[发明专利]安全资源名称解析

说明书

背景

本发明涉及名称解析技术。在计算机通信网络中，可使用若干不同的技术来标识可经由网络访问的资源。这些资源可包括诸如客户机和服务器计算设备等附连到网络的主机，以及诸如路由器、网关、防火墙和其他设备等联网资源。在一种技术中，资源可通过诸如媒体访问控制(MAC)地址或网际协议(IP)地址等一个或多个标识号来标识。然而，已经认识到，尽管这些地址对于计算机到计算机的通信是有用的，但用户经常会发现难以记住这些标识号，且这一困难可能会阻碍用户访问网络资源。资源因此还可另外地或另选地通过更容易被用户记住的文本标识符来标识。实现用于标识资源的文本标识符的技术包括NetBOIS、局部链路多播名称解析(LLMNR)、以及域名系统(DNS)。

提供此类文本标识符的技术还可提供用于将用户容易记住的文本标识符匹配到计算机设备更容易处理的数字标识符(或相反地匹配)的转换服务。例如，在DNS中，当用户向计算设备输入文本标识符(DNS中的“域名”)来发起与该域名所标识的资源的通信时，计算设备上的DNS客户端将查询DNS服务器来将该域名“解析”成IP地址。DNS服务器在接收到查询时，将或者通过其本地可用的信息或者通过查询其他DNS服务器来找到对应于域名的IP地址，并将该IP地址返回给DNS客户端。计算设备然后可以使用该IP地址来发起与该资源的通信。

已经认识到，某些这样的名称解析技术可能被滥用。例如，在DNS中，攻击者可能能够通过在DNS服务器用合法IP地址作出响应之前用攻击者的资源的IP地址响应DNS查询来将计算设备错误地定向到攻击者自己的资源(例如，攻击者的服务器)。计算设备因而可被错误地定向，且将连接到攻击者的资源而非合法资源。然后，在连接到攻击者的资源时，计算设备可能会向攻击者泄露数据或从攻击者接收伪造数据或恶意软件。

已经实现了某些安全技术来例如通过在每一DNS查询中包括随机化标识符并要求它们被包括在对查询的响应中来降低这一情形的可能性，这将阻止攻击者用欺骗地址进行响应，除非该攻击者能够猜测出或检测到该查询的随机化标识符。已经提出来解决这些安全问题的一种安全技术是随DNS实现的域名系统安全扩展(DNSSEC)协议。DNSSEC提供了认证机构(CA)对DNS结果进行的数字签名，使得结果可被验证为准确的。另外，已经提出了对网际协议安全(IPsec)协议使用DNS或DNSSEC，以允许对DNS客户端和DNS服务器之间的通信进行加密和/或认证。

概述

申请人认识到并且明白包括DNS在内的常规名称解析技术的安全性可被改进。此外，常规名称解析技术未被设计成以经由单个网络接口和单组网络硬件连接到若干网络的方式来操作，因此阻碍了覆盖网络的增长。

此处所描述的是用于保护名称解析技术的安全并用于确保名称解析技术能在现代网络中运作的原理。所描述的方法中的某一些与具有可经由与底层网络相同的接口访问的覆盖网络的网络配置兼容。根据此处所描述的原理中的某一些，可由诸如最终用户或管理员等用户实现一组解析参数，该组解析参数在名称解析过程中被使用来保护该过程的安全和/或在覆盖网络中进行该过程。在某些实现中，该组解析参数可按照规则表来维护，并用于支配名称解析过程。例如，可创建解析参数来支配DNSSEC会话，或支配如何与用微软的直接访问(Direct Access)覆盖技术实现的网络进行通信，或支配使用任何其他联网技术的通信。

在某些实施例中，提供提供了一种方法，该方法包括接受网络资源的第一标识符作为输入，咨询各组解析参数的集合来确定应用于第一标识符的一组适用的解析参数，以及获得第二标识符。该第二标识符可通过进行名称解析过程来基于第一标识符确定网络资源的第二标识符而获得。名称解析过程由该组适用的解析参数支配。

在其他实施例中，提供了其上编码了计算机可执行指令的至少一个计算机可读存储介质，这些指令在被执行时使得计算机执行一种方法。该方法包括从应用程序接受可经由网络访问的资源的域名作为输入，从各组解析参数的集合中确定一组适用的解析参数，以及根据该组适用的解析参数建立到网络上的域名服务(DNS)服务器的连接。该DNS服务器可通过该组适用的解析参数来标识。该方法还包括根据该组适用的解析参数将DNS查询传递到DNS服务器，从DNS服务器接收包括资源的数字标识符的响应，以及将该数字标识符提供给应用程序。