用于保证名称解析技术的安全且用于确保名称解析技术能在具有可经由单个网络接口访问的多个覆盖网络的现代网络中运作的技术。根据此处所描述的原理中的某一些,可由诸如最终用户或管理员等用户实现一组解析参数,该组解析参数在名称解析过程中使用来保护该过程的安全和/或在覆盖网络中进行该过程。在某些实现中,该组解析参数可作为规则表来维护,并用于支配名称解析过程。例如,可创建解析参数来支配DNSSEC会话,或支配如何与用微软的直接访问覆盖技术实现的网络进行通信,或支配使用任何其他联网技术的通信。
【技术实现步骤摘要】
【国外来华专利技术】安全资源名称解析背景本专利技术涉及名称解析技术。在计算机通信网络中,可使用若干不同的技术来标识 可经由网络访问的资源。这些资源可包括诸如客户机和服务器计算设备等附连到网络的主 机,以及诸如路由器、网关、防火墙和其他设备等联网资源。在一种技术中,资源可通过诸如 媒体访问控制(MAC)地址或网际协议(IP)地址等一个或多个标识号来标识。然而,已经 认识到,尽管这些地址对于计算机到计算机的通信是有用的,但用户经常会发现难以记住 这些标识号,且这一困难可能会阻碍用户访问网络资源。资源因此还可另外地或另选地通 过更容易被用户记住的文本标识符来标识。实现用于标识资源的文本标识符的技术包括 NetBOIS、局部链路多播名称解析(LLMNR)、以及域名系统(DNS)。提供此类文本标识符的技术还可提供用于将用户容易记住的文本标识符匹配到 计算机设备更容易处理的数字标识符(或相反地匹配)的转换服务。例如,在DNS中,当用 户向计算设备输入文本标识符(DNS中的“域名”)来发起与该域名所标识的资源的通信时, 计算设备上的DNS客户端将查询DNS服务器来将该域名“解析”成IP地址。DNS服务器在 接收到查询时,将或者通过其本地可用的信息或者通过查询其他DNS服务器来找到对应于 域名的IP地址,并将该IP地址返回给DNS客户端。计算设备然后可以使用该IP地址来发 起与该资源的通信。已经认识到,某些这样的名称解析技术可能被滥用。例如,在DNS中,攻击者可能 能够通过在DNS服务器用合法IP地址作出响应之前用攻击者的资源的IP地址响应DNS查 询来将计算设备错误地定向到攻击者自己的资源(例如,攻击者的服务器)。计算设备因 而可被错误地定向,且将连接到攻击者的资源而非合法资源。然后,在连接到攻击者的资源 时,计算设备可能会向攻击者泄露数据或从攻击者接收伪造数据或恶意软件。已经实现了某些安全技术来例如通过在每一 DNS查询中包括随机化标识符并要 求它们被包括在对查询的响应中来降低这一情形的可能性,这将阻止攻击者用欺骗地址进 行响应,除非该攻击者能够猜测出或检测到该查询的随机化标识符。已经提出来解决这些 安全问题的一种安全技术是随DNS实现的域名系统安全扩展(DNSSEC)协议。DNSSEC提供 了认证机构(CA)对DNS结果进行的数字签名,使得结果可被验证为准确的。另外,已经提 出了对网际协议安全(IPsec)协议使用DNS或DNSSEC,以允许对DNS客户端和DNS服务器 之间的通信进行加密和/或认证。概述申请人:认识到并且明白包括DNS在内的常规名称解析技术的安全性可被改进。此 外,常规名称解析技术未被设计成以经由单个网络接口和单组网络硬件连接到若干网络的 方式来操作,因此阻碍了覆盖网络的增长。此处所描述的是用于保护名称解析技术的安全并用于确保名称解析技术能在现 代网络中运作的原理。所描述的方法中的某一些与具有可经由与底层网络相同的接口访问 的覆盖网络的网络配置兼容。根据此处所描述的原理中的某一些,可由诸如最终用户或管 理员等用户实现一组解析参数,该组解析参数在名称解析过程中被使用来保护该过程的安全和/或在覆盖网络中进行该过程。在某些实现中,该组解析参数可按照规则表来维护,并 用于支配名称解析过程。例如,可创建解析参数来支配DNSSEC会话,或支配如何与用微软 的直接访问(Direct Access)覆盖技术实现的网络进行通信,或支配使用任何其他联网技 术的通信。在某些实施例中,提供提供了一种方法,该方法包括接受网络资源的第一标识符 作为输入,咨询各组解析参数的集合来确定应用于第一标识符的一组适用的解析参数,以 及获得第二标识符。该第二标识符可通过进行名称解析过程来基于第一标识符确定网络资 源的第二标识符而获得。名称解析过程由该组适用的解析参数支配。在其他实施例中,提供了其上编码了计算机可执行指令的至少一个计算机可读存 储介质,这些指令在被执行时使得计算机执行一种方法。该方法包括从应用程序接受可经 由网络访问的资源的域名作为输入,从各组解析参数的集合中确定一组适用的解析参数, 以及根据该组适用的解析参数建立到网络上的域名服务(DNS)服务器的连接。该DNS服务 器可通过该组适用的解析参数来标识。该方法还包括根据该组适用的解析参数将DNS查询 传递到DNS服务器,从DNS服务器接收包括资源的数字标识符的响应,以及将该数字标识符 提供给应用程序。在又一些实施例中,提供了一种包括至少一个处理器和至少一个有形计算机可读 存储介质的装置,该计算机可读存储介质上编码了包括与一组解析参数有关的信息的数据 结构。该数据结构以可由名称解析软件组件用于支配名称解析过程的方式来存储。该数据 结构包括要记录定义解析参数要应用于的网络资源的一组一个或多个标识符的信息的第 一位置;要记录定义要在通信信道上实现的安全措施类型的信息的第二位置,名称解析过 程要在该通信信道上交换信息;要记录定义至少一个可信证明机构的信息的第三位置;以 及要记录定义要与其建立所述通信信道的至少一个网络资源的信息的第四位置。该至少一 个有形计算机可读存储介质包括数据结构的多个实例,该数据结构的每一实例与一组特定 的解析参数相关联。该至少一个处理器适用于执行该名称解析软件组件,且该名称解析软 件组件适用于根据至少一组适用的解析参数来执行名称解析过程。该名称解析软件组件读 取至少一个有形计算机可读存储介质上编码的多个数据结构中的至少某一些,以确定一组 或多组适用的解析参数。以上概述是对由所附权利要求定义的本专利技术的非限定性的概述。附图简述附图不旨在按比例绘制。在附图中,各个附图中示出的每一完全相同或近乎完全 相同的组件由同样的标号来表示。出于简明的目的,不是每一个组件在每张附图中均被标 号。在附图中附图说明图1示出了根据此处描述的原理中的某一些来操作的技术可在其中起作用的示 例性计算机系统;图2A和2B示出了可根据此处所描述的原理中的某一些来实现的示例性解析参数 的表;图3是可根据此处描述的原理中的某一些实现的用于执行名称解析的示例性过 程的流程图;图4是可根据此处描述的原理中的某一些实现的用于标识一组适用的解析参数的示例性过程的流程图;图5是可根据此处描述的原理中的某一些实现的用于将文本标识符解析成数字 标识符的示例性过程的流程图;图6是可根据此处描述的原理中的某一些实现的用于确定存储在高速缓存中的 标识符是否可作为名称解析过程的结果来返回的示例性过程的流程图;图7是可根据此处描述的原理中的某一些实现的用于确立一组解析参数的示例 性过程的流程图;图8示出了可用于输入解析参数的示例性用户界面;图9是可实现根据此处描述的原理中的某一些操作的技术的示例性计算设备的 组件的框图;以及图10是可依照根据本文描述的原理操作的一种或多种技术来实现的模块的互操 作性的示例性方式的示图。详细描述申请人:认识到并且明白包括DNS在内的常规名称解析技术的安全性可被改进。此 外,常规名称解析技术未被设计成以经由单个网络接口和单组网络硬件连接到若干网络的 方式来操作,因此阻碍了覆盖网络的增长。例如,尽管提出了 DNSSEC用于确保DNS查询的结果是合法的,但它依赖于可能被 发现是不可接受的两个条件。首本文档来自技高网...
【技术保护点】
1.一种方法,包括:
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:R·M·特蕾西,
申请(专利权)人:微软公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。