本發(fā)明涉及一種用戶自主選擇域名系統(tǒng)DNS(Domain Name System)解析線路的系統(tǒng)和方法，屬于計算機網(wǎng)絡通信的技術領域。

背景技術：

認證、授權、計費的AAA(Authentication、Authorization、Accounting)服務器架構是用于智能控制計算機網(wǎng)絡資源的接入訪問、強制執(zhí)行某些管控措施、以及向付費服務提供必要信息的實現(xiàn)網(wǎng)絡安全管理的一種重要機制，這個服務器整合機制能夠同時為客戶端提供認證、授權、計費的三種網(wǎng)絡安全管理功能。因此，在現(xiàn)有的IP認證計費網(wǎng)絡中，通常的解決方案是使用Portal(門戶或入口)協(xié)議配合AAA服務器進行客戶端的認證、授權、計費；或者采用美國電氣電子工程師學會IEEE802委員會制定的LAN標準中的802.1X進行用戶認證：由網(wǎng)絡接入認證裝置—網(wǎng)絡接入服務器NAS(Network Access Server)接收認證，并向AAA服務器進行驗證?，F(xiàn)在，這兩種技術和方法已經(jīng)成為一項使用非常廣泛、有效的實現(xiàn)網(wǎng)絡管理和安全方面的重要技術措施和保障。其中：

認證是確認用戶終端或裝置(如主機、服務器、交換機、路由器等)所宣稱的身份的過程。認證是通過提供身份和憑證來完成的。此處的憑證包括各種各樣，例如：密碼、一次性令牌、數(shù)字證書及電話號碼(呼叫方/被呼叫方)。

授權是授予用戶、用戶群、系統(tǒng)或某一進程的訪問權限，它是以用戶各自的認證、請求的服務和當前系統(tǒng)狀態(tài)為前提。授權基于設定的限制，如使用時段限制、物理位置限制或禁止相同用戶多次登錄的限制等。授權決定了授予用戶服務的特征。例如，包括但又不僅限于下述的各種服務：IP地址過濾、地址分配、路徑分配、服務質(zhì)量QoS(Quality of Service)/差分服務、帶寬控制/流量管理、特定終點的強制隧道和加密術。

計費是創(chuàng)建某個用戶執(zhí)行設定行為的方法，如跟蹤用戶鏈接、日志系統(tǒng)用戶等。計費信息可能用于實現(xiàn)管理、規(guī)劃、計量或其它目標。實時計費(Real-time accounting)是采用計費信息與資源消耗并發(fā)傳送的方式。分批計費(Batch accounting)是在計費過程中，采用將計費信息在發(fā)送后才被保存處理的方式。通常收集的信息包括：用戶身份、提供服務的性質(zhì)、服務開始和結(jié)束的時間。

域名系統(tǒng)DNS(Domain Name System)是記錄域名和因特網(wǎng)協(xié)議IP(Internet Protocol)地址之間的映射關系的一個分布式數(shù)據(jù)庫，能夠使得用戶通過域名直接訪問網(wǎng)站，而不用去記住每個域名所對應的IP地址。

在現(xiàn)有的IP認證計費網(wǎng)絡中，DNS服務器、認證服務器和用戶終端設備之間完成DNS解析線路的典型組網(wǎng)結(jié)構及其交互流程如下所述(參見圖1)：

(1)用戶預先簽約一個或多個提供互聯(lián)網(wǎng)接入服務的運營商。

(2)用戶發(fā)起認證，根據(jù)網(wǎng)絡中認證服務器是Portal服務器還是網(wǎng)絡接入服務器NAS，分別采用兩種不同的認證方式：

方法一：認證服務器是Portal服務器時，用戶通過其終端向Portal服務器發(fā)送認證信息(賬戶名及密碼)，并選擇本次接入使用的運營商接入裝置，也就是使用哪條出口鏈路進行后續(xù)的數(shù)據(jù)通信。

方法二：認證服務器是網(wǎng)絡接入服務器NAS時，用戶發(fā)起802.1X認證，并選擇本次接入使用的運營商接入裝置，由網(wǎng)絡接入服務器NAS執(zhí)行接收認證操作，并向AAA服務器進行驗證。

(3)認證服務器(Portal服務器或NAS服務器)通過用戶認證，并將用戶認證成功消息及使用的接入運營商接入裝置通知出口網(wǎng)關。

(4)用戶終端向DNS服務器發(fā)起域名解析訪問請求。

(5)DNS服務器隨機為用戶返回該域名在任一線路上的IP地址。

(6)用戶向出口網(wǎng)關發(fā)起請求，請求訪問DNS服務器返回的這個IP地址。

(7)出口網(wǎng)關根據(jù)步驟(3)接收到的選路結(jié)果，將用戶對應IP地址的訪問請求數(shù)據(jù)報文發(fā)送到用戶所選鏈路。

例如，參見圖1(A)和(B)所示的兩個用戶A和用戶B，在向認證服務器發(fā)起認證時的網(wǎng)絡系統(tǒng)結(jié)構組成及其交互流程如下：

用戶A選擇的鏈路是電信，用戶B選擇的鏈路是聯(lián)通。認證服務器將他們各自的選路結(jié)果都分別發(fā)送給了出口網(wǎng)關，但是，DNS服務器并不知道他們各自的選路結(jié)果。因此，當用戶A和用戶B分別向DNS服務器發(fā)送域名wrdtech.com的解析請求后，DNS服務器給他們都隨機地返回了wrdtech.com在電信下的IP地址。用戶A和用戶B分別向這個電信的IP地址發(fā)起訪問請求，出口網(wǎng)關根據(jù)這兩個用戶的選路結(jié)果，將用戶A的訪問請求發(fā)送到電信鏈路(參見圖1(A))，將用戶B的訪問請求發(fā)送到聯(lián)通鏈路(參見圖1(B))。這樣就使得用戶A向電信運營商接入裝置請求訪問電信的IP地址時，電信運營商接入裝置就能夠直接經(jīng)過本網(wǎng)取得請求結(jié)果，實現(xiàn)訪問。而用戶B向聯(lián)通運營商接入裝置請求訪問電信運營商的IP地址，聯(lián)通運營商接入裝置就必須先將該訪問請求轉(zhuǎn)發(fā)到運營商網(wǎng)間的接入裝置，進入電信網(wǎng)絡后，才能夠返回電信運營商的該IP地址的訪問請求結(jié)果。由于這個用戶B的網(wǎng)絡訪問請求過程發(fā)生了跨運營商網(wǎng)絡的訪問、造成訪問路徑的迂回，增加了訪問延時和丟包風險，嚴重影響用戶的網(wǎng)絡訪問體驗。

基于上述分析，目前的執(zhí)行認證的網(wǎng)絡系統(tǒng)結(jié)構組成及其交互流程存在如下缺點：用戶終端在認證時只選擇了轉(zhuǎn)發(fā)流量(出口)的數(shù)據(jù)鏈路，沒有選擇DNS的解析線路，導致DNS服務器返回的域名IP地址所對應的運營商接入裝置和出口網(wǎng)關請求訪問的運營商不同時(例如用戶向聯(lián)通運營商接入裝置請求訪問電信IP地址)，這種情況就會產(chǎn)生路徑迂回，不僅增加訪問延時，還容易發(fā)生丟包風險導致網(wǎng)絡訪問速度明顯下降，影響用戶的訪問體驗，有時甚至出現(xiàn)用戶不能訪問某些網(wǎng)絡資源的情況。

參見圖2，介紹目前針對上述問題的解決方案：在出口網(wǎng)關外部設置多臺DNS服務器，其中的每臺DNS服務器分別對應一個運營商接入裝置，其網(wǎng)絡系統(tǒng)的組成結(jié)構與交互流程如圖2所示。

(1)用戶預先簽約一個或多個提供互聯(lián)網(wǎng)接入服務的運營商。

(2)用戶進行認證并選擇本次接入使用的運營商(例如聯(lián)通)。

(3)認證服務器(Portal服務器或NAS服務器)通過用戶認證，并將用戶選擇的出口鏈路通知出口網(wǎng)關。

(4)用戶終端向出口網(wǎng)關發(fā)起訪問請求(例如請求訪問域名wrdtech.com)。

(5)出口網(wǎng)關接收到用戶終端的訪問請求，根據(jù)步驟(3)中接收到的選路結(jié)果，將訪問請求發(fā)送到所選鏈路運營商對應的DNS服務器、即DNS服務器1。

(6)DNS服務器1給出口網(wǎng)關返回域名在該運營商接入裝置線路下對應的IP地址(wrdtech.com的聯(lián)通IP地址)。

(7)出口網(wǎng)關將接收到的IP地址返回給用戶終端。

(8)用戶終端向出口網(wǎng)關發(fā)送請求，請求訪問該IP地址。

(9)出口網(wǎng)關將用戶終端的請求發(fā)送到步驟2中收到的選路結(jié)果所對應的運營商(聯(lián)通)接入裝置。

(10)運營商接入裝置將訪問結(jié)果通過出口網(wǎng)關返回給用戶終端。

然而，這樣的組網(wǎng)結(jié)構與交流方式同樣存在許多缺點：首先是要為每個運營商接入裝置都對應配置至少一臺DNS服務器，造成軟硬件的投資費用顯著增加。而且，DNS服務器的部署位置要求特殊，某些網(wǎng)絡條件下無法部署實施。再者，將DNS服務器安設在出口網(wǎng)關外部，存在極大的安全隱患，容易遭到外部攻擊，導致網(wǎng)絡癱瘓。另外，由于用戶終端接入網(wǎng)絡時獲得的DNS服務器列表的時間，要早于用戶完整實現(xiàn)認證和選擇線路的時間，導致DNS服務器的解析結(jié)果所對應鏈路與用戶實際認證時所選鏈路有可能存在不一致的情況，這樣也會導致網(wǎng)絡訪問迂回。

技術實現(xiàn)要素：

有鑒于此，本發(fā)明的目的是提供一種用戶自主選擇域名系統(tǒng)DNS解析線路的系統(tǒng)和方法，該系統(tǒng)的結(jié)構非常簡單，容易實現(xiàn)，操作方法的步驟同樣非常靈活、便利，較好地解決了現(xiàn)有技術在外部部署多臺DNS服務器實現(xiàn)策略一致而帶來的軟硬件的投資費用成本過高、安全性低、仍然可能造成迂回訪問網(wǎng)絡等多個問題，能夠明顯提高網(wǎng)絡訪問速度，提升和改善用戶體驗。

為了達到上述目的，本發(fā)明提供了一種用戶自主選擇域名系統(tǒng)DNS(Domain Name System)解析線路的系統(tǒng)，包括：用戶終端、DNS服務器、認證服務器、出口網(wǎng)關和運營商接入裝置；其特征在于：所述DNS服務器和認證服務器各自分別增設用于相互通信的認證服務器通信接口和DNS服務器通信接口，所述認證服務器是門戶Portal服務器或網(wǎng)絡接入服務器NAS(Network Access Server)；其中：

增設DNS服務器通信接口的認證服務器，由其用戶認證選路接口負責將完成認證并選路的用戶終端的IP地址及其所選鏈路信息分別傳送給DNS服務器通信接口和出口網(wǎng)關；該認證服務器的DNS服務器通信接口負責將該用戶終端的IP地址和Portal服務器或NAS服務器所選擇的鏈路信息封裝在報文中，直接發(fā)送給DNS服務器；

增設認證服務器通信接口的DNS服務器，由其認證服務器通信接口負責接收來自認證服務器的報文，獲取用戶終端IP地址及其所選鏈路信息；再將該所選鏈路對應為相應運營商線路，建立用戶終端IP地址和運營商線路的映射表；DNS服務器在用戶終端認證上線時，按照認證先后順序，將用戶終端IP地址和運營商線路的對應關系記錄于映射表，以供接收到用戶終端訪問某個域名請求時，在映射表中查找該用戶終端IP地址所對應的運營商線路后，返回該用戶終端請求訪問的域名在其所選運營商線路下解析得到的IP地址；

出口網(wǎng)關，負責從認證服務器接收完成認證與選路的用戶終端的所選線路結(jié)果，再根據(jù)接收到的用戶終端選路結(jié)果，將用戶終端對運營商線路域名IP地址的訪問請求發(fā)送到對應的運營商接入裝置，并將運營商接入裝置返回的訪問結(jié)果發(fā)送給用戶終端。

為了達到上述目的，本發(fā)明還提供了一種采用本發(fā)明用戶自主選擇域名系統(tǒng)DNS解析線路的系統(tǒng)的工作方法，其特征在于：所述方法包括下列操作步驟：

步驟1，認證服務器的用戶認證選路接口接收到完成認證的用戶終端的IP地址及其所選鏈路信息后，將該用戶終端的IP地址及其所選鏈路信息發(fā)送到DNS服務器通信接口；

步驟2，認證服務器的DNS服務器通信接口將接收到的該用戶終端的IP地址及其所選鏈路信息封裝在報文中，直接發(fā)送給DNS服務器的認證服務器通信接口；同時將該用戶終端IP地址及其所選鏈路信息發(fā)送給出口網(wǎng)關；

步驟3，DNS服務器的認證服務器通信接口接收到來自認證服務器的報文信息，將該用戶終端所選鏈路對應為運營商線路，建立用戶終端IP地址和運營商線路對應關系的映射表；

步驟4，DNS服務器接收到用戶終端訪問某個域名請求時，在映射表中查找發(fā)送訪問請求的用戶終端IP地址所對應的運營商線路，并將該域名在該運營商線路下解析得到的IP地址返回給發(fā)送訪問請求的用戶終端；

步驟5，用戶終端向出口網(wǎng)關發(fā)送訪問該運營商線路域名的IP地址請求；

步驟6，出口網(wǎng)關根據(jù)在步驟2接收到的用戶終端選路結(jié)果，將該用戶終端對運營商線路下域名解析得到的IP地址的訪問請求發(fā)送到對應的運營商接入裝置，并將運營商接入裝置返回的訪問結(jié)果發(fā)送給用戶終端。

本發(fā)明的創(chuàng)新技術特點和優(yōu)點是：

本發(fā)明用戶自主選擇DNS解析線路的系統(tǒng)結(jié)構組成，是在認證服務器與DNS服務器之間增設通訊接口，以便將用戶認證選路信息直接通知DNS服務器。為此，只需要對現(xiàn)有的DNS服務器和認證服務器進行改進：各自分別增設用于相互通信的Portal服務器通信接口和DNS服務器通信接口，而對客戶端、用戶終端或其他裝置無需進行任何改動。因此，本發(fā)明系統(tǒng)結(jié)構非常簡單，對現(xiàn)有用戶的正常操作及行為不會造成干擾，也就是說，本發(fā)明的結(jié)構非常簡單，它的改進對網(wǎng)絡中的用戶而言，是透明的。

本發(fā)明用戶自主選擇DNS解析線路的系統(tǒng)與方法，通過認證服務器將用戶的鏈路選擇結(jié)果通知DNS服務器，實現(xiàn)了用戶自主選擇DNS解析線路，避免了現(xiàn)有系統(tǒng)中部署多臺DNS服務器的技術方案所帶來的高成本、不安全的問題，提高了用戶的訪問體驗。而且，本發(fā)明系統(tǒng)是根據(jù)用戶選擇的上網(wǎng)線路和DNS服務器的域名解析結(jié)果，自動優(yōu)化篩選，智能地選擇對用戶網(wǎng)絡訪問體驗最佳的域名解析結(jié)果，無需用戶手工設置遞歸解析DNS服務器地址；既優(yōu)化用戶體驗，也解決了用戶終端的DNS解析與運營商接入裝置IP路由選路不一致的問題；從而使得用戶訪問網(wǎng)絡實現(xiàn)優(yōu)化：使用最佳線路。

附圖說明

圖1(A)、(B)是在現(xiàn)有的IP認證計費網(wǎng)絡中，DNS服務器、認證服務器和用戶終端之間完成DNS解析線路的系統(tǒng)結(jié)構組成和兩種操作方法示意圖。

圖2是在現(xiàn)有的IP認證計費網(wǎng)絡中，另一種DNS服務器、認證服務器和用戶終端之間完成DNS解析線路的系統(tǒng)結(jié)構組成及其操作方法示意圖。

圖3是本發(fā)明用戶自主選擇域名系統(tǒng)DNS解析線路的系統(tǒng)中，認證服務器和DNS服務器各自分別增設用于相互通信的DNS服務器通信接口和認證服務器通信接口的結(jié)構組成示意圖。

圖4是本發(fā)明用戶自主選擇域名系統(tǒng)DNS解析線路的系統(tǒng)結(jié)構組成及其工作方法操作步驟示意圖。

具體實施方式

為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚，下面結(jié)合附圖和實施例對本發(fā)明作進一步的詳細描述。

參見圖3和圖4，本發(fā)明用戶自主選擇域名系統(tǒng)DNS解析線路的系統(tǒng)，是在原有的網(wǎng)元：用戶終端、認證服務器(包括兩種網(wǎng)元：門戶Portal服務器或網(wǎng)絡接入服務器NAS(Network Access Server))、DNS服務器、出口網(wǎng)關和運營商接入裝置基礎上進行改進組成的：即認證服務器增設用于與DNS服務器通信的DNS服務器通信接口，以及DNS服務器增設用于與認證服務器相互通信的認證服務器通信接口(參見圖3)。其中：

增設DNS服務器通信接口的認證服務器，由其用戶認證選路接口負責將完成認證并選路的用戶終端的IP地址及其所選鏈路信息分別傳送給DNS服務器通信接口和出口網(wǎng)關；該認證服務器的DNS服務器通信接口負責將該用戶終端的IP地址和所選鏈路信息封裝在報文中，直接發(fā)送給DNS服務器。

增設認證服務器通信接口的DNS服務器，由其認證服務器通信接口負責接收來自認證服務器的報文，獲取用戶終端IP地址及其所選鏈路信息；再將該所選鏈路對應為相應運營商線路，建立用戶終端IP地址和運營商線路的映射表。DNS服務器在用戶終端認證上線時，按照認證的先后順序，將用戶終端IP地址和運營商線路的對應關系記錄于映射表，以供接收到用戶終端訪問某個域名請求時，在映射表中查找該用戶終端IP地址所對應的運營商線路后，返回該用戶終端請求訪問的域名在其所選運營商線路下解析得到的IP地址。

同樣地，本發(fā)明系統(tǒng)中的DNS服務器在處理記錄在映射表中的用戶終端IP地址和運營商線路的對應關系時，一旦用戶終端操作離線時，就及時刪除該對應關系。

出口網(wǎng)關，仍然負責從認證服務器接收完成認證與選路的用戶終端的所選線路結(jié)果，再根據(jù)接收到的用戶終端的選路結(jié)果，將用戶終端對運營商線路域名IP地址的訪問請求發(fā)送到對應的運營商接入裝置，并將運營商接入裝置返回的訪問結(jié)果發(fā)送給用戶終端。

參見圖4，舉例介紹本發(fā)明用戶自主選擇域名系統(tǒng)DNS解析線路的系統(tǒng)的工作方法具體操作步驟：

步驟1，認證服務器(Portal服務器或NAS服務器)的用戶認證選路接口接收到完成認證的用戶終端的IP地址及其所選鏈路信息(例如聯(lián)通)后，將該用戶終端的IP地址及其所選鏈路信息發(fā)送到DNS服務器通信接口。

步驟2，認證服務器的DNS服務器通信接口將接收到的該用戶終端的IP地址及其所選鏈路(聯(lián)通)信息封裝在報文中，直接發(fā)送給DNS服務器的Portal服務器通信接口；同時將該用戶終端IP地址及其所選鏈路(聯(lián)通)信息發(fā)送給出口網(wǎng)關。

步驟3，DNS服務器的認證服務器通信接口接收到來自認證服務器的報文信息，將該用戶終端所選鏈路(聯(lián)通)對應為(聯(lián)通)運營商的線路，建立用戶終端IP地址和(聯(lián)通)運營商線路對應關系的映射表。

步驟4，DNS服務器接收到用戶終端訪問某個域名請求(例如wrdtech.com)時，在映射表中查找發(fā)送訪問請求的用戶終端IP地址所對應的(聯(lián)通)運營商線路，并將該域名在該(聯(lián)通)運營商線路下解析得到的IP地址(例如wrdtech.com在聯(lián)通的IP地址)返回給發(fā)送訪問請求的用戶終端。

該步驟中，映射表中記錄的用戶終端IP地址和運營商線路的對應關系，在該用戶終端操作離線時，DNS服務器應刪除該對應關系。

步驟5，用戶終端向出口網(wǎng)關發(fā)送訪問該運營商線路域名的IP地址請求。

步驟6，出口網(wǎng)關根據(jù)在步驟2接收到的用戶終端選路結(jié)果，將該用戶終端對運營商線路下域名解析得到的的IP地址(例如wrdtech.com在聯(lián)通的IP地址)的訪問請求發(fā)送到對應的(聯(lián)通)運營商接入裝置，并將(聯(lián)通)運營商接入裝置返回的訪問結(jié)果發(fā)送給用戶終端。

在北京郵電大學校園網(wǎng)的優(yōu)化改進過程中，已經(jīng)對本發(fā)明用戶自主選擇DNS解析線路的系統(tǒng)與方法進行了多次實施試驗。試驗結(jié)果表明，實現(xiàn)了發(fā)明目的，能夠?qū)崿F(xiàn)用戶自主選擇DNS解析線路，且有效提升了用戶的上網(wǎng)體驗。