公开了用于验证对域名系统(DNS)记录更新的多个实施例。接收请求以修改和域所有者拥有的域相关的至少一个DNS记录。比较对至少一个DNS记录的修改请求与至少一个策略。所述至少一个策略是由域所有者可配置的。至少根据所述比较对至少一个DNS记录的所请求修改选择性地授权。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术请求于2010年5月18体提交的申请号为12/782,227,标题为“ValidatingUpdates to Domain Name System Records”的美国专利申请的优先权,在此通过引用并入其全文。
技术介绍
称为域名系统(DNS)的体系命名系统允许电脑、服务,或连接到互联网的任何资源或私有网络通过名称引用,诸如WWW. foo. com。DNS服务器协作将对人类有意义的域名翻译为用于计算机至计算机通信的数字地址。DNS服务器可以是“域攻击”的目标,其中攻击者劫持域名的控制。DNS服务器的 常规安全措施并不提供防御攻击的稳健防护。在最简单的攻击形式中,管理员帐户证书被猜测,或借助管理员计算机上的恶意软件经过中间人攻击而获得。一旦这些证书暴露,攻击者然后可以修改DNS服务器使用的记录以将域业务指引到其他地方,诸如宣传网站或钓鱼网站。附图简述参考下列附图可以更好理解本公开的多个方面。附图中组件并不一定是按比例的,重点相反被放在可以清楚示出本公开的原理。此外,在附图中,相同的附图标记用于指示多个图中的对应部件。图I是根据本公开多个实施例的网络环境的附图。图2和3是根据本公开的多个实施例,示出在图I的网络环境中实施为计算设备中执行的DNS验证服务器的部分的功能的示例的流程图。图4是是根据本公开的多个实施例,提供在图I的网络环境中采用的计算设备的一个示例示意的原理框图。专利技术详述本公开涉及控制对DNS记录的访问。在多个实施例中,目前披露通过当更新不符合策略时避免更新DNS记录而改进DNS服务器的安全性,并减少域攻击的威胁。更新策略通过允许改变或禁止改变描述对DNS记录中字段的可能改变。策略可以通过域所有者拥有的资源描述可允许改变。更新策略的示例可以是“确保所有邮件服务器记录识别域所有者所拥有的域,并最终指向域所有者控制的体系”。在多个实施例中,目前披露决定对DNS记录的字段的所请求改变是否违反策略中指定的条件。根据应用策略的结果,管理员请求更新记录或被授权或被拒绝。目前披露还提供了管理员代表域所有者更新策略的配置。在一些实施例中,配置更新策略需要第二级认证,其和用于更新DNS记录所需的认证相比更困难。在接下来的讨论中提供系统和其组件的一般性描述,接着是其操作的描述。参照附图说明图1,所示是根据多个实施例的网络环境100。网络环境100包括借助网络109与一个或多个管理员客户端106进行数据通信的计算设备103。该计算设备103也借助网络115与一个或多个计算设备112进行通信。在多个实施例中,网络109和网络115可以是同一网络或不同网络。网络109,115可例如包括互联网、内部网、外部网、广域网(WAN)、局域网(LAN)、有线网、无线网或其他合适的网络等,或两个或多个该网络的任何组合。计算设备103可例如包括服务器计算机或提供计算能力的任何其他系统。可替换地,多个计算设备103可使用例如配置为一个或多个服务器组或电脑组或其他配置。为此,多个计算设备103 —起可包括例如云计算资源,网格计算资源和/或任何其他分布式计算配置。该计算设备103可位于单独设备中或可分散在许多不同的地理位置之间。在一个实施例中,计算设备103表示执行一个或多个物理计算系统的虚拟计算机系统。为了方便,计算设备103在本文被称为是单数。尽管计算设备103被称为是单数,但可以理解的是多个计算设备103可用在上述的多个配置中。各种应用和/或其他功能可根据多个实施例在计算设备103中执行。各种数据也·存储在计算设备103可访问的更新策略数据存储器118和/或DNS记录数据存储器121中。如可以理解地,更新策略数据存储器118可代表多个DNS策略数据存储器118。如可以理解地,DNS记录数据存储器121可代表多个DNS记录数据存储器121。更新策略数据存储器118和/或DNS记录数据存储器121中存储的数据例如相关于下述的多个应用和/或功能实体的操作。计算设备103上执行的组件例如包括DNS核心服务124,DNS管理应用127,DNS更新验证服务130以及未在本文详细讨论的其他应用、服务、流程、系统、引擎或功能。DNS核心服务124经执行以通过实施DNS协议(在诸如置评请求(RFC)1034,RFC 1035等的标准中所描述)提供各种组件的名称解析服务,诸如管理员客户端106。DNS核心服务124通过与也实施DNS协议(诸如DNS服务133)的其他组件通信提供名称解析服务。具体而言,DNS核心服务124访问DNS记录数据存储器121中的DNS记录136以便响应来自其他DNS组件的DNS查询。DNS核心服务124还当适合时向其他DNS组件发送DNS查询。DNS查询和响应行为在各种DNS标准中更详细地描述。DNS管理应用127经执行以向管理员客户端106提供到DNS记录数据存储器121中的DNS记录136的管理员界面,以至于特定域的所有者(或代表域名所有者的管理员)可以更新和域相关的DNS记录136。在本披露中,可应用于DNS记录的术语“更新”包括添加和删除记录以及修改现有记录的内容。为了完成该操作,DNS管理应用127可以生成一个或多个网络页面,包括经过网络109发送到管理员客户端106的用户界面。在多个实施例中,DNS管理应用127可以利用任何类型的中间件框架与在管理员客户端106上执行的客户端应用通信。该框架的示例包括远程过程调用、面向服务体系结构(S0A)、具象状态传输(REST)和其他框架。DNS更新验证服务130经执行以验证请求用于添加、修改或删除和特定域相关的DNS记录136。这些请求(本文被称为“更新”请求)由特定域的所有者通过管理员客户端106进行。DNS更新验证服务130确保更新请求符合在更新策略数据存储器118中存储的更新策略139。DNS更新验证服务130也在执行更新之前被执行以验证请求DNS更新的域所有者的认证。管理员客户端106代表可耦合到网络109的多个客户端设备。管理员客户端106可例如包括基于处理器的系统,诸如计算机系统。该计算机系统可体现为如下形式桌面电脑、笔记本电脑、个人数字助理、蜂窝电话、机顶盒、音乐播放器、网络垫,平板电脑系统或具有类似功能的其他设备。管理员客户端106可以经配置以执行各种应用,诸如浏览器142和/或其他应用。管理员客户端106可在管理员客户端106中执行,例如,访问和提交网络页面(诸如网页),或由管理员客户端106和/或其他服务器提供的其他网络内容。管理员客户端106可经配置以在浏览器142上执行应用,例如电子邮件应用,即时消息应用和/或其他应用。计算设备112可例如包括服务器计算机或提供计算能力的任何其他系统。可替换地,多个计算设备112可经采用被配置为一个或多个服务器组或计算机组或其他配置。为此,多个计算设备112 —起可包括例如云计算资源,网格计算资源和/或任何其他分布式计算配置。这样的计算设备112可位于单独安装中或可分散在许多不同的地理位置之间。在一个实施例中,计算设备112代表执行一个或多个物理计算系统的虚拟计算机系统。为了方便,计算设备112在本文被称为单数。尽管计算设备112被称为单数,但可以理解,多个计算设备112可被应用在上述的多本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:科尔姆·G·麦卡萨伊,
申请(专利权)人:亚马逊技术股份有限公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。