[发明专利]自适应名字解析

说明书

相关申请交叉引用

本申请为2011年10月3日提交的、序号为13/251,607的美国专利申请的部分继续申请，其公开通过引用全部合并入本文中。

技术领域

本公开一般地涉及域名服务(DNS)解析。具体来说，本公开涉及用于对DNS请求的自适应DNS解析并提供自适应和相关响应的方法和系统。

背景技术

DNS系统利用层次化结构以响应于DNS查询而将完全限定域名关联至特定IP地址。例如，如果用户在其计算机的互联网浏览器上访问网站www.example.com，通常，计算机上的桩解析器将：(1)首先检查自身的DNS缓存是否有合适的响应；(2)如果在缓存中不可获得，则查询递归名字服务器或可能地用相同信息从根DNS服务器向下查询委托图的每一等级，期望回复。如果所查询的系统具有该信息或对该准确问题是权威的，则提供响应或错误。如果它不具有信息但知道谁是，则其提供委托/指引给应当具有更准确信息的子级。为运用更大的缓存机制，DNS解析器(递归名字服务器)可在步骤(1)和(2)之间被使用。因为DNS解析器服务多个用户，其通常含有更大缓存，有助于降低根服务器和登记服务器上的负载并经常最小化用户的响应时间，因为其通常在拓扑上更接近于客户端。DNS解析器还可作为递归名字服务器，处理不同名字服务器之间的多个事务和跟随的委托/指引链以解析考虑中的资源的最终IP地址，简单地将最终应答传送回用户计算机。DNS解析器可以最终在其响应中提供网络层标识符或服务定位id，其在一些实例中可以是相同的。

一些DNS服务器支持基于初始查询机的源IP地址的对DNS查询的基本过滤。例如，一些服务器可将源IP地址与IP地址白名单或黑名单相比较并因此允许或不允许该IP地址。其它服务器可使用源IP地址来接近查询源机的定位(地理定位)，并使用该定位信息通过返回被认为比另一资源服务器更接近的资源服务器的IP地址来定制该响应。在所有这些情况中，总体而言，一旦响应被允许，DNS响应就返回将提供对资源服务器的访问的机器的IP地址(或网络层标识符或服务定位id)。该IP地址、网络层标识符和服务定位id被解析，而与最终使用该资源的用户许可的状态无关。

例如，假设用户访问其上具有定制门户的网站，如mypage.example.com。如果用户不具有关于mypage.example.com的有效账户，则允许用户访问站点可能是完全没必要的，并且通过该资源的网络层标识符和定位符的公开造成潜在安全风险。即使用户不具有关于mypage.example.com的账户，仍必须对用户采用一些机制以被网站标识和认证。

存在各种手段来认证请求资源的用户。在典型情形中，用户可具有网站上的登录凭证，或与这些凭证的先前交换关联的cookie。曾经被验证的该登录凭证认证该用户，以允许对仅会员或特定用户资源的访问。例如，访问银行网站的用户可登录以查看与用户的账户关联的信息。

这个类型的认证的一个问题在于：直到该用户被认证或标识，该资源解析过程通常以对每个用户相同的方式进行。可在该资源服务器上采用高级联网机制，以在认证前过滤不同类型的请求，诸如基于用户的IP地址地理定位转移网络流量，例如，欧洲的用户可被转移至在欧洲建立的服务器。

单独地，由于几个原因，这些技术是有问题的。这些技术的一个问题是：在每个实例中，资源IP地址(或网络层标识符和服务定位标识符)被暴露。这是不合乎希望的，因为解析的IP地址(或网络层标识符或服务定位标识符)的该公开的属性把资源暴露给分布式拒绝服务(DDoS)攻击，与该IP地址关联的系统的软件的安全弱点探查，或获得对用户账户或通常在该IP地址(或网络层标识符或服务定位标识符)处访问的其它资源的未授权访问或控制的尝试。这种情况类似于，在接收到前门上的敲击之后，将门仅打开一缝隙看谁在外面。如果外面的人是恶意的，一旦你打开门，这个人可能能够进来。在打开门之前证实谁站在外面、或可能首先不公开你的家庭地址以及那里什么些资源可以是可用的将更加安全。

希望一种方法和系统，其可在返回IP地址(或网络层标识符或服务定位标识符)之前执行自适应的(包括但不限于)对DNS请求者的认证响应，以部分地确保在打开门或公开地址之前请求者具有对最终资源访问的授权。后面的公开解决了这些问题并向名字解析过程提供增加的便利性和功能。例如，如下面所描述的，该预认证系统使管理员基于请求者的认证状态在DNS等级规定专门的行为。

发明内容