示對一組用戶的認證��。DNS解析請求還可包括社區(qū)授權(quán)信任的證書授權(quán)憑證��。該認證證書可包含對應(yīng)于DNS解析請求的許可數(shù)據(jù)����。
[0020]在實施方式中,DNS動作可包括:基于該許可數(shù)據(jù)確定對應(yīng)于DNS解析請求的網(wǎng)絡(luò)層地址或服務(wù)定位地址����;以及發(fā)送信號至資源服務(wù)器,其中該信號使該資源服務(wù)器提供網(wǎng)絡(luò)層地址或服務(wù)定位地址���。
[0021]在實施方式中���,該硬件標識信息可包括設(shè)備相關(guān)數(shù)據(jù)����,包括但不限于����,設(shè)備軟件和應(yīng)用信息����,諸如OS,補丁版本���,用戶代理等���,可被捕獲并提供至自適應(yīng)服務(wù)器。該設(shè)備相關(guān)數(shù)據(jù)可由自適應(yīng)服務(wù)器或另一設(shè)備(諸如與自適應(yīng)服務(wù)器通信的安全服務(wù)器)分析以為用戶和/或設(shè)備提供增強的安全控制���。
[0022]要理解前面的總體描述和后面的詳細描述兩者都僅僅是示例性和解釋性的�,并且不限制本申請��,如要求的那樣�����。
[0023]被合并在本說明書中并構(gòu)成本說明書一部分的附圖圖示了本申請的實施例并且與描述一起用于以解釋本申請的原理�����。
【專利附圖】
【附圖說明】
[0024]圖1圖示了展示可用于實施自適應(yīng)解析平臺的組件的示例性體系結(jié)構(gòu);
[0025]圖2圖示了接收DNS請求���,分析DNS請求��,并返回響應(yīng)的示例性過程�;
[0026]圖3圖示了驗證DNS請求中提供的信息的示例性過程��;
[0027]圖4圖示了基于認證信息分類用戶的示例性過程�;
[0028]圖5圖示了在基于用戶認證的DNS響應(yīng)中使用IPv6地址的示例性過程;
[0029]圖6圖示了基于丟失的���,非期望的�����,或無效的認證信息來提供安全響應(yīng)的示例性過程�;
[0030]圖7圖示了展示可用于實施包括社區(qū)信任授權(quán)的自適應(yīng)解析平臺的組件的示例性體系結(jié)構(gòu)����;并且
[0031]圖8圖示了使用從社區(qū)信任授權(quán)獲取的認證證書來請求認證名字解析的示例性過程。
【具體實施方式】
[0032]現(xiàn)將詳細地參考示例性實施例�����。在任何可能的情況下�,在所有附圖中,相同的參考數(shù)字將用于指代相同或相似的部件�����。
[0033]圖1圖示了展示可用于實施自適應(yīng)解析平臺的組件的示例性體系結(jié)構(gòu)(100)����。用戶計算機(105)可發(fā)起DNS請求。該請求可由于以下原因而被發(fā)送:用戶訪問網(wǎng)站�,運行于用戶計算機上的程序發(fā)起在線事務(wù),或用戶計算機將具有把完全限定域名(諸如WWW.example, com)翻譯成其對應(yīng)的IP地址的需要的任何其它可能原因�。為啟動該請求,用戶計算機(105)通過來自根服務(wù)器(110)的指引響應(yīng)檢索針對頂級域(TLD)(例如“com”)的名字服務(wù)器信息�����。根服務(wù)器(110)以針對TLD(115)的名字服務(wù)器返回該響應(yīng)����。用戶計算機(105)接下來查詢針對TLD(115)的名字服務(wù)器中是否有針對該域(例如,“example”)的完全限定域名信息��,并再次接收到第二級域權(quán)威名字服務(wù)器的指引����。該權(quán)威名字服務(wù)器為自適應(yīng)名字服務(wù)器(120)����。在該示例中�,自適應(yīng)名字服務(wù)器權(quán)威應(yīng)答“www.example, com”完全限定域名并將其解析為相應(yīng)的網(wǎng)絡(luò)層地址或服務(wù)定位地址。
[0034]自適應(yīng)名字服務(wù)器(120)可訪問局部化緩存系統(tǒng)(125)��,以把從用戶計算機(105)接收的認證信息和從資源認證接口(135)接收的認證信息兩者都存儲于數(shù)據(jù)存儲(130)中����。自適應(yīng)名字服務(wù)器(120)與資源自適應(yīng)接口(135)對接以把憑證(如認證憑證)從用戶計算機(105)傳送到資源自適應(yīng)接口(135)并接收具有關(guān)于用戶狀態(tài)(如認證狀態(tài))的信息的響應(yīng)。
[0035]資源自適應(yīng)接口(135)還可與資源服務(wù)器(140)對接�����。例如�,網(wǎng)址http://www.example, com的資源服務(wù)器將是被配置成以一個或多個IP地址響應(yīng)于對www.example, com的http請求的服務(wù)器。如果用戶計算機(105)被認證�����,則自適應(yīng)DNS服務(wù)器(120)可返回資源服務(wù)器(140)的IP地址(或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)至用戶計算機(105)����。然后����,用戶計算機可通過給定的IP地址訪問資源服務(wù)器���。
[0036]本領(lǐng)域技術(shù)人員將意識到圖1的體系結(jié)構(gòu)僅僅是示例性的?�?珊喜⑵渌?lián)網(wǎng)設(shè)備以管理流量�。具體來說,本領(lǐng)域技術(shù)人員認識到�����,防火墻����、負載均衡器、附加的鏡像服務(wù)器(名字服務(wù)器���,資源服務(wù)器���,自適應(yīng)接口,和認證接口)、以及特定名字服務(wù)器緩存可被合并到該網(wǎng)絡(luò)設(shè)計和體系結(jié)構(gòu)中��。另外�,本領(lǐng)域技術(shù)人員將認識到,附加的層次化DNS服務(wù)器可被查詢�,例如secure, www.example, com,以及接口和服務(wù)器可被組合而在一個物理機上。例如���,資源自適應(yīng)接口(135)可在物理上和程序上布置在與資源服務(wù)器(140)相同的一個或多個機器上���。
[0037]進一步,盡管互聯(lián)網(wǎng)上的DNS服務(wù)器傳統(tǒng)上操作為返回IP地址����,但是該功能可在專用網(wǎng)絡(luò)的更高IP層被局部化。例如返回網(wǎng)絡(luò)層標識符和服務(wù)定位標識符的DNS服務(wù)器實質(zhì)上可返回對應(yīng)于機器的IP地址�。然而,DNS服務(wù)器還可理解為根據(jù)統(tǒng)一資源標識符(URI)返回網(wǎng)絡(luò)層標識符和服務(wù)定位標識符���,從而標識特定層和服務(wù)定位����。本領(lǐng)域普通技術(shù)人員將意識到��,本公開中對僅返回IP地址的任何提及應(yīng)當(dāng)理解為替代地和附加地包括在網(wǎng)絡(luò)層標識符或服務(wù)定位標識符之間進行區(qū)分的可能性。
[0038]自適應(yīng)DNS服務(wù)器(120)可與安全策略引擎(未示出)在網(wǎng)絡(luò)外部或內(nèi)部對接�。該安全策略引擎可以通知在自適應(yīng)DNS服務(wù)器(120)或被設(shè)計成使用安全策略的任何其它聯(lián)網(wǎng)設(shè)備處的自適應(yīng)解析功能。以下結(jié)合圖7描述示例性體系結(jié)構(gòu)����,其圖示了如基于社區(qū)的策略信任這樣的安全策略引擎的使用。
[0039]回到自適應(yīng)DNS服務(wù)器(120)����,可用軟件把自適應(yīng)DNS服務(wù)器(120)實施成一個或多個計算系統(tǒng)上的軟件模塊或程序���。例如���,自適應(yīng)DNS服務(wù)器(120)的功能可包括一個或多個應(yīng)用,該應(yīng)用可包括計算機可讀指令的一個或多個計算機單元��,當(dāng)由執(zhí)行處理器時�����,該計算機單元引起一個或多個計算機執(zhí)行方法步驟�。具體來說,圖1中的示例性體系結(jié)構(gòu)可支持程序代碼在一個或多個計算機上的執(zhí)行以完成全部方法��。計算機可讀指令可存儲于計算機可讀介質(zhì)上,諸如存儲器或磁盤����。這樣的介質(zhì)通常提供非暫態(tài)存儲。圖1中描繪的組件的一個或多個組件可以是硬件組件或硬件與軟件的組合諸如����,例如專用計算機或通用計算機。計算機或計算機系統(tǒng)還可包括內(nèi)部或外部數(shù)據(jù)庫�。該數(shù)據(jù)庫可包括一個或多個個體數(shù)據(jù)庫或配置成一起動作的數(shù)據(jù)庫。數(shù)據(jù)庫可實施于商業(yè)��,開源�����,或?qū)S袛?shù)據(jù)庫程序中或可包含于記錄文件����,平面文件,或其它任何數(shù)據(jù)存儲機制中�。此外,計算機或計算機系統(tǒng)的組件可通過局部總線接口或經(jīng)由局域網(wǎng)或廣域網(wǎng)連接�����。圖1中描繪的組件經(jīng)由網(wǎng)絡(luò)(未示出,諸如互聯(lián)網(wǎng)���,企業(yè)內(nèi)部網(wǎng)��,或任何類型的有線或無線通信系統(tǒng))操作地相互連接��。連接可通過直接通信鏈路���,局域網(wǎng)(LAN),廣域網(wǎng)(WAN)和/或其它合適的連接實施���。
[0040]在實施方式中�����,自適應(yīng)DNS服務(wù)器(120)能夠可操作成執(zhí)行各種功能,包括但不限于認證操作���。自適應(yīng)DNS服務(wù)(120)還能夠可操作成充當(dāng)關(guān)聯(lián)點����,用于把來自請求及其請求者的信息與負責(zé)請求者屬性所特有的請求的信息關(guān)聯(lián)��。通過非限制示例的方式,當(dāng)DNS請求被發(fā)送至自適應(yīng)DNS服務(wù)器(120)時���,其它信息也可被發(fā)送以用于適配或定制該響應(yīng)��。如上所討論的����,附加信息可包括與用戶或用戶的設(shè)備操作環(huán)境相關(guān)的信息���。自適應(yīng)DNS服務(wù)器(120)可收集該附加信息并至少部分地基于這個所收集的信息響應(yīng)該用戶���。這個附加信息還可與可用于控制何時,何地�,以及如何提供請求給用戶的多因素認證協(xié)議合并。由自適應(yīng)DNS服務(wù)器(120)收集的信息還可與附加的安全協(xié)議一起使用以創(chuàng)建用戶流量記錄���,該記錄可用于跟蹤或確定潛在安全風(fēng)險或反常行為��。
[0041]圖2圖示了接收DNS請求���、分析DNS請求的示例性過程(200),其可包括但不限于認證DNS請求并返回響應(yīng)�����。在步驟210中,自適應(yīng)DNS服務(wù)器(120)接收針對域名的域名解析請求���。如上所討論的��,自適應(yīng)DNS服務(wù)器(120)權(quán)威響應(yīng)于該域名���。自適應(yīng)DNS服務(wù)器(120)在步驟220中檢查DNS請求并確定該請求要求認證。具體來說���,自適應(yīng)DNS服務(wù)器(120)可為多用DNS服務(wù)器�,作為自適應(yīng)DNS服務(wù)器和常規(guī)權(quán)威服務(wù)器兩者��。因此�,確定DNS請求要求認證允許繼續(xù)認證該請求的余下步驟���。如果����,在通常操作中����,DNS請求不要求認證�����,則常規(guī)DNS響應(yīng)技術(shù)將開始�。附加地或替代地���,自適應(yīng)DNS服務(wù)器(120)可用其它信息響應(yīng)DNS請求����,該信息可基于以下因素(包括但不限于):用戶����、以及因此的設(shè)備定位、設(shè)備的硬件���、軟件��、和平臺特性�����、及其它相關(guān)信息針對具體用戶環(huán)境被個性化�。
[0042]在步驟230中,過程可考慮DNS請求是否包含認證信息����。如果其包含,則過程在步驟240中可考慮該認證信息是否匹配期望的格式和認證信息的類型��。如果該認證為合適的格式和類型�,則過程在步驟250中將考慮認證信息是否有效。如果在先前任一步驟中�����,DNS請求不包含認證信息��,而是其以錯誤的信息格式或類型存在���,或如果該認證過程無效����,則合適的安全動作或響應(yīng)可在步驟270中確定���。該安全動作或響應(yīng)步驟將在下文更詳細地討論。本領(lǐng)域技術(shù)人員將意識到的是���,具體來說�����,步驟230和240為可選的和可互換的���,并被呈現(xiàn)成展示在驗證過程中將它們呈現(xiàn)以被認證之前剔除DNS請求的手段��。還可施加其它流量管理技術(shù)�,諸如白名單/黑名單技術(shù)和根據(jù)已知或待發(fā)現(xiàn)的流量管理技術(shù)的其它這樣的流量管理技術(shù)����。
[0043]如果DNS請求被認證,該認證用戶或請求者可被分類到用戶的特定類中����,如在步驟260中那樣。以下將更多討論分類��。如圖2中所述�,步驟260也是可選的。在步驟270中,對DNS請求的響應(yīng)被返回至用戶計算機(105)����。如果任何測試失敗,導(dǎo)致未驗證的請求��,則如在步驟280中那樣確定安全動作和響應(yīng)���。
[0044]圖3圖示了對應(yīng)于示例性步驟250中的分析(包括驗證)信息的示例性過程(300),該信息包括在DNS請求中供應(yīng)的用戶特有的����,設(shè)備特有的,和/或認證信息����。在步驟310中檢查該認證信息。檢查認證緩存(125)以根據(jù)步驟320中實施的緩存準則來確定用戶是否最近已被認證����。如果是,則在步驟350中該認證緩存可把用戶驗證為已認證的��。如果否��,則自適應(yīng)DNS服務(wù)器(120)可查詢資源認證接口(135)��,以確定該認證信息是否有效�,如在步驟330中那樣����。如果在步驟340中資源認證接口(135)返回有效�,則該用戶被確定為已認證的�����。否則�����,在步驟360���,該用戶被確定為未認證的��。
[0045]認證信息覆蓋全部范圍的信息,該信息可在DNS請求中供應(yīng)或從DNS請求被檢測�����。由請求用戶在DNS請求中提供的屬性包括諸如以下各項:IP地址��,MAC地址���,信譽數(shù)據(jù)���,用戶名/密碼,加密方案�����,硬件密鑰�����,地理定位信息�����,指紋標識�,使用私鑰/公鑰認證方案的的加密包,機器硬件ID����,產(chǎn)品或許可ID,安全策略證書��,或在DNS查詢本身中的其它任何可想到的用戶標識信息���。
[0046]在一個實施例中���,代替認證特定用戶�����,認證信息可把特定用戶認證為屬于組�。在另一實施例中����,認證信息可由分組監(jiān)視設(shè)備在DNS請求離開用戶計算機之后插入�����。例如��,企業(yè)計算機可發(fā)送DNS請求�,然后DNS請求在離開企業(yè)網(wǎng)絡(luò)之前被攔截,并通過在請求中插入認證信息來更新�����。
[0047]在另一實施例中���,該認證信息可為已由PKI基礎(chǔ)設(shè)施中的私鑰加密的一些數(shù)據(jù)����。然后該認證服務(wù)器將使用對應(yīng)于用戶的私鑰的、先前傳輸?shù)墓€來解密該數(shù)據(jù)�����。證實該數(shù)據(jù)認證了加密數(shù)據(jù)的用戶為期望的用戶�。例如,該自適應(yīng)DNS服務(wù)器可識別特定用戶的源IP地址�,但要求通過上面概述的PKI密鑰對加密/解密方案進一步證明。另外��,已把公鑰提供給用戶計算機的該自適應(yīng)DNS服務(wù)器可使用其自身的私鑰加密DNS響應(yīng)����。
[0048]本領(lǐng)域技術(shù)人員將意識到的是,可包括認證信息的其它組合以提供一個或多個標記���,即用戶計算機為其所聲稱的設(shè)備并且該用戶被允許接收DNS響應(yīng)����。認證信息還可示出用戶計算機正在由特定用戶操作��,由此實際上認證該特定用戶��。例如,認證信息可包括與用戶身份相關(guān)的信息�����,如名字/密碼組合等�����。
[0049]在實施方式中����,自適應(yīng)DNS服務(wù)器可使用多因素認證技術(shù)(其可包括2因素��,3因素�,或更多)提供認證功能。在該方法中����,要求用戶呈現(xiàn)兩個或更多認證因素諸如知道因素(“用戶知道的某件事”),占有因素(“用戶具有的某種事物”)��,以及固有因素(“用戶是某種事物”)�����。多因素認證技術(shù)可使用安全令牌(其可為給予用戶以證明用戶的身份的唯一軟件對象)、密碼短語���、cookie�����、僅對一次使用有效的一次使用密碼�,以及加密密鑰����。該安全令牌可體現(xiàn)在用戶保持的物理設(shè)備(諸如智能電話應(yīng)用或具有顯示必須輸入到認證屏幕中的不斷改變的通行碼的顯示器的袖珍認證令牌)中。所顯示的通行碼可通過密碼過程從共享秘密獲得(例如�,在使用密碼散列函數(shù)散列秘密,或秘密與詢問以密碼方式組合的情況中)��,且該結(jié)果被顯示����。通過使用多因素認證技術(shù),DNS服務(wù)器可基于該多個因素確定響應(yīng)哪個請求或如何響應(yīng)特定請求��。以非限制示例的形式�����,DNS服務(wù)器可用一種方式響應(yīng)請求,其中該請求使用特定機器�、由特定用戶、在特定定位�、并在特定日時起源。此外���,如果任何或全部上述因素是不同的和/或無效的����,則DNS服務(wù)器可用不同的方式響應(yīng)���。
[0050]圖4圖示了對應(yīng)于示例性步驟260的基于認證信息對用戶分類的示例性可選過程(400)���。在步驟410中��,過程確定對所請求的特定資源的可用分類�。示例性分類包括諸如以下各項:“高”、“中”或“低”優(yōu)先權(quán)用戶�;政府用戶;應(yīng)急專業(yè)用戶���;高流量用戶�;免費用戶;付費用戶�;高級用戶,來賓用戶等����。在步驟420中,用戶可被分類成一個或多個可用分類��。在步驟430中���,用戶的分類被跟蹤����,以使分類信息可稍后用于返回DNS響應(yīng)的過程中��。
[0051]圖5圖示了對應(yīng)于示例性步驟270的�、在基于用戶認證的DNS響應(yīng)中使用IPv6地址的示例性過程(500)。因為在一個實施例中該IPv6地址空間如此巨大����,個性化IPv6地址可被作為DNS響應(yīng)返回。然而傳統(tǒng)IP地址空間(IPv4)包含總數(shù)為4����,394�,967���,296個地址的理論地址�����,理論IPv6地址的數(shù)量是其128倍��。當(dāng)然����,多于40億的IP地址是大量的地址���,但因為體系結(jié)構(gòu)的限制�����,可用地址的實際數(shù)量明顯較少。IPv6地址增加了如此多的可用IP地址�����,以致地球上的每個人可具有接近8百萬億個IP地址。認證的DNS解析通過利用個性化IPv6響應(yīng)隨時準備運用大IP地址空間�。本領(lǐng)域技術(shù)人員將理解,以下關(guān)于IPv6地址描述的示例性實施例可以同等地適用于網(wǎng)絡(luò)層標識符或服務(wù)定位標識符解析過程的任何名字�����。
[0052]每個DNS響應(yīng)可基于訪問該資源的用戶來個性化�。例如,在一個變型中���,DNS服務(wù)可返回對應(yīng)于該用戶的永久分配的IPv6地址���。該IPv6地址可對用戶是唯一的,或可在兩個或多個用戶之間共享��。在另一變型中��,自適應(yīng)DNS服務(wù)器可返回臨時IPv6地址��,臨時IPv6地址僅適用于特定時間長度或直到對應(yīng)該IPv6地址的活躍性在非活躍性時段之后超時����。一旦使用該IPv6地址,其可永不再被使用,或可被回收以在將來使用�。利用永久IPv6或其它網(wǎng)絡(luò)層地址具有更容易地創(chuàng)建對資源的訪問的后面記錄的優(yōu)點���。其它實施例可把永久或臨時分配的IPv6地址的這些原理單獨地施加至網(wǎng)絡(luò)層標識符或服務(wù)定位標識符兩者。
[0053]回到圖5����,步驟510考慮該響應(yīng)是否將發(fā)布一次使用的(或很少使用的)IPv6 (或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)地址或先前分配的(永久的)地址。如果過程發(fā)布一次使用的地址���,則自適應(yīng)DNS服務(wù)器(120)將選擇有效地址返回�����,如在步驟520中那樣�。該IP (或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)地址可選自可用地址池�,或可查詢資源認證接口(135)或資源服務(wù)器(140)是否有用以響應(yīng)的地址。在步驟530中�,自適應(yīng)DNS服務(wù)器(120)可通知地址分配的資源服務(wù)器(140)。然后�,資源服務(wù)器(140)可提供關(guān)于該機器的IP (或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)地址。
[0054]如果過程發(fā)布先前分配的地址�,過程類似。自適應(yīng)DNS服務(wù)器(120)將從其自身的認證緩存(125)檢索合適的IP(或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)地址��,或可查詢資源服務(wù)器(140)是否有可用地址��,如步驟540中那樣�。先前分配的地址可選地可永久(或半永久)分配給特定用戶。所確定的IP (或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)地址然后被發(fā)送至資源服務(wù)器(140)��,如在步驟550中那樣���,以使資源服務(wù)器(140)可提供關(guān)于一個或多個機器的IP地址�����。
[0055]使用單獨分配的地址的一個優(yōu)點在于��,永久分配的IP (或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)地址可對公眾完全不可見�����。因為只有給資源服務(wù)器(140)的分配地址被返回至用戶計算機����,簡單地通過不提供(或不分配)來自資源服務(wù)器(140)的被攻擊的地址�,經(jīng)由分配的地址對資源服務(wù)器的DDoS攻擊可被減輕。
[0056]當(dāng)個性化IP (或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)地址用于提供認證的DNS響應(yīng)時�,資源服務(wù)器(140)可不需要任何附加的認證方案。例如��,如果資源服務(wù)器(140)為銀行網(wǎng)站,可以要求附加的登錄憑證�����,但如果資源服務(wù)器(140)要求較低的安全性�,諸如,例如對于基于云的音樂服務(wù)�,電子商務(wù)站點,或定制門戶����,則附加的認證可以不是必要的。在這種情況中�����,該資源服務(wù)器簡單地通過識別哪個IP(或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)地址用于訪問該資源就可以告知身份�。當(dāng)用戶停止使用資源服務(wù)器(140)達特定時間段時,在請求(例如�,“登出”)上,或響應(yīng)于另一組環(huán)境���,資源服務(wù)器(140)可不提供該IP(或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)地址�。
[0057]在一個實施例中����,不提供關(guān)于資源服務(wù)器的專用IP(或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)地址����,而是認證用戶的源IP地址可被增加至放置于資源服務(wù)器和用戶訪問之間的防火墻中的白名單��。用這種方式���,防火墻作為緩沖器來幫助保護資源服務(wù)器免受不希望的入侵。即使該資源服務(wù)器的IP地址變成眾所周知的���,將該IP地址暴露給潛在DDoS攻擊等����,該防火墻也可阻止所有流量��,除非存在針對認證用戶的特定源IP地址(或其它標識特征)的具體安全策略����。其它實施例可組合在防火墻上動態(tài)地設(shè)置安全策略的能力提供關(guān)于在資源服務(wù)器的IP地址或其它網(wǎng)絡(luò)層地址的能力。
[0058]本領(lǐng)域技術(shù)人員將意識到�,附加的聯(lián)網(wǎng)設(shè)備可結(jié)合本文中描述的實施例來使用。例如��,該體系結(jié)構(gòu)還可使用負載均衡器,以將需求分發(fā)至大量資源服務(wù)器��。在這種情況中���,可在提供關(guān)于負載均衡器IP地址以及指引把流量轉(zhuǎn)發(fā)至哪個資源服務(wù)器的策略�。還可提供關(guān)于標識的資源服務(wù)器的IP地址���。合并了本文中描述的實施例的普通聯(lián)網(wǎng)體系結(jié)構(gòu)方案的其它變體對普通技術(shù)人員將是顯而易見的���。
[0059]在利用認證用戶(諸如在步驟430中跟蹤的那些)的分類的實施例中,分類可用于給予用戶特定訪問等級�。例如,僅基于被訪問的IP (或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)地址�����,可被分類成“銀”“金”和“白金”會員的網(wǎng)站會員可被給予不同的訪問等級�����。在移動電話網(wǎng)絡(luò)中�����,移動電話可分成對應(yīng)于應(yīng)急人員、政府工作者�����、第一響應(yīng)者���、和一般用戶的不同的優(yōu)先權(quán)類。在災(zāi)難區(qū)域中���,第一響應(yīng)者和應(yīng)急人員例如可被給予對移動網(wǎng)絡(luò)的優(yōu)先訪問以保持其通信通道的開放���。
[0060]圖6圖示了對應(yīng)于示例性步驟280的、基于丟失的�����、不期望的�、或無效的認證信息提供安全響應(yīng)或動作的示例性過程(600)。在步驟610中���,分析標識信息以確定其是否被識另O���。該標識信息可為幫助標識提交DNS解析請求的用戶的任何信息��,并可包括不正確的或無效的認證信息或源IP地址�����。如果該標識信息被識別����,則過程可確定用戶是否先前在步驟620中已被允許訪問�����。自適應(yīng)DNS服務(wù)器(120)可查詢資源服務(wù)器(140)�����、數(shù)據(jù)存儲(130)���、或連接已被記錄以確定是否該用戶先前已被允許訪問的另一記錄系統(tǒng)��,����。
[0061]如果該用戶未被識別,則過程可基于該標識信息確定是否存在拒絕訪問的任何理由�,如在步驟630中那樣。例如��,過程可將源IP地址與已知黑名單相比較或執(zhí)行關(guān)于源IP地址的地理定位�。如果該IP地址已在黑名單,則過程可確定向用戶拒絕訪問�。或如果對國家或區(qū)域的該IP地址地理編碼未由資源服務(wù)器服務(wù)����,則過程可確定向用戶拒絕訪問。默認策略可被實施以始終拒絕未知用戶直到進一步確定為止��,如下所解釋的那樣����。如果沒有發(fā)現(xiàn)拒絕訪問的理由���,則過程可在步驟640中返回對應(yīng)于用戶可獲取認證指令的標識符和定位的IP地址���。例如,訪問WWW.example, com的用戶可以未被識別,但認證系統(tǒng)確定應(yīng)當(dāng)向該用戶提供關(guān)于如何認證的指令。在這種情況中����,自適應(yīng)DNS服務(wù)器可用提供www.example,com網(wǎng)站的特殊版本的IP地址響應(yīng),構(gòu)成顯著的認證指令�。
[0062]回到步驟620����,如果被標識的用戶先前被拒絕訪問,則在步驟650中可確定威脅可能性并且在步驟660中采取動作���。如果被標識的用戶先前允許訪問�����,但出于某種理由該認證信息無效��,則該用戶可通過對應(yīng)于認證指令的不同的IP地址被指引到所請求資源的專門的版本�,如步驟640中那樣��。類似的��,回到步驟630���,如果拒絕訪問的理由被確定����,諸如當(dāng)在黑名單中發(fā)現(xiàn)源IP地址時,當(dāng)源IP地址對應(yīng)于未由資源服務(wù)器服務(wù)的定位時���,或當(dāng)通用策略是適當(dāng)拒絕所有未知流量時�����,則與DNS請求關(guān)聯(lián)的威脅可能性可在步驟650中被確定����,并且在步驟660中采取動作�����。
[0063]步驟650可考慮多個威脅可能性����。在針對源IP地址訪問先前被拒絕的情況中���,這樣的行為可指示該源IP地址(用戶計算機(110))正試圖供給不同形式的認證信息以使認證方案失效��。在認證信息無效的情況中��,因為一段信息與期望的不同�����,所以這樣的行為可指示網(wǎng)絡(luò)上的一件裝備已在沒有所有者的許可的情況下被接替���。例如����,如果源IP地址與期望的不同��,但存在其它認證信息���,則該機器可能被竊取并連接至另一網(wǎng)絡(luò)��。
[0064]基于各種威脅可能性���,過程可在步驟660中采取合適的動作。該動作可包括�����,簡單地不響應(yīng)�;延遲該響應(yīng)并可選地增加對來自相同IP地址的每個后續(xù)的DNS查詢的延遲;用對應(yīng)于資源的特殊版本(其對應(yīng)于認證指令)的替代IP (或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)地址響應(yīng)��;用對應(yīng)于配置成僅看起來像該資源的資源特殊版本的替代IP (或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)地址響應(yīng);或用對應(yīng)于配置成提供替代認證手段的資源特殊版本的替代IP(或網(wǎng)絡(luò)層標識符或服務(wù)定位標識符)地址響應(yīng)��,其中該資源認證接口可因此被更新��,以允許進一步不受妨礙的訪問�。
[0065]例如,被確定為惡意的用戶可被提供以對應(yīng)于資源特殊版本的IP地址�����,該資源特殊版本看上去和感覺上類似于真正的資源��。該特殊版本可收集關(guān)于惡意用戶的數(shù)據(jù)����,然后終止與惡意用戶的連接并分析數(shù)據(jù)。在另一示例中���,用戶可從特定IP地址或機器第一次訪問銀行網(wǎng)站����。該銀行可供給用戶替代的認證手段���,且一旦被認證���,就更新存儲(130)中或資源服務(wù)器(140)中的認證信息。
[0066]如上所討論的�����,一些DNS服務(wù)器將緩存來自自適應(yīng)DNS服務(wù)器(120)的DNS響應(yīng)�。由于自適應(yīng)DNS服務(wù)器的整體性,緩存可能是不合乎希望的�����。防止緩存的一種方式是通過設(shè)置響應(yīng)中的生存時間(TIL)為0����,指示該響應(yīng)不應(yīng)被緩存。防止緩存的另一種方式是加密DNS響應(yīng)���。用戶計算機可具有對應(yīng)于自適應(yīng)DNS服務(wù)器的(120)私鑰的公鑰��。自適應(yīng)DNS服務(wù)器可使用私鑰加密該響應(yīng)����,該響應(yīng)將在用戶計算機使用公鑰被解密�����。因為該響應(yīng)本來會被加密,所以緩存DNS服務(wù)器不能緩存該響應(yīng)�,或?qū)o法解析與該查詢關(guān)聯(lián)的最終響應(yīng)。仍可進行對應(yīng)于根服務(wù)器和TLD名字服務(wù)器(或委托圖中的其它服務(wù)器)的緩存�。保持認證狀態(tài)的整體性另一替代方式是在認證感知緩存服務(wù)器緩存DNS。認證感知的DNS緩存服務(wù)器可執(zhí)行對自適應(yīng)DNS服務(wù)器(120)或資源認證接口(135)的基本查詢以確定該認證是否在提供響應(yīng)之前仍然有效�����。如果無效��,所緩存的響應(yīng)將被清除��,且向自適應(yīng)DNS服務(wù)器(120)做出的請求根據(jù)上面討論的過程處理����。
[0067]圖7圖示了展示自適應(yīng)解析平臺的計算機和網(wǎng)絡(luò)組件的示例性體系結(jié)構(gòu)(700),對應(yīng)于利用根據(jù)基于社區(qū)的策略管理系統(tǒng)的聯(lián)合信任模型的實施例�。基于加入該社區(qū)時提供的認證信息�����,社區(qū)信任授權(quán)(705)可發(fā)布認證證書至用戶計算機(710)。使用證書作為認證信息�����,用戶計算機可請求在特定的完全限定域名(或局部網(wǎng)絡(luò)名字)處的資源���。該請求可通過認證感知網(wǎng)絡(luò)緩存(715)被路由。DNS解析請求可類似地通過認證緩存DNS服務(wù)器(720)被路由�����。然后該緩存服務(wù)器可把來自用戶計算機(710)的認證請求傳送至自適應(yīng)DNS服務(wù)器(730)�,或可組成新的認證信息組以代表用戶計算機認證。如果必要����,緩存DNS服務(wù)器可首先查詢根服務(wù)器(未示出)和登記DNS服務(wù)器(725),以獲取必要的權(quán)威名字服務(wù)器信息來定位自適應(yīng)DNS服務(wù)器(730)��。自適應(yīng)DNS服務(wù)器可使用認證緩存(735)和數(shù)據(jù)存儲(740)來幫助對認證的管理�����。如果必要���,自適應(yīng)DNS服務(wù)器(730)可連接至資源認證接口(745)以確定該認證信息是否有效���。顯著地�����,資源認證接口(745)可附著到資源服務(wù)器�����,附著到(未示出)社區(qū)信任授權(quán)(705)�����,或附著到兩者����。一旦被認證�,自適應(yīng)DNS服務(wù)器(730)就可將DNS響應(yīng)返回到自適應(yīng)緩存DNS服務(wù)器(720),自適應(yīng)緩存DNS服務(wù)器(720)繼而把該響應(yīng)返回至用戶計算機(710)�。然后用戶計算機可向資源服務(wù)器(750)、認證感知網(wǎng)絡(luò)緩存(715)�、或兩者的組合請求資源。
[0068]本領(lǐng)域技術(shù)人員將意識到����,圖7的體系結(jié)構(gòu)僅僅是示例性的���。可合并其它聯(lián)網(wǎng)設(shè)備以管理流量�����。具體來說��,本領(lǐng)域技術(shù)人員將認識到的是�,防火墻�、負載均衡器、附加的鏡像服務(wù)器(名字服務(wù)器�、資源服務(wù)器、和認證接口)����、以及特定名字服務(wù)器緩存可被合并到網(wǎng)絡(luò)設(shè)計和體系結(jié)構(gòu)中。另外����,本領(lǐng)域技術(shù)人員將認識到的是,附加的層次化DNS服務(wù)器可被查詢���,例如��,secure, www.example, com,且接口和服務(wù)器可被組合至一個物理機上�����。再另外����,本領(lǐng)域技術(shù)人員將認識到的是,還可把支持硬件(諸如數(shù)據(jù)存儲和其它存儲器設(shè)備)合并到該體系結(jié)構(gòu)中�����。
[0069]圖8圖示了在認證名字請求過程中在聯(lián)合網(wǎng)絡(luò)信任中使用認證證書的示例性過程(800)����。在步驟810中,用戶發(fā)送認證信息至社區(qū)信任授權(quán)(705)以請求驗證標識信息的認證證書�。在一個實施例中,認證證書還可包含關(guān)于與認證證書關(guān)聯(lián)的許可的信息��。社區(qū)信任授權(quán)(705)可返回認證證書至用戶�����,如步驟820中那樣。本領(lǐng)域技術(shù)人員將理解的是�����,取決于社區(qū)的應(yīng)用�,社區(qū)信任授權(quán)(705)可為定位在封閉網(wǎng)絡(luò)內(nèi)的服務(wù)器或定位在互聯(lián)網(wǎng)上的服務(wù)器。
[0070]在步驟830中��,使用所發(fā)布的認證證書�����,DNS請求由用戶計算機發(fā)送至自適應(yīng)DNS服務(wù)器(730)�����。在步驟840中��,自適應(yīng)DNS服務(wù)器可試圖驗證認證證書���。通常,自適應(yīng)DNS服務(wù)器將識別和信任證書發(fā)布者或?qū)⒉恍湃卧撟C書發(fā)布者��。在步驟850中�,自適應(yīng)DNS服務(wù)器(730)基于證書發(fā)布者的信任狀態(tài)并進一步基于證書的驗證過程可確定認證信息是否有效��。如果有效(并被信任)�����,則認證證書可用于遞送用戶特有/類特有的DNS響應(yīng)����。在步驟860中�,用戶可被分類成被識別用戶的組或類。這樣做���,如果自適應(yīng)DNS服務(wù)器在其緩存(735)中不具有分類信息��,則自適應(yīng)DNS服務(wù)器(730)可查詢資源認證接口(745)���。在步驟870中���,合適的DNS響應(yīng)被返回并可基于包含在認證證書內(nèi)的標識信息����。如果該認證證書未被驗證或信任�,則自適應(yīng)DNS服務(wù)器(730)可確定合適的安全響應(yīng)或動作����,如步驟880中那樣����。
[0071]將意識到的是,在過程800中圖示示例性步驟的某些與過程200中圖示的示例性步驟類似���。因此��,圖3-6中發(fā)現(xiàn)的具體示例性過程可視需要被施加到圖8中發(fā)現(xiàn)的的過程�。
[0072]在另一實施例中����,先前討論的實施例可與基于對請求者的認證結(jié)果捕獲并記錄DNS請求和響應(yīng)的過程組合���。如上面所討論的���,自適應(yīng)DNS服務(wù)器(120或730)可能能夠確定對特定IP地址的響應(yīng)是否在當(dāng)前請求的處理(例如,圖6中發(fā)現(xiàn)的過程600的步驟610和620)之前被發(fā)布�。所認證的DNS請求和響應(yīng)可被歸類和記錄。例如,DNS請求可包括指示該請求者在黑名單上的標識信息��。在這種情況中,請求���、標識信息以及對應(yīng)的合適的DNS響應(yīng)(如果存在)可被記錄�����。類似地����,DNS請求可包括被驗證的標識信息,以導(dǎo)致合適的DNS響應(yīng)。該信息也可被記錄��。實際上��,對應(yīng)于DNS請求和響應(yīng)的所有信息都可被記錄���。可針對關(guān)于成功和不成功認證的DNS請求的數(shù)據(jù)趨勢來分析記錄的信息�����。例如�,可分析記錄的信息以確定IP地址在被重復(fù)拒絕認證之后是否應(yīng)加入黑名單,從而提高總體認證方案的效率�。
[0073]利用認證名字解析的優(yōu)點在于:解析請求可出于計費的目的而被歸類�����。例如�����,使用記錄的信息或經(jīng)由實時完成的另一記錄過程�,每個請求可被歸類到合法請求或攻擊請求中����。然后利用認證服務(wù)的客戶端可根據(jù)這些歸類中的一個或全部而被計費。在沒有認證解析的情況下����,名字服務(wù)器通常難以對查詢?nèi)萘渴召M,因為無法知道(或?qū)⒎浅ky以確定)資源的所有者是否授權(quán)名字請求���。但利用該認證解析框架,可關(guān)于認證的容量以及對通過拒絕DNS響應(yīng)而節(jié)省的容量兩者來計費名字請求�����。對于認證的容量,記費可表示提供認證名字解析服務(wù)的費用的容量部分���。對于節(jié)省的容量��,記費可表示通過由拒絕名字請求而阻止對資源服務(wù)器的訪問而節(jié)省的流量的理論容量����。當(dāng)然,對于這些中的任一個的計費是可選的�。附加地,也可對認證響應(yīng)的其它歸類記賬���。例如���,被轉(zhuǎn)移至描述如何認證的服務(wù)器的名字解析請求可被認為是合法流量和認證容量的部分,即使該用戶實際上從未被認證���。在實施方式中�����,計費可基于該用戶是否已被認證�。并且����,對于附加等級的服務(wù)(諸如可以僅對認證用戶或訂閱這些附加的服務(wù)的用戶可用的服務(wù))計費可被疊加��。
[0074]例如�����,通過在形成響應(yīng)的同一時間把每個名字查表歸類為特定計費事件���,記費服務(wù)可被合并于認證過程本身中?����;蛲ㄟ^事后把每個記錄的查詢歸類���,可經(jīng)由周期性基礎(chǔ)上的記錄分析來確定計費服務(wù)��。
[0075]根據(jù)對本文中公開的實施例的說明書和實踐的考慮����,本公開的其它實施例對本領(lǐng)域技術(shù)人員將是顯而易見的��。具體來說����,應(yīng)當(dāng)意識到的是,本文中限定的過程僅僅是示例性的�����,并且過程的步驟不必一定按所呈現(xiàn)的順序來執(zhí)行�。說明書和示例意圖僅僅被認為是示例性的,其中實施例的真實的范圍和精神由所附的權(quán)利要求指示����。
【權(quán)利要求】
1.一種計算機實施的方法,用于響應(yīng)于域名系統(tǒng)(DNS)請求��,包括: 在DNS服務(wù)器接收DNS解析請求��,該請求包括與設(shè)備特有信息�����,用戶特有信息�����,以及認證信息中的任一個或其組合相關(guān)的信息�; 在DNS服務(wù)器上分析該信息���; 基于對該信息的分析,由DNS服務(wù)器確定DNS動作�����,其中該DNS動作包含以下任一個或其組合:發(fā)送具有個性化IP地址�、網(wǎng)絡(luò)層標識符、或服務(wù)定位標識符的響應(yīng)消息�;延遲發(fā)送響應(yīng)消息;發(fā)送具有對應(yīng)于包含認證指令的網(wǎng)址的IP地址的響應(yīng)消息����;發(fā)送具有對應(yīng)于被配置成模擬所請求地址的網(wǎng)站的網(wǎng)站的IP地址的響應(yīng)消息;基于該設(shè)備特有信息發(fā)送定制響應(yīng)�����,基于該用戶特有信息發(fā)送定制響應(yīng)����,及其組合;以及在DNS服務(wù)器上執(zhí)行該DNS動作�����。
2.根據(jù)權(quán)利要求1的方法,其中該信息由起源DNS解析請求的設(shè)備以外的設(shè)備增加至DNS解析請求��。
3.根據(jù)權(quán)利要求1的方法�,其中該信息包括以下任一個或其組合:源網(wǎng)絡(luò)層地址�����、用戶名/密碼組合�����、加密數(shù)據(jù)包�����、安全證書�、和硬件標識信息,其中該硬件信息包括以下中的一個或多個:操作系統(tǒng)類型信息���、操作系統(tǒng)版本信息����、操作系統(tǒng)補丁信息��。
4.根據(jù)權(quán)利要求1的方法,包括: 在DNS服務(wù)器從資源服務(wù)器接收認證信息用于特定用戶����;以及 更新DNS服務(wù)器以存儲該認證信息。
5.根據(jù)權(quán)利要求1的方法���,其中該個性化IP地址�、網(wǎng)絡(luò)層標識符����、或服務(wù)定位標識符對應(yīng)于一次使用的地址。
6.根據(jù)權(quán)利要求1的方法���,其中該個性化IP地址�����、網(wǎng)絡(luò)層標識符����、或服務(wù)定位標識符對應(yīng)于分配至特定用戶的地址���。
7.根據(jù)權(quán)利要求1的方法��,其中延遲發(fā)送消息包括: 確定DNS請求先前從特定用戶接收���; 確定DNS響應(yīng)被延遲達第一時間段���;以及 延遲發(fā)送消息達第二時間段��,其中該第二時間段大于該第一時間段���。
8.根據(jù)權(quán)利要求1的方法�,包括: 限定離散的用戶類���; 將該離散的用戶類按優(yōu)先順序排列到用戶類的優(yōu)先列表中�,其中更高優(yōu)先權(quán)類首先接收對服務(wù)的訪問或接收對更高質(zhì)量服務(wù)的訪問�����; 把用戶分類到類的優(yōu)先列表中的類中�;以及 基于該分類,首先提供對服務(wù)的訪問或提供對更高質(zhì)量的服務(wù)的訪問��, 其中該DNS動作包括:發(fā)送具有對應(yīng)于遞送特定類的服務(wù)器的IP地址的響應(yīng)消息�。
9.根據(jù)權(quán)利要求1的方法��,包括: 基于對該信息的分析確定記費事件�,以及 基于該計費事件對客戶端計費���。
10.一種用于認證DNS請求的系統(tǒng),包括: DNS服務(wù)器��,包括: 處理器���;以及存儲器,其中該存儲器包含指令�����,當(dāng)由處理器執(zhí)行時��,該指令執(zhí)行一種方法�����,該方法包括: 在DNS服務(wù)器接收DNS解析請求��,該請求包括與設(shè)備特有信息�����、用戶特有信息、以及認證信息中的任一個或其組合相關(guān)的信息����; 在DNS服務(wù)器上分析該信息; 基于對該信息的分析�����,由DNS服務(wù)器確定DNS動作�,其中該DNS動作包括以下任一個或其組合:發(fā)送具有個性化網(wǎng)絡(luò)層地址或服務(wù)定位地址的響應(yīng)消息��;延遲發(fā)送響應(yīng)消息�����;發(fā)送具有對應(yīng)于包含認證指令的網(wǎng)址的IP地址的響應(yīng)消息��;發(fā)送具有對應(yīng)于被配置成模擬所請求的地址的網(wǎng)站的網(wǎng)站的IP地址的響應(yīng)消息���;以及基于該設(shè)備特有信息發(fā)送定制響應(yīng)�,基于該用戶特有信息發(fā)送定制響應(yīng)����,及其組合���;以及在DNS服務(wù)器上執(zhí)行DNS動作。
11.根據(jù)權(quán)利要求10的系統(tǒng),其中信息由起源DNS解析請求的設(shè)備以外的設(shè)備增加至DNS解析請求���。
12.根據(jù)權(quán)利要求10的系統(tǒng)�����,其中認證信息包括以下一個或多個:源網(wǎng)絡(luò)層地址��、用戶名/密碼組合����、加密數(shù)據(jù)包����、安全證書、或硬件標識信息����,其中該硬件信息包括以下一個或多個:操作系統(tǒng)類型信息、操作系統(tǒng)版本信息���、操作系統(tǒng)補丁信息���。
13.根據(jù)權(quán)利要求10的系統(tǒng)����,其中該方法包括: 在DNS服務(wù)器接收來自資源服務(wù)器的信息用于特定用戶���;以及 更新DNS服務(wù)器以存儲該認證信息��。
14.根據(jù)權(quán)利要求10的系統(tǒng)���,其中該個性化網(wǎng)絡(luò)層地址或服務(wù)定位地址對應(yīng)于一次使用的地址。
15.根據(jù)權(quán)利要求10的系統(tǒng)�,其中該個性化網(wǎng)絡(luò)層地址或服務(wù)定位地址對應(yīng)于分配至特定用戶的地址�。
16.根據(jù)權(quán)利要求10的系統(tǒng),其中延遲發(fā)送消息包括: 確定DNS請求先前從特定用戶接收����; 確定DNS響應(yīng)被延遲達第一時間段;以及 延遲發(fā)送消息達第二時間段�,其中該第二時間段大于該第一時間段。
17.根據(jù)權(quán)利要求10的系統(tǒng)����,其中該方法包括: 限定離散的用戶類����; 將該離散的用戶類按優(yōu)先順序排列到用戶類的優(yōu)先列表中���,其中更高優(yōu)先權(quán)類首先接收對服務(wù)的訪問或接收對更高質(zhì)量服務(wù)的訪問��; 把用戶分類到類的優(yōu)先列表中的類中����;以及 基于該分類��,首先提供對服務(wù)的訪問或提供對更高質(zhì)量的服務(wù)的訪問���, 其中該DNS動作包括:發(fā)送具有對應(yīng)于遞送特定類的服務(wù)器的IP地址的響應(yīng)消息�����。
18.根據(jù)權(quán)利要求10的系統(tǒng)�,其中該方法包括: 基于對該信息的分析確定記費事件�����,以及 基于該記費事件對客戶端記費。
19.一種包含指令的非暫態(tài)計算機可讀介質(zhì)��,當(dāng)由處理器執(zhí)行時�����,該指令執(zhí)行一種方法����,該方法包括:在認證服務(wù)器接收包括認證信息的DNS解析請求; 在認證服務(wù)器上驗證該認證信息����; 由認證服務(wù)器基于對認證信息的驗證確定DNS動作,其中該DNS動作包括以下至少一個:發(fā)送具有個性化網(wǎng)絡(luò)層地址或服務(wù)定位地址的響應(yīng)消息���、延遲發(fā)送響應(yīng)消息����、發(fā)送具有對應(yīng)于包含認證指令的網(wǎng)址的IP地址的響應(yīng)消息�、以及發(fā)送具有對應(yīng)于被配置成模擬所請求地址的網(wǎng)站的網(wǎng)站的IP地址的響應(yīng)消息�;以及在該認證服務(wù)器上執(zhí)行該DNS動作。
20.根據(jù)權(quán)利要求19的非暫態(tài)計算機可讀介質(zhì)���,其中該認證信息由起源DNS解析請求的設(shè)備以外的設(shè)備增加至DNS解析請求���。
21.根據(jù)權(quán)利要求19的非暫態(tài)計算機可讀介質(zhì)����,其中認證信息包括以下一個或多個:源網(wǎng)絡(luò)層地址����、用戶名/密碼組合、加密數(shù)據(jù)包����、安全證書、或硬件標識信息����,其中該硬件信息包括特定硬件配置信息或以下一個或多個:操作系統(tǒng)或應(yīng)用類型信息、操作系統(tǒng)或應(yīng)用版本信息����、操作系統(tǒng)或應(yīng)用補丁信息。
22.根據(jù)權(quán)利要求21的非暫態(tài)計算機可讀介質(zhì)���,進一步包括分析該硬件標識信息以對該設(shè)備提供安全����。
23.根據(jù)權(quán)利要求19的非暫態(tài)計算機可讀介質(zhì),其中該方法包括: 在該認證服務(wù)器接收來自資源服務(wù)器的認證信息用于特定用戶����;以及 更新該認證服務(wù)器以存儲該認證信息。
24.根據(jù)權(quán)利要求19的非暫態(tài)計算機可讀介質(zhì)�,其中該個性化網(wǎng)絡(luò)層地址或服務(wù)定位地址對應(yīng)于一次使用的地址。
25.根據(jù)權(quán)利要求19的非暫態(tài)計算機可讀介質(zhì)���,其中該個性化網(wǎng)絡(luò)層地址或服務(wù)定位地址對應(yīng)于分配至特定用戶的地址����。
26.根據(jù)權(quán)利要求19的非暫態(tài)計算機可讀介質(zhì)��,其中延遲發(fā)送消息包括: 確定DNS請求先前從特定用戶接收�����; 確定DNS響應(yīng)被延遲達第一時間段��;以及 延遲發(fā)送消息達第二時間段�����,其中該第二時間段大于該第一時間段���。
27.根據(jù)權(quán)利要求19的非暫態(tài)計算機可讀介質(zhì)��,其中該方法包括: 確定用戶類的優(yōu)先列表���,其中更高優(yōu)先權(quán)類首先接收對服務(wù)的訪問或接收對更高質(zhì)量服務(wù)的訪問;以及 基于該認證信息�����,把用戶分類到類的優(yōu)先列表中的類中�����, 其中該DNS動作包括:發(fā)送具有對應(yīng)于遞送特定類的服務(wù)器的IP地址的響應(yīng)消息���。
28.根據(jù)權(quán)利要求19的非暫態(tài)計算機可讀介質(zhì)���,其中該方法包括: 基于對認證信息的驗證確定記費事件,以及 基于該記費事件對客戶端記費���。
29.一種用于認證DNS請求的方法��,包括: 在認證服務(wù)器從用戶接收DNS解析請求����,其中該請求包括要解析的域名和認證證書,其中該認證證書由社區(qū)授權(quán)信任響應(yīng)于用戶對標識驗證的請求而發(fā)布�����; 在認證服務(wù)器上驗證該認證證書����; 基于對認證證書的驗證由認證服務(wù)器確定網(wǎng)絡(luò)層地址或服務(wù)定位地址;以及發(fā)送網(wǎng)絡(luò)層地址至該用戶���。
30.根據(jù)權(quán)利要求2 9的方法����,其中該認證證書指示對一組用戶的認證���。
【文檔編號】H04L29/12GK104052829SQ201410148379
【公開日】2014年9月17日 申請日期:2014年3月14日 優(yōu)先權(quán)日:2013年3月14日
【發(fā)明者】D·麥克費爾森, J·沃爾德倫, E·奧斯特維爾 申請人:弗里塞恩公司