自适应名字解析制造技术

本发明专利技术为自适应名字解析。一种方法、系统、和包括指令的计算机可读存储器包括：接收DNS请求，该请求包含与用户特有信息、设备特有信息、和/或认证信息相关的信息；分析该信息；基于分析状态确定要采取的合适的动作；以及采取合适的动作。动作可包括：用个性化网络层地址或服务定位地址响应；延迟发送响应消息；发送对应于包含认证信息的站点的网络层地址或服务定位地址；以及发送具有网络层地址或服务定位地址的响应，网络层地址或服务定位地址具有被配置成模拟与所请求的资源相关的网站的网址。

【技术实现步骤摘要】
自适应名字解析相关申请交叉引用本申请为2011年10月3日提交的、序号为13/251，607的美国专利申请的部分继续申请，其公开通过引用全部合并入本文中。
本公开一般地涉及域名服务(DNS)解析。具体来说，本公开涉及用于对DNS请求的自适应DNS解析并提供自适应和相关响应的方法和系统。
技术介绍
DNS系统利用层次化结构以响应于DNS查询而将完全限定域名关联至特定IP地址。例如，如果用户在其计算机的互联网浏览器上访问网站WWW.example, com,通常,计算机上的桩解析器将:(1)首先检查自身的DNS缓存是否有合适的响应；(2)如果在缓存中不可获得，则查询递归名字服务器或可能地用相同信息从根DNS服务器向下查询委托图的每一等级，期望回复。如果所查询的系统具有该信息或对该准确问题是权威的，则提供响应或错误。如果它不具有信息但知道谁是，则其提供委托/指引给应当具有更准确信息的子级。为运用更大的缓存机制，DNS解析器(递归名字服务器)可在步骤⑴和(2)之间被使用。因为DNS解析器服务多个用户，其通常含有更大缓存，有助于降低根服务器和登记服务器上的负载并经常最小化用户的响应时间，因为其通常在拓扑上更接近于客户端。DNS解析器还可作为递归名字服务器，处理不同名字服务器之间的多个事务和跟随的委托/指引链以解析考虑中的资源的最终IP地址，简单地将最终应答传送回用户计算机。DNS解析器可以最终在其响应中提供网络层标识符或服务定位id，其在一些实例中可以是相同的。 一些DNS服务器支持基于初始查询机的源IP地址的对DNS查询的基本过滤。例如，一些服务器可将源IP地址与IP地址白名单或黑名单相比较并因此允许或不允许该IP地址。其它服务器可使用源IP地址来接近查询源机的定位(地理定位)，并使用该定位信息通过返回被认为比另一资源服务器更接近的资源服务器的IP地址来定制该响应。在所有这些情况中，总体而言，一旦响应被允许，DNS响应就返回将提供对资源服务器的访问的机器的IP地址(或网络层标识符或服务定位id)。该IP地址、网络层标识符和服务定位id被解析，而与最终使用该资源的用户许可的状态无关。 例如，假设用户访问其上具有定制门户的网站，如mypage.example, com。如果用户不具有关于mypage.example, com的有效账户，则允许用户访问站点可能是完全没必要的，并且通过该资源的网络层标识符和定位符的公开造成潜在安全风险。即使用户不具有关于mypage.example, com的账户，仍必须对用户采用一些机制以被网站标识和认证。 存在各种手段来认证请求资源的用户。在典型情形中，用户可具有网站上的登录凭证，或与这些凭证的先前交换关联的cookie。曾经被验证的该登录凭证认证该用户，以允许对仅会员或特定用户资源的访问。例如，访问银行网站的用户可登录以查看与用户的账户关联的信息。 这个类型的认证的一个问题在于:直到该用户被认证或标识，该资源解析过程通常以对每个用户相同的方式进行。可在该资源服务器上采用高级联网机制，以在认证前过滤不同类型的请求，诸如基于用户的IP地址地理定位转移网络流量，例如，欧洲的用户可被转移至在欧洲建立的服务器。 单独地，由于几个原因，这些技术是有问题的。这些技术的一个问题是:在每个实例中，资源IP地址(或网络层标识符和服务定位标识符)被暴露。这是不合乎希望的，因为解析的IP地址(或网络层标识符或服务定位标识符)的该公开的属性把资源暴露给分布式拒绝服务(DDoS)攻击，与该IP地址关联的系统的软件的安全弱点探查，或获得对用户账户或通常在该IP地址(或网络层标识符或服务定位标识符)处访问的其它资源的未授权访问或控制的尝试。这种情况类似于，在接收到前门上的敲击之后，将门仅打开一缝隙看谁在外面。如果外面的人是恶意的，一旦你打开门，这个人可能能够进来。在打开门之前证实谁站在外面、或可能首先不公开你的家庭地址以及那里什么些资源可以是可用的将更加安全。 希望一种方法和系统，其可在返回IP地址(或网络层标识符或服务定位标识符)之前执行自适应的(包括但不限于)对DNS请求者的认证响应，以部分地确保在打开门或公开地址之前请求者具有对最终资源访问的授权。后面的公开解决了这些问题并向名字解析过程提供增加的便利性和功能。例如，如下面所描述的，该预认证系统使管理员基于请求者的认证状态在DNS等级规定专门的行为。
技术实现思路
一种方法，系统，和包含指令的计算机可读存储器，包括:接收包含信息的DNS请求，该信息包括但不限于验证信息和与发起DNS请求的用户和/或用户设备的操作环境相关的信息；验证该信息；基于该验证状态确定要采取的合适的动作；以及采取合适的动作。与用户的操作环境相关的信息可包括但不限于，空间的(即用户的定位)、时间的(即作出DNS请求的日时或星期时)、用户的安全等级或访问许可等级，或其组合。与用户设备的操作环境相关的信息可包括但不限于，设备的类型、硬件配置、软件配置、设备的平台类型、无线连通性信息(即无线信号的强度)，空间的(即设备的定位)，及其组合。动作可包括:用个性化网络层标识符或服务定位标识符(诸如IPv4或IPv6网络层地址)响应、延迟发送响应消息、发送对应于包含验证信息的站点的IP地址(或网络层标识符或服务定位标识符)、以及发送具有对应于被配置成模拟与所请求的资源相关的网站的网址的IP地址(或网络层标识符或服务定位标识符)的响应。在实施方式中，基于与用户和/或用户设备的操作环境相关的信息，该动作可为依赖性的和/或定制的。 在实施例中，该信息通过起源DNS解析请求的设备以外的设备增加至DNS解析请求。在一些实施例中，该信息包括验证信息，例如以下一个或多个:源IP地址、用户名/密码组合、加密数据包、和硬件标识信息。 在一些实施例中，该信息接受自资源服务器并且该信息在自适应DNS服务器中被更新。在一些实施例中，个性化网络层标识符或服务定位标识符可对应于一次使用标识符或通常专用于特定用户的标识符。 在一些实施例中，其中标识信息确定该请求者先前已被拒绝对资源服务器IP地址，网络层标识符或服务定位标识符访问，并且接收延迟的响应，后续的DNS请求在处理之前接收越来越长的延迟。在一些实施例中，该认证的用户被分类到类中，并取决于该类接收对资源服务器的优先访问。 在一些实施例中，社区授权信任可发布认证证书，认证证书确认请求域名的名字解析的用户的身份。用户可使用认证证书来作出名字解析请求。一旦被验证，该认证证书就可由自适应DNS服务器使用以确定响应于请求提供的IP地址(或网络层标识符或服务定位标识符)。 在一些实施例中，DNS请求和标识信息可连同DNS响应或采取的其它动作一起被记录。可为了请求和响应中的统计数据趋势来分析这些记录。该记录还可被分析以确定各种源IP地址中的安全趋势，例如，用于标识应列入黑名单的IP地址或用户。 在一些实施例中，认证信息的验证结果可用于创建计费信息，使服务运营商能够针对特定类型的响应对客户端记费。 在实施方式中，公开了用于认证DNS请求的系统。该系统可包括:社区授权信任；认证DNS服务器，包括处理器和计算机可读存储器。本文档来自技高网...

【技术保护点】
一种计算机实施的方法，用于响应于域名系统(DNS)请求，包括：在DNS服务器接收DNS解析请求，该请求包括与设备特有信息，用户特有信息，以及认证信息中的任一个或其组合相关的信息；在DNS服务器上分析该信息；基于对该信息的分析，由DNS服务器确定DNS动作，其中该DNS动作包含以下任一个或其组合：发送具有个性化IP地址、网络层标识符、或服务定位标识符的响应消息；延迟发送响应消息；发送具有对应于包含认证指令的网址的IP地址的响应消息；发送具有对应于被配置成模拟所请求地址的网站的网站的IP地址的响应消息；基于该设备特有信息发送定制响应，基于该用户特有信息发送定制响应，及其组合；以及在DNS服务器上执行该DNS动作。

【技术特征摘要】
2013.03.14 US 13/8280701.一种计算机实施的方法，用于响应于域名系统(DNS)请求，包括: 在DNS服务器接收DNS解析请求，该请求包括与设备特有信息，用户特有信息，以及认证信息中的任一个或其组合相关的信息； 在DNS服务器上分析该信息； 基于对该信息的分析，由DNS服务器确定DNS动作，其中该DNS动作包含以下任一个或其组合:发送具有个性化IP地址、网络层标识符、或服务定位标识符的响应消息；延迟发送响应消息；发送具有对应于包含认证指令的网址的IP地址的响应消息；发送具有对应于被配置成模拟所请求地址的网站的网站的IP地址的响应消息；基于该设备特有信息发送定制响应，基于该用户特有信息发送定制响应，及其组合；以及在DNS服务器上执行该DNS动作。2.根据权利要求1的方法，其中该信息由起源DNS解析请求的设备以外的设备增加至DNS解析请求。3.根据权利要求1的方法，其中该信息包括以下任一个或其组合:源网络层地址、用户名/密码组合、加密数据包、安全证书、和硬件标识信息，其中该硬件信息包括以下中的一个或多个:操作系统类型信息、操作系统版本信息、操作系统补丁信息。4.根据权利要求1的方法，包括: 在DNS服务器从资源服务器接收认证信息用于特定用户；以及 更新DNS服务器以存储该认证信息。5.根据权利要求1的方法，其中该个性化IP地址、网络层标识符、或服务定位标识符对应于一次使用的地址。6.根据权利要求1的方法，其中该个性化IP地址、网络层标识符、或服务定位标识符对应于分配至特定用户的地址。7.根据权利要求1的方法，其中延迟发送消息包括: 确定DNS请求先前从特定用户接收； 确定DNS响应被延迟达第一时间段；以及 延迟发送消息达第二时间段，其中该第二时间段大于该第一时间段。8.根据权利要求1的方法，包括: 限定离散的用户类； 将该离散的用户类按优先顺序排列到用户类的优先列表中，其中更高优先权类首先接收对服务的访问或接收对更高质量服务的访问； 把用户分类到类的优先列表中的类中；以及 基于该分类，首先提供对服务的访问或提供对更高质量的服务的访问， 其中该DNS动作包括:发送具有对应于递送特定类的服务器的IP地址的响应消息。9.根据权利要求1的方法，包括: 基于对该信息的分析确定记费事件，以及 基于该计费事件对客户端计费。10.一种用于认证DNS请求的系统,包括: DNS服务器，包括: 处理器；以及存储器，其中该存储器包含指令，当由处理器执行时，该指令执行一种方法，该方法包括: 在DNS服务器接收DNS解析请求，该请求包括与设备特有信息、用户特有信息、以及认证信息中的任一个或其组合相关的信息； 在DNS服务器上分析该信息； 基于对该信息的分析，由DNS服务器确定DNS动作，其中该DNS动作包括以下任一个或其组合:发送具有个性化网络层地址或服务定位地址的响应消息；延迟发送响应消息；发送具有对应于包含认证指令的网址的IP地址的响应消息；发送具有对应于被配置成模拟所请求的地址的网站的网站的IP地址的响应消息；以及基于该设备特有信息发送定制响应，基于该用户特有信息发送定制响应，及其组合；以及在DNS服务器上执行DNS动作。11.根据权利要求10的系统,其中信息由起源DNS解析请求的设备以外的设备增加至DNS解析请求。12.根据权利要求10的系统，其中认证信息包括以下一个或多个:源网络层地址、用户名/密码组合、加密数据包、安全证书、或硬件标识信息，其中该硬件信息包括以下一个或多个:操作系统类型信息、操作系统版本信息、操作系统补丁信息。13.根据权利要求10的系统，其中该方法包括: 在DNS服务器接收来自资源服务器的信息用于特定用户；以及 更新DNS服务器以存储该认证信息。14.根据权利要...

【专利技术属性】
技术研发人员：D·麦克费尔森，J·沃尔德伦，E·奥斯特维尔，
申请(专利权)人：弗里塞恩公司，
类型：发明
国别省市：美国;US