TW201012156A - Secure resource name resolution - Google Patents

Secure resource name resolution Download PDF

Info

Publication number
TW201012156A
TW201012156A TW098126576A TW98126576A TW201012156A TW 201012156 A TW201012156 A TW 201012156A TW 098126576 A TW098126576 A TW 098126576A TW 98126576 A TW98126576 A TW 98126576A TW 201012156 A TW201012156 A TW 201012156A
Authority
TW
Taiwan
Prior art keywords
parsing
parameters
identifier
network
name resolution
Prior art date
Application number
TW098126576A
Other languages
English (en)
Other versions
TWI478564B (zh
Inventor
Rob M Trace
Libby Meren
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of TW201012156A publication Critical patent/TW201012156A/zh
Application granted granted Critical
Publication of TWI478564B publication Critical patent/TWI478564B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
    • G06F15/17306Intercommunication techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

201012156 六、發明說明: 【發明所屬之技術領域】 本發明係有關於名稱解析科技。 【先前技術】 -在電腦通訊網路中,可使用若干不同的科技以識別可 經由網路進行存取的資源。該等資源可包括附接到網路 φ 的主機(Host),像是客戶端以及伺服器計算裝置,以及像 是路由器、閘道器、防火牆等等的網路資源。在一技術 中,可由一或更多的識別號碼來識別資源,像是媒體存 取控制(MAC)位址或是網際網路協定(IP)位址。然而,可 以理解的是,在這些位址在電腦對電腦的通訊上很實用 的同時’使用者通常會發現到要記住這些識別號碼是很 困難的,而這困難很可能會讓使用者因此放棄對網路資 源的存取。因此,亦可額外或替代地由更容易為使用者 所記住的文字識別符(textual identifier)來識別資源。實 ' 現能用來識別資源之文字識別符的科技包括了 - NetBI〇S 、區域鏈結多播名稱解析(LLMNR)以及網域名 稱系統(DNS)。 提供此類文字識別符之科技亦可提供翻譯服務以將一 能輕易讓使用者記憶住之文字識別符,與一能讓計算裝 置更容易處理的數字識別符相匹配(反之亦然)。舉例而 言,在DNS中,當一使用者輸入一計算裝置到一文字識 201012156 別符(在DNS中的「網域名稱」)以初始與一由網域名稱 所識別之資源間的通訊,在計算裝置上之一 DNS客戶端 將會查詢一 DNS伺服器以將該網域名稱「解析」成一 ιρ 位址。在接收了一查詢之後,該DNS伺服器將通過本地 對該IP位址可用之資訊亦或是透過查詢其他DNS伺服 器,來找尋一對應到一網域名稱之Ip位址,然後將該ιρ 位址回傳給該DNS客戶端。該計算裝置則可初始與使用 該IP位址之資源間的通訊。 ® i人已了解到某些此類的名稱解析技術會被濫用。例 如在DNS中,一攻擊者可以藉由在該DNS伺服器對該 正確IP位址做出回應之前先以該攻擊者資源之ιρ位址 對- DNS查詢作出回應的方式,來將—計算裝置誤導到 該攻擊者自身的資源上(例如該攻擊者的伺服器該計 算裝置則可被誤導且將會連接到該攻擊者的資源,而不 是正確的資源。然後’當連接到該攻擊者之資源時,該 _ 计算裝置可將資料透露給攻擊者或是從該攻擊者處接收 偽造資料或是蠕蟲軟體(malwarep 某些安全技術已被實現已減少此種情形發生的可能 性’例如’藉由將隨機識別符含括在DNS查詢各者内以 及要求他們須被含括在對該查詢的回應内的方式,以制 止攻擊者對該虛假位址進行回應的行為,除非該攻擊者 能夠猜測或偵測到該查詢的隨機識別符。其中一種建議 用來解決這些安全考量的安全技術,就是用DNS實作而 成的網域名稱系統安全延伸(DNSSEC)協定。DNSSEC透 201012156 DNS結果的數位發訊,從 此外’依網際網路協定安 過憑證管理的方式(C A)提供了 而該等結果可被精確地驗證。 全(iPsec)來使用DNS或DNSSEC的方式已被提出,以考 量到在DNS客戶端及DNS伺服n端之間通訊的加密及/ 或鑑定。 【發明内容】 ❿ 申請人已體認並了解到習知的名稱解析科技(包括 DNS)的安全性可再加以增進。進一步而言,習知的名稱 解析科技並未設計成能按照經由單一網路介面及單組網 路硬體連接到多個網路的方式來運作,而因此疊蓋網路 的成長被阻礙了。 在此所述是用於保全名稱解析科技之原理,以及甩於 確保名稱解析科技能在現代網路中發揮作用的原理。某 些所述方式能與具有一疊蓋網路之網路組態相容,該疊 ® 蓋網路可如同一承載網路般經由相同介面進行存取。根 據某些在此所述之原理,一組解析參數可由一使用者(像 是一末端使用者或是一管理者)所實現以在一名稱解析 過程期間使用,以在一疊蓋網路中用於保全該處理及/或 用於導人該處理。在某些實作巾,可將該組解析參數維 持成一規則表,並將其用於支配名稱解析處理。例如, 可產生忐支配一DNSSEC會話的解析參數,或是支配如 何用微軟直接存取之疊蓋科技來與網路通訊之方式,或 201012156 是支配使用任何其他網路科技的通訊。 在某些具體實施例中,茲提供了一種方法,其包含以下 步驟:將用於一網路資源之一第一識別符當做輸入來接 受,諮詢多組解析參數之一集合以判斷能應用到該第一 識別符的一組可應用解析參數;以及獲得用於該網路資 源之一第二識別符。該獲得步驟包含導入一名稱解析處 理’以基於該第一識別符來判斷用於該網路資源之該第 二識別符。該名稱解析處理是由該組可應用解析參數所 β 支配。 在其他具體實施例中’茲提供至少一種用電腦可運行指 令來編碼的電腦可讀取儲存媒體,當其執行時,會使得 一電腦能執行一種方法。該方法包含以下步驟:依據一 應用程式而將一用於一網路資源之網域名稱當做輸入來 接受;判斷來自多組解析參.數之集合中的一組可應用解 析參數;根據該組可應用解析參數而在該網路上建立對 一網域名稱服務(DNS)伺服器之連結。該DNS飼服器可 由該組可應用解析參數來識別*該方法更.包含根據該組 可應用解析參數而對該DNS伺服器發送一 dnS查詢; 從該DNS伺服器處接收一回應,其包含一用於該網路資 源之數字識別蔚;以及對該應用程式提供該數字識別符。 在更進一步之具體實施例中’茲提供一種設備,其至 少包含:至少一處理器’以及至少一編碼—資料·結構之 201012156 有形電腦可讀取儲存媒體。該資料結構包含相關於一組 解析參數之資訊,該資料結構能按照由一名稱解析軟體 組件所可使用的方法來儲存,以支配一名稱解析處理, 該資料結構包含:一資訊正準備記綠於其中之第一位 置’其定義一組用於網路資源之一或更多之識別符,其 中該等解析參數能應用於該組識別符;一資訊正準備記 參 錄於其中之第二位置,其定義一被時現在一通訊通道上 之女全類型,其中該名稱解析處理係透過該通道來交換 資訊;一資訊正準備記錄於其中之第三位置,其定義至 少一受信任之憑證管理;以及一資訊正準備記錄於其中 之第四位置’其定義至少一網路資源,其中正準備與該 網路資源建立該通訊通道。該至少—有形電嘴可讀取儲 存媒體包含該資料結構之複數個實例,該f料結構之各 個實例係與特組解析參數相關連。該至少—處理器 適用於運行該名稱解析軟體組件,而該名稱解析軟體組 件係適用於根據至少—組應用解析參數來執行該名稱解 析處理。該名稱解析軟體組件能讀取至少某些的複數個 資料結構實例’該等資料結構實例係編碼在至少一有形 電腦可讀取儲存媒體上’以判斷一或更多組應用 數。 ,而本發 前述内容是作為本發明之非限制性概括摘要 明係由隨附的申請專利範圍所定義。 【實施方式】 201012156 申請人已體認並了解到習知的名稱解析科技(包括 DNS)的安全性,可再加以增進。進一步而言,習知的名 稱解析技術並未被設計成能以通過單一網路介面及單組 網路硬體而連接到若干網路的方式來運作,因此阻礙了 疊蓋網路的成長❶ 例如,當DNSSEC被提出用來確保DNS查詢的結果是 正確的㈣,其卻需依賴兩個許多人認為無法接受的^ 件。第一,各個用於回應一 DNS查詢(其可為不同位置 且由不同方所管理)之DNS伺服器必須實作成負責處理 DNSSEC,而這會讓整體網路變得更難轉出(r〇u〇ut卜第 二,DNS客戶端基本上將必須扮演一完整解析器的角 色,而不是一種如正常DNS般會將大多數用於解析查詢 之回應傳遞給一完整解析器(DNS伺服器)的「柱形解析 器」(Stubres〇lver)。這會增加該客戶端的處理,因為 客戶端將會變成要負責確保回傳到DNS客戶端的各結果 參 是合法且正確的,藉由審視該結果之數位簽名以判斷用 來發出在該結果上簽名之憑證的憑證管理(CA)是否值得 信任。將此責任交給執行該DNS客戶端之客戶端計算裝 置,會有使該計算裝置負載過重的風險,特別是在考量 到較不具運算能力的計算裝置像是個人數位助理(pDA) 及行動手機的情況下。為了能從客戶端卸去此重擔,可 將此工作父給伺服器或其他網路資源。 進一步而言,習知的名稱解析技術並不適用於工作在 疊蓋網路可能存在的情境下。在過去,一計算裝置可藉 201012156 由一專屬網路介面而連接到各網路,而該網路介面將由 使用者及/或由裝置來在各網路上進行設置以與該等網 路互動’包括設置該介面以支援由網路所實現之名稱解 析技術。例如,當一計算裝置(像是一膝上型電腦)連接 到無線網路時,在網路上之動態主機組態協定(DHCP)伺 服器可提供在其他參數中之一 IP位址、一用於閘道器之 識別符以及一用於DNS伺服器之識別符給該計算裝置。 然後’任何通過使用一文字識別符之介面的通訊,將通 〇 過DNS伺服器來解析。若一計算裝置要連接到不同網路 或是使用不同名稱解析技術,則將必須設置另一個界 面。舉例而言,可使用第二有線介面,或是使用無線介 面。 申請人已經體認並了解到,在現代網路中,「疊蓋」 (Overlay)網路已經變得越來越普遍。這些疊蓋網路被設 置成能與現存網路共同存在於相同硬體上,且係位於現 ⑩ 存硬體網路之上的邏輯疊蓋。連接到疊蓋網路之各網路 裝置亦可連接到一或更多現存硬體,像是現存的區域網 路及/或現存的廣域網路。此類疊蓋鱗路可以各種方式 來實現’例如,使用微軟直接存取(Microsoft Direct Access)。該疊蓋網路可因此被視為一或更多其他網路的 受很子群組。 使用這些科技,一連接到給定硬體網路之計算裝置, 可因此能經由單一介面而同時地連接到多個網路,包括 承載(underlying)網路以及一或更多疊蓋網路。習知的名 201012156 稱解析技術是無法支援此類網路(像是名稱解析協定的 類的’或者計算裝置應與其通訊之用於名稱解析的網 路-貝源(例如DNS伺服器),與承載網路之名稱解析科 技相比下,會與用於疊蓋網路之網路資源不同。 進一步而言,因為某些網路能將某些關於如何存取在 網路上之某些資源的資訊保持隱密—例如,該一特定安 全伺服器之位置/身分或是其他網路資源一而讓這些資 ❹ 訊犯避免被給予至潛在的攻擊者,一特定伺服器或其他 資源可為一名稱解析查詢之所欲結果的唯一可能來源。 替代地,一特定網路資源可具有一在疊蓋網路之外都不 為人知的識別符,或著那是該疊蓋網路外部之另一資源 的文字識別符的複製品,而一特定伺服器或其他資源可 為用於該特定網路資源之一名稱解析查詢之所欲結果的 該唯一可能來源。據此,對於計算裝置而言,即使該等 疊蓋網路使用相同的名稱解析技術,在名稱解析處理期 ® 間與一特定伺服器或其他資源接觸仍是有必要的該名 稱解析處理對於在該(等)疊蓋網路上的通訊而言可相異 於承载硬體網路1有鑑於此,對於一計算裝置的網路介 面而。要針對多個疊蓋網路各者維持DNS伺服器之多 個位址是有必要的’使得該計算裝置可與各疊蓋網路通 訊。若㈣習知㈣算裝置、網路技術以及名稱解析科 技’則這是不可能達成的。 在此所述為用於安全名稱解析科技以及用於確保名稱 解析科技可在現代網路(其具有複數個可經由單一網路 11 201012156 進行存取的4蓋網路)中發揮作 在 π绝理像疋一末端使用者及/或一管理者, 可編譯一組解析參數, 置上以由該計算裝置之m數可應用到-計算裝 使用,以藉由使用=可=個或全部的網路介面來 解析名稱㈣ 路的名稱解析科技來 =:Γ’該等解析參數可支配由介面所執行的 稱解析處理。例如,在某些實作中,解析參數可指定 ❹ e dnssec參數及/或關於直接存取的參數,吾人應了解 到亦可使用其他的名稱解析科技及其他類型的網路及安 全技術。該等解析參數可按任何方式來儲存例如,在 一規則表中可由-名稱解析模組來審視並且用來裝配 (assemble)—名稱解析查詢。 該等解析參數可包含任何關於如何實行一名稱解析處 理的適合資訊。更甚者’所用之特定資訊可視名稱解析 所尋找之網路類型而定。例如,對於dnssec用作為名 稱解析科技的網路而言,該等參數可包括安全參數,像 是該等解析參數能應用於哪些網域、確認該伺服器是否 曾經驗證一回應、加密是否應該被用於與該伺服器之通 訊中、應該使用什麼類型的加密、是否應該信任憑證管 理(CA)或是認證以簽名結果、以及應該針對結果查詢哪 個DNS伺服器。如另一範例般,對於一叠蓋網路而言, 像疋使用直接存取之疊蓋網路、或是諸如以下之解析參 數’像是:該等解析參數能應用於哪個網路/網域、應 該針對結果查詢哪個DNS伺服器、是否應該使用加密、 12 201012156 應該使用什麼類型的加密、是否應該信任憑證管理以簽 名結果、以及當與一疊蓋網路進行通訊時應該使用什麼 代理伺服器等,皆可被實現。可依據網路以及其所實作 之名稱解析技術來使用任何適合的解析參數。 如在此所用般,根據任何適合的名稱解析協定,一名 稱解析處理可為任何用於判斷一對映到一文字識別符之 數字識別符之適合技術,反之亦然,在如下所概述之範 瘳 例中,網域名稱伺服器(DNS)協定可被當作一名稱解析協 定之範例來使用,而名稱解析處理可被描述為確認該 DNS協定》然而,吾人應了解到,dns僅是一名稱解析 協定之範例,其中根據在此所述原理所運作之技術可與 該名稱解析協定共同運作,且可實現任何適合的名稱解 析協定’本發明之具體實施例並不僅限於此。 吾人應了解到,許多範例在此是按判斷一數字識別符 對應到一輸入文字識別符的背景來描述之同時,在某此 ❹ 具體實施例中可實現名稱解析處理,以額外或替代地將 其用作為輸入一數字識別符以及判斷一對應之文字識別 符。進一步而言,吾人應了解到在以下概述範例描述能 運作於文字識別符及數字識別符間之一對—對應的技術 —判斷對應於單一文字識別符的單一數字識別符—同 時,這是唯一的示範性具體實施例,且在某些實作中一 文字識別符可具有複數個對應之數字識別符,且數字識 別符可具有複數個相對應之文字識別符。 在此所述之技術可實現於各種計算系統中,其範例會 13 201012156 在以下作更詳細的描述。此系統通常牵涉到實作一些功 月b I·生模組之適當设置(suitably_c〇nfigured)計算裝置的使 用該等模組各者提供完成此技術之所需執行的一或更 多運作。各功能模組可按其本身方式來實作;所有模組 並不需以相同方式來實作。如在此所使用般,一功能性 模組是一系統之結構性組件,該系統是執行一運作性角 色(operational role)。該運作性角色可為軟體元件之一部 ❹ 分或是全部。例如,一功能性模組可執行一處理功能、 一分離式處理、或任何其他合適的處理單元。一功能性 模組可包含電腦可執行元件,且可在一電腦儲存媒體上 編碼。額外地,此電腦可運行指令可使用任何適當的程 式浯a及/或程式或腳本(scripting)工具,且亦可被編譯 成能在一框架或虛擬機器上執行的機械語言碼或中間 碼。功能性模組可以視情況依並列或是_列方式來執 行,且可在彼此間使用在他們所運行之電腦上之共享記 G 憶體、使用一訊息傳遞協定或任何其他適當方式來傳遞 資訊。以下描述之示例功能性模組能實行一或更多任 務,因此其應了解到該等功能性模組及任務部分是僅用 來描述可實現在此所述之示範性技術的功能性模組的類 型,且本發明並未被限制只能用功能性模組之任何特定 方式、部分、或類型來實現。在某些實作中,所有功能 可被實現成一單一功能性模組。再者,為了清楚起見, 以下討論之功能性模組’全部都是在一或兩個計算裝置 上執行’然吾人應了解到,在某些實作中,該等功能性 14 201012156 模組可實作在許多適用於 ., 做此通訊之個別計算桊署 上》例如,一計算裝置可適用 算裝置 一筮啡CM 订輸入模組以接收 第-識別像是一文字識別符,並與—在—第二: 算裝置上之名稱解析模組通訊,以執行一名稱解杯:计 來判斷一對應到文字識別符之數字識別符。 理 在此所述原理的-示範性實作中,一在一計 運行之軟體應用程式可接受 置上 咏 ^ 網路資源之文字識別
符之使用者輸入,其中該軟雜庵田扭 資源建立: 程式要與該所欲網路 連接4例而言,該軟體應用程式可為一網 頁潘I覽器,該文丰丨丨& I达 網… 網站的網域名稱,而該 源可為一管理該網站之網頁飼服器。為了開啟對 所欲網路資源之連結,該軟體應用程式或—連結模組將 使用-針對該網路資源之數字識別符,所以一名稱解析 模組(在此亦稱為「解析模組」)可將該文字識別符轉換 成一扮演網路位址角色之數字識別符,像是IPv4或IPv6 之IP位址。 用於網路資源之文字識別符將因此能傳遞至—名稱解 析模組’該名稱解析模組適用於執行一名稱解析處理以 獲得該數字識別符’其中該名稱解析模組則可回傳至該 軟體應用程式。然而,在執行該名稱解析處理之前,該 解析模組可重新檢視多組解析參數的集合以判斷,如果 有的話,是哪組解析參數應用到該正待執行之名稱解析 處理。此集合可按任何適合方式以任何適當形式來儲 存,包括儲存在一電腦儲存媒體,像是記憶體中。為了 15 201012156 重新檢視該集合以判斷哪組參數能應用‘該解析模組可 從記憶鳢中擷取某些或全部的集合並執行各種形式的比 對處理,像是將一輸入識別符與某些或全部集合中之一 參數進行比對,以表示一組特定解析參數是應用到哪個 網路資源。 在該集合中之各組解析參數可應用到一或更多之網路 資源‘且可管理一名稱解析處理在判斷用於其所應用之 網路資源之識別符的方式。這些解析參數可含有任何適 當的參數,其可影響該名稱解析處理如何實行的方式, 括任何以上曾时論之範例參數。例如,各組名稱解析 參數可依據哪個解析模組應該與之通訊來指定一特定解 析資源’以判斷該數字識別符,像是一特定DNS伺服器。 由解析模組對該集合重新檢視之過程可用任何適當方 式來完成。在一實作中’重新檢視可包含將該文字識別 符與用於多組解析參數各者之識別符相比對,以判斷該 ® 等識別符之間是否匹配。舉例而言,用於一組解析參數 之識別符可為一 DNS尾綴碼(suffix),像是 ^•e〇fp>contos〇 c〇m」’從而任何與該識別符後面部分相 匹配之文字識別符會成為該等解析參數所應用之識別 符。因此,若輸入文字識別符是 厂 webserver.corp.contoso.com」,則該組參數將會成為一 組與識別符相關之參數,且可被視為一組可應用解析參 數。一旦能判斷一或更多組可應用解析參數,則一名稱 解析處理可根據該等可應用解析參數而被實行。舉例而 16 201012156 言,若該等參數較-敎解析資源’像是—咖饲服 器,則將能建立對解析資源的-連結,若該等參數指定 了正待使用之加密層級,則與—名稱解析資源之通二將 會使用該加密層級。
一旦該解析模組已使用可應用參數而建立了與該解析 資源之連結,則通過該連結而發佈—解析請求到該解析 資源,該解析請求包括該文字朗符及請求該對應數字 識別符1解析資源可執行任何適合的處理包括在該 領域中已知的任何各種處理’以用於_該對應數字識 別符’像是藉由諮詢其於本地端維護之資訊,或根據可 應用解析參數而發送該請求到另一解析資源。—旦該解 析資源已判斷減字卿符,則該解㈣源可在該數字 識別符上執行任何適合的驗證處理。例如,若可應用解 析參數指定DNSSEC應被用於判斷該數字識別符,並指 或更多受到信任而提供一有效憑證(其可用於鑑定 結果)之特定憑證管理,則該解析資源可在該驗證處理 期間’判斷該結果是否使用由一或更多特定憑證管理中 所發出之任—憑證來簽名m該解析資源可提供 7⑼別符給在該計算裝1上之解_組,來做為該 析清求之結果。該解析模組則可確認該結果是否曾根 ^可應用解析參數而產生,以及將該結果呈現給軟體應 程式以用於建立對該所欲網路資源之連結。在另一方 勿 該、果未使用一指定憑證來簽名,則該結果可被 w略’或是提供給該解析模組一指示符,該指示符是指 17 201012156 示該結果未根據解析參數來簽名。 這些明顯的優勢,可根據在此所述原理透過執行一名 稱解析處理的方式來加以提供。首先,藉由維持一組解 析參數之集合,一名稱解析處理可使用該等解析參數而 被參數化,以確保該解析處理是安全的以及其結果是可 信任的。例如,在傳統的名稱解析科技中,一計算裝置 必須信任來自-曾是—正確特^結果的結果來自該集 ♦之解析參數允許在-計算裝置内<解析模組能查詢一 特定、受信任的解析資源以在對回應是正確具有高度信 心的狀況下而獲得一所欲網路資源之識別符(數字或文 字)。進一步而言,該解析模組可更確信該目標解析資源 將會有該模組正在尋找之對應識別符。此外,藉由使用 解析參數之集合,一解析處理可,藉由例如具體指明是 否使用加密、應該使用哪個類型的加密、以及應該如何 驗證加密的方式,而更安全地完成。進一步而言,藉由 ® 具體指明是要與哪個特定解析資源進行通訊,該集合可 使得在计算裝置上之解析模組能執行較少功能,且在計 $裝置上會較不顯累贅,而當某些功能可被推動至網路 貝源(像是解析資源)時’該等集合指示符能適於處理。 例如,在-示範性DNSSEC實作中,某些驗證處理可在 5網路中之解析資源上執行,像是—DNS飼服器。具有 ^集W之解析模組將會知道要去接觸該能夠執行 DNSSEC任務的特定解析f源。額外地,㈣該集合, 解析模組能夠執行用於不同輸入識別符之不同解析參 201012156 數’像是接觸一用於在一疊蓋網路中之網路資源之一文 字識別符的特定解析資源,或是使用一安全通訊通道以 用於交換相關於特定安全網路資源之識別符。 根據在此所述原理所運作之該等技術之額外功能及優 勢’將能依據以下所述之範例而更完全地了解。以下範 例意圖促進對本發明之了解並詳細說明在此所述原理的 益處’但是並未將本發明之具體實施例的全部範_作為 例示。 根據在此所述原理而運作的技術可採用任何適當的電 腦系統來實作,該等電腦系統包含任何適當數目或類型 的計算裝置’亦包括任何適當數目及類型的網路資源。 地1圖顯示一繪例性電腦系統,其中在此所述原理之某 些示範性實作可於其中動作。然而,吾人應了解到,其 他的實作亦可運作於任何其他適當的電腦系統中。 第1圖顯示一包含通訊網路1〇〇的電腦系統,該通訊 Φ 網路100係一使用者裝置(亦即電腦裝置102)可相連 接的。通訊網路100可為任何適合的有線及/或無線網 路,包括較大有線及/或無線網路的—部分,像是一歸屬 (home)網路、企業網路的一子網路(subnet)、網際網路 等等。计算裝置1 02可顯示為一桌上型個人電腦,但亦 可為任何適合的計算裝置,像是膝上型個人電腦、PDA、 智慧型手機、伺服器、機架式電腦、網路裝置(像是路由 器或交換器)或其他計算裝置。 計算裝置1 02係耦接到資料儲庫(data st〇re)丨〇4,其儲 201012156 存多組解析參數之集奋。姑& 0姑玫料儲庫
。該計算裝置102可適用於運行一或 何適合 來儲存 來支配 符之第 符,該 論般, 用的任何適合資訊。 更多實作此-名稱解㈣理的魏性模組,其中該等解 ,而網路資源 析參數被用來形成一連到網路資源之連結 是與通訊網路1〇〇相連接。 儲存於資料儲庫104中之多組解析參數之集合可按任 何各種方式來儲備,包括由在計算裝置102本地端之使 用者使用任何適合之使用者介面來輸入及/或藉由使用 计算裝置106之管理者來遠端地儲備。在一範例中,一 ❹ 管理者可在計算裝置106處指定該等解析參數並通過任 何適合之網路管理技術將他們往下推至計算裝置102 » 例如,若該通訊網路1〇〇包含來自位於Redm〇nd, Washington之微軟股份有限公司的微軟視窗網路,則該 管理者可使用一網域控制器以通過目錄服務協定 (Active Directory protocol)來使用群組政策的方式將 該等解析參數向外推出。然而,吾人應了解到,這僅僅 是可用來實作之網路管理技術的一個範例,且可根據在 網路上可用之資源來使用任何通合的技術。 20 201012156 該計算裝置1〇2可 稱解析處理以用於判斷一:組解析參數之集合以執行名 1〇8)之識別符(文字^^路資源(像是網路資源 來存取之計算裝置,傻β 7予,其可為任何能經由網路 此目的’該計算裝置1〇:二:類的飼服器。為了達成 第-識別符的輸入後,可於網路資源⑽之 中之多組解析參數之隹 存於資料儲庫1〇4 數,衅後、合後來㈣-組可應用之解析參
參 應用解析參數所支配之名稱解析 經在名稱解析處理期間’一在該計算裝置1〇2上運 一析模組可與—名稱解析資源110進行通訊以判斷 一或更多用於網路資源⑽之識別符。可根據在此所述 原理來運行任何適合的名稱解析處理包括任何以下描 …示範It名稱解析處理。此—處理可包括按任何方式 使用任何適合網路裝置(如解析資源110)來進行之資 1交換虽解析資源110如第1圖般繪示為一伺服器的 同時,吾人應了解到任何適合的計算裝置可被當做一解 析資源來使用’包括多用途裝置(像是個人電腦)以及單 用途裝置(像是硬體名稱解析裝置)。 在某些實施例中,該通訊網路100可非為單一網路, 但可為具有一或更多疊蓋網路100A於其上例示的硬體 網路°該(等)疊蓋網路1〇〇Α可完整地例示於硬體實作 通訊網路1〇〇上,或是可在用於通訊網路1〇〇上之硬體 上運作。該(等)疊蓋網路100A可與該通訊網路1〇〇 共享網路硬體’像是路由器或是交換器,但是可以有某 21 201012156 些資源,像是客戶端及飼服器端計算裝置,能經 與通訊網路100連接但是不可以被非疊蓋網路 的裝置所存取、成員 如上所討論’為了與在疊蓋網路上之網路資源通訊, =算裝置102必須與具有在疊蓋網路謝上之可用網路 源上之資訊的特定解析資源進行通m,因4只有這歧 特定解析資源具有在昼蓋網路職上之可用網路資源 ❹
上,的知識。在此類實作中,多組解析參數之集合可具、 體指明-或更多可在-名稱解析處理中與該計算裝置 1〇2通訊之特定解析資源u〇A,以獲得用於網路資源(像 是網路資源1〇8)識別符。在該集合中某些或所有組的 解析參數可具有與叠蓋網路驗之網路資源相匹配的 識別符。當計算裝置102的解析模組重新檢視該集合以 判斷該組可應用解析參數時,該等可應用解析參數可指 不那些用於所欲網路資源之識別符可從該特定解析資源 110A處擷取。因此,當由計算裝置1〇2所運行的名稱解 析處理被該組可應用解析參數予以參數化時,可與該指 疋解析資源110A進行通訊以擷取用於所欲網路資源1〇8 之識別符。吾人應了解到此重新檢視以及名稱解析處理 可按任何適合方式來實行,包括以下所述之任何示範性 技術。.. 額外地,在某些實作中,該等可應用解析參數亦可具 體指明了對網路資源108之通訊應經由代理伺服器112 來完成。然後,在回傳用於網路資源之第二識別符途中, 22 201012156 該解析模組可額外或替代地回傳一識別符’像是用於代 理飼服器11 2的數字或文字識別符。 如上所討論,一組解析參數可包括能用於實行名稱解 析處理之任何資訊。第2A及2B圖繪示了儲存多組解析 參數之集合的示範性資料結構,該等解析參數係根據在 此所述之採用兩個示範性網路技術的原理而用於某歧實 作中。額外地’在第2 A及2B圖顯示包含相關於兩種不 ❹ 同技術之參數的兩種不同集合的同時,吾人應了解到, 在某些實作中’這些科技可被實現於同一組的解析參數 中。進一步而言,一集合可被實現成任何適合的資料結 構,且在某些實作中,可包含其他資料結構,各個資料 結構能儲存相關於一或更多組解析參數的資訊。這些資 料結構可被儲存在關連於客戶端計算裝置的電腦可讀取 儲存媒趙中’該客戶端計算裝置可請求名稱解析。吾人 應了解到在第2A及2B圖中所示之資料結構以及其所儲 ❹存之參數是僅作為說明可以使用之資料結構及參數的類 型,像是可使用任何類型的網路科技、 第2A圖顯示儲存解析參數之集合扇a的第—資料結
構,其具有兩組示範性之解析參數在該集合中。如第2A 圖所示,在某些實作中,解柄夹者 解析參數之集合可被組織成一 表格,纟包含複數個攔位及列,各欄位具體指明一類型 之解析參數’而各列具體指明一組解析參數,而弱使用 任何適當格式的話則其他的實介 , 貝1下方亦是有可能的。在集 合200A中之說明性解析參數包衽 双匕栝相關於一 DNS解析處 23 201012156 理的參數,像是是否#用_ DNSSEC:協定以及是否或是 如何實現其他的DNS安全灸紅祕 >數。然而,如上所述般,吾 人應了解到DNS僅是解析表數 '數科技的不範類型,而在此 所述原理可運作之協定, $ 協定般使用。 "如同任何適合的名稱解析 ^ 2A圖中所不之第—說明性解析參數是「名稱」(N_〕 參數202。此參數202 ifc - 知不一組解析參數能應用於哪個 ❹識別符’以及該組解析參數能應用於哪個網路資源。該 名稱參數202可由-解析模&所使用,以判斷在一集合 中的哪組解析參數能應用於1於輸人識別符的給定解 析處理。該名稱參數202可儲存任何用於-網路資源之 識別符’包括任何數字或文字的識別符。例如,一數字 .識別符可為一用於指定網路資源的識別符,像是ΠΜ立址 山.4”或可為能歸—_資耗圍的制符,像是 IP網料網路“157.〇.〇/8’,。相似地,-可用於名稱參數 ❹之文字識別符可為—用於特定網路資源之識別符,像是 ,整網域名稱(FQDN) ’ 例 * “itweb c〇nt〇s〇 _,,或 ^用於網路資源範圍的識別符,像是刪尾綴碼,像是 ‘'_t〇S0.com”或是 DNS 前綴碼,像是 “itweb *,,。 在第2A圖中所示的次個解析參數是dnssec參數 204。更具體而言’該範例“DNSSEC”參數儲存一個二進 4值(開啟或關閉)’其指示在—用於網路資源的解析處 理(其與名稱參數相匹配)中是需要DNSSEc驗證的。 虽組解析參數巾之DNSSEC參數2Ό4被設定為開啟/ 24 201012156 真(〇n/trUe ) —解析參數可根據該DNSSEC協定來執行 -解析處理’且可確保任何結果是根據解析參數而驗證 的。一運行該解析參數之解析模組亦可確保DNS查詢之 任何結果已經根據DNSSC標準而驗證,且可在一經傳輸 DNS請求中指示已經請求了 DNSSEC驗證,例如藉由在 該請求之標頭中設定一 “DNSSEC OK,,(DO)旗標的方式。 次個參數係相關於在計算裝置之間的DNS交換的安全 性,例如在DNS客戶端及DNS伺服器端之間或是在任 ® 何其他組的裝置之間。該第一參數“DNS 〇ver ipsec,,參 數206,可儲存一個二進位(開啟/關閉或真/偽)值,旗指 不疋否在用於名稱解析處理之通訊通道上實現ipsec。例 如,若IPsec參數被設定為真,則當建立一對名稱解析 資源的連結時,一解析模組可執行加密及/或鑑定 (authentication )處理。若用於一組解析參數之“dns over IPsec”被設定為開啟/真’則該解析模組可審視該組 瘳 中之其他參數以判斷該IPsec協定的設定。次兩個參數 “IPsec Encryption Level”208 及“lpsec cA,,21〇 為此類參 數之範例。“IPsec Encryption Level”可儲存任何能具體體 指明是否應使用加密的數值,及/或應該使用什麼類型的 加密。“IPsec Encryption Level”參數 208 可儲存一無/低/ 中/高的數值’其用於指示特定類型的加密,例如,「低」 可指示任何大小的三重資料加密標準(3DES )或進階加 密標準(AES)之加密,而「高」可指示ι92或256位元的 AES加密。替代地,該ipsec加密層級可健存對於一特 25 201012156
疋加密標準的參者柏 JA B 考值’像疋 AES(256)。“IPsec CA,,210 子用☆或更多憑證管理的識別符,該等憑證管理 受信㈣發出對於解析f源之鑑定憑證。當設定好時, β 的鑑定處理期間,該解析模組可確認一解析結 果疋按鑑定憑證所鐘定,該鐘定認證是由受信任Μ 其中之對一受仏任解析資源所發出。額外地,若 DNSSEC被開啟’則檢查來自DNs伺服器之回應並判斷 在該回應中之延伸金餘用途(eku)簽名是否來自於受信 任°^的其中之…且因此產生該結果的DNS伺服器由 解析參數所授權,以代表計算裝置來執行 DNSSEC 認證。 在第2A圖中所示的最後參數,“DNS server,,212,可 儲存或更多伺服器的列表,其中在解析處理期間一解 析模組應與該等一或更多伺服器進行通訊。當輸入到一 解析模組之識別符與用於一組解析參數之名稱參數相匹 配時,則該解析模組將查詢列於用於識別符之“DNs φ server”參數中的任何DNS伺服器,該“DNS server”參數 係對應到輸入識別符。“DNS Server”參數可儲存用於一或 更多DNS伺服器之任何適合識別符,其可被用來建立對 該(等)DNS伺服器的連結,包括任何適合的數字及/ 或文字識別符。 第2A圖顯示兩個儲存多組解析參數之說明性資料結 構’該等多組解析參數能形成該集合2〇〇A,各組參數包 含可被當做該集合之參數來儲存的說明性數值。吾人應 了解到這些多組參數是多組參數之可使用類型的範例, 26 201012156 且可使用任何數值來做為參數,且可使用任何數量的多 組參數。 第2B圖顯示儲存解析參數之集合200B的第二示範性 資料結構。如第2A圖中所示,該集合2〇〇B被組織成一 表格,其具有複數個識別參數之欄位以及複數個識別多 組解析參數之列,但是吾人應了解到任何格式皆可被使 用。進一步而言,在第2B圖的範例中,談等解析參數包 ❹#可被用來與用於叠蓋網路之微軟直接存取⑽咖… Direct Ac cess)功旎建立連結。然而,吾人應了解到直 接存取僅為網路科技類型及協定的範例,其中在此所述 之原理可與該等網路科技類型及協定一起運作,同時, 可使用任何適合的網路科技,包括任何適合的疊蓋網路 科技。 第2B圖中所是的第一參數是“Name”參數22〇。近似於 集合200A中的名稱參數2〇2,此參數識別一組解析參數 ❹ 可應用到之該(等)網路資源,且可由一解析模組來使 用以判斷在一集合中的哪組解析參數能應用到用於一輸 入識別符的給定解析處理。該名稱參數22〇可儲存用於 網路資源之任何識別符,包括任何數字或文字識別符, 包括任何上述關連於集合2〇〇A之示範性識別符\ 在第2B圖中之次個參數係相關於直接存取技術。該
Zone-Specific DNS server(s)”參數 222 可儲存用於一或 更多DNS伺服器之任何識別符,其可被當做在疊蓋網路 上可用網路資源的名稱解析處理中的一部分來查詢。如 27 201012156 上所5寸論,在某也眷篆艇I故^士 ^ 蘩盍網路中,某些網路資源不允許由 e 在硬體網路上之全部計算裝置進行-般存取,其中疊蓋 網路上存在於該硬體網路上,而可藉由不去廣泛散布用 於網路資源之識別符的方式來多少強迫實施此限制。然 後’為了獲得在#蓋網路上用於—網路資源之識別符, -解析模組可接觸一組或較小組的解析資源。據此,若 輸入到-解析模組的識別符與用於—組解析參數之該名 稱參數220相匹配,則該解析模組可接觸一在 “z〇ne-Specific DNS server(s)”參數如巾具體指明之 DNS伺服器’以獲得用於網路資源之對應識別符。 “Zone-Specific Proxy”參數224是次個顯示的參數。此 參數224可由解析模組來使用以對軟體應用程式指示該 軟體應用程式正與在疊蓋網路上之網路資源接觸,並設 置該軟趙應用程式以使用—代理飼服器以執行其連結, 或使用一經識別之代理伺服器以執行其連結。例如,若 該軟體應用程式想要對一特定網路資源進行連接,而該 組可硬傭解析參數對該解析模組指示應使用一代理伺服 器,則該解析模組可指示該軟體應用程式其應經由該代 理伺服器與該網路資源進行連搔。該集合2〇〇B之代理伺 服器參數224可儲存任何可接受數值,&括用於資源之 數子及/或文字識別符,一零值或其他措示不需要代理伺 服器的指示符,或指示該預設代理伺服器之設定應由該 軟體應用程式來使用的數值。 次個參數“Remote DNS over IPsec,,226被用來指示在 28 201012156 疊蓋網路上對網路資源之連結是否應根據該IPsec協定 來加以保全’像是予以加密及/或鑑定。如同集合200 A 之“DNS over ipsec”參數 206 般,集合 2〇〇b 之 “DNS 〇ver IPsec”參數226可採用二進位數值’像是開啟/關閉或真/ 偽’用來指示是否使用ipsec。亦與集合2〇〇A相似的是, “Remote Encryption Lever’228可儲存任何適合的數值, 其指示是否應使用加密以及使用哪種類型的加密’以保 全對解析資源的連.結’而“ipsec Ca,,230可儲存用於一 ® 或更多憑證管理之任何適合識別符,該等憑證管理被信 任以發出用於解析資源之鑑定憑證。 如第2A圖般,第2B圖亦顯示兩個儲存多組解析參數 之說明性資科結構,該等多組解析參數能形成該集合 200B,各組參數包含可被當做該集合之參數來儲存的說 明性數值。吾人應了解到這些多組參數是多組參數之可 使用類型的範例,且可使用任何數值來做為參數,且可 G 使用 任何數量的多組參數。 更進步’吾人應了解到當兩個集合200A及200B係 刀別顯不並著墨於兩個不同科技—DNS安全/dnssec及 接存取吾人應了解到在某些實作中,—組解析參數 可包括關於該等科技及/或任何其他類型之網路科技兩 者的參數。例如’針對_給定疊蓋網路該組解析參數 可對解析模組發出指令以使用DNSSEC及其他DNS保 全以執行用於該疊蓋網路之名稱解析。 在根據在此所述原理所運作之某些技術中,額外的解 29 201012156 ::::被含括在解析參數之集合内,但其不屬於任何 被二解析參數的一部分。這些全域(gl〇bal)參數亦可 一解析處理,但可指示何時或是否使用任: <可;數、可只是如何處理在名稱解析中的錯誤、 或可為能應關所有㈣參數。例如,若—計算裝 ❹ ❹ 援網路區域察知(NLA),該網路區域察知可通知其所 之硬體網路之計算裝置’該集合可包括-全域設定,其 指不是否基於該裝置所連接之網路的身分或類型,而放 棄對全部或部分表格的重新檢視。例如,# NLD指示該 計算裝置未連接到一存在著整蓋網路之特定硬趙網路: x 則「NLA旁通」(NLA Bypass)參數可對該解析模組指示, 其應放棄㈣於疊蓋網路之所有組參數的重新檢視,或 是可指示其應放棄對用力-特定疊蓋網路之所有組解析 參數的重新檢視。 額外或替代地
一特定網路 之外的話應如何發出一解析請求^例如,若該計算裝置 是位於一特定硬體網路之外,則—“QueryBehavi〇r”參數 可指示該解析參數應針對特定類型的識別符進行查詢, 像是在IPv4數字識別符之前的IPv6數字識別符,或是 只有IPv6數字識別符。另一全域參數可相關於若是名稱 解析處理失敗時該如何反應’因為第二識別符並未根據 該組可應用解析參.數來疋位°此“^'311]:)&〇]<;.66.11&\^01',,可.指 示該解析模組應該嘗試使用替代之名稱解析科技,或是 可指示不允許後降(fallback) I例如,該參數可指示,若 30 201012156 NDS處理失敗,則可嘗試LLMNR或NetBi〇s處理。 這些示範性集合及解析參數,以及在任何適合集合中 之任何其他適合之解析參數,可由一解析模組所使用以 根據任何類型之名稱解析科技來運行一名稱解析處理。 任何適合的名稱解析處理可由該組可應用解析參數來實 作並支配。第3 ®顯示-可實行名稱解析的處理3〇〇。 然而,吾人應了解到’該處理3⑽僅為可實作科技之類 型的範例,同時可使用任何適合的技術。 ❹ 處理3 00開始於方塊3〇2,其中用於—網路資源之第 -識別符是由一計算裝置之功能性模組所接收。第一譜 J符可被任何適合來源所接收或自任何適合來源處接 收、’該來源包括來自—經由適合使用者介面的使用者, 該適合使用者介面包括—軟體應用程式之使用者介面。 s第識别符可為用於一網路資源之任何適合識別符, 括根據名稱解析協定之任何適合文字識別符,像是 協疋之網域名稱。在方塊3G4 ’第—識別符則可被 傳遞到:名稱解析模組以判斷用於該網路資源之第二識 祕符k可用任何理由來完成。例如,若該第一識別符 軟體應用程式所接收之文字識別符,則該軟體 應用程式可判斷其如第:識別符般需要—用於網路資源 別符㈣立對㈣㈣源之連結。此使用案例 人去 然而,在此所述之原理是能與以任何適 3動機來運行的名稱解析處理相容。 在方塊306,該解析模組判斷該集合是否具有能應用 31 201012156 引孖的任何一組解析參數,其中該識別 稱解析所丨不盡从 竹你為名 尋找之識別符。此可按任何適合方式來完 成例如,讓解析模組可從一資料儲庫擷取多組解析參 數之集合,並將該第一識別符與該集合做比較,以判斷 β 能的話,是哪組解析參數能應用到第一識別符。 可用任何方式來完成此比較,像是藉由將該第一識別符 與在第2Α及2Β圖中所述之「名稱」參數進行比較。該 ❹解析模組則可判斷—或多組之解析參數能應用到一正待 由~模組運行的名稱解析處理’且還可使用該組可應用 解析參數以支g&該處理,或按任何適合方式透過合併多 組解析參數來判斷一組可應用解析參數。 對組可應用解析參數之判斷步驟306可按任何適合 =式來實行。所實行的確切方式可視該集合的格式而 疋以及視被選中含闊在該集合中的解析參數而定。第 4圖顯示一判斷處理之範例,但是吾人應了解到該處理 ❹ 400僅為說明可當做處理3〇〇之方塊3〇6部分來執行之 動作’而其他處理也是可能的。 處理400開始於方塊4〇2,其中該解析模組對來自一 資料儲庫之多組解析參數的集合進行存取。此資料儲庫 對於該計算裝置而言為本地端,其中該解㈣組係執行 於該計算裝置上’如同第1圖的範例般,或其可經由任 何適合的通訊媒體或媒介(像是電腦通訊網路)而為可 用。在方塊404’針對在該集合中之各組解析參數,該 解析模組可榻取用於與識別符相匹配的圏樣(pattern),其 32 201012156 指示各組參數是應用於哪個用於網路之識別符。該圖樣 可為網路資源之任何適合指示符,包括上述關連於第2A 及2B圖之名稱參數或任何其他的數字及文字指示符。在 方塊406,第一識別符係與各圖樣相比較以判斷該組解 析參數疋否對應到一應用到該第一識別符之圖樣。例 如,若第一識別符為“webserver.corp.contoso.com”而圖樣 為“*.c〇rp.cont〇so.com”(其中是*萬用字元),則在方塊 406中可判斷該組解析參數能應用到第一識別符。 在方塊408,一旦判斷了該組可應用解析參數,則擷 取該組中的參數並將其用於支配一名稱解析處理。在某 些實作中,只有單組解析參數會被當做一組可應用解析 參數來擷取,同時可擷取在其他多組中的解析參數。若 獲得了多組,則可使用任何適合處理來判斷來自多組解 析參數中之該組可應用解析參數。例如,可將該等參赛 合併以判斷一組具有最高安全層級、或是最低安全屬 級、或是任何其他適合標準的可應甩解析參數。如另一 範例般,若多組解析參數相匹配,則該解析模組可選擇 具有能最接近地匹配之圖樣的該組參數。例如,若第一 識別符為“a.corp.ms.com”而在锋隹人山 隹及集合中之某一組為 “corp.ms.com” 而某一組為“ms “corp.ms.com”的該組解析參數, 了。 e〇m’ ’則可選擇甩於 因為其更加地具體指明 回到第3圖的處理300,在方塊3〇8士 T 9 —旦已經/判 斷了該組可應用解析參數,則該解析 竹棋組可執行一用該 33 201012156 組可應用解析參數來加以參數化的名稱解析處理。然 後’該解析模組可如同該解析處理之輸出般,獲得用於 該網路資源之第二識料。例如,若第—識別符為一文 字識別符,則第二識別符為—數字識別符,像是ιρ位址, 反之亦„、:纟方塊3 1G中’該解析模組則可將第二識別 符回傳到該功能性模組’其在方塊3〇2中曾將第一識別 符傳遞給該解析模組’然後該處理結束。 方塊308 A 31G可按任何適合的方式來實行。第$圖 顯示-示ϋ性處理5〇〇,其中可執行—用 '组可應用解 析參數來加以參數化的名稱解析處理n吾人應了 解到,該處理僅為說明可實現之名稱解析處理之類型, 同時任何適合處理可根據任何適合的名稱解析科技及協 定來實現。人亦應了解到在處理则以特定解析參數 之角度來描述的同時,這些參數亦只為示範性,同時任 何適合參數可根據在此所述之原理來使用。 ❹ 口第5圖之處理500 ’開始於方塊502,其中該解析模組 可建立對-名稱解析資源的連結,該名稱解析賢源係由 該組可應用解析參數來識別,像是由“刪如州⑷”參 數視名稱解析科技及協定所實作的類型而定,可隨之 改變解析資源的本質。然而,在某些實作中,該名稱解 析科技可為一網路資源,像是一画伺服器。在方塊5〇4 根據被叹足為開啟/真的“DNS over IPsec,,參數,可 、對該解析資源之連結。該連結之安全性可視其他參 數而疋,像是識別加密類逛來使用之“Encryption Level,, 34 201012156 參數,及/或識別一或更多可發出能鑑定 身分之憑證的憑證管理的“IPsecCA,,參教。〆 -源之 定來保全通訊連結的技術在該領域中 使用11>8“協 ^ 疋匕知的,而如此 一來將不會在此做進一步的討論。 在方塊506中,一旦對解析資源之連結被保全’則今 解析模組可透過該通道而與一名稱解析請求進行通訊: 該解析請求可包括能用於執行一名稱解析之任何適人資 ⑩料,包㈣-識別符以及能指示—處理之任何參數,該 指示係關於要該處理需要去注意該解析資源。例如根 據該組可應用解析參數中的一參數,該解析請求可指 示,DNSSEC已為了該解析請求而被啟用,且該解析資 源應根據DNSSEC而在回傳該第:識㈣之前在第二識 別符上執行-認證處理。例如,該解析請求可包括用於 -或更多憑證管理之一或更多指示符,其中該組解析參 數指不是受信任的以用於回傳授信任結果,而該解析資 源可確認其中之.一已經被使用.。 根據由解析參數所選及所指示的特定名稱解析科技, 任何適合技術可㈣解析資源來實行,以獲得用於-網 路貝源之第一識別符。例如,若該解析資源為何服 j,則該解析資源可審視識別符的本地快取,以判斷其 疋否知道」在該解析請求中接收並對應到第一識別符 的第二識別符。若第二識別符並不在其快取上,則其可 沿著另-DNS伺服器來傳遞該解析請求,該另叫司服器 則接著可實行相同處理。這將會持續直到原本的解析資 35 201012156 源接收到包括第二識別符 口應為止。右DNS SEC是被 該組可應用解析春齡> + 士、、「_ β 曰成為開啟」,則當解析參數獲 付一結果時一不是來自上 、本身快取就是來自另一 DNS伺 服器一則該解析資源可盆i 、 竹貧/原了審視該結果,以判斷其是否已經 被"值得信任的來派所「:”.. 來源所簽名」,該值得信任的來源可擔 保該結果的正確性。若判斷該結果是可靠的,則可姜涛 回傳到發出該解析請求之解析模組。 ❹
在方塊508中,該解析模組透過安全通道而自該解析 資源處接收回應,以及在方塊51〇中’確認第二識別符 曾由該解析資源所認證並由一受信任憑證管理所簽名。 在方塊512中,根據方塊51〇的判斷,該解析模組判斷 該識別符是否曾根據該組可應用解析參數來認證。若曾 認證該第二識別符,則在方塊5 14中會將該第二識別符 回傳到該功能性模組然後該處理結束,其中該功能性模 組原本是藉由提供該第一識別符(如第3圖之方塊3〇2) 而發出該請求。在另一方面’如果不曾根據該組可應用 解析參數來認證該回應,則在方塊516中該解析模組會 將結果暴露出來並將一表示沒有找到結果之錯誤訊息回 傳到該功能性模組,然後該處理結束。 在某些實作中’一解析模組亦可維持用於網路資源之 識別符之本地快取。該解析模組在接收含有第二識別符 之解析請求的回應之後’可將該第一識別符、該第二識 別符、以及用於獲得該第二識別符之解析參數儲存於一 快取中。然後,當該解析模組接收用於第二識別符的新 36 201012156 ”不矸,該解析模組可審視該快取,以判斷其是否已經 儲存該第二識別符,而若是如此,則可從該快取處回傳 第一識別符而無需發出對一解析資源的解析請求。第6 圖顯示一示範性處理600,其使用快取來執行此一解析 處理。然而,吾人應了解到,該處理6〇〇僅做為說明, 且可根據在此所述原理來實現任何適合的技術。 該處理600開始於方塊602,其中該解析模組接收第 一識別符並判斷一組可應用解析參數。此可按任何適合 方式來完成,包括任何上述的示範性技術。在方塊6〇4, 該解析模組可審視快取以判斷該第一識別符是否列於該 快取中。依據方塊606的抉擇,若該第一識別符不在快 取中,則在方塊608中該名稱解析處理會如上討論般的 繼續進行。當第二識別符由該名稱解析處理所獲得時, 在方塊610中’於獲得步驟中所描述之資訊可储存在快 取中。此資訊可包含在獲得處理上之各種類型的資料及 指令中的任一者。例如’該資訊可包含第一識別符、第 二識別符、及/或用於獲得步驟中之該組可應用解析參 數。一旦將資訊儲存於快取中,則該處理600結束。 在另一方面’若在方塊606中判斷第一識別符是在該 快取中’則在方塊6 12中與第一識別符一起儲存於快取 中之解析參數會被擷取並與該組在方塊602中所擷取的 可應用解析參數相比較。可靠著執行該比較過程來確保 從快取處回傳之任何第二識別符是一曾根據讓組可應用 解析參數來獲得的識別符。例如,方塊6 12之比較過程 37 201012156 ❹
可判斷該參數是相等的,或是用於獲得儲存在快取中之 識別符是至少與在方塊602中所擷取的參數一樣地安 全。替代地,方塊6 12之比較過程可判斷在快取中第二 識別符之來源一曾從該第二識別符處獲得之解析資源— 是與該組可應用解析參數所獲得之來源相同。如另一範 例般’該.快取反而可儲存該第二識別符曾經榻取的時 間,而該解析模組可將該時間與該解析參數曾編輯的最 後時間做比較’以判斷在運行時之解析參數是否與擷取 了快取中之識別符時的解析參數相同。任何適合的比較 處理可在方塊612中實行。 在方塊614中’右該等參數並未匹配,則如上討論搬 根據該組可應用解析參數來實行一名稱解析處理,以碟 保能夠適當地獲得任何該獲得的識別符。然而,若在方 塊614中,確定了該參數是相匹配的,則在方塊616中 將第二識別符從快取處回傳到提供該第一識別符的功能 性模組,然後處理600結束》 上述内容為用於根據由一功能性模组輸入到一解析模 組之第一識別符來判斷第二識別符的若干不同技術。然 而,吾人應了解到,這些技術各者僅為說明可根據在: 所述原理來實現之技術的類型 '可實現任何類型的方法 來實行一名稱解析處理’以依據名稱解析科技(益論其 是實作成硬體網路或是實作成疊蓋網路),或是依據已峻 為解析模組做準備的解析參數’來判斷用於網路資源的 識別符。 38 201012156 針對解析模組做準備的解析參數可按任何適合的方 來做準備例如,在__實作中,可於本地端由—計算^ 置之使甩者來輸人解析參數’並將其儲存到與該計算裝 置相關連的資料儲庫中。在另一實作中,當該計算裝置 與網路連接時,可透過網路來提供該等解析參數。第7 圖顯示此一較後面處理之範例,其用於將解析參數經優 網路提供給一計算裝置。然而,吾人應了解到,第7圖 之處理700僅為說明性,而其他處理方式亦是有可能 的。進-步而言’吾人應了解到第7圖之範例是按微軟 視窗電腦網路的觀點來描述,而在計算裝置連接到網路 之時透過網路來設置這些計算裝置的其他種網路亦是有 可能的。 該處理700開始於方塊702,其中一管理者將解析參 數之集合輸入到該網路之網域控制器。此解析參數之集 合可按任何方式來輸入,包括作為用於網路之微軟目錄 ⑩ 服務群組政策(Microsoft Active Directory Group Policy) 的一部分。該群組政策可應用到網路的任何部分,包括 連接到網路之計算裝置之群組及/或網路使用者之群 組。在方塊704中,該網域控制器接收該等解析參數並 姜琦儲存成一群組政策’然後將該群組政策傳輸到該群 組中之所有成員。方塊704的傳輸可在一設定時間週期 之後來實行’像是每隔1 5分鐘,或是當該群組成員(電 腦亦或是使用者)加入或簽名至該網路。在方塊706, 如此處所述般運行一解析模組之計算裝置能按任何適合 39 201012156 當是來接收該群組政策,並將其儲存在一關連於該計算 裝置的資料储庫中。然後,在方塊708 +,當運行一名 稱解析處理時,該解析模組會按任何適合當是將解析模 組之集合應用到該名稱解析處理,包括上述之任何示範 性技術。 任何適合的使用者介面可被用來輸入解析參數。舉例 而口在某些實作中,一文字式命令行工具可被用來輸 人解析參數。在某些實作中,—圖形式使用者介面可被 用來輸入解析參數。第8圖顯示此-圖像是使用者介面 的範例,其可根據在此所述之某些原理來使用。然而, 吾人應了解到,某些實作可使用替代的使用者介面同 時並未將本發明之具體實施例限制在只能使用任何用於 解析參數之特定輸入技術。 圏像式使用者介面800包含一定數目的控制碼,其可 被用來輸入解析參數。一文字方塊8〇2可被用來輸入一 麝 網路資源之名稱,包括用來與網路資源名稱相匹配之圖 樣,像是上述關於第2A& 2B圖之「名稱」參數。該圖 像式使用者介面亦可包含一文字方塊8〇4,以輸入相關 於一憑證管理的資訊,其中可根據安全名稱解析科技(像 疋DNSSEC)而針對一 IPsec安全性處理及/或針對簽名 識別符來使用該憑證管理。亦可實作相關於DNS安全的 一系列控制碼806 ’其中控制碼指示以下參數,像是: 是否需要DNSSEC認證、是否使用IPsec、以及若正準備 使用IPsee應使用哪種類型的加密。另一系列的控制碼 201012156 808亦可被實作以用在疊蓋網路上,像是直接存取,其 能接收以下參數,像是用於可接收解析資源(像是dNS 伺服器)之識別符的、用於一代理伺服器之識別符、是否 使用IPsec、以及若正準備實現ipsee則應使用哪種類型 的加密。該圖像式使用者介面800亦包含用於建立及更 新一組解析參數的按鈕810,該組解析參數包括在各個 控制碼802-805中所輸入的參數。其他方面,全域解析 參數亦可經由一訊框812而被輸入至圖像介面。一旦已 ® 經建立起一組解析參數,則可在一訊框814中於該圖像 式使用者介面800之底部顯示該組解析參數,該圖像式 使用者介面800具有複數個與參數類型對準的攔,其可 使用介面800來輸入。 當使用該圖像式使用者介面8〇〇來建立或更新一組參 數時,該組參數可按任何適合的格式被儲存在任何適合 的資料結構中。該資料結構可被儲存在一儲存多組解析 ❹ 參數之集合(像是。第2A及2B圖之集合200A及200B ) 的資料結構中。如上所討論之這些資料結構,可在任何 適合的電腦儲存媒體上編碼。據此,當一使用者使用該 圖像式使用者介面800來輸入參數時,該圖像式使用者 介面800可起始一記錄處理,以用任何適合方式將輸入 參數§己錄到一電腦可讀取媒體上。 根據在此所述之某些或全部原理所運作的技術可用任 何適合方式來實現。例如,在某些具體實施例中,可將 該等技術實現成在一或更多電腦可讀取儲存媒介上所編 201012156 碼之電腦可運行指令,像是磁性媒介(例如,硬碟)、一 壓縮光碟(CD)、-數位多功能光碟(dvd)、—持續性或 非持續性之固態記憶體(例如,快閃記憶體、磁性⑽ 等等)、或是任何其他適合的儲存媒介。該電腦儲存媒介 可被實作成第9圖之電腦可讀取儲存媒介9〇6 (亦即, 作為計算裝置_的—部分),或是作為個別的電腦健存 媒體。如此處所使用般,吾人應了解到「電腦可讀取媒 ❹ 體」,包括「電腦可讀取健存媒體」,可視為具有至少」 實體結構的有形儲存媒體,其可在於其上進行記錄資料 處理期間以某些方式來加以變I例如,電腦可讀取媒 體之實體結構中-部分的磁性狀態可在一記錄處 期間變更。 在某些此類的具艘實施例中,能將根據在此所述原理 所運作之技術加以實現的電腦可運行指令,可實現成一 或更多的獨立功能性模組(例如,上述之解析模組)。: 上所述,「功㈣模組」是自m料運作肖色的系統 之結構性組件,然而作為示例,其可為軟體元件的一部 分或整體(例如-函數或一分散處理)。通常而言,功 能性模經包括常式、程式、物件、組件、資料結構等, ’、執行特定任務或實現特定的抽象資料類型。典型地, 該功能性模組的功能性可按不同具體實施例的Ϊ求而社 合或分散。在某些具體實施例中,這些功能性模組可適 用於與其他未相關之功能性模組及/或處理互動,像是實 現軟體應用程式或實現用於計算裝置之作業系統的功能 42 201012156 陡模組,或是在其他實作中,該模 - μ ^ Α 可適用於與其他 力用hi性模組互動,立連同兮楚4话z …p 模組—起形成-整體系 統’像疋一作業系統,例如來自 * 狐社 m〇nd,Washington 之微軟股份有限公司的微軟作 F杲糸統〔亦即可將功能性 模组實作成作業系統的一部分或是督 刀4疋貫作於作業系統之 外)°吾人亦應了㈣’在某些實作中’可分別地從其 他模組處來實現某些功能性模組,或者可不實現某些功 能模組。
❹ 、在某些但非全部的的實作中,可將該等技術具趙實施 成電腦可運行指令,其可在任何適合計算裝置上運行, 該等計算裝置運行於任何適合的電腦系統中包括第i 圖中所示之示範性電腦系統。舉例而言,根據在此所述 之某些或全部原理所運作的技術,可在以下系統上運 作:單個多用途可程式數位電腦設備、在二或更多個多 用途電腦設備(其共享處理功率並共同實行在此所述之 技術)中的座標系統、專用於運行在此所述技術之單個 電腦設備或電腦設備的座標系統(共同定位地或是在地 理上分散地)、用於實現在此所述技術之一或更多的特殊 應用積體電路(ASIC )、用於實現在此所述技術之一或 更多的場效可程式閘陣列(FPGA),或其他適合的系統。 第9圖說明一計算裝置之示範性實作,該計算裝置是 以可在實現此處所述技術之系統卡使用的計算裝置9〇〇 的形式表現’而其他形式也是可能的。進一步而言,吾 人應了解到第9圖沒有意圖描述根據在此所述原理而運 43 201012156 作之計算裝置的必要組件’亦無意圖做廣泛性的描述。
計算裝置_可包含一處理器9〇2、一網路配接器 _、及電腦可讀取儲存媒介906。例如,計算裝置簡 可為桌上型或膝上型個人電腦、工作站、飼服器、大型 電滕、智慧型手機、或任何其他適合的計算裝置。網路 配接器9G4可為任何適合的硬體及/或軟體,以讓計算裝 置_能夠與任何其他適合的計算裝置透過任何適合的 計算網路進行通訊。該計算網路可為任何適合的有線/無 線通訊媒體或媒介,以用於在二或更多的電腦之間交換 資料’包括網際網路。在某些實作中,網路配接器9〇4 可實作成二或更多之個別網路配接器,經由二或更多之 網路介面㈣來提供連接性(例如,—有線網路配接器, 像是一 Ethernet西己接器以及一無線網路配接器,像是 IEEE802.11g配接器)。電腦可讀取儲存媒介9〇6可為任 何適合的有形儲存媒體’其適於儲存準備被處理之資料 及/或準備由處理器902所運行之指令。處理器9〇2能啟 動資料的處理及指令的運行。可將資料及指令儲存在電 腦可讀取健存媒介906上,且可,例如,啟動在計算裝 置900間組件的通訊。 儲存在電腦可讀取儲存媒介9〇6上的資料及指令,可 包含電腦可運行指令’料指令能實現根據在_述原 理來運作之技術。在第9圖之範例中,電腦可讀取儲存 媒介906儲存了如上所述般實現各種楱組並儲存各種資 訊之電腦可運行指令。電腦可讀取儲存媒介9〇6儲存了 44 201012156 相關於一或更多應用程式908的資料及指令,該應用程 式908可在計算裝置上運行。這些應用程式可包括那些 能接受網路資源之第一識別符的應用程式,並尋找以獲 知·用於網路資源之第一識別符。該電腦可讀取儲存媒介 9〇6亦包括名稱解析模組91〇,其係根據任何適合技術而 基於第一識別符,來判斷用於網路資源之第二識別符, 任何適合技術包括任何上述之示範性技術。電腦可讀取
❹ 儲存媒介906亦包含多組解析參數之集合912。如上所 时淪,此集合可按任何適合的方式而被組織並格式化, 且該等解析參數可包括能用於支配名稱解析模組910之 名稱解析處理之執行的任何適合參數。舉例而言,在一 實作中’該集合912可被實作在電腦可讀取儲存媒介9〇6 上,以作為微軟視窗作業系統之註冊機(Registry)的一部 分。電腦可讀取儲存媒介906可額外地包含識別符之快 取914,其已由名稱解析模組91〇所擷取。該快取可按 任何適合的方式來組織且可獲得任何適合類型的資訊, 包括多組甩於網路資源之第一及第二識別符多組用於 獲得識別符之解析參數、曾獲得識別符之次數、及/或任 何其他類型的資訊。 最後,在第9圖之範例中,電腦可讀取儲存媒介906 可包含-組應用可程式介面(Αρι)函數以影響多組解析 參數之集合,並判斷該集合之内容。舉例而言,該纽 可實現一 GetProxyInf〇函數來判斷—可被用來接觸特 定網路資㈣代㈣m制於料資源之-識別 45 201012156 符作為輸人,GetPrQxyInf。函數可使用該用於資源 之輸入識別符,以定位在集合中—組或多組能應用至網 路資源之解析參數,然後若任何—組解析參數指示了一 代理伺服器正待被使用’則可回傳用於代理伺服器之識 別符。- GetP〇iicyTableInf〇 API函數亦可被實現 以回傳一集合(亦即該組解析參數)之内容。另外一 ❻ ❹
GetEffectiveP〇licy Αρι函數可回傳在該集合中之 某些(或全部)的多組解析參數,其取決於不能應用於 該給定環境之參數而定。例如,若某些組解析參數應用 到特定網路,且該計算裝置9〇〇未連接到該網路,則那 些組參數不可被當做GetEffectiVeP〇licy函數之輸 出的一部分來回傳。額外地,可實現能將第一識別符當 做輸入並運行由多組解析參數之集合所支配的名稱解析 處理的GetAddrlnfo或DnsQuery函數以判斷一第二 識別符,並回傳該第二識別符。吾人應了解到這些Αρι 函數僅是示範可實現之API函數的類型,同時本發明之 具體實施例並未受限於此..。 能實現根據在此所述原理所運作之技術的模組可用任 何適合方式來互動。 在第10圖之範例中,一應用程式1000能與一連結模 組1002及一名稱解析模組1 〇〇4其中之一_者或兩者互 動’以判斷對應到第一識別符之第二識別符。例如,該 應用程式1000可直接地查詢名稱解析模組1004,或者 該應用程式1 000可使用該連接模組1 002來嘗試開啟一 46 201012156 =Γ資】之連結’而該連結模組可請求-來自名稱解 ^ ^ 用來開啟該連結。該名稱解析 ❹ ❹ :組-’在嘗試獲得第二識別符時,可使用如上所討 =夕組解析參數之集合咖,且可進—步使用如上所 之識別符之快取1008。最後,在使用解析參數之集 口刪以獲得第二識別㈣,名稱解析模組讀亦可 使用各式的連結科技1G1G,包括—連結模組1G12,其用 來開啟對解析貝源之連結’並包括鑑定及/或加密模組 及1016’其用來執行可由在集合中之解析參數所指 定的任何安全處理。 兹已描述了此發明《至少一具體實施例之若干態樣, 吾人應了解到各種變更、修改、及增進將會很快地由在 該領域中熟悉技術人士來實現。 此類的變更、修改、及增進意圖作為此揭示的一部分, 且意圖含括在本發明之精神與範疇内。因此,先前的描 述及圖式僅僅作為範例使用。 本發明之各種態樣可被單獨使用、合併使用、或用各 種未在先前具體實施例中具體討論的配置方式來使用, 且因此不限於其詳細應用方式,以及在先前描述中所述 或是在圖式中所繪示之組件配置。例如,在一具體實施 例中所述之態樣可用其他具體實施例中所描述之態樣以 任何方式來結合。 同樣地’本發明可被具體實施成一種提供了範例的方 法。作為方法中之一部分所執行的步驟可按任何適合的 201012156 方式來排序。因办 可田 _ 此了用不同於發明中所述之順序來热 :步驟進而構成具體實施例,而這順序包括同時地 :些步驟,即使在具體實施财其顯示為循序執行的: 、厂 第 在申請專利範圍中使用順序詞彙,像是「第_」弟 二」、「第三」等等’來修改一請求項元件,其本身並: 暗不著一請求項元件的優先 笟无順序两於另一者,或是暗亓 ❹ 其為執行方法步驟之時間順序,而是僅用作為標記以網 一具有特定名稱的請求項元件與另—具有相同名稱之元 件加以區別(但是作為順序詞棄來使用),以分辨 求項元件。 月 同樣地’在此所用之片語及詞棄方式是作為描述性使 用而不應被視為限制。「包括」、「包含」、「具有」、「含有 「涉及」以及在此提及之盆灿 及之其他變化型的使用,是意味著 參 含括了之後所列之項目以及其均等物還有額外的項目。 【圖式簡單說明】 隨附的圖式並未意圖按等比例%製。在圖式中,被纷 示在許多圖式中之各個相同或近乎相同的組件係以一相 似編號來表示。為了渣桩加目 ^ "楚起見,並非每個組件會在每個 圖式中加以標示。在以下圖式中· 第1圖說明一不範性雷腦糸纪 罨腦系統,根據某些在此所述原 理所運作之技術可運作於其中; 48 201012156 第2A及2B圖說明一示範性解析參數之表格,其可根 據某些在此所述原理來實現; 第3圖是用於執行一名稱解析之示範性處理之流程 圖’其可根據某些在此所述原理來實現; 第4圖是用於識別一組可應用解析參數之示範性處理 之流程圖,其可根據某些在此所述原理來實現; 第5圖是用於將一文字識別符解析成一數字識別符之 示範性處理之流程圖,其可根據某些在此所述原理來 〇 現; 第6囷是用於判斷一儲存在快取中之識別符是否可當 成一名稱解析處理的結果來回傳之示範性處理之流程 圖’其可根據某些在此所述原理來實現; 第7圖是用於建立一組解析參數之示範性處理之流程 圖,其可根據某些在此所述原理來實現; 第8圖說明一示範性使用者介面,可將解析參數輸入 ❹ 於其中; 第9圖是一示範性計算裝置之組件的方塊圖,其可實 現根據某些在此所..述原.理所運作之技術; 第10圖是模組間相互可運作性之示範性方法的方塊 圖’其可根據一或更多之技術來實現,而該等技術係根 據在此所述原理來運作。 【主要元件符號說明】 49 201012156 1 0 0通訊網路 100Α疊蓋網路 102使用者之裝置 104解析參數 106管理者之裝置 I 0 8網路資源 II 〇名稱解析資源 11 0A名稱解析資源 © 112代理伺服器 900計算裝置 902處理器 904網路配接器 906電腦可讀取儲存媒介 908應用程式 910名稱解析客戶端 _ 912多組解析參數之集合 9 14識別符之快取 916 API 1000應用程式 1002連結模組 1004名稱解析模組 1006資源參數之集合 1008識別符快取 1010連結科技 50 201012156 1 012連結模組 1 014鑑定模組 1 0 1 6加密模組

Claims (1)

  1. 201012156 七、申請專利範圍: 1· 一種方法,其包含以下少驟: (A) 將用於一網路資源之一第一識別符當做輸入來接 受; (B) 諮詢多組解析參數之一集合以判斷能應用到該第 一識別符的一組可應用解析參數; (C) 獲得用於該網路資源之一第二識別符,該獲得步 驟包含導入一名稱解析處理,以基於該第一識別符來判 ® 斷用於該網路資源之該第二識別符,其中該名稱解析處 理是由該組可應用解析參數所支配。 2.如申請專利範圍第〗項所述之方法,其中該組可應用 解析參數支配在-主機計算裝置以及_遠端計算裝置之 間的通訊’該主機計算裝置係運行該
    算裝置會對該遠端計算裝置發出-名稱解析請求^ 其中該獲得步驟 3.如申請專利範圍第2項所述之方法 進一步包含: (Cl)根據該組可應用 輸到該遠端計算裝置。 解析參數將該 名稱解析請求傳 4.如申請專利範圍第1項所 、 析參數之集合的步驟包含:“之方法’其争導入多組解 52 201012156 (B1)將該網路資源之該第一識別符與關連於各組解析 參數的圖樣進行比較,以判斷各組解析參數是否應用到 該第一識別符。 5.如申請專利範圍第1項所述 k疋万去,其中該第一識别 符是一用於該網路資源之文字識 子硪別符,而該第二識別符 疋一用於該網路資源之數字識別符。
    6.如申請專利範圍第1項所述之方法 數包含在一或更多正待使用之加密類 ’其中該等解析參 型上的資訊。 7.如申請專利範圍第!項所述之方法,其中該等解析參 數匕含用;^或更多在該名稱解析處理期間交換資訊之 網路資源之識別符》 ❹8.如申請專利範圍第!項所述之方法,其中該名稱解析 處理是一根據網域名稱系統(DNS)協定之處理。 9·如申請專利範㈣8項所述之方法,其巾該名稱解析 處理是根據DNS安全延伸(DNSSEC)之處理。 10.如申研專利範圍第8項所述之方法,其中該名稱解 析處理係適用於與使用直接存取來實現之一疊蓋網路共 同作用。 53 201012156 11.至少一種用電腦可運行 存媒體,— # a Μ料讀取翻 存媒體s其執灯時’會使得一電腦能執行 該方法包含以下步驟: (A)依據一應甩程式而將一用於一 * 當做輸人來接受; 喝路資原之網域名稱 組可應用解析 (B)判斷來自多組解析參數之集合中的 參數; ❹ ⑹根據該組可應用解析參數而在該網路上建立對一網 域名稱服務(DNS)伺服器之連結; 對該DNS伺服器發送一 (D)根據該組可應用解析參數而 DNS查詢,· ,其包含一用於該網 (E)從該DNS伺服器處接收一回應 路資源之數字識別符; (F)對該應用程式提供該數字識別符。
    如申咕專利範圍第丨丨項所述之電腦可讀取儲存媒 體,、中該建立對一 DNS飼服器之連結的步驟包含,建 立對由°亥組可應用解析參數所識別之DNS伺服器之連 結0 13.如申凊專利範圍第丨丨項所述之電腦可讀取儲存媒 體’其中該方法進—步'包含.: 確認曾根據該等解析參數來產生該回應;以及 54 201012156 右未曾根據該等解析參數來產生該回應,則不對該應 用程式提供該數字識別符。 14.如申請專利範圍第1丨項所述之電腦可讀取儲存媒 體,其中確認曾根據該等解析參數來產生該回應之步驟 包含判斯疋否曾根據該DNS安全延伸(DN.SSEC)協定來 認證該回應。 ® 15·如申請專利範圍第14項所述之電腦可讀取儲存媒 體’其中.根據該組可應用解析參數來對該DNS伺服器發 送一 DNS查詢之步驟包含,根據由該組可應用解析參數 所識別之加密技術,來對通訊進行加密。 16. 如申請專利範圍第11項所述之電腦可讀取儲存媒 體’其中該方法進一步包含: ❹ 儲存該回應以及用於在一快取中擷取該回應之該組 可應用解析參數; 在接收該網域名稱當作為一第二輸入(並當作是傭該 數字識别符之一第二請求的一部分)後,判斷用於棟取 該回應之該組可應用解析參數是否足以對該第二請求提 供該回應,若是,則從該快取中提供該回應。 17. 如申請專利範圍第11項所述之電腦可讀取儲存媒 體’其中判斷來自多組解析參數之該集合中之該組可應 55 201012156 用解析參數的步驟包含,將該網路資源之網域名稱與關 連於各組解析參數之圖樣做比較,以判斷該組解析參數 是否應用於該網域名稱。 18.如申請專利範圍第u項所述之電腦可讀取儲存媒 體,其中該步驟(F)進一步包含: (F1)對該應用程式提供一用於該網路資源之代理伺服 器之識別符。 19. 一種設備,其至少包含: 至少一處理器;以及 至少一編碼一資料結構之有形電腦可讀取儲存媒 體,該資料結構包含相關於一組解析參數之資訊,該資 料結構能按照由一名稱解析軟體組件所可使用的方法來 儲存’以支配一名稱解析處理,該資料結構包含: ❹ 一資訊正準備記錄於其中之第一位置,其定義一組 用於網路資源之一或更多之識別符,其中該等解析參數 能應用於該組識別符; 一資訊正準備記錄於其中之第二位置,其定義一描 時現在一通訊通道上之安夺舳别 心女王類型’其中該名稱解析處理 係透過該通道來交換資訊; 一資訊正準備記錄於其中之筮-你m 丹甲之第二位置,其定義至少 一受信任之憑證管理;以及 一·>訊正準備記.錄於其中 之第四位置,其定義至少 56 201012156 一網路資源’其中正準備與該網路資源建立該通訊通道; 其_心少—處㈣剌於運行該名稱解析軟體組 L該名稱解析軟體組件係適用於根據至少―㈣用解 該名稱解析處理’該名稱解析軟體組件能 讀取至y某些的複數個資料結構實例结 例係編碼在至少一右彬雷瞇π # 守貝η,培構實 >有形電腦可讀取儲存媒體上 一或更多組應用解析參數。 町 ❹ =如申請專利範圍第19項所述之設傷,其中該處理器 :進-步適用於根據至少—組可應用解析參數而與至少 一遠端網路資源交換資訊。 ❹ 57
TW098126576A 2008-08-08 2009-08-06 用於安全資源名稱解析的方法、電腦可讀取儲存媒體及設備 TWI478564B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US12/189,034 US7917616B2 (en) 2008-08-08 2008-08-08 Secure resource name resolution

Publications (2)

Publication Number Publication Date
TW201012156A true TW201012156A (en) 2010-03-16
TWI478564B TWI478564B (zh) 2015-03-21

Family

ID=41653931

Family Applications (1)

Application Number Title Priority Date Filing Date
TW098126576A TWI478564B (zh) 2008-08-08 2009-08-06 用於安全資源名稱解析的方法、電腦可讀取儲存媒體及設備

Country Status (7)

Country Link
US (3) US7917616B2 (zh)
EP (1) EP2310951B1 (zh)
JP (1) JP5480265B2 (zh)
CN (1) CN102112979B (zh)
HK (1) HK1159282A1 (zh)
TW (1) TWI478564B (zh)
WO (1) WO2010017025A2 (zh)

Families Citing this family (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7917616B2 (en) * 2008-08-08 2011-03-29 Microsoft Corporation Secure resource name resolution
US8429715B2 (en) * 2008-08-08 2013-04-23 Microsoft Corporation Secure resource name resolution using a cache
US8438304B2 (en) * 2008-09-22 2013-05-07 Oracle America, Inc. Method and system for automatically generating software and configuring application installation
WO2010043929A1 (en) * 2008-10-15 2010-04-22 Nokia Corporation Methods, apparatuses, and computer program products for determining a network interface to access a network resource
US8527945B2 (en) * 2009-05-07 2013-09-03 Verisign, Inc. Method and system for integrating multiple scripts
US8347100B1 (en) 2010-07-14 2013-01-01 F5 Networks, Inc. Methods for DNSSEC proxying and deployment amelioration and systems thereof
CN102404416B (zh) * 2010-09-16 2016-06-15 中兴通讯股份有限公司 一种获取dns的方法和隧道网关设备
US9106699B2 (en) * 2010-11-04 2015-08-11 F5 Networks, Inc. Methods for handling requests between different resource record types and systems thereof
US8949411B2 (en) 2010-12-16 2015-02-03 Microsoft Corporation Determining whether a device is inside a network
US9313085B2 (en) 2010-12-16 2016-04-12 Microsoft Technology Licensing, Llc DNS-based determining whether a device is inside a network
US9852311B1 (en) 2011-03-08 2017-12-26 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US11228566B1 (en) 2011-03-08 2022-01-18 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9667741B1 (en) 2011-03-08 2017-05-30 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9413526B1 (en) 2011-03-08 2016-08-09 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9292696B1 (en) * 2011-03-08 2016-03-22 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US8726398B1 (en) 2011-12-13 2014-05-13 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9300637B1 (en) * 2011-03-08 2016-03-29 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US8694646B1 (en) 2011-03-08 2014-04-08 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9432342B1 (en) 2011-03-08 2016-08-30 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9722973B1 (en) * 2011-03-08 2017-08-01 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9338220B1 (en) 2011-03-08 2016-05-10 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9231920B1 (en) 2011-12-13 2016-01-05 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9356993B1 (en) 2011-03-08 2016-05-31 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9049244B2 (en) * 2011-04-19 2015-06-02 Cloudflare, Inc. Registering for internet-based proxy services
US10270755B2 (en) 2011-10-03 2019-04-23 Verisign, Inc. Authenticated name resolution
US8990356B2 (en) 2011-10-03 2015-03-24 Verisign, Inc. Adaptive name resolution
JP5807912B2 (ja) * 2011-12-12 2015-11-10 国立研究開発法人情報通信研究機構 ホスト装置
US9843554B2 (en) 2012-02-15 2017-12-12 F5 Networks, Inc. Methods for dynamic DNS implementation and systems thereof
US9609017B1 (en) 2012-02-20 2017-03-28 F5 Networks, Inc. Methods for preventing a distributed denial service attack and devices thereof
GB2501757A (en) * 2012-05-04 2013-11-06 Ibm Instrumentation of software applications for configuration thereof
US9900281B2 (en) 2014-04-14 2018-02-20 Verisign, Inc. Computer-implemented method, apparatus, and computer-readable medium for processing named entity queries using a cached functionality in a domain name system
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
CN104539603B (zh) * 2014-12-22 2017-12-29 中国科学院计算机网络信息中心 基于本地解析的安全dns系统和dns安全解析方法
CN104468865B (zh) * 2014-12-25 2019-03-05 北京奇虎科技有限公司 域名解析控制、响应方法及相应的装置
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
US9894041B2 (en) * 2015-09-25 2018-02-13 Microsoft Technology Licensing, Llc Secure domain name resolution in computer networks
US10791085B2 (en) 2015-11-12 2020-09-29 Verisign, Inc. Techniques for directing a domain name service (DNS) resolution process
CN105338187A (zh) * 2015-11-16 2016-02-17 联想(北京)有限公司 一种信息处理方法及电子设备
CN105357212A (zh) * 2015-11-23 2016-02-24 北京天地互连信息技术有限公司 一种保证安全和隐私的dns端到端解析方法
US10797888B1 (en) 2016-01-20 2020-10-06 F5 Networks, Inc. Methods for secured SCEP enrollment for client devices and devices thereof
US10708226B2 (en) * 2016-01-29 2020-07-07 Verisign, Inc. Domain name resolution
CN108886525B (zh) * 2016-03-09 2021-08-20 动态网络服务股份有限公司 智能域名系统转发的方法和装置
US10574674B2 (en) * 2016-07-08 2020-02-25 Nec Corporation Host level detect mechanism for malicious DNS activities
US10999240B1 (en) 2016-08-31 2021-05-04 Verisign, Inc. Client controlled domain name service (DNS) resolution
CN106357839B (zh) * 2016-09-28 2019-11-19 中国互联网络信息中心 一种dns查询方法及装置
US11032127B2 (en) 2017-06-26 2021-06-08 Verisign, Inc. Resilient domain name service (DNS) resolution when an authoritative name server is unavailable
JP7112237B2 (ja) * 2018-04-19 2022-08-03 キヤノン株式会社 デバイス、その制御方法、及びプログラム
US10742595B2 (en) 2018-04-20 2020-08-11 Pulse Secure, Llc Fully qualified domain name-based traffic control for virtual private network access control
US11368440B2 (en) * 2018-12-18 2022-06-21 GM Global Technology Operations LLC Detecting operation of an autonomous vehicle on an untrusted network
US11477028B2 (en) 2019-04-15 2022-10-18 Pulse Secure, Llc Preventing account lockout through request throttling
US11743135B2 (en) 2019-07-23 2023-08-29 Vmware, Inc. Presenting data regarding grouped flows
US11340931B2 (en) 2019-07-23 2022-05-24 Vmware, Inc. Recommendation generation based on selection of selectable elements of visual representation
US11321213B2 (en) 2020-01-16 2022-05-03 Vmware, Inc. Correlation key used to correlate flow and con text data
JP2021162778A (ja) * 2020-04-01 2021-10-11 キヤノン株式会社 通信装置、通信装置の制御方法及びプログラム
US11785032B2 (en) 2021-01-22 2023-10-10 Vmware, Inc. Security threat detection based on network flow analysis
US11991187B2 (en) 2021-01-22 2024-05-21 VMware LLC Security threat detection based on network flow analysis
US11831667B2 (en) 2021-07-09 2023-11-28 Vmware, Inc. Identification of time-ordered sets of connections to identify threats to a datacenter
US11997120B2 (en) 2021-07-09 2024-05-28 VMware LLC Detecting threats to datacenter based on analysis of anomalous events
US11792151B2 (en) * 2021-10-21 2023-10-17 Vmware, Inc. Detection of threats based on responses to name resolution requests
US12015591B2 (en) 2021-12-06 2024-06-18 VMware LLC Reuse of groups in security policy

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3484779B2 (ja) * 1994-10-12 2004-01-06 富士ゼロックス株式会社 名前サービス方式及び名前サービス方法
US5878212A (en) * 1995-07-31 1999-03-02 At&T Corp. System for updating mapping or virtual host names to layer-3 address when multimedia server changes its usage state to busy or not busy
US5983270A (en) 1997-03-11 1999-11-09 Sequel Technology Corporation Method and apparatus for managing internetwork and intranetwork activity
US6760746B1 (en) * 1999-09-01 2004-07-06 Eric Schneider Method, product, and apparatus for processing a data request
US6560634B1 (en) * 1997-08-15 2003-05-06 Verisign, Inc. Method of determining unavailability of an internet domain name
US6167446A (en) * 1997-11-03 2000-12-26 Inca Technology, Inc. Automatically configuring network-name-services
US7522931B2 (en) * 1998-06-05 2009-04-21 Netnumber, Inc. Method and apparatus for accessing a network computer to establish a push-to-talk session
US7188180B2 (en) 1998-10-30 2007-03-06 Vimetx, Inc. Method for establishing secure communication link between computers of virtual private network
US6502135B1 (en) 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US6338082B1 (en) * 1999-03-22 2002-01-08 Eric Schneider Method, product, and apparatus for requesting a network resource
US7031297B1 (en) 2000-06-15 2006-04-18 Avaya Communication Israel Ltd. Policy enforcement switching
US7426566B2 (en) * 2001-01-17 2008-09-16 International Business Machines Corporation Methods, systems and computer program products for security processing inbound communications in a cluster computing environment
US7209479B2 (en) 2001-01-18 2007-04-24 Science Application International Corp. Third party VPN certification
US7296155B1 (en) * 2001-06-08 2007-11-13 Cisco Technology, Inc. Process and system providing internet protocol security without secure domain resolution
US6961783B1 (en) 2001-12-21 2005-11-01 Networks Associates Technology, Inc. DNS server access control system and method
US8533282B2 (en) * 2002-02-25 2013-09-10 Broadcom Corporation System, method and computer program product for selectively caching domain name system information on a network gateway
JP3791464B2 (ja) 2002-06-07 2006-06-28 ソニー株式会社 アクセス権限管理システム、中継サーバ、および方法、並びにコンピュータ・プログラム
US7734745B2 (en) * 2002-10-24 2010-06-08 International Business Machines Corporation Method and apparatus for maintaining internet domain name data
US7373500B2 (en) 2003-04-15 2008-05-13 Sun Microsystems, Inc. Secure network processing
US7299491B2 (en) * 2003-04-30 2007-11-20 Microsoft Corporation Authenticated domain name resolution
TW200527870A (en) * 2004-01-14 2005-08-16 Nec Corp Encrypted communication method, encrypted communication system, node device and program
US7499998B2 (en) * 2004-12-01 2009-03-03 Cisco Technology, Inc. Arrangement in a server for providing dynamic domain name system services for each received request
US7594031B2 (en) 2005-09-15 2009-09-22 Microsoft Corporation Network address selection
US7437755B2 (en) 2005-10-26 2008-10-14 Cisco Technology, Inc. Unified network and physical premises access control server
US7356767B2 (en) * 2005-10-27 2008-04-08 International Business Machines Corporation Extensible resource resolution framework
WO2007074286A1 (fr) * 2005-12-27 2007-07-05 France Telecom Serveur et procede pour gerer des requetes dnssec
US8935416B2 (en) 2006-04-21 2015-01-13 Fortinet, Inc. Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer
ATE412306T1 (de) 2006-05-11 2008-11-15 Alcatel Lucent Bearbeitung einer dns-dienstnachfrage
EP1919155A1 (en) * 2006-10-31 2008-05-07 Alcatel Lucent Resolution of flexible address schemes for IMS services
FR2908540A1 (fr) 2006-11-15 2008-05-16 France Telecom Deploiement de bases dnssec
JP4535075B2 (ja) * 2007-03-12 2010-09-01 ブラザー工業株式会社 ネットワーク装置、およびネットワーク装置用のプログラム
CN100502367C (zh) * 2007-04-04 2009-06-17 华为技术有限公司 保存域名系统记录的方法、装置
US7734792B2 (en) * 2007-07-25 2010-06-08 Novell, Inc. Secure tunnel domain name management
US8935748B2 (en) * 2007-10-31 2015-01-13 Microsoft Corporation Secure DNS query
US8918865B2 (en) * 2008-01-22 2014-12-23 Wontok, Inc. System and method for protecting data accessed through a network connection
US7970004B2 (en) * 2008-02-01 2011-06-28 Nokia Corporation Method and system for providing multicast contention resolution
US8429715B2 (en) * 2008-08-08 2013-04-23 Microsoft Corporation Secure resource name resolution using a cache
US7917616B2 (en) 2008-08-08 2011-03-29 Microsoft Corporation Secure resource name resolution

Also Published As

Publication number Publication date
WO2010017025A2 (en) 2010-02-11
EP2310951A2 (en) 2011-04-20
US7917616B2 (en) 2011-03-29
US20100036959A1 (en) 2010-02-11
US20110162039A1 (en) 2011-06-30
JP5480265B2 (ja) 2014-04-23
US8762554B2 (en) 2014-06-24
WO2010017025A3 (en) 2010-04-01
EP2310951A4 (en) 2013-03-13
EP2310951B1 (en) 2015-03-04
HK1159282A1 (zh) 2012-07-27
US20130080649A1 (en) 2013-03-28
US8332487B2 (en) 2012-12-11
CN102112979B (zh) 2015-05-27
TWI478564B (zh) 2015-03-21
CN102112979A (zh) 2011-06-29
JP2011530868A (ja) 2011-12-22

Similar Documents

Publication Publication Date Title
TW201012156A (en) Secure resource name resolution
TWI475863B (zh) 使用快取之安全資源名稱解析
US8910270B2 (en) Remote access to private network resources from outside the network
KR101861026B1 (ko) 비공개 데이터를 보호하는 보안 프록시
US7895319B2 (en) Variable DNS responses based on client identity
US20160337333A1 (en) Method and device for classifying tcp connection carrying http traffic
CN108632221B (zh) 定位内网中的受控主机的方法、设备及系统
CN102790807A (zh) 域名解析代理方法和系统、域名解析代理服务器
WO2016155373A1 (zh) Dns安全查询方法和装置
US20080263126A1 (en) Internet bridge for applications and web servers
CN104468619A (zh) 一种实现双栈web认证的方法和认证网关
JP2003316742A (ja) シングルサインオン機能を有する匿名通信方法および装置
EP2920912B1 (en) Electronic rendezvous-based two stage access control for private networks
CN114006724B (zh) 一种加密dns解析器发现及认证的方法与系统
JP5339611B2 (ja) 既存ファイルサーバへのアクセス可能なクライアントコンピュータを制限する方法及びシステム

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees