用于預(yù)簽名dnssec啟用區(qū)域至記錄集中的系統(tǒng)和方法
【專利摘要】本發(fā)明涉及用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法。域名系統(tǒng)(DNS)可以接收和／或施加管理員或DNS運營商自身所希望的DNS策略集以管理用于網(wǎng)絡(luò)域的具有安全性擴展的域名方案(DNSSEC)。DNS可以基于該策略集生成指向域的用戶問題的回答集?；诓呗砸?guī)則而不同或變化的那些回答可以被存儲為變體回答，并且可以用變體ID來標(biāo)記。該變體回答可以被預(yù)簽名并存儲在DNS中。由于在DNS請求被接收之前生成和存儲密鑰數(shù)據(jù)和其它信息，所以請求的變體回答可以以更大的響應(yīng)性和安全性返回。
【專利說明】用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法
[0001]優(yōu)先權(quán)
[0002]要求2013 年 3 月 15 日提交的、標(biāo)題為 “Systems and Methods for Pre-Signingof DNSSEC Enabled Zones into Record Sets”、序號 61 / 800，405 的美國臨時專利申請的優(yōu)先權(quán)，其內(nèi)容通過弓I用被明確地合并到本文中。

【技術(shù)領(lǐng)域】
[0003]本教導(dǎo)涉及用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法，并且更具體地，涉及用于基于DNS系統(tǒng)策略管理從具有預(yù)簽名的密鑰簽名數(shù)據(jù)的域名系統(tǒng)中生成回答的平臺和技術(shù)。

【背景技術(shù)】
[0004]在用于在互聯(lián)網(wǎng)和其它網(wǎng)絡(luò)上定位網(wǎng)站和其它資源的域名系統(tǒng)(DNS)的發(fā)展中，安全性問題隨時間占據(jù)增加的重要性。響應(yīng)于發(fā)展安全性需要，行業(yè)中的組織已對基線DNS協(xié)議提出和開發(fā)了擴展以允許在DNS服務(wù)的傳遞中引進安全性措施。一般來說這些已知的標(biāo)準(zhǔn)被稱為具有安全性擴展的DNS，或DNSSEC。
[0005]具體來說，需求本身已呈現(xiàn)為允許用戶運行網(wǎng)絡(luò)瀏覽器或其它軟件以保證當(dāng)試圖導(dǎo)航至已知的通用資源定位器(URL)時傳遞給它們的互聯(lián)網(wǎng)協(xié)議(IP)地址是真的，并且表示它們正試圖訪問的網(wǎng)站。由于緩存中毒或?qū)NS服務(wù)器的其它攻擊，偽IP地址可能被傳遞給不知情的用戶，DNS服務(wù)器用于取出和供應(yīng)給定域名的IP地址或由DNS系統(tǒng)提供的其它回答。
[0006]在網(wǎng)站布署方面，現(xiàn)在許多網(wǎng)站由許多分層區(qū)段或分區(qū)組成，其中每個都有不同的擴展域名。例如，涉及體育新聞的網(wǎng)站可以具有根等級諸如SportsPage.com,并且此外許多區(qū)段或“區(qū)域”致力于單獨的體育活動。那些標(biāo)題可能反映在域(諸如Golf.SportsPage.com、Soccer.SportsPage.com 等等)中。
[0007]在SportsPage.com內(nèi)導(dǎo)航的用戶可以向支持網(wǎng)站的DNS系統(tǒng)提供一個或多個問題或請求，諸如IP地址，或其它信息。對用戶問題的回答可以從網(wǎng)站內(nèi)的各個區(qū)域內(nèi)生成。為了確保用戶收到一個有效的回答，DNSSEC啟用域要求用使用公/私密鑰信息生成的簽名來簽名的一系列消息。盡管DNSSEC協(xié)議因此供應(yīng)認(rèn)證服務(wù)給通過網(wǎng)絡(luò)屬性導(dǎo)航的用戶，但因為域的區(qū)域的深度和分層鏈接變得更加復(fù)雜，DNS系統(tǒng)的處理和帶寬資源上的負(fù)擔(dān)變大。那個負(fù)擔(dān)會即減小DNS響應(yīng)性。
[0008]此外，對于希望施加靈活的DNS策略同時使用DNSSEC布置的網(wǎng)站所有者，事情可能進一步復(fù)雜。也就是說，部署了具有許多區(qū)域的相對豐富的網(wǎng)站的運營商可能希望對個體請求者施加規(guī)則以便基于用戶的位置、日時、服務(wù)器負(fù)載、和/或基于其它因素，它們的DNS查找或回答被指向不同的服務(wù)器、和/或域的區(qū)域。識別關(guān)于用戶的信息，施加恰當(dāng)?shù)牟呗裕⑶胰缓笊蓪⒃试S它們的具體回答被認(rèn)證的必要簽名，同樣可能招致性能以及對系統(tǒng)響應(yīng)性的用戶感知方面的損失。
[0009]可能需要提供用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的方法和系統(tǒng)，其中域名系統(tǒng)可以從域名所有者處接收任意策略集，將那些策略轉(zhuǎn)換為預(yù)生成的簽名回答集或其它區(qū)域文件，并基于所存儲的資源記錄將簽名回答而不是必須按需生成和/或簽名的回答傳輸至用戶。


【發(fā)明內(nèi)容】

[0010]依照本發(fā)明的一個實施例，提供了管理域名系統(tǒng)操作的方法，該方法包括:
[0011]使用具有安全性擴展的域名系統(tǒng)(DNSSEC)訪問用于域名系統(tǒng)(DNS)操作的策略集;
[0012]基于該策略集，生成對與區(qū)域的域名集相關(guān)的問題的回答集；
[0013]根據(jù)該回答集和密鑰數(shù)據(jù)集生成簽名回答集；
[0014]將該簽名回答集存儲在區(qū)域文件中；
[0015]從解析器接收問題；以及
[0016]基于從解析器接收的問題以及該策略集取出簽名回答以傳輸給解析器。
[0017]該方法還包括升級該策略集。
[0018]該方法還包括基于該升級的策略集升級該回答集。
[0019]依照本發(fā)明的另一個實施例，一種系統(tǒng)包括:
[0020]至解析器的網(wǎng)絡(luò)接口，傳輸與區(qū)域的域名集相關(guān)的問題，該域名在具有安全性擴展的域系統(tǒng)(DNSSEC)下操作；以及
[0021]處理器，經(jīng)由該網(wǎng)絡(luò)接口與該解析器通信，該處理器被配置為:
[0022]訪問用于域名系統(tǒng)(DNS)操作的策略集，
[0023]基于該策略集，生成對與域名的區(qū)域集相關(guān)的問題的回答集，
[0024]根據(jù)該回答集和密鑰數(shù)據(jù)集生成簽名回答集，
[0025]將該簽名回答集存儲在區(qū)域文件中，
[0026]從解析器接收該問題，以及
[0027]基于該問題和該策略集取出簽名回答以傳輸給解析器。
[0028]依照本發(fā)明的另一個實施例，訪問該策略集包括從與該域名相關(guān)的用戶處接收策略集。
[0029]依照本發(fā)明的另一個實施例，訪問該策略集包括施加由DNS生成的策略。
[0030]依照本發(fā)明的另一個實施例，訪問該策略集包括安裝默認(rèn)的策略集。
[0031]依照本發(fā)明的另一個實施例，生成簽名回答集包括使用存儲在該密鑰數(shù)據(jù)中的公密鑰和私密鑰集生成該簽名回答集。
[0032]依照本發(fā)明的另一個實施例，該策略集包括下述至少一個
[0033]基于地理位置數(shù)據(jù)的策略，
[0034]基于負(fù)載均衡數(shù)據(jù)的策略，
[0035]基于日時信息的策略，
[0036]基于授權(quán)級別的策略，或
[0037]基于流量管理規(guī)則的策略.
[0038]依照本發(fā)明的另一個實施例，生成回答集包括基于與該解析器和該策略集相關(guān)的互聯(lián)網(wǎng)協(xié)議(IP)地址生成回答集。
[0039]依照本發(fā)明的另一個實施例，該回答集包括下述至少一個
[0040]與該域名集相關(guān)的互聯(lián)網(wǎng)協(xié)議(IP)數(shù)據(jù)集，
[0041]與該域名集相關(guān)的所有權(quán)信息，
[0042]與該域名集相關(guān)的分類信息，
[0043]與該域名集相關(guān)的初始信息，或
[0044]與該域名集相關(guān)的過期信息。
[0045]依照本發(fā)明的另一個實施例，該處理器還被配置成升級該策略集。
[0046]依照本發(fā)明的另一個實施例，該處理器還被配置成基于該升級的策略集升級該回答集。

【專利附圖】

【附圖說明】
[0047]被合并到本說明書中并構(gòu)成本說明書的部分的附圖圖示了本教導(dǎo)的實施方式并且與描述一起，用于解釋本教導(dǎo)的原理。在圖中:
[0048]圖1圖示了依照各個實施方式，可以在用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法中使用的整體域名環(huán)境；
[0049]圖2圖示了依照各個實施方式，可以在用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法中使用的區(qū)域文件的數(shù)據(jù)結(jié)構(gòu)；
[0050]圖3圖示了依照各個實施方式，可以在用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法中使用的策略驗證、簽名數(shù)據(jù)生成、以及其它處理的流程圖；以及
[0051]圖4圖示了依照各種實施方式，可以在用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中使用的示例性硬件、軟件、和其它資源。

【具體實施方式】
[0052]本教導(dǎo)的實施方式涉及用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法。更具體地，實施方式涉及用于管理采用DNSSEC安全性的DNS實施方式的平臺和技術(shù)。在那個環(huán)境中，依照本教導(dǎo)的平臺和技術(shù)可以接收用于DNS操作的任意策略集，通過其可以執(zhí)行回答問題的請求，諸如將域名解析到有效IP地址或其它中的請求。
[0053]DNS系統(tǒng)可以從域名所有者或運營商處接收策略集、對照DNS系統(tǒng)本身的內(nèi)部操作策略驗證那些策略，并且合并可被用以生成有效回答的策略。該策略集還能或替代地包括由DNS系統(tǒng)本身的運營商供應(yīng)的規(guī)則或策略，例如，向DNS底層結(jié)構(gòu)施加負(fù)載均衡或其它邏輯?；诓呗宰兞繉⒆兓虿煌幕卮鹂梢员簧汕掖鎯υ趨^(qū)域文件的資源記錄集中，由變體標(biāo)識符索引。可以用公/私密鑰對預(yù)簽名變體回答，使得當(dāng)新問題到達(dá)DNS系統(tǒng)時，已經(jīng)被簽名的有效回答可以從區(qū)域文件表或其它記錄中取出，并且傳輸至請求者。
[0054]因此新的域名解析請求可以被更有效地解析，因為簽名的數(shù)據(jù)不是運行中生成的。也可以更安全地執(zhí)行那些操作，因為公/私密鑰數(shù)據(jù)不必分配給支持DNS平臺的各種服務(wù)器?？梢詫崿F(xiàn)其它的優(yōu)點和益處。
[0055]現(xiàn)在將詳細(xì)參考在附圖中圖示的本教導(dǎo)的示例性實施方式。其中可能相同的參考數(shù)字在整個附圖中將被用于指代相同或類似部分。
[0056]圖1圖示了依照各方面的整體DNS環(huán)境100，其中用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法可以操作。在如所示的方面中，該DNS環(huán)境可包括與域名系統(tǒng)(DNS) 122通信的解析器102用于傳送問題104以及接收簽名回答120。如本文中所用的，該簽名回答120可以指代包含簽名DNS記錄的回答。DNS122可以是或包括服務(wù)器、分布式服務(wù)器集、集群、基于云的服務(wù)、應(yīng)用和/或其它硬件、資源、平臺、或元件。
[0057]問題104可以是或包括各種查詢中的任何一種，諸如，舉例來說，對關(guān)于給定域名、區(qū)域、和/或其它地點或位置的互聯(lián)網(wǎng)協(xié)議(IP)地址的請求。該IP地址可以是IPv4(32位)、IPv6 (128位)、和/或其它格式。問題104還可以或替代地是對來自DNS122的其它信息的請求，諸如位置信息、證書信息、授權(quán)信息、服務(wù)器信息、網(wǎng)絡(luò)信息、和/或其它結(jié)果或信息。解析器102可以經(jīng)由互聯(lián)網(wǎng)和/或其它公或私網(wǎng)絡(luò)或信道與DNS122進行通信。解析器102可以由多方操作，包括例如域名的所有者或運營商、用于那些實體的系統(tǒng)管理員、或其它。
[0058]DNS122可被配置成接收問題104以及生成與具有安全性擴展的DNS(DNSSEC)標(biāo)準(zhǔn)一致的簽名回答120，如由互聯(lián)網(wǎng)工程任務(wù)組(IETF)和/或其它相關(guān)標(biāo)準(zhǔn)實體指定。一般來說，DNSSEC的使用包括在支持給定域的服務(wù)器、與域相關(guān)的區(qū)域、和/或DNS網(wǎng)絡(luò)中的其它元件之間對簽名消息或數(shù)據(jù)的交換的使用。給DNS查詢提供回答的服務(wù)器可以使用私密鑰簽名它們的回答，傳輸給信任鏈中的下一個服務(wù)器以認(rèn)證提供的信息。簽名回答或其它數(shù)據(jù)的接收者可以使用始發(fā)服務(wù)器的公密鑰檢驗對該數(shù)據(jù)的認(rèn)證。
[0059]圖示的DNSl22可以主持或管理用于各種實體的DNS平臺或服務(wù)。例如，DNS122可以為希望使其DNS操作由外部資源提供的第三方訂戶提供DNS服務(wù)。同樣可以采用DNS122來支持用于實體自身網(wǎng)絡(luò)的DNS服務(wù)，或可以支持其它布置下的DNS服務(wù)。
[0060]DNS122 一般可合并許多元件或資源以執(zhí)行啟用DNSSEC的DNS操作，同時使用策略集112來確定對進入的問題的回答或者可能涉及域名和/或與該域名相關(guān)的區(qū)域集或與域名和/或與該域名相關(guān)的區(qū)域集相關(guān)的請求。DNS122可以合并DNS服務(wù)器106 (或多個服務(wù)器)，其與策略服務(wù)器108通信以生成或取出對問題104的回答114?？梢匀缰赋龅哪菢踊谠摬呗约?12生成或取出回答114，該策略集可存儲在策略數(shù)據(jù)庫110和/或在DNS122中被主持或與DNS122相關(guān)的其它數(shù)據(jù)存儲中。依照各方面，該策略集112可被施加至IJ問題104和/或回答114以響應(yīng)于問題104而創(chuàng)建信息的預(yù)生成集。該預(yù)生成的信息可被分割成依賴于在該策略集112中指定的變量和策略而不同或變化的信息，以及不依賴于在該策略集112中指定的變量和策略而不同或變化的信息。
[0061]該策略集112可以是或包括腳本或其它邏輯、程序設(shè)計、條件、或者規(guī)則集，它們確定對解析器問題104的回答114在其下被生成和供應(yīng)給請求用戶的條件。該策略集112可包括地理位置規(guī)則，例如指定以特定地理區(qū)域作出請求的用戶的IP地址可被指向與DNS122相關(guān)的特定服務(wù)器。也可以施加基于日時的規(guī)則，諸如當(dāng)接收問題104時。該策略集112可以進一步包括基于負(fù)載均衡準(zhǔn)則的規(guī)則以平衡掉與DNS122相關(guān)的服務(wù)器上的負(fù)載。該策略集112同樣可以包括其它規(guī)則、測試、試探、或策略。例如，該策略集112可以包括諸如由Daniel James和Arunabho Das在2013年3月15日提交的、序號—、標(biāo)題為“High Performance DNS Traffic Management”、代理人案號第 11569.0210、并且被轉(zhuǎn)讓給或在轉(zhuǎn)讓的義務(wù)下給與本申請相同的實體的、共同未決美國申請中所描述那些的規(guī)則和邏輯，該申請通過引用以其整體被合并。
[0062]在各情況中，該策略集112可以被由DNS122支持的域名的所有者或運營商提供。該策略集112還可以或替代地由DNS122的所有者或運營商本身和/或由其它用戶或資源指定。
[0063]在接收和安裝該策略集112后，在實施方式中，DNS122可以比照DNS122的內(nèi)部規(guī)則或策略檢驗或驗證那些策略，以確保由解析器102和/或其它用戶提供的策略不與DNS122的內(nèi)部操作沖突。依照進一步的實施方式，在解析器102和/或其它用戶不能供應(yīng)必要策略全集的情況下，DNS122可以對相關(guān)域名的操作施加默認(rèn)的規(guī)則或策略。
[0064]在該策略集112被安裝后，DNS122可以使用那個規(guī)則或邏輯集生成與域名和/或其相關(guān)區(qū)域相關(guān)的回答。依照各方面，以及如在圖1中所示，回答可以編碼在區(qū)域文件116中。該區(qū)域文件116可以以表格的形式存儲，由針對每個可能回答的標(biāo)識符(例如，如所示的回答1、回答2、回答3...)基于該策略集112索引。在實施方式中，給定的該策略集112以及域的相關(guān)域名記錄，則生成或知道問題104的所有可能回答可以是可能的。在實例中，例如，回答的總數(shù)目可能相對小，例如5、10、或另外數(shù)目的可能回答。較小數(shù)目的回答可以有助于更大的系統(tǒng)響應(yīng)性，但是將理解的是還可以生成和存儲更大集合的回答。
[0065]如所示的，由DNS122發(fā)展的回答可以被分割成兩個整體組:基于該策略集112和/或其它因素將會不同或變化的一個集，和將不會不同或變化的另一個集。當(dāng)接收到要求那些動態(tài)選擇的回答之一的問題104時，如上所述，變化的回答可以作為“變體答案”被存儲在區(qū)域文件116中供取出。那些變體回答可基于變體ID被索引或鍵控，并且當(dāng)接收到相應(yīng)的問題104時被取出以發(fā)送至解析器102。變體回答數(shù)據(jù)可以例如包括針對不同服務(wù)位置的不同IP地址值，和/或包括不同別名(CNAME)，以及其它信息。不變化的回答可以存儲在非變體DNS記錄118中。例如，該非變體DNS記錄集在域名的給定示例中可以是或包括:與郵件交換(MX)數(shù)據(jù)相關(guān)的數(shù)據(jù)、文本(TXT)數(shù)據(jù)、別名(CNAME)數(shù)據(jù)、或其它類型數(shù)據(jù)。但是將明白的是，在其它的實施方式中，數(shù)據(jù)的所述類型(MX等)可以合并入存儲在區(qū)域文件116中的變體回答信息中，和/或其它信息可以存儲在非變體DNS記錄118中的。
[0066]隨著問題104在106被接收，數(shù)據(jù)從116中取出并且108用于使用策略服務(wù)器108選擇從區(qū)域文件116中取出的回答114或回答114的組成部分。數(shù)據(jù)可以替代地或額外地從118中取出。從116和/或118取出的數(shù)據(jù)可以被組合和編碼在簽名回答120中，簽名回答120被返回至解析器102。
[0067]圖2圖示了可以在區(qū)域文件116中使用的示例性數(shù)據(jù)結(jié)構(gòu)。在所示的實施方式中，區(qū)域文件116可以編碼或存儲各種信息，包括變體ID124，其可以作為密鑰或索引用到存儲在區(qū)域文件116中的表中。其它信息(諸如所有者名、分類、類型、記錄數(shù)據(jù)(rdata)、初始、和過期)可以記錄在區(qū)域文件116中。區(qū)域文件116還可以包括基于與由變體ID124標(biāo)識的每個變體回答相關(guān)的密鑰數(shù)據(jù)的簽名126。簽名126可以由解析器102或其它用戶使用公密鑰信息檢查以確保簽名的回答120是可信的并且能被依賴。因此該簽名的回答120可以在自發(fā)或運行中基礎(chǔ)上被取出并且傳輸至解析器102而無需生成回答本身，或針對回答的簽名126。
[0068]依照各方面，圖3圖示了可以在用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法中執(zhí)行的策略調(diào)節(jié)、簽名數(shù)據(jù)通路生成、以及其它處理的流程圖。在302中，處理可以開始。在304中，對于給定的或主題區(qū)域，DNS122可以標(biāo)識將基于該策略集112而變化或不同的策略依賴的記錄。在306中，DNS122可以為由該策略集112的應(yīng)用產(chǎn)生的每個變體記錄集限定或生成所有可能的值。在308中，DNS122可以標(biāo)識用于從該策略集112中選擇每個變體回答的一個或多個策略。
[0069]在310中，DNS122可以單獨簽名區(qū)域文件116，該區(qū)域文件116包括由該策略集112產(chǎn)生的每個變體回答。對區(qū)域文件116的簽名可以通過使用脫機訪問的密鑰數(shù)據(jù)而被執(zhí)行，密鑰數(shù)據(jù)存儲在分離的系統(tǒng)中，該單獨系統(tǒng)包括專用密鑰數(shù)據(jù)存儲系統(tǒng)，或其它存儲或主機。在312中，DNS122可以從解析器102接收問題104，諸如對IP地址的請求和/或其它查詢或請求。在314中，如果問題104被DNS122確定為請求變體資源記錄集(而不是非變體DNS記錄118)，則DNS122可以調(diào)用該策略集112中的一個或多個相關(guān)策略以挑選或選擇簽名回答120。在316中，DNS122可以基于所選擇的一個或多個策略而將簽名回答120返回至解析器102。在318中，處理可以重復(fù)，返回至之前的處理點，跳轉(zhuǎn)至進一步處理點，或結(jié)束。
[0070]圖4圖示了依照各實施方式的、可以被合并在DNS122中的各種硬件、軟件、和其它資源。在所示的實施方式中，DNS122可以包含平臺，該平臺包括與存儲器142(諸如電隨機訪問存儲器)通信的處理器140，在操作系統(tǒng)146控制下或連同操作系統(tǒng)146 —起進行操作。實施方式中的處理器140可以被合并在一個或多個服務(wù)器、集群、和/或其它計算機或硬件資源中，和/或可以使用基于云的資源來實施。操作系統(tǒng)146可以是例如分布式Linux?操作系統(tǒng)、Unix?操作系統(tǒng)、或其它開源或?qū)Ｓ械牟僮飨到y(tǒng)或平臺。處理器140可以與數(shù)據(jù)存儲148 (諸如存儲在本地硬驅(qū)動器或驅(qū)動器陣列上的數(shù)據(jù)庫)通信，以訪問或存儲一個或多個區(qū)域文件116、其它DNS記錄、和/或其選擇的子集，以及其它內(nèi)容、媒介、或其它數(shù)據(jù)。處理器140還可以與網(wǎng)絡(luò)接口 150(諸如以太網(wǎng)或無線數(shù)據(jù)連接)通信，網(wǎng)絡(luò)接口150進而與一個或多個網(wǎng)絡(luò)152 (諸如互聯(lián)網(wǎng)或其它公共或私有網(wǎng)絡(luò))通信。一般來說，處理器140可以編程或配置為在DNS122的控制下執(zhí)行控制邏輯以及控制各種處理操作，包括處理問題104、策略集112、IP地址信息、和/或涉及DNS操作的其它數(shù)據(jù)或信息。在各方面中，解析器102以及在主題域中的任何區(qū)域服務(wù)器可以是或包括類似于DNS122中的那些的資源，和/或可包括額外的或不同的硬件、軟件、和/或其它資源。DNS122、解析器102、相關(guān)網(wǎng)絡(luò)相連、以及其它硬件、軟件、和服務(wù)資源的其它配置是可能的。
[0071]前面的描述是說明性的，并且對本領(lǐng)域技術(shù)人員來說，可以發(fā)生配置和實施方式中的變化。例如，盡管已經(jīng)描述了在其中一個DNS122平臺或元件支持給定域的實施方式，但是在各實施方式中，可以應(yīng)用兩個或多個域名系統(tǒng)(DNS)來支持域。被描述為單個或集成的其它資源在實施方式中可以是復(fù)數(shù)個或分布式的，并且被描述為多個或分布式的資源在實施方式中可以被組合。因此本教導(dǎo)的范圍意圖僅僅由所附權(quán)利要求來限定。
【權(quán)利要求】
1.一種管理域名系統(tǒng)操作的方法，包括: 使用具有安全性擴展的域名系統(tǒng)(DNSSEC)訪問用于域名系統(tǒng)(DNS)操作的策略集； 基于該策略集，生成對與區(qū)域的域名集相關(guān)的問題的回答集； 根據(jù)該回答集和密鑰數(shù)據(jù)集生成簽名回答集； 將該簽名回答集存儲在區(qū)域文件中； 從解析器接收問題；以及 基于從解析器接收的問題以及該策略集取出簽名回答以傳輸給解析器。
2.如權(quán)利要求1所述的方法，其中訪問該策略集包括從與該域名集相關(guān)的用戶處接收策略集。
3.如權(quán)利要求1所述的方法，其中訪問該策略集包括施加由DNS生成的策略。
4.如權(quán)利要求1所述的方法，其中訪問該策略集包括安裝默認(rèn)策略集。
5.如權(quán)利要求1所述的方法，其中生成簽名回答集包括使用存儲在密鑰數(shù)據(jù)中的公和私密鑰集生成該簽名回答集。
6.如權(quán)利要求1所述的方法，其中該策略集包括以下中的至少一個: 基于地理位置數(shù)據(jù)的策略， 基于負(fù)載均衡數(shù)據(jù)的策略， 基于日時信息的策略， 基于授權(quán)級別的策略，或 基于流量管理規(guī)則的策略。
7.如權(quán)利要求1所述的方法，其中生成回答集包括基于與解析器和策略集相關(guān)的互聯(lián)網(wǎng)協(xié)議(IP)地址生成回答集。
8.如權(quán)利要求1所述的方法，其中該回答集包括下述中的至少一個: 與該域名集相關(guān)的互聯(lián)網(wǎng)協(xié)議(IP)數(shù)據(jù)集， 與該域名集相關(guān)的所有權(quán)信息， 與該域名集相關(guān)的分類信息， 與該域名集相關(guān)的初始信息，或 與該域名集相關(guān)的過期信息。
9.如權(quán)利要求1所述的方法,還包括升級該策略集。
10.一種系統(tǒng),包括: 至解析器的網(wǎng)絡(luò)接口，傳輸與區(qū)域的域名集相關(guān)的問題，該域名在具有安全性擴展的域系統(tǒng)(DNSSEC)下操作；以及 處理器，經(jīng)由該網(wǎng)絡(luò)接口與該解析器通信，該處理器被配置為: 訪問用于域名系統(tǒng)(DNS)操作的策略集， 基于該策略集，生成對與域名的區(qū)域集相關(guān)的問題的回答集， 根據(jù)該回答集和密鑰數(shù)據(jù)集生成簽名回答集， 將該簽名回答集存儲在區(qū)域文件中， 從解析器接收該問題，以及 基于該問題和該策略集取出簽名回答以傳輸給解析器。
【文檔編號】H04L29/12GK104052736SQ201410148406
【公開日】2014年9月17日 申請日期:2014年3月15日 優(yōu)先權(quán)日:2013年3月15日
【發(fā)明者】D·布拉卡, R·潘德蘭吉 申請人:弗里塞恩公司