CN116830530A - 基于随机数的企业安全策略实施 - Google Patents
基于随机数的企业安全策略实施 Download PDFInfo
- Publication number
- CN116830530A CN116830530A CN202280013463.4A CN202280013463A CN116830530A CN 116830530 A CN116830530 A CN 116830530A CN 202280013463 A CN202280013463 A CN 202280013463A CN 116830530 A CN116830530 A CN 116830530A
- Authority
- CN
- China
- Prior art keywords
- service
- random number
- computing device
- client computing
- dns
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 68
- 238000012545 processing Methods 0.000 claims abstract description 13
- 230000004044 response Effects 0.000 claims description 48
- 238000004590 computer program Methods 0.000 claims 2
- 230000006870 function Effects 0.000 description 48
- 239000003795 chemical substances by application Substances 0.000 description 42
- 230000008569 process Effects 0.000 description 17
- 238000005516 engineering process Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 230000001105 regulatory effect Effects 0.000 description 3
- 241001620634 Roger Species 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000000758 substrate Substances 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 239000003990 capacitor Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001152 differential interference contrast microscopy Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/604—Address structures or formats
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开描述的技术包括:由域名服务(DNS)接收来自客户端计算设备的名称解析请求,以及由DNS向客户端计算设备提供随机数,其中,服务被配置为至少部分地基于处理随机数来授权来自客户端计算设备的连接请求。本公开还描述了包括一种验证来自客户端计算设备的连接请求的方法的技术,该方法包括:接收连接请求,该连接请求包括随机数。这些技术还包括:确定随机数是有效的随机数。这些技术还包括:至少部分地基于确定随机数是有效的随机数来授权连接请求并且禁用随机数。
Description
相关申请的交叉引用
本申请要求2021年2月5日提交的第17/169,086号美国专利申请的优先权,其全部内容通过引用并入本文。
技术领域
本公开一般涉及网络安全策略实施,更具体地,涉及由域名服务实施的基于随机数的网络安全策略。
背景技术
基于动态策略的路由(DPBR)是一种企业可以基于每个服务器应用来规定如何管理从客户端计算设备引导到该应用的流量流的技术。例如,企业员工可以启动移动客户端计算设备上的浏览器或本地应用来连接到例如abc123.com。结果,移动客户端计算设备可以发出域名服务(DNS)请求,以将abc123.com域解析为地址,例如将abc123.com域名转换为互联网协议(IP)地址,移动客户端计算设备可以使用该地址来将流量流路由到abc123.com域。
然而,移动客户端计算设备连接到其网络的企业可能希望通过例如在安全设备或云中捕获DNS请求来调节这些流。在一些示例中,企业可能在客户端代理中安装策略以使客户端代理捕获并且调节流向abc123.com的流。例如,客户端代理可以通过窥探UDP端口53来捕获DNS请求,并且当解析abc123.com以及当策略规定要捕获流向abc123.com的流量时,企业可以在客户端核心中安装规则或甚至路由,将所有流向与abc123.com相关联的IP地址的流导向代理,以便代理可以将安全策略规则或其他策略规则应用于流。企业可以通过例如将新的或更新的策略规则下载到客户端代理中来动态地配置客户端代理。
DNS服务器通过未经认证的UDP信道接收请求,因此不能选择验证请求客户端的身份。即使DNS服务器是服务企业客户端的企业服务器,如果DNS服务器适合于特定的客户端/服务器组合,它也不能向(通过)企业防火墙提供定制指示。此外,来自企业DNS服务器的响应可以由客户端缓存,并且客户端甚至可以通过一些其他手段找到服务器的地址,这可以允许客户端绕过任何防火墙(DNS服务器可以以其他的方式被配置为向该防火墙发送流量)。
使用客户端代理来实施安全策略规则的解决方案可能是脆弱的。例如,这种解决方案可以依赖客户端代理来检查通过用户数据报协议(UDP)端口53发送的所有DNS流量。因此,DNS流量通过UDP端口53无障碍地被发送,以便客户端代理可以检查它。在刚刚讨论的abc123.com的示例中,客户端代理捕获通过UDP端口53发送的对abc123.com的DNS请求,将DNS请求转发到互联网用于名称解析,然后客户端代理将所接收的完全合格域名(fully-qualified domain name,FQDN)映射到由客户端代理维护的企业策略上。当FQDN与企业策略匹配时,客户端代理更新网络堆栈以重新引导流,否则该流将去往特定IP地址而不是去往客户端代理。由于多种原因,该策略是次优的。
HTTPS上的DNS(DoH)和TLS上的DNS(DoT)可以在请求转换的客户端计算设备和DNS服务本身之间提供端到端加密。结果,DNS请求可能不清楚,并且客户端代理可能不能容易地检查FQDN(尽管,复杂的实施方式可能将DNS流量从DoH/DoT服务发回到客户端计算设备)。DNS服务器在这里可以知道客户端的身份,从而向客户端提供定制的响应。但DoT或DoH没有解决的是,客户端仍然可以通过其他一些方法使用外部知识来学习服务器的地址,并且仍然可以直接与服务器通信,绕过企业安全基础设施。此外,DNS响应被缓存,并且客户端可能不遵守由DNS服务器给出的最佳日期。
此外,如果web服务是多宿主的,例如负载平衡器向该负载平衡器后面托管的多个网站提供接口,则客户端代理可能难以分离多个网站的域。例如,如果abc123.com和123abc.com都由一个或多个负载平衡器托管,则abc123.com和123abc.com要么都指向客户端代理,要么都不指向客户端代理,因为它们的名称abc123.com和123abc.com被解析为相同的IP地址,即abc123.com和123abc.com之间的负载平衡器的IP地址。
此外,通过客户端代理方法,企业策略的应用被分发在连接到网络的客户端计算设备中的各个客户端代理之间。因此,所有客户端代理被告知DPBR策略,并且“策略文件”被下载或可从web访问。当企业制定更新的策略时,因为更新的策略被分发到各个客户端代理,所以即使期望更新的策略立即生效,但是实现更新的策略可能存在时间滞后。
附图说明
下面参考附图给出详细说明。在附图中,附图标记的最左边的(一个或多个)数字表示附图标记首次出现的附图。在不同附图中使用相同的附图标记来表示相似或相同的项。在附图中描绘的系统不是按比例绘制的,并且在附图中的组件可能彼此未按比例绘制。
图1是示出示例网络的架构图,在该示例网络中DNS服务可以至少部分地基于DNS请求中对受保护的服务的指示来确定将安全策略应用于与客户端计算设备经由企业网络发出的DNS请求相关联的流。
图2示出了由DNS服务提供的IPv6目的地地址的示例格式,该格式包括路由部分和随机数部分。
图3是示出由客户端计算设备执行以发起和执行与受保的护服务连接的示例过程的流程图,受保护的服务包括连接请求,该连接请求包括由DNS服务提供的随机数。
图4是示出由DNS服务执行以解析来自客户端计算设备的对受保护的服务的地址的请求的示例过程的流程图,响应包括随机数。
图5是示出由中间服务执行以处理由客户端计算设备提供的连接请求的示例过程的流程图,该连接请求包括由DNS服务提供的随机数。
图6示出了计算机的示例计算机架构,该计算机能够执行用于实现本文描述的功能的程序组件。
具体实施方式
概览
本发明的各方面在独立权利要求中阐述,优选特征在从属权利要求中阐述。一个方面的特征可以单独地或与其他方面结合地应用于每个方面。
本公开描述了用于由DNS实施的基于随机数的网络安全策略技术,该DNS例如是企业基础设施的一部分并且与企业安全策略实施协作以向帮助企业实施安全措施的客户端提供特定响应。
这些技术包括:由DNS接收来自客户端计算设备的名称解析请求,以及由DNS向客户端计算设备提供随机数,其中,服务被配置为至少部分地基于处理随机数来授权来自客户端计算设备的连接请求。例如,DNS可以以随机数地址的形式向客户端计算设备提供随机数。
这些技术还包括一种验证来自客户端计算设备的连接请求的方法,该方法包括:接收连接请求,该连接请求包括随机数。这些技术还包括:确定随机数是有效的随机数。这些技术还包括:至少部分地基于确定随机数是有效的随机数来授权连接请求以及禁用随机数。
另外,本文描述的技术可以由具有存储计算机可执行指令的非暂态计算机可读介质的系统和/或设备执行,计算机可执行指令在由一个或多个处理器执行时执行本文描述的方法。
示例实施例
在一些示例中,对于动态的基于策略的路由,客户端代理(例如,在客户端计算设备上执行的虚拟专用网络(VPN)客户端代理)通过将客户端DNS请求中的服务名称指示与策略列表(其已经从中央机构提供给该客户端代理)相匹配来选择要捕获的流量,以应用安全策略。基于所发现的匹配,客户端代理可以对客户端计算设备的网络堆栈重新编程以将流量引导到其自身。客户端代理将这种重新引导的流量通过隧道传送到安全功能。因为来自客户端计算设备的用于流量的DNS请求中的服务名称指示与从中央机构提供的策略之一不匹配,所以没有被如此重新引导的业务被允许直接从客户端计算设备路由到命名的服务。这种基于客户端代理的方法可能有若干缺点,包括操作网络中的策略决策是高度分散的。
在本文描述的一些技术中,可以与由客户端计算设备发出的DNS请求相关联地发出这种策略决定。DNS服务或与DNS服务相关联的服务可以至少部分地基于DNS请求中对受保护的服务的指示来确定安全策略(如果有的话)应用于与DNS请求相关联的流。基于安全策略,DNS服务或与DNS服务相关联的服务可以响应于DNS请求而向客户端计算设备提供随机数。客户端计算设备可以在对服务的连接请求中包括随机数,并且评估连接请求的服务可以处理随机数以确定将什么策略应用于连接请求。此外,随机数可以是指向例如防火墙的地址,该防火墙使用地址的随机数部分来查找将流量转发到何处(例如,查找在检查之后流量被转发到的服务器)。此外,随机数此后可以被禁用,使得它不能被例如能够窥探DNS请求/响应流量的设备重新使用。“随机数”一般是安全专家熟悉的术语,但是信息技术专家可能不熟悉。Roger Needham在信息技术上下文中使用过“随机数”,Roger Needham解释“随机数”可以是被添加到之后将在响应消息中重新调谐的消息的令牌,从而证明该响应是由该消息(部分地)生成的。随机数一般是不可猜测的并且仅使用一次。
本文所公开的技术可以包括捕获安全功能中来自计算设备(例如,移动计算设备)的流量。例如,DNS服务器可以与企业安全系统一起工作,并且提供地址,这些地址将以安全方式引导客户端的流量通过系统。这些地址可以具有使它们唯一并且仅可使用一次的“随机数部分”。此外,随机数部分可以帮助下游组件识别流量,以便进一步路由到它需要去的地方。
DNS响应可能导致来自客户端计算设备的至少四种不同类型的连接:对于第一种类型,响应允许客户端计算设备每次直接联系服务器。在这种情况下,DNS服务器可以向客户端计算设备仅给出服务器的常规地址(不涉及随机数)。对于第二种类型,DNS服务器可以允许客户端计算设备直接与服务器通信,但是只能通信一次。DNS服务器可以与服务器协调,并且商定随机数地址,服务器仅这次将从客户端计算设备接受随机数地址。对于新的对话,随机数地址将不再起效。对于第三种类型,DNS服务器想通过企业安全基础设施来路由来自客户端计算设备的流量。DNS服务器与安全基础设施商定随机数地址,并且向客户端计算设备给出商定的地址。客户端计算设备使用该地址来连接到安全基础设施,并且知道该地址的安全基础设施还将知道如何将流量转发到预期服务器。因为客户端计算设备无论如何都使用加密隧道发送其流量,所以VPN中的进一步封装可能不是必需的。对于第四种类型,大多数客户端-服务器流量在经认证和加密的TLS连接中传送。在极少数不自动保护流量的情况下,安全基础设施可能希望流量通过VPN隧道发送。为了结合其他三个选项中的一个或多个选项来使用第四种类型,客户端计算设备可以具有一个组件(客户端代理),该组件可以拦截要通过VPN的流量并且将其通过该VPN发送,从而将该VPN流量与根据第一类型、第二类型和第三类型的流量分离。
因此,例如客户端代理(例如,VPN客户端代理)对于应用基于策略的动态路由可能不是必需的。这些技术可以使企业能够控制和引导对来自客户端计算设备(例如,企业员工所使用的移动客户端计算设备)的流量的捕获,而无需该员工的直接参与。
对于基于动态策略的路由,在许多示例中,客户端代理通过将客户端DNS请求与被下载到该代理中的策略列表相匹配来选择要捕获什么流量。根据是否找到匹配,代理可以重新编程网络堆栈以将该流量引导到其自身。代理然后可以将流量通过隧道传送到安全功能。替代地,可以允许流量被直接路由到指定的服务。
DNS服务器(企业的一部分)应当安全地知道客户端计算设备的身份。未加密端口53的流量不允许这样,因为它可以在任何地方被生成并且被任何人拦截。因此,例如,可以使用DoH或DoT,因为DNS服务器在响应请求之前验证客户端计算设备的身份。替代地,不能验证客户端计算设备的身份的DNS服务器可以引导客户端计算设备的所有流量通过公司安全基础设施。用于捕获流量的方法可以依赖于将中央DNS服务器(能够捕获与中央企业策略服务合并的端到端加密流量)和(可选地)与一个或多个中央托管的目的地服务相组合。根据一些所描述的技术,当客户端计算设备请求来自DNS服务的名称解析时,DNS服务有时可以与企业策略管理器协作来确定如何路由来自客户端计算设备的流量(例如,直接地或经由企业安全功能)。如果需要,DNS服务可以建立安全功能,然后在DNS响应中发送短期地址(随机数地址)。在有限的时间内,随机数地址可以允许客户端计算设备,也只能允许客户端计算设备通过安全功能访问服务。
因此,例如,可以捕获要由安全功能调节的流。DNS请求可以由安全功能来识别,然后如果要捕获流,则所请求的名称可以(可选地通过安全隧道的方式)被映射到动态分配的IP地址(其来自目的地功能)和路由(其被安装在指向目的地功能的客户端计算设备中)。这可以简化由客户端计算设备进行的处理,并且提供鲁棒且灵活的解决方案。
更具体地,基于网络的功能可以与基于网络的DNS、姿态和策略服务、零个、一个或多个(在线)安全服务以及可选的客户端代理一起工作,以将流量通过隧道传送到安全功能。一种技术可以包括捕获客户端计算设备对中央网络功能中的服务器的DNS请求。也可以捕获客户端计算设备的身份。通过策略,可以确定可能从特定客户端或从类似表征的客户端到该服务器的流是否将由安全功能捕获。如果策略服务指示不需要捕获流,则DNS可以在其响应中返回所请求的服务器的公共IP地址,以允许客户端计算设备通过互联网直接与服务器连接。
当要捕获流时,DNS可能经由保护隧道返回路由到企业安全功能的地址,在保护隧道中可以在转发到服务器之前检查流量。替代地或附加地,可以返回地址,虚拟专用云入口点、负载平衡器或其他多宿主服务可以用该地址来将流量递送到期望服务。这可以使入口点不用解释服务名称。
企业设备的DNS服务器可以是使用企业策略或与企业策略服务器交互以提供DNS响应的企业DNS服务器。DNS请求和DNS响应可以是端到端加密的,以最小化例如由DoH或由DoT篡改的可能性。客户端计算设备的身份可以由DNS服务器捕获,允许用户或客户端专用策略(或,在一些示例中,专用于客户端类别的策略)的使用。通过使用企业策略(可能是客户端专用的),DNS服务器可以确定客户端和(云)服务器之间的流量应当如何被适当地处理和响应。
当客户端被允许直接与服务器通信时,DNS服务器可以简单地返回该服务器的IP地址。替代地,对于应当仅由授权客户端寻址的敏感企业服务器,DNS服务器可以向这些正在请求的授权客户端返回随机数地址。DNS服务器还可以返回指示企业安全功能的随机数地址,或通过虚拟专用云(VPC)入口点或负载平衡器进行路由。在通过该功能之后,流量可以被转发到被请求的服务器。该路由可以使用客户端和安全功能之间的隧道。在这种情况下,随机数地址可能不是可路由地址(防止其在隧道外被使用)。DNS服务器和安全功能可以先前商定这些随机数地址,使得安全功能可以识别用于安全和服务器转发目的的地址。随机数地址可以是客户专用的。它可以被用作该客户端访问该服务的一次性许可。只要客户端开始使用随机数地址,便可以禁用随机数地址,使得其他客户端不再能够使用该同一地址来连接。
随机数地址可以是用于特定目的并且在有限时间内有效的地址。名称服务器可以将名称映射到仅可以由特定客户端使用一次的随机数地址。或名称服务器可以映射到一个随机数地址,该随机数地址可以由一个特定类别中的多个客户端使用例如五分钟。可以不猜测随机数地址。在没有名称服务器的帮助的情况下,不能获得有用的随机数地址。
IPv6地址可以适于用作随机数地址。IPv6地址的大小为128位,只允许其中一半的位用于将分组路由到它们的目的地(路由部分)。另一半可用于标识该目的地处的服务和/或目的(随机数部分)。该目的例如可以是特定授权客户端到服务的连接。或者它可以是经由一些安全功能的客户端到服务的连接。后一类别中的随机数地址可以设计为不用于直接连接。可以使旨在通过基于网络的安全功能路由流量的随机数地址只路由到该安全功能,而安全功能可以使用随机数部分来查找应该提供什么安全功能以及流量应该随后转发到何处。随机数地址还可以用于告诉中间功能(例如,负载平衡器)如何将流量转发到例如VPC中的正确服务。
如果随机数地址被用于直接寻址服务,则可以在给出它们的DNS服务器和被寻址的服务之间采用一些协调。替代地,随机数地址可以用于到达网关,该网关将流量转发到正确的服务。在后一种情况下,在一些示例中,只有网关可能涉及随机数地址分配和解释。
该协调可以是明确的,即,服务(或网关)和DNS服务器可以交换信息以实现协调,或协调可以是隐式的(通过使用由服务和DNS服务器共享的算法)。这种算法的示例可以是两个实体共享要给出的密钥和初始地址。它们可以通过应用将共享密钥和先前地址作为输入的函数来各自独立地计算下一个地址。该函数可能不必具有很强的加密性,在TLS握手和随后的客户端认证中仍然执行真实验证。相反,该函数可以相对便宜地执行,因此还可以抵抗分布式拒绝服务(DDoS)攻击。
另一方面,如果在将流量转发到目的地服务之前,随机数地址被用于引导客户端通过安全功能,则可以在安全功能和DNS服务器之间执行更明确的协议。DNS服务器,作为企业安全简档的管理器,可以识别什么安全要求要被用于特定的客户端-服务器连接。DNS服务器可以在安全功能基础设施中建立这个,并且建立要用于该连接的随机数地址。DNS服务器然后可以向请求客户端返回DNS解析以包括该同一随机数地址。
因此,可以在安全功能(例如云)中捕获流,作为通过集中式DNS服务解析(云)应用的名称的副作用。该DNS服务可以是基于云的安全功能的一部分。DNS服务可以提供随机数地址,其好处是确保地址对于特定目的并且可能仅对于特定客户端有效、允许地址兼作对如何处理和转发流量的安全功能的指示、以及限制地址的寿命,因此可以对地址的缓存进行更好地控制。可以在客户端计算设备上配置客户端路由,该客户端计算设备将流引导到预先建立的隧道和DNS,该DNS解析云应用的名称,这些云应用指向与该隧道相关联的IP地址空间。
图1是示出示例网络100的架构图,其中,DNS服务102可以至少部分地基于在DNS请求中对受保护的服务106的指示,确定将安全策略应用于与客户端计算设备104经由企业网络105发出的DNS请求相关联的流。例如,DNS服务102可以参考企业策略服务108,以至少部分地基于在DNS请求中对受保护服务106的指示,确定一个安全策略,该策略将被应用于流,客户端计算设备104经由企业网络105发出的DNS请求与该流相关联。
DNS服务102可以利用一个指示来响应客户端计算设备104所发出的DNS请求,该指示表明安全策略将被应用于与客户端计算设备104发出的DNS请求相关联的流。例如,DNS服务102可以将DNS请求中的域名解析为与中间服务110相关联的地址。中间服务110可以是安全服务或其他服务,该服务操作以用作到受保护服务106的网关。
此外,DNS服务102可以用随机数来响应客户端计算设备104发出的DNS请求。随机数是一个任意的数字,只可在通信中使用一次。随机数通常是认证协议中发出的随机数或伪随机数,用于确保旧的通信不能在重放攻击中重复使用。在网络100的上下文中,随机数可以是在确定对从客户端计算设备104到受保护的服务106的连接请求进行授权时由中间服务110处理的数字。也就是说,客户端计算设备104至少部分地基于对随机数的处理,在到受保护服务106的连接请求中包括作为DNS服务102对DNS请求的响应的一部分从DNS服务102接收的随机数。中间服务110通过至少部分地确定随机数是否是客户端计算设备104向受保护的服务106发出的有效连接请求对应于的随机数来验证从客户端计算设备104到受保护的服务106的连接请求。
在一个示例中,至少部分地基于来自客户端计算设备104的DNS请求,DNS服务102可以将随机数提供给客户端计算设备104,作为对来自客户端计算设备104的DNS请求的响应的至少一部分,还可以将随机数提供给中间服务110。然后,中间服务110可以使用由DNS服务102提供的随机数来验证从客户端计算设备104到受保护服务106的连接请求,例如,通过部分地将由DNS服务102提供的随机数与由客户端计算设备104提供的随机数进行比较,作为从客户端计算设备104到受保护服务106的连接请求的一部分。
在另一示例中,至少部分地基于来自客户端计算设备104的DNS请求,DNS服务102可以向客户端计算设备104提供随机数,作为对来自客户端计算设备104的DNS请求的响应的至少一部分,但是不向中间服务110提供随机数。DNS服务102和中间服务110可以协调以商定随机数。这种协调可以是明确的。例如,DNS服务102和中间服务110可以交换信息以协调商定随机数。作为另一示例,协调可以是隐式的,例如通过使用DNS服务102和中间服务110两者公知的算法。DNS服务102和中间服务各自使用常用算法,通过应用以共享(秘密)密钥和上一个随机数为输入的函数,独立计算下一个随机数。例如,中间服务110可以具有相关联的随机数生成和/或存储功能112。该功能可以不具有很强的加密性。例如,仍然可以在传输层安全(TLS)握手和随后的客户端认证中执行验证。
在一些示例中,随机数可以由中间服务110(例如,安全服务)使用,以确定对从客户端计算设备104去往受保护的服务106的流量要应用什么策略。例如,在DNS服务102和中间服务110之间可以有更明确的协议。例如,DNS服务102,作为企业安全简档的管理器,可以识别对客户端计算设备104和受保护的服务106之间的连接要应用什么安全要求。DNS服务102可以向中间服务110提供对安全要求的指示和随机数。当客户端计算设备104向中间服务110提供到受保护的服务106的连接请求时,中间服务110可以处理在连接请求中所接收的随机数,以确定对客户端计算设备104和受保护的服务106之间的连接应用什么安全策略。
在另一示例中,DNS服务102可以至少部分地基于在DNS请求中对未受保护的服务114的指示,确定不将安全策略应用于与客户端计算设备104经由企业网络105发出的DNS请求相关联的流。例如,DNS服务102可以参考企业策略服务108来至少部分地基于在DNS请求中对未受保护的服务114的指示,确定安全策略不被应用于客户端计算设备104经由企业网络105发出的DNS请求与之相关联的流。
在该示例中,DNS服务102可以将DNS请求中的域名解析为与未受保护的服务114相关联的地址。DNS服务102可以向客户端计算设备104提供与未受保护的服务114相关联的地址。DNS服务102可能不会向客户端计算设备104提供一个随机数,所述随机数作为从客户端计算设备104到不受保护服务114的连接请求的一部分。例如,由于不将安全策略应用于到未保护服务114的流,所以可以不要求由发出连接请求以发起到未保护服务114的连接的客户端计算设备104提供随机数。
在一些示例中,客户端计算设备104还可以包括客户端代理116,客户端代理116调节对至少一些受保护的服务的访问。在一些示例中,企业可以在客户端代理116中安装策略,以使客户端代理116捕获到至少一些受保护的服务的流。企业可以通过例如将新的或更新的策略规则下载到客户端代理116中来动态地配置客户端代理116。
在使用示例网络100的特定示例中,客户端计算设备104经由企业网络105发出DNS请求(1)。DNS请求包括受保护的服务106的域名,该域名要由DNS服务102解析为IP地址。DNS请求可以例如根据1987年11月的RFC 1035“Domain Names-Implementation andSpecification”(“域名-实现和规范”)来格式化和定义。DNS请求在(2)上经由企业网络105继续到DNS服务102。
客户端计算设备104和DNS服务102之间的连接可以是安全的端到端加密连接。例如,安全端到端连接可以是根据2018年10月的RFC 8484“DNS Queries over HTTPS(DoH)”(“通过HTTPS的DNS查询”)的DoH连接。DoH是用于通过HTTPS发送DNS查询和获得DNS响应的协议。根据DOH,每个DNS查询-响应对被映射到HTTP交换中。DoH使用正常的HTTP内容协商机制为请求和响应建立默认的媒体格式类型,以选择端点可能喜欢的替代方案。DoH还将其自身与HTTP特征(例如,缓存、重新引导、代理、认证和压缩)保持一致。与HTTP的集成为现有DNS客户端和寻求访问DNS的本地网络应用程序两者提供了合适的传输。
作为另一示例,客户端计算设备104和DNS服务102之间的连接可以是安全的端到端加密连接,它是根据2016年5月的RFC 7858“Specification for DNS over transportlayer security(TLS)”(“传输层安全DNS规范”)的DoT连接。DoT在公知端口上通过TLS使用DNS。通过在公知的端口上建立连接,客户端和服务器期望并且同意协商TLS会话以保护信道。
DNS服务102形成DNS响应,在该DNS响应中包括与中间服务110相对应的IP地址和一个随机数,该随机数供客户端计算设备104使用,以作为与受保护服务106的连接请求的一部分。DNS服务102可以形成根据RFC 1035格式化和定义的响应。DNS服务提供(3)DNS响应,该DNS响应经由企业网络105被提供(4)给客户端计算设备104。
在一些示例中,DNS服务102还向中间服务110提供(3a)随机数。在其他示例中,中间服务110与DNS服务102协调后独立生成随机数,以便中间服务110独立生成的随机数与DNS服务102在发送到客户端计算设备104的DNS响应中包含的随机数相对应。
在一些示例中,DNS服务102包括以下随机数:所述随机数作为DNS服务102提供给客户端计算设备104的地址(例如IP地址)的一部分。例如,IP地址可以是根据2006年2月的RFC 4291“IP Version 6Addressing Architecture”(“IP版本6寻址体系结构”)格式化的IPv6地址。DNS服务102可以包括随机数作为IPv6地址的较低64位,而IPv6地址的较高64位可以由网络100用于路由。
客户端计算设备104包括(5)作为对受保护的服务106的连接请求的一部分的随机数,该随机数经由企业网络105提供(6)。客户端计算设备104在连接请求中包括的目的地地址是中间服务110的地址。这是由于DNS服务102响应于由客户端计算设备104发出的解析受保护的服务106的名称的DNS请求而已经向客户端计算设备104提供了中间服务100的地址。
中间服务110接收作为客户端计算设备104连接到受保护服务106的连接请求的一部分的随机数。中间服务110评估作为连接请求的一部分接收的随机数,以确定是否允许对受保护的服务106的连接请求。例如,中间服务110可以比较或以其他方式评估作为连接请求一部分接收到的随机数与中间服务102从DNS服务102接收到的随机数(至少部分地基于客户端计算设备104提供的DNS请求),以解析受保护服务106的名称。作为另一示例,中间服务110可以将作为连接请求一部分接收到的随机数与中间服务110独立生成或由相关随机数生成服务112生成的随机数进行比较或以其他方式进行评估。作为对所接收的随机数的评估的一部分,中间服务110可以评估所接收的随机数先前是否已经被使用过,并且因此随机数在初始使用之后的使用将无效。例如,中间服务110可以保存对先前使用过的随机数的记录,并且中间服务110可以比较所接收的随机数和其对先前使用过的随机数的记录。
当中间服务110确定作为对受保护的服务106的连接请求的一部分从客户端计算设备104接收的随机数指示连接请求是有效的连接请求时,中间服务110向受保护的服务106提供(7)连接请求。受保护的服务106响应(8)连接请求,例如至少向中间服务110提供对连接请求的确认。中间服务然后经由企业网络105提供(9)要被提供(10)给客户端计算设备104的响应,该响应可以包括确认。已经接收响应的客户端计算设备104连接到受保护的服务106,例如以发起到受保护的服务106的数据流量流。
在另一示例中,客户端计算设备104提供的DNS请求(1),经由企业网络105提供给DNS服务102的DNS请求(2),是解析不受保护服务114名称的DNS请求。DNS服务102经由企业网络向客户端计算设备104提供(图1中未示出)响应,该响应将未受保护的服务114的名称解析为未受保护的服务114的地址。此后,客户端计算设备104经由互联网118向未受保护的服务114提供(11)连接请求。未受保护的服务114向客户端计算设备104确认连接请求,客户端计算设备104此后连接到未受保护的服务114,例如以发起到未受保护的服务114的数据流量流。
在一些示例中,在响应客户端计算设备104提供的DNS请求时,DNS服务102将随机数作为DNS服务102提供的IPv6目标地址的一部分,与中间服务110相对应。图2示出了包括随机数的这种IPv6目的地地址的示例格式200。参考图2,示例格式200包括路由部分202和随机数部分204。
路由部分202包括示例格式200的最高有效的八个八位字节(八位字节8到15)。IPv6格式200的八个八位字节路由部分202足以用于将分组从客户端计算设备104路由到中间服务110。随机数部分204包括示例格式200的最低有效的八个八位字节(八位字节0到7)。IPv6格式200的八个八位字节随机数部分204由DNS服务102确定,并且由客户端计算设备104使用,以识别连接请求中对中间服务110的服务和/或目的。例如,IPv6格式200的八个八位字节随机数部分204可以识别将客户端计算设备104连接到受保护的服务106的目的。作为另一示例,中间服务110可以是安全服务,并且IPv6格式200的八个八位字节随机数部分204可以识别用于中间服务110的安全功能,以应用于源自客户端计算设备104并以受保护服务106为目的地的流量。
DNS服务102可以生成IP地址格式的路由部分202,以避免到受保护的服务106的直接连接。例如,DNS服务102可为旨在由基于网络的安全功能(如执行安全功能的中间服务110)调节的连接生成IP地址格式200的路由部分202,以便只将流量路由到该安全功能,而不将流量路由到作为初始目的地的受保护服务106。安全功能可以处理IP地址格式200的随机数部分204,以确定要执行什么安全功能,以及在执行安全功能之后要将流量转发到哪个目的地服务(例如,受保护的服务106)。
在其他示例中,中间服务110除了执行安全功能以外,还可以执行其他类型的功能。例如,中间服务110可以执行负载平衡功能。在该示例中,中间服务可以处理IP地址格式200的随机数部分204,以确定如何将流量转发到例如包括多个服务的虚拟专用云(VPC)中的适当服务。
图3是示出示例过程300的流程图,示例过程300由客户端计算设备104执行以发起并且执行与受保护的服务106的连接。例如,受保护的服务106可以由中间服务110执行的企业安全功能保护。
在302处,客户端计算设备104向DNS服务发出DNS请求。客户端计算设备104向DNS服务102发出DNS请求,其中,客户端计算设备104在DNS请求中包括受保护的服务106的域名。在304处,客户端计算设备104接收来自DNS服务102的响应,该响应对应于DNS请求。在一个示例中,该响应包括IPv6地址,该IPv6地址包括路由部分和随机数部分。
在其他示例中,客户端计算设备104接收响应,该响应中随机数不是所接收的地址的一部分,而是所接收的地址的附件。即,在这些其他示例中,当客户端计算设备104向受保护的服务106提供连接请求时,客户端机计算设备104不会将随机数作为目标地址的一部分,但可以在DNS请求响应的不同字段中包含随机数,而不是接收到的地址。
在306处,客户端计算设备104提供连接请求,包括从DNS服务102接收的地址(以及单独的随机数,如果DNS服务102没有提供随机数作为地址的一部分)。至少部分地由于DNS服务102提供的指向中间服务110的地址,连接请求被路由到中间服务110。
在308处,客户端计算设备104接收对客户端计算设备104提供的连接请求的响应。在一些示例中,客户端计算设备104参与消息的握手交换以建立与受保护的服务106的连接。在310处,客户端计算设备104通过所建立的连接发送数据流量。
关于过程300,在一些示例中,因为DNS服务102将随机数嵌入它提供的IP地址中,所以客户端计算设备104甚至可能不知道来自DNS服务102的响应包括随机数。此外,当客户端计算设备104发送连接请求并且包括从DNS服务102提供的IP地址(具有所嵌入的随机数)时,客户端计算设备104甚至可能不知道IP地址包括随机数。此外,例如,当客户端计算设备104通过连接发送去往受保护的服务106的流量时,客户端计算设备104甚至可能不知道IP地址的路由部分202被用于将流量路由到中间服务110的地址,以及随机数被包括为IP地址的随机数部分204。
图4是示出示例过程400的流程图,示例过程400由DNS服务102执行以解析来自客户端计算设备104的对受保护的服务106的地址的请求。在402处,DNS服务102接收来自客户端计算设备104的DNS请求。DNS请求包括对受保护的服务106的域名的指示。
在404处,DNS服务102确定与客户端计算设备104和受保护的服务106相关联的至少一个企业安全策略。例如,网络管理员可能已经使用网络管理平台和/或门户网站来配置企业安全策略。在一些示例中,网络管理员以这种方式使用网络管理平台和/或门户网站可能与使用网络管理平台和/或门户网站配置企业安全策略以下载到客户端代理116中(客户端计算设备104可执行客户端代理116)没有太大区别(如果有区别的话)。
在406处,DNS服务102向客户端计算设备104发送对从客户端计算设备104发送的DNS请求的响应。DNS服务102在响应中包括要路由到中间服务110的地址。DNS服务102还包括对应于所确定的企业安全策略的随机数,以及在随机数中包括对受保护的服务106的指示。在一些示例中,DNS服务102提供作为IPv6(或其他格式)地址的一部分的随机数。即,DNS服务102可以提供IPv6地址的路由部分202,用该部分可以将来自客户端计算设备104的数据流量路由到中间服务110。另外,DNS服务102可以提供IPv6地址的随机数部分204,该随机数部分204可以包括对所确定的企业安全策略的指示以及对受保护的服务106的指示。
图5是示出示例过程500的流程图,示例过程500由中间服务110执行以处理由客户端计算设备104提供的连接请求。在502处,中间服务110接收来自客户端计算设备104的包括随机数的连接请求。例如,客户端计算设备104可以在连接请求中包括作为目的地IPv6(或其他格式)地址的一部分的随机数。即,客户端计算设备104可以提供IPv6地址的路由部分202,用该部分可以将来自客户端计算设备104的数据流量路由到中间服务110。另外,客户端计算设备104可以提供IPv6地址的随机数部分204,随机数部分204包括对所确定的企业安全策略的指示以及对受保护的服务106的指示。响应于来自客户端计算设备104的DNS请求,客户端计算设备104可能已经从DNS服务102接收具有路由部分202和随机数部分204的IPv6地址。
在504处,中间服务100确定被包括在来自客户端计算设备104的连接请求中的随机数是有效的。例如,在DNS服务102响应来自客户端计算设备104的DNS请求时,DNS服务102可能已经向中间服务110提供随机数。此外,中间服务110可能先前没有处理过相同的随机数。例如,随机数可以不是中间服务110跟踪到的先前使用过的随机数。然而,中间服务110可以确定从客户端计算设备接收包括随机数的连接请求的时间在与接收来自DNS请求的随机数的中间服务110相关联的时间段内。另一方面,如果中间服务110确定被包括在来自客户端计算设备104的连接请求中的随机数不是有效的,则对于在过程500的操作502处所接收的连接请求,中间服务可以不前进到过程500的操作506。
在506处,中间服务110确定随机数所对应的服务(如果有的话)。更具体地,中间服务110确定随机数对应于受保护的服务106。例如,随机数可以包括对受保护的服务表中的索引,并且中间服务110用所包括的索引对该表进行索引,以从表中的索引条目获得索引条目的值,索引条目是对受保护的服务106的指示。中间服务可以至少部分地基于来自DNS服务102的随机数的通知,用受保护的服务106的指示来填充索引条目。
在508处,中间服务110确定由随机数指示的安全策略(如果有的话)。例如,在生成随机数时,DNS服务102可以向中间服务110通知随机数和应用于包括随机数的连接请求的至少一个安全策略。中间服务110可以以在接收包括随机数的连接请求时可以确定至少一个安全策略的指示的方式存储至少一个安全策略的指示。作为另一示例,中间服务110可以隐式地将一个或多个安全策略应用于连接请求,即使安全策略没有明确地由随机数指示或以其他方式对应于随机数。
在510处,中间服务110提供对服务的连接请求,中间服务110已经确定随机数对应该服务(受保护的服务106),因为根据安全策略,该连接请求是被允许提供的。在512处,中间服务110禁用被包括在连接请求中的随机数,使得随机数不能随后被重新使用。这将例如防止来自客户端计算设备104的连接请求的窃听者通过重新使用被包括在来自客户端计算设备的连接请求中的随机数来访问受保护的服务106。例如,中间服务110可以跟踪已使用过的随机数,以便中间服务110在处理包含相同随机数的后续连接时,确定后续连接请求无效。
图6示出了计算机600的示例计算机架构,计算机600能够执行用于实现上述功能的程序组件。图6所示的计算机架构图示了服务器计算机、工作站、台式计算机、膝上型计算机、平板计算机、网络应用、电子阅读器、智能电话、网络交换机或其它计算设备的架构,并且可以用于执行本文呈现的任何软件组件。在一些示例中,计算机600可以对应于本文所讨论的网络基础设施设备。
计算机600包括基板602,或者“主板”,它可以是印刷电路板,许多组件或设备可以通过系统总线或者其他电气通信路径的方式连接到它。在一个说明性配置中,一个或多个中央处理单元(central processing unit,“CPU”)604结合芯片组606一起操作。CPU 604例如可以是标准的可编程处理器,它执行计算机600的操作所必需的算术和逻辑操作。
CPU 604通过从一个离散的物理状态转变到下一个状态来执行操作,其中状态转变是通过对区分和改变这些状态的切换元件的操纵来实现的。切换元件一般包括维持两个二元状态之一的电子电路,例如触发器,以及基于一个或多个其他切换元件的状态的逻辑组合来提供输出状态的电子电路,例如逻辑门。这些基本的切换元件可以被组合以创建更复杂的逻辑电路,包括寄存器、加减器、算术逻辑单元、浮点单元等。
芯片组606在CPU 604和基板602上的其余组件和设备之间提供了接口。芯片组606可以提供与RAM 608的接口,该RAM被用作计算机600中的主存储器。芯片组606可以进一步提供与计算机可读存储介质的接口,所述介质例如是只读存储器(read-only memory,“ROM”)610或者非易失性RAM(non-volatile RAM,“NVRAM”),用于存储有助于启动计算机600和在各种组件和设备之间传送信息的基本例程。ROM 610或NVRAM还可以存储根据本文描述的配置进行的计算机600的操作所必需的其他软件组件。如图6所示,ROM 610或NVRAM还可以存储可由计算机600使用的数据,以生成和/或处理在计算机600和其他设备之间交换的消息中的证明信息。在其它示例中,该数据可以存储在别处,例如在RAM 608中。
计算机600可以在联网环境中操作,使用通过网络与远程计算设备和计算机系统的逻辑连接。例如,芯片组606可以包括用于通过网络接口控制器(NIC)612(例如千兆以太网适配器)来提供网络连通性的功能。NIC 612能够通过网络将计算机600连接到其他计算设备。应当明白,计算机600中可以存在多个NIC 612,将计算机连接到其他类型的网络和远程计算机系统。在一些实例中,NIC 612可以包括至少一个入口端口和/或至少一个出口端口。可以为其它类型的输入/输出提供输入/输出控制器616。
计算机600可以连接到为计算机提供非易失性存储的存储设备618。存储设备618可以存储例如操作系统620、程序622和数据624。存储设备618可以通过与芯片组606相连接的存储控制器614来连接到计算机600。存储设备618可以包括一个或多个物理存储单元。存储控制器614可以通过串行附接SCSI(serial attached SCSI,“SAS”)接口、串行先进技术附件(serial advanced technology attachment,“SATA”)接口、光纤通道(fiberchannel,“FC”)接口或者其他类型的用于在计算机和物理存储单元之间物理连接和传送数据的接口与物理存储单元相对接。
数据624可以包括例如受保护的服务表,其中中间服务110可以用被包括在随机数中的索引对该表进行索引,以从该表中的索引条目获得对受保护的服务的指示,中间服务110要通过来自提供随机数的客户端计算设备的连接将流量转发到该受保护的服务。中间服务110可以至少部分地基于来自DNS服务102的随机数通知,用各种受保护的服务的指示来填充索引条目。数据624还可以或替代地包括先前已经使用过的随机数列表,使得例如中间服务110可以拒绝连接请求,该连接请求包括由数据624指示为先前已经使用过的随机数。
计算机600可以通过变换物理存储单元的物理状态以反映被存储的信息,从而在存储设备618上存储数据。在本说明书的不同实施例中,物理状态的具体变换可以取决于各种因素。这种因素的示例可包括但不限于用于实现物理存储单元的技术、存储设备618是被表征为主存储还是次存储,等等。例如,计算机600可以通过如下方式来将信息存储到存储设备618:通过存储控制器614发出指令以更改磁盘驱动单元内的特定位置的磁特性、光学存储单元中的特定位置的反射或折射特性、或者固态存储单元中的特定电容器、晶体管或者其他分立组件的电特性。在不偏离本说明书的范围和精神的情况下,物理介质的其他变换是可能的,提供前述示例只是为了方便本说明书。计算机600可以通过检测物理存储单元内的一个或多个特定位置的物理状态或特性,进一步从存储设备618读取信息。
除了上述存储设备618之外,计算机600可以访问其它计算机可读存储介质以存储和检索信息,例如,程序模块、数据结构、或其它数据,包括生成和/或处理证明信息的数据。本领域的技术人员应当明白,计算机可读存储介质是提供数据的非暂态存储并且可以由计算机600访问的任何可用介质。
综上所述,本公开描述的技术包括:由域名服务DNS接收来自客户端计算设备的名称解析请求,以及由DNS向客户端计算设备提供随机数,其中,服务被配置为至少部分地基于处理随机数来授权来自客户端计算设备的连接请求。本公开还描述了包括一种验证来自客户端计算设备的连接请求的方法的技术,该方法包括:接收连接请求,该连接请求包括随机数。这些技术还包括:确定随机数是有效的随机数。这些技术还包括:至少部分地基于确定随机数是有效的随机数来授权连接请求并且禁用随机数。
虽然是针对具体示例来描述本发明的,但要理解,本发明的范围并不限于这些具体示例。由于为适应特定的操作要求和环境而进行的其他修改和变化对于本领域的技术人员而言是显而易见的,因此本发明不被认为限于为公开目的而选择的示例,并且覆盖了所有不构成偏离本发明的真正精神和范围的变化和修改。。
虽然本申请描述了具有具体结构特征和/或方法动作的实施例,但要理解,权利要求书不一定限于所描述的具体特征或动作。更确切地说,具体特征和动作只是说明了属于本申请的权利要求的范围内的一些实施例。
Claims (22)
1.一种域名服务(DNS)方法,包括:
由所述DNS接收来自客户端计算设备的名称解析请求;以及
由所述DNS向所述客户端计算设备提供随机数,其中,一服务被配置为至少部分地基于处理所述随机数来授权来自所述客户端计算设备的连接请求。
2.根据权利要求1所述的方法,其中,所述服务是中间服务,所述中间服务被配置为至少部分地基于处理所述随机数来授权从所述客户端计算设备到目的地服务的连接请求。
3.根据权利要求2所述的方法,其中,所述中间服务被配置为执行网络安全功能。
4.根据权利要求1至3中任一项所述的方法,其中,所述服务是虚拟专用云(VPC)入口点或负载平衡器中的一个。
5.根据权利要求1至4中任一项所述的方法,其中,所述服务是目的地服务,被配置为至少部分地基于处理所述随机数来授权从所述客户端计算设备到所述目的地服务的连接请求。
6.根据权利要求1至5中任一项所述的方法,还包括:
由所述DNS确定与所述客户端计算设备和所述连接请求的组合相关联的至少第一企业安全策略;以及
至少部分地基于接收所述名称解析请求,向所述客户端计算设备提供响应,所述响应包括路由部分和随机数部分,所述随机数部分对应于所述至少第一企业安全策略。
7.根据权利要求6所述的方法,其中,确定所述至少第一企业安全策略包括与企业策略服务交互。
8.根据权利要求6或7所述的方法,其中,所述名称解析请求是第一名称解析请求,所述服务是第一受保护的服务,并且所述路由部分是指示中间服务的第一路由部分,所述中间服务介于所述客户端计算设备和所述第一受保护的服务之间,所述方法还包括:
由所述域名服务接收来自所述客户端计算设备的第二名称解析请求,所述第二名称解析请求包括第二受保护的服务的名称;
由所述DNS确定与所述客户端计算设备和所述第二受保护的服务的组合相关联的至少第二企业安全策略;以及
至少部分地基于接收所述第二名称解析请求,向所述客户端计算设备提供用于访问所述第二受保护的服务的响应,所述响应包括第二路由部分和第二随机数部分,所述第二随机数部分对应于所述至少第二企业安全策略,并且所述第二路由部分对应于所述第二受保护的服务。
9.根据权利要求1至8中任一项所述的方法,其中:
由DNS向所述客户端计算设备提供所述随机数包括:将所述随机数作为IPv6地址的一部分提供给所述客户端。
10.一种验证来自客户端计算设备的连接请求的方法,包括以下操作:
接收所述连接请求,所述连接请求包括随机数;
确定所述随机数是有效的;
至少部分地基于确定所述随机数是有效的来授权所述连接请求;以及
禁用所述随机数。
11.根据权利要求10所述的方法,其中:
所述连接请求是连接到目的地服务的请求;以及
所述确定操作和所述授权操作由中间服务执行,所述中间服务介于所述客户端计算设备和所述目的地服务之间。
12.根据权利要求11所述的方法,还包括:
所述中间服务至少部分地基于所述随机数来将安全策略应用于所述连接请求。
13.根据权利要求11或12所述的方法,其中:
所述中间服务是虚拟专用云(VPC)入口点或负载平衡器中的至少一个。
14.根据权利要求10至13中任一项所述的方法,其中:
所述连接请求是连接到目的地服务的请求;以及
所述确定操作和所述授权操作由所述目的地服务执行。
15.根据权利要求10至14中任一项所述的方法,其中:
所述连接请求包括目的地IPv6地址,所述目的地IPv6地址包括路由部分和随机数部分,所述随机数部分包含所述随机数。
16.一种域名服务(DNS),包括:
一个或多个处理器;以及
存储计算机可执行指令的一个或多个非暂态计算机可读介质,所述指令在由所述一个或多个处理器执行时使所述一个或多个处理器执行以下操作:
接收来自客户端计算设备的名称解析请求;以及
向所述客户端计算设备提供随机数,其中,一服务被配置为至少部分地基于处理所述随机数来授权来自所述客户端计算设备的连接请求。
17.根据权利要求16所述的DNS,所述操作还包括:
确定与所述客户端计算设备和所述连接请求的组合相关联的至少第一企业安全策略;以及
至少部分地基于接收所述名称解析请求,向所述客户端计算设备提供响应,所述响应包括路由部分和随机数部分,所述随机数部分对应于所述至少第一企业安全策略。
18.根据权利要求17所述的DNS,其中,确定所述至少第一企业安全策略的操作包括与企业策略服务交互。
19.根据权利要求17或18所述的DNS,其中,所述名称解析请求是第一名称解析请求,所述服务是第一受保护的服务,并且所述路由部分是指示中间服务的第一路由部分,所述中间服务介于所述客户端计算设备和所述第一受保护的服务之间,所述操作还包括:
接收来自所述客户端计算设备的第二名称解析请求,所述第二名称解析请求包括第二受保护的服务的名称;
确定与所述客户端计算设备和所述第二受保护的服务的组合相关联的至少第二企业安全策略;以及
至少部分地基于接收所述第二名称解析请求,向所述客户端计算设备提供用于访问所述第二受保护的服务的响应,所述响应包括第二路由部分和第二随机数部分,所述第二随机数部分对应于所述至少第二企业安全策略,并且所述第二路由部分对应于所述第二受保护的服务。
20.根据权利要求16至19中任一项所述的DNS,其中:
向所述客户端计算设备提供所述随机数包括:将所述随机数作为IPv6地址的一部分提供给所述客户端计算设备。
21.一种域名服务(DNS),包括用于实现根据权利要求1至15中任一项所述的方法的模块。
22.一种包括指令的计算机程序、计算机程序产品或计算机可读介质,所述指令在由计算机执行时使所述计算机执行根据权利要求1至15中任一项所述的方法的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/169,086 US11683309B2 (en) | 2021-02-05 | 2021-02-05 | Nonce-based enterprise security policy enforcement |
| US17/169,086 | 2021-02-05 | ||
| PCT/US2022/013343 WO2022169614A1 (en) | 2021-02-05 | 2022-01-21 | Nonce-based enterprise security policy enforcement |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116830530A true CN116830530A (zh) | 2023-09-29 |
Family
ID=80446381
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280013463.4A Pending CN116830530A (zh) | 2021-02-05 | 2022-01-21 | 基于随机数的企业安全策略实施 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11683309B2 (zh) |
| EP (1) | EP4289109A1 (zh) |
| CN (1) | CN116830530A (zh) |
| WO (1) | WO2022169614A1 (zh) |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7620733B1 (en) | 2005-03-30 | 2009-11-17 | Cisco Technology, Inc. | DNS anti-spoofing using UDP |
| WO2012048206A2 (en) | 2010-10-08 | 2012-04-12 | Virginia Tech Intellectual Properties, Inc. | Method and system for dynamically obscuring addresses in ipv6 |
| US10812441B2 (en) | 2015-01-27 | 2020-10-20 | Pango Inc. | System and method for suppressing DNS requests |
| US11552997B2 (en) | 2018-02-06 | 2023-01-10 | Akamai Technologies, Inc. | Secure request authentication for a threat protection service |
| CN110830990B (zh) * | 2018-08-09 | 2021-04-20 | 华为技术有限公司 | 一种身份信息的处理方法、装置及存储介质 |
| US10931695B2 (en) | 2018-08-22 | 2021-02-23 | Akamai Technologies, Inc. | Nonce injection and observation system for detecting eavesdroppers |
| US10771435B2 (en) * | 2018-11-20 | 2020-09-08 | Netskope, Inc. | Zero trust and zero knowledge application access system |
| US11212318B2 (en) | 2019-04-05 | 2021-12-28 | Cisco Technology, Inc. | Verifying service advertisements using attestation-based methods |
| US10862854B2 (en) | 2019-05-07 | 2020-12-08 | Bitdefender IPR Management Ltd. | Systems and methods for using DNS messages to selectively collect computer forensic data |
-
2021
- 2021-02-05 US US17/169,086 patent/US11683309B2/en active Active
-
2022
- 2022-01-21 WO PCT/US2022/013343 patent/WO2022169614A1/en active Application Filing
- 2022-01-21 EP EP22704103.5A patent/EP4289109A1/en active Pending
- 2022-01-21 CN CN202280013463.4A patent/CN116830530A/zh active Pending
-
2023
- 2023-05-16 US US18/197,895 patent/US20230283608A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022169614A1 (en) | 2022-08-11 |
| US20230283608A1 (en) | 2023-09-07 |
| US20220255937A1 (en) | 2022-08-11 |
| US11683309B2 (en) | 2023-06-20 |
| EP4289109A1 (en) | 2023-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11528255B2 (en) | Policy-controlled authentication for internet communication | |
| US20210176079A1 (en) | Supporting secure sessions in a cloud-based proxy service | |
| US11647003B2 (en) | Concealing internal applications that are accessed over a network | |
| WO2018010146A1 (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
| WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| US10587605B2 (en) | Certificate pinning in highly secure network environments using public key certificates obtained from a DHCP (dynamic host configuration protocol) server | |
| US10911485B2 (en) | Providing cross site request forgery protection at an edge server | |
| US10218704B2 (en) | Resource access control using named capabilities | |
| US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
| US11463429B2 (en) | Network controls for application access secured by transport layer security (TLS) using single sign on (SSO) flow | |
| Liu et al. | Building generic scalable middlebox services over encrypted protocols | |
| US20230049547A1 (en) | Private network access | |
| US11683309B2 (en) | Nonce-based enterprise security policy enforcement | |
| JP5383768B2 (ja) | 情報管理装置、システム及び方法 | |
| US20240195795A1 (en) | Computer-implemented methods and systems for establishing and/or controlling network connectivity | |
| CN117356073A (zh) | 使用数据包级数据指示基于网络的同意合约 | |
| CN116941221A (zh) | 创建基于网络的同意合约 | |
| WO2023199189A1 (en) | Methods and systems for implementing secure communication channels between systems over a network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |