CN104052829A - 自适应名字解析 - Google Patents
自适应名字解析 Download PDFInfo
- Publication number
- CN104052829A CN104052829A CN201410148379.0A CN201410148379A CN104052829A CN 104052829 A CN104052829 A CN 104052829A CN 201410148379 A CN201410148379 A CN 201410148379A CN 104052829 A CN104052829 A CN 104052829A
- Authority
- CN
- China
- Prior art keywords
- address
- dns
- information
- server
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000003044 adaptive effect Effects 0.000 title abstract description 14
- 230000004044 response Effects 0.000 claims abstract description 104
- 238000000034 method Methods 0.000 claims abstract description 78
- 230000009471 action Effects 0.000 claims abstract description 29
- 230000008569 process Effects 0.000 claims description 47
- 230000001052 transient effect Effects 0.000 claims description 11
- 206010012186 Delayed delivery Diseases 0.000 claims description 10
- 238000004458 analytical method Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000004088 simulation Methods 0.000 claims description 2
- 230000003111 delayed effect Effects 0.000 claims 3
- 230000003278 mimic effect Effects 0.000 abstract 1
- 230000006978 adaptation Effects 0.000 description 55
- 238000005516 engineering process Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000007726 management method Methods 0.000 description 7
- 238000013500 data storage Methods 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000008447 perception Effects 0.000 description 2
- BASFCYQUMIYNBI-UHFFFAOYSA-N platinum Chemical compound [Pt] BASFCYQUMIYNBI-UHFFFAOYSA-N 0.000 description 2
- 238000013517 stratification Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 229940029329 intrinsic factor Drugs 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 229910052697 platinum Inorganic materials 0.000 description 1
- 229910052709 silver Inorganic materials 0.000 description 1
- 239000004332 silver Substances 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Abstract
本发明为自适应名字解析。一种方法、系统、和包括指令的计算机可读存储器包括:接收DNS请求,该请求包含与用户特有信息、设备特有信息、和/或认证信息相关的信息;分析该信息;基于分析状态确定要采取的合适的动作;以及采取合适的动作。动作可包括:用个性化网络层地址或服务定位地址响应;延迟发送响应消息;发送对应于包含认证信息的站点的网络层地址或服务定位地址;以及发送具有网络层地址或服务定位地址的响应,网络层地址或服务定位地址具有被配置成模拟与所请求的资源相关的网站的网址。
Description
相关申请交叉引用
本申请为2011年10月3日提交的、序号为13/251,607的美国专利申请的部分继续申请,其公开通过引用全部合并入本文中。
技术领域
本公开一般地涉及域名服务(DNS)解析。具体来说,本公开涉及用于对DNS请求的自适应DNS解析并提供自适应和相关响应的方法和系统。
背景技术
DNS系统利用层次化结构以响应于DNS查询而将完全限定域名关联至特定IP地址。例如,如果用户在其计算机的互联网浏览器上访问网站www.example.com,通常,计算机上的桩解析器将:(1)首先检查自身的DNS缓存是否有合适的响应;(2)如果在缓存中不可获得,则查询递归名字服务器或可能地用相同信息从根DNS服务器向下查询委托图的每一等级,期望回复。如果所查询的系统具有该信息或对该准确问题是权威的,则提供响应或错误。如果它不具有信息但知道谁是,则其提供委托/指引给应当具有更准确信息的子级。为运用更大的缓存机制,DNS解析器(递归名字服务器)可在步骤(1)和(2)之间被使用。因为DNS解析器服务多个用户,其通常含有更大缓存,有助于降低根服务器和登记服务器上的负载并经常最小化用户的响应时间,因为其通常在拓扑上更接近于客户端。DNS解析器还可作为递归名字服务器,处理不同名字服务器之间的多个事务和跟随的委托/指引链以解析考虑中的资源的最终IP地址,简单地将最终应答传送回用户计算机。DNS解析器可以最终在其响应中提供网络层标识符或服务定位id,其在一些实例中可以是相同的。
一些DNS服务器支持基于初始查询机的源IP地址的对DNS查询的基本过滤。例如,一些服务器可将源IP地址与IP地址白名单或黑名单相比较并因此允许或不允许该IP地址。其它服务器可使用源IP地址来接近查询源机的定位(地理定位),并使用该定位信息通过返回被认为比另一资源服务器更接近的资源服务器的IP地址来定制该响应。在所有这些情况中,总体而言,一旦响应被允许,DNS响应就返回将提供对资源服务器的访问的机器的IP地址(或网络层标识符或服务定位id)。该IP地址、网络层标识符和服务定位id被解析,而与最终使用该资源的用户许可的状态无关。
例如,假设用户访问其上具有定制门户的网站,如mypage.example.com。如果用户不具有关于mypage.example.com的有效账户,则允许用户访问站点可能是完全没必要的,并且通过该资源的网络层标识符和定位符的公开造成潜在安全风险。即使用户不具有关于mypage.example.com的账户,仍必须对用户采用一些机制以被网站标识和认证。
存在各种手段来认证请求资源的用户。在典型情形中,用户可具有网站上的登录凭证,或与这些凭证的先前交换关联的cookie。曾经被验证的该登录凭证认证该用户,以允许对仅会员或特定用户资源的访问。例如,访问银行网站的用户可登录以查看与用户的账户关联的信息。
这个类型的认证的一个问题在于:直到该用户被认证或标识,该资源解析过程通常以对每个用户相同的方式进行。可在该资源服务器上采用高级联网机制,以在认证前过滤不同类型的请求,诸如基于用户的IP地址地理定位转移网络流量,例如,欧洲的用户可被转移至在欧洲建立的服务器。
单独地,由于几个原因,这些技术是有问题的。这些技术的一个问题是:在每个实例中,资源IP地址(或网络层标识符和服务定位标识符)被暴露。这是不合乎希望的,因为解析的IP地址(或网络层标识符或服务定位标识符)的该公开的属性把资源暴露给分布式拒绝服务(DDoS)攻击,与该IP地址关联的系统的软件的安全弱点探查,或获得对用户账户或通常在该IP地址(或网络层标识符或服务定位标识符)处访问的其它资源的未授权访问或控制的尝试。这种情况类似于,在接收到前门上的敲击之后,将门仅打开一缝隙看谁在外面。如果外面的人是恶意的,一旦你打开门,这个人可能能够进来。在打开门之前证实谁站在外面、或可能首先不公开你的家庭地址以及那里什么些资源可以是可用的将更加安全。
希望一种方法和系统,其可在返回IP地址(或网络层标识符或服务定位标识符)之前执行自适应的(包括但不限于)对DNS请求者的认证响应,以部分地确保在打开门或公开地址之前请求者具有对最终资源访问的授权。后面的公开解决了这些问题并向名字解析过程提供增加的便利性和功能。例如,如下面所描述的,该预认证系统使管理员基于请求者的认证状态在DNS等级规定专门的行为。
发明内容
一种方法,系统,和包含指令的计算机可读存储器,包括:接收包含信息的DNS请求,该信息包括但不限于验证信息和与发起DNS请求的用户和/或用户设备的操作环境相关的信息;验证该信息;基于该验证状态确定要采取的合适的动作;以及采取合适的动作。与用户的操作环境相关的信息可包括但不限于,空间的(即用户的定位)、时间的(即作出DNS请求的日时或星期时)、用户的安全等级或访问许可等级,或其组合。与用户设备的操作环境相关的信息可包括但不限于,设备的类型、硬件配置、软件配置、设备的平台类型、无线连通性信息(即无线信号的强度),空间的(即设备的定位),及其组合。动作可包括:用个性化网络层标识符或服务定位标识符(诸如IPv4或IPv6网络层地址)响应、延迟发送响应消息、发送对应于包含验证信息的站点的IP地址(或网络层标识符或服务定位标识符)、以及发送具有对应于被配置成模拟与所请求的资源相关的网站的网址的IP地址(或网络层标识符或服务定位标识符)的响应。在实施方式中,基于与用户和/或用户设备的操作环境相关的信息,该动作可为依赖性的和/或定制的。
在实施例中,该信息通过起源DNS解析请求的设备以外的设备增加至DNS解析请求。在一些实施例中,该信息包括验证信息,例如以下一个或多个:源IP地址、用户名/密码组合、加密数据包、和硬件标识信息。
在一些实施例中,该信息接受自资源服务器并且该信息在自适应DNS服务器中被更新。在一些实施例中,个性化网络层标识符或服务定位标识符可对应于一次使用标识符或通常专用于特定用户的标识符。
在一些实施例中,其中标识信息确定该请求者先前已被拒绝对资源服务器IP地址,网络层标识符或服务定位标识符访问,并且接收延迟的响应,后续的DNS请求在处理之前接收越来越长的延迟。在一些实施例中,该认证的用户被分类到类中,并取决于该类接收对资源服务器的优先访问。
在一些实施例中,社区授权信任可发布认证证书,认证证书确认请求域名的名字解析的用户的身份。用户可使用认证证书来作出名字解析请求。一旦被验证,该认证证书就可由自适应DNS服务器使用以确定响应于请求提供的IP地址(或网络层标识符或服务定位标识符)。
在一些实施例中,DNS请求和标识信息可连同DNS响应或采取的其它动作一起被记录。可为了请求和响应中的统计数据趋势来分析这些记录。该记录还可被分析以确定各种源IP地址中的安全趋势,例如,用于标识应列入黑名单的IP地址或用户。
在一些实施例中,认证信息的验证结果可用于创建计费信息,使服务运营商能够针对特定类型的响应对客户端记费。
在实施方式中,公开了用于认证DNS请求的系统。该系统可包括:社区授权信任;认证DNS服务器,包括处理器和计算机可读存储器。该计算机可读存储器包含指令,当在处理器上执行时,该指令执行一种方法,方法包括:在认证服务器接收来自用户的DNS解析请求,其中该请求包括要解析的域名和认证证书,其中该认证证书响应于用户的标识认证请求而由社区授权信任发布;在认证服务器上验证该认证证书;基于对认证证书的验证,由认证服务器确定网络层地址或服务定位地址;以及发送该网络层地址或服务定位地址至用户。
在实施方式中,该认证证书指示对一组用户的认证。DNS解析请求还可包括社区授权信任的证书授权凭证。该认证证书可包含对应于DNS解析请求的许可数据。
在实施方式中,DNS动作可包括:基于该许可数据确定对应于DNS解析请求的网络层地址或服务定位地址;以及发送信号至资源服务器,其中该信号使该资源服务器提供网络层地址或服务定位地址。
在实施方式中,该硬件标识信息可包括设备相关数据,包括但不限于,设备软件和应用信息,诸如OS,补丁版本,用户代理等,可被捕获并提供至自适应服务器。该设备相关数据可由自适应服务器或另一设备(诸如与自适应服务器通信的安全服务器)分析以为用户和/或设备提供增强的安全控制。
要理解前面的总体描述和后面的详细描述两者都仅仅是示例性和解释性的,并且不限制本申请,如要求的那样。
被合并在本说明书中并构成本说明书一部分的附图图示了本申请的实施例并且与描述一起用于以解释本申请的原理。
附图说明
图1图示了展示可用于实施自适应解析平台的组件的示例性体系结构;
图2图示了接收DNS请求,分析DNS请求,并返回响应的示例性过程;
图3图示了验证DNS请求中提供的信息的示例性过程;
图4图示了基于认证信息分类用户的示例性过程;
图5图示了在基于用户认证的DNS响应中使用IPv6地址的示例性过程;
图6图示了基于丢失的,非期望的,或无效的认证信息来提供安全响应的示例性过程;
图7图示了展示可用于实施包括社区信任授权的自适应解析平台的组件的示例性体系结构;并且
图8图示了使用从社区信任授权获取的认证证书来请求认证名字解析的示例性过程。
具体实施方式
现将详细地参考示例性实施例。在任何可能的情况下,在所有附图中,相同的参考数字将用于指代相同或相似的部件。
图1图示了展示可用于实施自适应解析平台的组件的示例性体系结构(100)。用户计算机(105)可发起DNS请求。该请求可由于以下原因而被发送:用户访问网站,运行于用户计算机上的程序发起在线事务,或用户计算机将具有把完全限定域名(诸如www.example.com)翻译成其对应的IP地址的需要的任何其它可能原因。为启动该请求,用户计算机(105)通过来自根服务器(110)的指引响应检索针对顶级域(TLD)(例如“com”)的名字服务器信息。根服务器(110)以针对TLD(115)的名字服务器返回该响应。用户计算机(105)接下来查询针对TLD(115)的名字服务器中是否有针对该域(例如,“example”)的完全限定域名信息,并再次接收到第二级域权威名字服务器的指引。该权威名字服务器为自适应名字服务器(120)。在该示例中,自适应名字服务器权威应答“www.example.com”完全限定域名并将其解析为相应的网络层地址或服务定位地址。
自适应名字服务器(120)可访问局部化缓存系统(125),以把从用户计算机(105)接收的认证信息和从资源认证接口(135)接收的认证信息两者都存储于数据存储(130)中。自适应名字服务器(120)与资源自适应接口(135)对接以把凭证(如认证凭证)从用户计算机(105)传送到资源自适应接口(135)并接收具有关于用户状态(如认证状态)的信息的响应。
资源自适应接口(135)还可与资源服务器(140)对接。例如,网址http://www.example.com的资源服务器将是被配置成以一个或多个IP地址响应于对www.example.com的http请求的服务器。如果用户计算机(105)被认证,则自适应DNS服务器(120)可返回资源服务器(140)的IP地址(或网络层标识符或服务定位标识符)至用户计算机(105)。然后,用户计算机可通过给定的IP地址访问资源服务器。
本领域技术人员将意识到图1的体系结构仅仅是示例性的。可合并其它联网设备以管理流量。具体来说,本领域技术人员认识到,防火墙、负载均衡器、附加的镜像服务器(名字服务器,资源服务器,自适应接口,和认证接口)、以及特定名字服务器缓存可被合并到该网络设计和体系结构中。另外,本领域技术人员将认识到,附加的层次化DNS服务器可被查询,例如secure.www.example.com,以及接口和服务器可被组合而在一个物理机上。例如,资源自适应接口(135)可在物理上和程序上布置在与资源服务器(140)相同的一个或多个机器上。
进一步,尽管互联网上的DNS服务器传统上操作为返回IP地址,但是该功能可在专用网络的更高IP层被局部化。例如返回网络层标识符和服务定位标识符的DNS服务器实质上可返回对应于机器的IP地址。然而,DNS服务器还可理解为根据统一资源标识符(URI)返回网络层标识符和服务定位标识符,从而标识特定层和服务定位。本领域普通技术人员将意识到,本公开中对仅返回IP地址的任何提及应当理解为替代地和附加地包括在网络层标识符或服务定位标识符之间进行区分的可能性。
自适应DNS服务器(120)可与安全策略引擎(未示出)在网络外部或内部对接。该安全策略引擎可以通知在自适应DNS服务器(120)或被设计成使用安全策略的任何其它联网设备处的自适应解析功能。以下结合图7描述示例性体系结构,其图示了如基于社区的策略信任这样的安全策略引擎的使用。
回到自适应DNS服务器(120),可用软件把自适应DNS服务器(120)实施成一个或多个计算系统上的软件模块或程序。例如,自适应DNS服务器(120)的功能可包括一个或多个应用,该应用可包括计算机可读指令的一个或多个计算机单元,当由执行处理器时,该计算机单元引起一个或多个计算机执行方法步骤。具体来说,图1中的示例性体系结构可支持程序代码在一个或多个计算机上的执行以完成全部方法。计算机可读指令可存储于计算机可读介质上,诸如存储器或磁盘。这样的介质通常提供非暂态存储。图1中描绘的组件的一个或多个组件可以是硬件组件或硬件与软件的组合诸如,例如专用计算机或通用计算机。计算机或计算机系统还可包括内部或外部数据库。该数据库可包括一个或多个个体数据库或配置成一起动作的数据库。数据库可实施于商业,开源,或专有数据库程序中或可包含于记录文件,平面文件,或其它任何数据存储机制中。此外,计算机或计算机系统的组件可通过局部总线接口或经由局域网或广域网连接。图1中描绘的组件经由网络(未示出,诸如互联网,企业内部网,或任何类型的有线或无线通信系统)操作地相互连接。连接可通过直接通信链路,局域网(LAN),广域网(WAN)和/或其它合适的连接实施。
在实施方式中,自适应DNS服务器(120)能够可操作成执行各种功能,包括但不限于认证操作。自适应DNS服务(120)还能够可操作成充当关联点,用于把来自请求及其请求者的信息与负责请求者属性所特有的请求的信息关联。通过非限制示例的方式,当DNS请求被发送至自适应DNS服务器(120)时,其它信息也可被发送以用于适配或定制该响应。如上所讨论的,附加信息可包括与用户或用户的设备操作环境相关的信息。自适应DNS服务器(120)可收集该附加信息并至少部分地基于这个所收集的信息响应该用户。这个附加信息还可与可用于控制何时,何地,以及如何提供请求给用户的多因素认证协议合并。由自适应DNS服务器(120)收集的信息还可与附加的安全协议一起使用以创建用户流量记录,该记录可用于跟踪或确定潜在安全风险或反常行为。
图2图示了接收DNS请求、分析DNS请求的示例性过程(200),其可包括但不限于认证DNS请求并返回响应。在步骤210中,自适应DNS服务器(120)接收针对域名的域名解析请求。如上所讨论的,自适应DNS服务器(120)权威响应于该域名。自适应DNS服务器(120)在步骤220中检查DNS请求并确定该请求要求认证。具体来说,自适应DNS服务器(120)可为多用DNS服务器,作为自适应DNS服务器和常规权威服务器两者。因此,确定DNS请求要求认证允许继续认证该请求的余下步骤。如果,在通常操作中,DNS请求不要求认证,则常规DNS响应技术将开始。附加地或替代地,自适应DNS服务器(120)可用其它信息响应DNS请求,该信息可基于以下因素(包括但不限于):用户、以及因此的设备定位、设备的硬件、软件、和平台特性、及其它相关信息针对具体用户环境被个性化。
在步骤230中,过程可考虑DNS请求是否包含认证信息。如果其包含,则过程在步骤240中可考虑该认证信息是否匹配期望的格式和认证信息的类型。如果该认证为合适的格式和类型,则过程在步骤250中将考虑认证信息是否有效。如果在先前任一步骤中,DNS请求不包含认证信息,而是其以错误的信息格式或类型存在,或如果该认证过程无效,则合适的安全动作或响应可在步骤270中确定。该安全动作或响应步骤将在下文更详细地讨论。本领域技术人员将意识到的是,具体来说,步骤230和240为可选的和可互换的,并被呈现成展示在验证过程中将它们呈现以被认证之前剔除DNS请求的手段。还可施加其它流量管理技术,诸如白名单/黑名单技术和根据已知或待发现的流量管理技术的其它这样的流量管理技术。
如果DNS请求被认证,该认证用户或请求者可被分类到用户的特定类中,如在步骤260中那样。以下将更多讨论分类。如图2中所述,步骤260也是可选的。在步骤270中,对DNS请求的响应被返回至用户计算机(105)。如果任何测试失败,导致未验证的请求,则如在步骤280中那样确定安全动作和响应。
图3图示了对应于示例性步骤250中的分析(包括验证)信息的示例性过程(300),该信息包括在DNS请求中供应的用户特有的,设备特有的,和/或认证信息。在步骤310中检查该认证信息。检查认证缓存(125)以根据步骤320中实施的缓存准则来确定用户是否最近已被认证。如果是,则在步骤350中该认证缓存可把用户验证为已认证的。如果否,则自适应DNS服务器(120)可查询资源认证接口(135),以确定该认证信息是否有效,如在步骤330中那样。如果在步骤340中资源认证接口(135)返回有效,则该用户被确定为已认证的。否则,在步骤360,该用户被确定为未认证的。
认证信息覆盖全部范围的信息,该信息可在DNS请求中供应或从DNS请求被检测。由请求用户在DNS请求中提供的属性包括诸如以下各项:IP地址,MAC地址,信誉数据,用户名/密码,加密方案,硬件密钥,地理定位信息,指纹标识,使用私钥/公钥认证方案的的加密包,机器硬件ID,产品或许可ID,安全策略证书,或在DNS查询本身中的其它任何可想到的用户标识信息。
在一个实施例中,代替认证特定用户,认证信息可把特定用户认证为属于组。在另一实施例中,认证信息可由分组监视设备在DNS请求离开用户计算机之后插入。例如,企业计算机可发送DNS请求,然后DNS请求在离开企业网络之前被拦截,并通过在请求中插入认证信息来更新。
在另一实施例中,该认证信息可为已由PKI基础设施中的私钥加密的一些数据。然后该认证服务器将使用对应于用户的私钥的、先前传输的公钥来解密该数据。证实该数据认证了加密数据的用户为期望的用户。例如,该自适应DNS服务器可识别特定用户的源IP地址,但要求通过上面概述的PKI密钥对加密/解密方案进一步证明。另外,已把公钥提供给用户计算机的该自适应DNS服务器可使用其自身的私钥加密DNS响应。
本领域技术人员将意识到的是,可包括认证信息的其它组合以提供一个或多个标记,即用户计算机为其所声称的设备并且该用户被允许接收DNS响应。认证信息还可示出用户计算机正在由特定用户操作,由此实际上认证该特定用户。例如,认证信息可包括与用户身份相关的信息,如名字/密码组合等。
在实施方式中,自适应DNS服务器可使用多因素认证技术(其可包括2因素,3因素,或更多)提供认证功能。在该方法中,要求用户呈现两个或更多认证因素诸如知道因素(“用户知道的某件事”),占有因素(“用户具有的某种事物”),以及固有因素(“用户是某种事物”)。多因素认证技术可使用安全令牌(其可为给予用户以证明用户的身份的唯一软件对象)、密码短语、cookie、仅对一次使用有效的一次使用密码,以及加密密钥。该安全令牌可体现在用户保持的物理设备(诸如智能电话应用或具有显示必须输入到认证屏幕中的不断改变的通行码的显示器的袖珍认证令牌)中。所显示的通行码可通过密码过程从共享秘密获得(例如,在使用密码散列函数散列秘密,或秘密与询问以密码方式组合的情况中),且该结果被显示。通过使用多因素认证技术,DNS服务器可基于该多个因素确定响应哪个请求或如何响应特定请求。以非限制示例的形式,DNS服务器可用一种方式响应请求,其中该请求使用特定机器、由特定用户、在特定定位、并在特定日时起源。此外,如果任何或全部上述因素是不同的和/或无效的,则DNS服务器可用不同的方式响应。
图4图示了对应于示例性步骤260的基于认证信息对用户分类的示例性可选过程(400)。在步骤410中,过程确定对所请求的特定资源的可用分类。示例性分类包括诸如以下各项:“高”、“中”或“低”优先权用户;政府用户;应急专业用户;高流量用户;免费用户;付费用户;高级用户,来宾用户等。在步骤420中,用户可被分类成一个或多个可用分类。在步骤430中,用户的分类被跟踪,以使分类信息可稍后用于返回DNS响应的过程中。
图5图示了对应于示例性步骤270的、在基于用户认证的DNS响应中使用IPv6地址的示例性过程(500)。因为在一个实施例中该IPv6地址空间如此巨大,个性化IPv6地址可被作为DNS响应返回。然而传统IP地址空间(IPv4)包含总数为4,394,967,296个地址的理论地址,理论IPv6地址的数量是其1028倍。当然,多于40亿的IP地址是大量的地址,但因为体系结构的限制,可用地址的实际数量明显较少。IPv6地址增加了如此多的可用IP地址,以致地球上的每个人可具有接近8百万亿个IP地址。认证的DNS解析通过利用个性化IPv6响应随时准备运用大IP地址空间。本领域技术人员将理解,以下关于IPv6地址描述的示例性实施例可以同等地适用于网络层标识符或服务定位标识符解析过程的任何名字。
每个DNS响应可基于访问该资源的用户来个性化。例如,在一个变型中,DNS服务可返回对应于该用户的永久分配的IPv6地址。该IPv6地址可对用户是唯一的,或可在两个或多个用户之间共享。在另一变型中,自适应DNS服务器可返回临时IPv6地址,临时IPv6地址仅适用于特定时间长度或直到对应该IPv6地址的活跃性在非活跃性时段之后超时。一旦使用该IPv6地址,其可永不再被使用,或可被回收以在将来使用。利用永久IPv6或其它网络层地址具有更容易地创建对资源的访问的后面记录的优点。其它实施例可把永久或临时分配的IPv6地址的这些原理单独地施加至网络层标识符或服务定位标识符两者。
回到图5,步骤510考虑该响应是否将发布一次使用的(或很少使用的)IPv6(或网络层标识符或服务定位标识符)地址或先前分配的(永久的)地址。如果过程发布一次使用的地址,则自适应DNS服务器(120)将选择有效地址返回,如在步骤520中那样。该IP(或网络层标识符或服务定位标识符)地址可选自可用地址池,或可查询资源认证接口(135)或资源服务器(140)是否有用以响应的地址。在步骤530中,自适应DNS服务器(120)可通知地址分配的资源服务器(140)。然后,资源服务器(140)可提供关于该机器的IP(或网络层标识符或服务定位标识符)地址。
如果过程发布先前分配的地址,过程类似。自适应DNS服务器(120)将从其自身的认证缓存(125)检索合适的IP(或网络层标识符或服务定位标识符)地址,或可查询资源服务器(140)是否有可用地址,如步骤540中那样。先前分配的地址可选地可永久(或半永久)分配给特定用户。所确定的IP(或网络层标识符或服务定位标识符)地址然后被发送至资源服务器(140),如在步骤550中那样,以使资源服务器(140)可提供关于一个或多个机器的IP地址。
使用单独分配的地址的一个优点在于,永久分配的IP(或网络层标识符或服务定位标识符)地址可对公众完全不可见。因为只有给资源服务器(140)的分配地址被返回至用户计算机,简单地通过不提供(或不分配)来自资源服务器(140)的被攻击的地址,经由分配的地址对资源服务器的DDoS攻击可被减轻。
当个性化IP(或网络层标识符或服务定位标识符)地址用于提供认证的DNS响应时,资源服务器(140)可不需要任何附加的认证方案。例如,如果资源服务器(140)为银行网站,可以要求附加的登录凭证,但如果资源服务器(140)要求较低的安全性,诸如,例如对于基于云的音乐服务,电子商务站点,或定制门户,则附加的认证可以不是必要的。在这种情况中,该资源服务器简单地通过识别哪个IP(或网络层标识符或服务定位标识符)地址用于访问该资源就可以告知身份。当用户停止使用资源服务器(140)达特定时间段时,在请求(例如,“登出”)上,或响应于另一组环境,资源服务器(140)可不提供该IP(或网络层标识符或服务定位标识符)地址。
在一个实施例中,不提供关于资源服务器的专用IP(或网络层标识符或服务定位标识符)地址,而是认证用户的源IP地址可被增加至放置于资源服务器和用户访问之间的防火墙中的白名单。用这种方式,防火墙作为缓冲器来帮助保护资源服务器免受不希望的入侵。即使该资源服务器的IP地址变成众所周知的,将该IP地址暴露给潜在DDoS攻击等,该防火墙也可阻止所有流量,除非存在针对认证用户的特定源IP地址(或其它标识特征)的具体安全策略。其它实施例可组合在防火墙上动态地设置安全策略的能力提供关于在资源服务器的IP地址或其它网络层地址的能力。
本领域技术人员将意识到,附加的联网设备可结合本文中描述的实施例来使用。例如,该体系结构还可使用负载均衡器,以将需求分发至大量资源服务器。在这种情况中,可在提供关于负载均衡器IP地址以及指引把流量转发至哪个资源服务器的策略。还可提供关于标识的资源服务器的IP地址。合并了本文中描述的实施例的普通联网体系结构方案的其它变体对普通技术人员将是显而易见的。
在利用认证用户(诸如在步骤430中跟踪的那些)的分类的实施例中,分类可用于给予用户特定访问等级。例如,仅基于被访问的IP(或网络层标识符或服务定位标识符)地址,可被分类成“银”“金”和“白金”会员的网站会员可被给予不同的访问等级。在移动电话网络中,移动电话可分成对应于应急人员、政府工作者、第一响应者、和一般用户的不同的优先权类。在灾难区域中,第一响应者和应急人员例如可被给予对移动网络的优先访问以保持其通信通道的开放。
图6图示了对应于示例性步骤280的、基于丢失的、不期望的、或无效的认证信息提供安全响应或动作的示例性过程(600)。在步骤610中,分析标识信息以确定其是否被识别。该标识信息可为帮助标识提交DNS解析请求的用户的任何信息,并可包括不正确的或无效的认证信息或源IP地址。如果该标识信息被识别,则过程可确定用户是否先前在步骤620中已被允许访问。自适应DNS服务器(120)可查询资源服务器(140)、数据存储(130)、或连接已被记录以确定是否该用户先前已被允许访问的另一记录系统,。
如果该用户未被识别,则过程可基于该标识信息确定是否存在拒绝访问的任何理由,如在步骤630中那样。例如,过程可将源IP地址与已知黑名单相比较或执行关于源IP地址的地理定位。如果该IP地址已在黑名单,则过程可确定向用户拒绝访问。或如果对国家或区域的该IP地址地理编码未由资源服务器服务,则过程可确定向用户拒绝访问。默认策略可被实施以始终拒绝未知用户直到进一步确定为止,如下所解释的那样。如果没有发现拒绝访问的理由,则过程可在步骤640中返回对应于用户可获取认证指令的标识符和定位的IP地址。例如,访问www.example.com的用户可以未被识别,但认证系统确定应当向该用户提供关于如何认证的指令。在这种情况中,自适应DNS服务器可用提供www.example.com网站的特殊版本的IP地址响应,构成显著的认证指令。
回到步骤620,如果被标识的用户先前被拒绝访问,则在步骤650中可确定威胁可能性并且在步骤660中采取动作。如果被标识的用户先前允许访问,但出于某种理由该认证信息无效,则该用户可通过对应于认证指令的不同的IP地址被指引到所请求资源的专门的版本,如步骤640中那样。类似的,回到步骤630,如果拒绝访问的理由被确定,诸如当在黑名单中发现源IP地址时,当源IP地址对应于未由资源服务器服务的定位时,或当通用策略是适当拒绝所有未知流量时,则与DNS请求关联的威胁可能性可在步骤650中被确定,并且在步骤660中采取动作。
步骤650可考虑多个威胁可能性。在针对源IP地址访问先前被拒绝的情况中,这样的行为可指示该源IP地址(用户计算机(110))正试图供给不同形式的认证信息以使认证方案失效。在认证信息无效的情况中,因为一段信息与期望的不同,所以这样的行为可指示网络上的一件装备已在没有所有者的许可的情况下被接替。例如,如果源IP地址与期望的不同,但存在其它认证信息,则该机器可能被窃取并连接至另一网络。
基于各种威胁可能性,过程可在步骤660中采取合适的动作。该动作可包括,简单地不响应;延迟该响应并可选地增加对来自相同IP地址的每个后续的DNS查询的延迟;用对应于资源的特殊版本(其对应于认证指令)的替代IP(或网络层标识符或服务定位标识符)地址响应;用对应于配置成仅看起来像该资源的资源特殊版本的替代IP(或网络层标识符或服务定位标识符)地址响应;或用对应于配置成提供替代认证手段的资源特殊版本的替代IP(或网络层标识符或服务定位标识符)地址响应,其中该资源认证接口可因此被更新,以允许进一步不受妨碍的访问。
例如,被确定为恶意的用户可被提供以对应于资源特殊版本的IP地址,该资源特殊版本看上去和感觉上类似于真正的资源。该特殊版本可收集关于恶意用户的数据,然后终止与恶意用户的连接并分析数据。在另一示例中,用户可从特定IP地址或机器第一次访问银行网站。该银行可供给用户替代的认证手段,且一旦被认证,就更新存储(130)中或资源服务器(140)中的认证信息。
如上所讨论的,一些DNS服务器将缓存来自自适应DNS服务器(120)的DNS响应。由于自适应DNS服务器的整体性,缓存可能是不合乎希望的。防止缓存的一种方式是通过设置响应中的生存时间(TIL)为0,指示该响应不应被缓存。防止缓存的另一种方式是加密DNS响应。用户计算机可具有对应于自适应DNS服务器的(120)私钥的公钥。自适应DNS服务器可使用私钥加密该响应,该响应将在用户计算机使用公钥被解密。因为该响应本来会被加密,所以缓存DNS服务器不能缓存该响应,或将无法解析与该查询关联的最终响应。仍可进行对应于根服务器和TLD名字服务器(或委托图中的其它服务器)的缓存。保持认证状态的整体性另一替代方式是在认证感知缓存服务器缓存DNS。认证感知的DNS缓存服务器可执行对自适应DNS服务器(120)或资源认证接口(135)的基本查询以确定该认证是否在提供响应之前仍然有效。如果无效,所缓存的响应将被清除,且向自适应DNS服务器(120)做出的请求根据上面讨论的过程处理。
图7图示了展示自适应解析平台的计算机和网络组件的示例性体系结构(700),对应于利用根据基于社区的策略管理系统的联合信任模型的实施例。基于加入该社区时提供的认证信息,社区信任授权(705)可发布认证证书至用户计算机(710)。使用证书作为认证信息,用户计算机可请求在特定的完全限定域名(或局部网络名字)处的资源。该请求可通过认证感知网络缓存(715)被路由。DNS解析请求可类似地通过认证缓存DNS服务器(720)被路由。然后该缓存服务器可把来自用户计算机(710)的认证请求传送至自适应DNS服务器(730),或可组成新的认证信息组以代表用户计算机认证。如果必要,缓存DNS服务器可首先查询根服务器(未示出)和登记DNS服务器(725),以获取必要的权威名字服务器信息来定位自适应DNS服务器(730)。自适应DNS服务器可使用认证缓存(735)和数据存储(740)来帮助对认证的管理。如果必要,自适应DNS服务器(730)可连接至资源认证接口(745)以确定该认证信息是否有效。显著地,资源认证接口(745)可附着到资源服务器,附着到(未示出)社区信任授权(705),或附着到两者。一旦被认证,自适应DNS服务器(730)就可将DNS响应返回到自适应缓存DNS服务器(720),自适应缓存DNS服务器(720)继而把该响应返回至用户计算机(710)。然后用户计算机可向资源服务器(750)、认证感知网络缓存(715)、或两者的组合请求资源。
本领域技术人员将意识到,图7的体系结构仅仅是示例性的。可合并其它联网设备以管理流量。具体来说,本领域技术人员将认识到的是,防火墙、负载均衡器、附加的镜像服务器(名字服务器、资源服务器、和认证接口)、以及特定名字服务器缓存可被合并到网络设计和体系结构中。另外,本领域技术人员将认识到的是,附加的层次化DNS服务器可被查询,例如,secure.www.example.com,且接口和服务器可被组合至一个物理机上。再另外,本领域技术人员将认识到的是,还可把支持硬件(诸如数据存储和其它存储器设备)合并到该体系结构中。
图8图示了在认证名字请求过程中在联合网络信任中使用认证证书的示例性过程(800)。在步骤810中,用户发送认证信息至社区信任授权(705)以请求验证标识信息的认证证书。在一个实施例中,认证证书还可包含关于与认证证书关联的许可的信息。社区信任授权(705)可返回认证证书至用户,如步骤820中那样。本领域技术人员将理解的是,取决于社区的应用,社区信任授权(705)可为定位在封闭网络内的服务器或定位在互联网上的服务器。
在步骤830中,使用所发布的认证证书,DNS请求由用户计算机发送至自适应DNS服务器(730)。在步骤840中,自适应DNS服务器可试图验证认证证书。通常,自适应DNS服务器将识别和信任证书发布者或将不信任该证书发布者。在步骤850中,自适应DNS服务器(730)基于证书发布者的信任状态并进一步基于证书的验证过程可确定认证信息是否有效。如果有效(并被信任),则认证证书可用于递送用户特有/类特有的DNS响应。在步骤860中,用户可被分类成被识别用户的组或类。这样做,如果自适应DNS服务器在其缓存(735)中不具有分类信息,则自适应DNS服务器(730)可查询资源认证接口(745)。在步骤870中,合适的DNS响应被返回并可基于包含在认证证书内的标识信息。如果该认证证书未被验证或信任,则自适应DNS服务器(730)可确定合适的安全响应或动作,如步骤880中那样。
将意识到的是,在过程800中图示示例性步骤的某些与过程200中图示的示例性步骤类似。因此,图3-6中发现的具体示例性过程可视需要被施加到图8中发现的的过程。
在另一实施例中,先前讨论的实施例可与基于对请求者的认证结果捕获并记录DNS请求和响应的过程组合。如上面所讨论的,自适应DNS服务器(120或730)可能能够确定对特定IP地址的响应是否在当前请求的处理(例如,图6中发现的过程600的步骤610和620)之前被发布。所认证的DNS请求和响应可被归类和记录。例如,DNS请求可包括指示该请求者在黑名单上的标识信息。在这种情况中,请求、标识信息以及对应的合适的DNS响应(如果存在)可被记录。类似地,DNS请求可包括被验证的标识信息,以导致合适的DNS响应。该信息也可被记录。实际上,对应于DNS请求和响应的所有信息都可被记录。可针对关于成功和不成功认证的DNS请求的数据趋势来分析记录的信息。例如,可分析记录的信息以确定IP地址在被重复拒绝认证之后是否应加入黑名单,从而提高总体认证方案的效率。
利用认证名字解析的优点在于:解析请求可出于计费的目的而被归类。例如,使用记录的信息或经由实时完成的另一记录过程,每个请求可被归类到合法请求或攻击请求中。然后利用认证服务的客户端可根据这些归类中的一个或全部而被计费。在没有认证解析的情况下,名字服务器通常难以对查询容量收费,因为无法知道(或将非常难以确定)资源的所有者是否授权名字请求。但利用该认证解析框架,可关于认证的容量以及对通过拒绝DNS响应而节省的容量两者来计费名字请求。对于认证的容量,记费可表示提供认证名字解析服务的费用的容量部分。对于节省的容量,记费可表示通过由拒绝名字请求而阻止对资源服务器的访问而节省的流量的理论容量。当然,对于这些中的任一个的计费是可选的。附加地,也可对认证响应的其它归类记账。例如,被转移至描述如何认证的服务器的名字解析请求可被认为是合法流量和认证容量的部分,即使该用户实际上从未被认证。在实施方式中,计费可基于该用户是否已被认证。并且,对于附加等级的服务(诸如可以仅对认证用户或订阅这些附加的服务的用户可用的服务)计费可被叠加。
例如,通过在形成响应的同一时间把每个名字查表归类为特定计费事件,记费服务可被合并于认证过程本身中。或通过事后把每个记录的查询归类,可经由周期性基础上的记录分析来确定计费服务。
根据对本文中公开的实施例的说明书和实践的考虑,本公开的其它实施例对本领域技术人员将是显而易见的。具体来说,应当意识到的是,本文中限定的过程仅仅是示例性的,并且过程的步骤不必一定按所呈现的顺序来执行。说明书和示例意图仅仅被认为是示例性的,其中实施例的真实的范围和精神由所附的权利要求指示。
Claims (30)
1.一种计算机实施的方法,用于响应于域名系统(DNS)请求,包括:
在DNS服务器接收DNS解析请求,该请求包括与设备特有信息,用户特有信息,以及认证信息中的任一个或其组合相关的信息;
在DNS服务器上分析该信息;
基于对该信息的分析,由DNS服务器确定DNS动作,其中该DNS动作包含以下任一个或其组合:发送具有个性化IP地址、网络层标识符、或服务定位标识符的响应消息;延迟发送响应消息;发送具有对应于包含认证指令的网址的IP地址的响应消息;发送具有对应于被配置成模拟所请求地址的网站的网站的IP地址的响应消息;基于该设备特有信息发送定制响应,基于该用户特有信息发送定制响应,及其组合;以及
在DNS服务器上执行该DNS动作。
2.根据权利要求1的方法,其中该信息由起源DNS解析请求的设备以外的设备增加至DNS解析请求。
3.根据权利要求1的方法,其中该信息包括以下任一个或其组合:源网络层地址、用户名/密码组合、加密数据包、安全证书、和硬件标识信息,其中该硬件信息包括以下中的一个或多个:操作系统类型信息、操作系统版本信息、操作系统补丁信息。
4.根据权利要求1的方法,包括:
在DNS服务器从资源服务器接收认证信息用于特定用户;以及
更新DNS服务器以存储该认证信息。
5.根据权利要求1的方法,其中该个性化IP地址、网络层标识符、或服务定位标识符对应于一次使用的地址。
6.根据权利要求1的方法,其中该个性化IP地址、网络层标识符、或服务定位标识符对应于分配至特定用户的地址。
7.根据权利要求1的方法,其中延迟发送消息包括:
确定DNS请求先前从特定用户接收;
确定DNS响应被延迟达第一时间段;以及
延迟发送消息达第二时间段,其中该第二时间段大于该第一时间段。
8.根据权利要求1的方法,包括:
限定离散的用户类;
将该离散的用户类按优先顺序排列到用户类的优先列表中,其中更高优先权类首先接收对服务的访问或接收对更高质量服务的访问;
把用户分类到类的优先列表中的类中;以及
基于该分类,首先提供对服务的访问或提供对更高质量的服务的访问,
其中该DNS动作包括:发送具有对应于递送特定类的服务器的IP地址的响应消息。
9.根据权利要求1的方法,包括:
基于对该信息的分析确定记费事件,以及
基于该计费事件对客户端计费。
10.一种用于认证DNS请求的系统,包括:
DNS服务器,包括:
处理器;以及
存储器,其中该存储器包含指令,当由处理器执行时,该指令执行一种方法,该方法包括:
在DNS服务器接收DNS解析请求,该请求包括与设备特有信息、用户特有信息、以及认证信息中的任一个或其组合相关的信息;
在DNS服务器上分析该信息;
基于对该信息的分析,由DNS服务器确定DNS动作,其中该DNS动作包括以下任一个或其组合:发送具有个性化网络层地址或服务定位地址的响应消息;延迟发送响应消息;发送具有对应于包含认证指令的网址的IP地址的响应消息;发送具有对应于被配置成模拟所请求的地址的网站的网站的IP地址的响应消息;以及基于该设备特有信息发送定制响应,基于该用户特有信息发送定制响应,及其组合;以及
在DNS服务器上执行DNS动作。
11.根据权利要求10的系统,其中信息由起源DNS解析请求的设备以外的设备增加至DNS解析请求。
12.根据权利要求10的系统,其中认证信息包括以下一个或多个:源网络层地址、用户名/密码组合、加密数据包、安全证书、或硬件标识信息,其中该硬件信息包括以下一个或多个:操作系统类型信息、操作系统版本信息、操作系统补丁信息。
13.根据权利要求10的系统,其中该方法包括:
在DNS服务器接收来自资源服务器的信息用于特定用户;以及
更新DNS服务器以存储该认证信息。
14.根据权利要求10的系统,其中该个性化网络层地址或服务定位地址对应于一次使用的地址。
15.根据权利要求10的系统,其中该个性化网络层地址或服务定位地址对应于分配至特定用户的地址。
16.根据权利要求10的系统,其中延迟发送消息包括:
确定DNS请求先前从特定用户接收;
确定DNS响应被延迟达第一时间段;以及
延迟发送消息达第二时间段,其中该第二时间段大于该第一时间段。
17.根据权利要求10的系统,其中该方法包括:
限定离散的用户类;
将该离散的用户类按优先顺序排列到用户类的优先列表中,其中更高优先权类首先接收对服务的访问或接收对更高质量服务的访问;
把用户分类到类的优先列表中的类中;以及
基于该分类,首先提供对服务的访问或提供对更高质量的服务的访问,
其中该DNS动作包括:发送具有对应于递送特定类的服务器的IP地址的响应消息。
18.根据权利要求10的系统,其中该方法包括:
基于对该信息的分析确定记费事件,以及
基于该记费事件对客户端记费。
19.一种包含指令的非暂态计算机可读介质,当由处理器执行时,该指令执行一种方法,该方法包括:
在认证服务器接收包括认证信息的DNS解析请求;
在认证服务器上验证该认证信息;
由认证服务器基于对认证信息的验证确定DNS动作,其中该DNS动作包括以下至少一个:发送具有个性化网络层地址或服务定位地址的响应消息、延迟发送响应消息、发送具有对应于包含认证指令的网址的IP地址的响应消息、以及发送具有对应于被配置成模拟所请求地址的网站的网站的IP地址的响应消息;以及
在该认证服务器上执行该DNS动作。
20.根据权利要求19的非暂态计算机可读介质,其中该认证信息由起源DNS解析请求的设备以外的设备增加至DNS解析请求。
21.根据权利要求19的非暂态计算机可读介质,其中认证信息包括以下一个或多个:源网络层地址、用户名/密码组合、加密数据包、安全证书、或硬件标识信息,其中该硬件信息包括特定硬件配置信息或以下一个或多个:操作系统或应用类型信息、操作系统或应用版本信息、操作系统或应用补丁信息。
22.根据权利要求21的非暂态计算机可读介质,进一步包括分析该硬件标识信息以对该设备提供安全。
23.根据权利要求19的非暂态计算机可读介质,其中该方法包括:
在该认证服务器接收来自资源服务器的认证信息用于特定用户;以及
更新该认证服务器以存储该认证信息。
24.根据权利要求19的非暂态计算机可读介质,其中该个性化网络层地址或服务定位地址对应于一次使用的地址。
25.根据权利要求19的非暂态计算机可读介质,其中该个性化网络层地址或服务定位地址对应于分配至特定用户的地址。
26.根据权利要求19的非暂态计算机可读介质,其中延迟发送消息包括:
确定DNS请求先前从特定用户接收;
确定DNS响应被延迟达第一时间段;以及
延迟发送消息达第二时间段,其中该第二时间段大于该第一时间段。
27.根据权利要求19的非暂态计算机可读介质,其中该方法包括:
确定用户类的优先列表,其中更高优先权类首先接收对服务的访问或接收对更高质量服务的访问;以及
基于该认证信息,把用户分类到类的优先列表中的类中,
其中该DNS动作包括:发送具有对应于递送特定类的服务器的IP地址的响应消息。
28.根据权利要求19的非暂态计算机可读介质,其中该方法包括:
基于对认证信息的验证确定记费事件,以及
基于该记费事件对客户端记费。
29.一种用于认证DNS请求的方法,包括:
在认证服务器从用户接收DNS解析请求,其中该请求包括要解析的域名和认证证书,其中该认证证书由社区授权信任响应于用户对标识验证的请求而发布;
在认证服务器上验证该认证证书;
基于对认证证书的验证由认证服务器确定网络层地址或服务定位地址;以及
发送网络层地址至该用户。
30.根据权利要求29的方法,其中该认证证书指示对一组用户的认证。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/828070 | 2013-03-14 | ||
| US13/828,070 US8990356B2 (en) | 2011-10-03 | 2013-03-14 | Adaptive name resolution |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104052829A true CN104052829A (zh) | 2014-09-17 |
Family
ID=51505178
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410148379.0A Pending CN104052829A (zh) | 2013-03-14 | 2014-03-14 | 自适应名字解析 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104052829A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657431A (zh) * | 2016-11-17 | 2017-05-10 | 腾讯科技(深圳)有限公司 | 一种业务平台地址解析的方法、相关设备及系统 |
| CN108400953A (zh) * | 2017-02-06 | 2018-08-14 | 中兴通讯股份有限公司 | 控制终端上网及终端上网的方法,路由器设备及终端 |
| CN108769284A (zh) * | 2018-05-04 | 2018-11-06 | 网宿科技股份有限公司 | 一种域名解析方法、服务器及系统 |
| CN114095473A (zh) * | 2020-07-31 | 2022-02-25 | 中国电信股份有限公司 | 网络业务的处理方法、装置和系统 |
| CN114553820A (zh) * | 2022-02-11 | 2022-05-27 | 北京云思智学科技有限公司 | 一种精细化解析控制的dns解析方法、系统及存储介质 |
| CN115297087A (zh) * | 2022-08-03 | 2022-11-04 | 中国电信股份有限公司 | 域名查询方法、系统、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020073335A1 (en) * | 2000-05-16 | 2002-06-13 | Shuster Gary Stephen | System and method for serving content over a wide area network |
| US20050044352A1 (en) * | 2001-08-30 | 2005-02-24 | Riverhead Networks, Inc. | Protecting against spoofed DNS messages |
| CN102870104A (zh) * | 2010-05-18 | 2013-01-09 | 亚马逊技术股份有限公司 | 验证对域名系统记录的更新 |
-
2014
- 2014-03-14 CN CN201410148379.0A patent/CN104052829A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020073335A1 (en) * | 2000-05-16 | 2002-06-13 | Shuster Gary Stephen | System and method for serving content over a wide area network |
| US20050044352A1 (en) * | 2001-08-30 | 2005-02-24 | Riverhead Networks, Inc. | Protecting against spoofed DNS messages |
| CN102870104A (zh) * | 2010-05-18 | 2013-01-09 | 亚马逊技术股份有限公司 | 验证对域名系统记录的更新 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657431A (zh) * | 2016-11-17 | 2017-05-10 | 腾讯科技(深圳)有限公司 | 一种业务平台地址解析的方法、相关设备及系统 |
| CN106657431B (zh) * | 2016-11-17 | 2019-11-19 | 腾讯科技(深圳)有限公司 | 一种业务平台地址解析的方法、服务器、终端及系统 |
| US10972425B2 (en) | 2016-11-17 | 2021-04-06 | Tencent Technology (Shenzhen) Company Limited | Method, device and system for service platform address resolution |
| CN108400953A (zh) * | 2017-02-06 | 2018-08-14 | 中兴通讯股份有限公司 | 控制终端上网及终端上网的方法,路由器设备及终端 |
| CN108769284A (zh) * | 2018-05-04 | 2018-11-06 | 网宿科技股份有限公司 | 一种域名解析方法、服务器及系统 |
| CN114095473A (zh) * | 2020-07-31 | 2022-02-25 | 中国电信股份有限公司 | 网络业务的处理方法、装置和系统 |
| CN114553820A (zh) * | 2022-02-11 | 2022-05-27 | 北京云思智学科技有限公司 | 一种精细化解析控制的dns解析方法、系统及存储介质 |
| CN115297087A (zh) * | 2022-08-03 | 2022-11-04 | 中国电信股份有限公司 | 域名查询方法、系统、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11882109B2 (en) | Authenticated name resolution | |
| CN112039909B (zh) | 基于统一网关的认证鉴权方法、装置、设备及存储介质 | |
| US8990356B2 (en) | Adaptive name resolution | |
| US20240048560A1 (en) | Systems and methods for endpoint management | |
| US10453319B2 (en) | Methods and apparatus for management of intrusion detection systems using verified identity | |
| JP4746266B2 (ja) | ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム | |
| US11277398B2 (en) | System and methods for performing distributed authentication using a bridge computer system | |
| US9288193B1 (en) | Authenticating cloud services | |
| US7895319B2 (en) | Variable DNS responses based on client identity | |
| US20140222955A1 (en) | Dynamically Configured Connection to a Trust Broker | |
| CN112425139B (zh) | 用于解析域名的设备和方法 | |
| US20150350211A1 (en) | Securely integrating third-party applications with banking systems | |
| CN104052829A (zh) | 自适应名字解析 | |
| CN101540757A (zh) | 网络认证方法、系统和认证设备 | |
| JP2014207510A (ja) | 証明書生成方法、証明書生成装置、情報処理装置、通信機器、及びプログラム | |
| Alsaleh et al. | Enhancing consumer privacy in the liberty alliance identity federation and web services frameworks | |
| CN116668190A (zh) | 一种基于浏览器指纹的跨域单点登录方法及系统 | |
| CN105743883B (zh) | 一种网络应用的身份属性获取方法及装置 | |
| GB2598096A (en) | Method for authenticating using distributed identities | |
| KR101073685B1 (ko) | 사용자의 위치 정보를 이용한 데이터 액세스 제어방법 | |
| US10412097B1 (en) | Method and system for providing distributed authentication | |
| RU2722393C2 (ru) | Телекоммуникационная система для осуществления в ней защищенной передачи данных и устройство, связанное с этой системой |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140917 |