[发明专利]使用高速缓存的安全资源名称解析

说明书

背景

本发明涉及名称解析技术。在计算机通信网络中，可使用若干不同的技术来标识可经由网络访问的资源。这些资源可包括诸如客户机和服务器计算设备等附连到网络的主机，以及诸如路由器、网关、防火墙和其他设备等联网资源。在一种技术中，资源可通过诸如媒体访问控制(MAC)地址或网际协议(IP)地址等一个或多个标识号来标识。然而，已经认识到，尽管这些地址对于计算机到计算机的通信是有用的，但用户经常会发现难以记住这些标识号，且这一困难可能会阻碍用户访问网络资源。资源因此还可另外地或另选地通过更容易被用户记住的文本标识符来标识。实现用于标识资源的文本标识符的技术包括NetBOIS、局部链路多播名称解析(LLMNR)、以及域名系统(DNS)。

提供此类文本标识符的技术还可提供用于将用户容易记住的文本标识符匹配到计算机设备更容易处理的数字标识符(或相反地匹配)的转换服务。例如，在DNS中，当用户向计算设备输入文本标识符(DNS中的“域名”)来发起与该域名所标识的资源的通信时，计算设备上的DNS客户端将查询DNS服务器来将该域名“解析”成IP地址。DNS服务器在接收到查询时，将或者通过其本地可用的信息或者通过查询其他DNS服务器来找到对应于域名的IP地址，并将该IP地址返回给DNS客户端。计算设备然后可以使用该IP地址来发起与该资源的通信。

已经认识到，某些这样的名称解析技术可能被滥用。例如，在DNS中，攻击者可能能够通过在DNS服务器用合法IP地址作出响应之前用攻击者的资源的IP地址响应DNS查询来将计算设备错误地定向到攻击者自己的资源(例如，攻击者的服务器)。计算设备因而可被错误地定向，且将连接到攻击者的资源而非合法资源。然后，在连接到攻击者的资源时，计算设备可能会向攻击者泄露数据或从攻击者接收伪造数据或恶意软件。

已经实现了某些安全技术来例如通过在每一DNS查询中包括随机化标识符并要求它们被包括在对查询的响应中来降低这一情形的可能性，这将阻止攻击者用欺骗地址进行响应，除非该攻击者能够猜测出或检测到该查询的随机化标识符。已经提出来解决这些安全问题的一种安全技术是随DNS实现的域名系统安全扩展(DNSSEC)协议。DNSSEC提供了认证机构(CA)对DNS结果进行的数字签名，使得结果可被验证为准确的。另外，已经提出了对网际协议安全(IPsec)协议使用DNS或DNSSEC，以允许对DNS客户端和DNS服务器之间的通信进行加密和/或认证。

概述

申请人已经认识到并且已经明白，包括DNS在内的常规名称解析技术的安全性可以用计算设备中接受各组解析参数来控制名称解析过程的安全或其他方面的名称解析模块来改进。名称解析系统的高效操作用先前解析的标识符的高速缓存来增强。例如，如果名称解析模块接受文本标识符作为输入并获得对应的数字标识符，则该数字标识符可被存储在高速缓存中，并且高速缓存中的标识符用于响应新请求。除了存储先前已解析的标识符之外，高速缓存可存储用于解析这些标识符的参数，并且这些参数可稍后用于确定高速缓存中的标识符的有效性和安全性。在这些实现中，在使用高速缓存的信息来解析标识符之前，可进行检查来确定用于解析高速缓存的标识符的参数是否匹配为输入标识符的解析所指定的当前参数。例如，可以确定高速缓存的参数是否提供至少与当前参数一样强的安全性。如果用于检索高速缓存的标识符的参数至少与新请求所需的参数一样安全，则可从高速缓存返回该标识符。

在某些实施例中，提供了一种方法，该方法包括接受网络资源的第一标识符作为输入，咨询各组解析参数的集合来确定应用于第一标识符的一组适用的解析参数，以及使用该组适用的解析参数来获得网络资源的第二标识符。该方法还包括将第二标识符和在获得第二标识符时使用的该组适用的解析参数的至少一个标识符存储在高速缓存中。

在其他实施例中，提供了用计算机可执行指令编码的至少一个计算机可读存储介质，这些指令在被执行时使得计算机执行一种方法。该方法包括接受网络资源的第一标识符作为输入，咨询各组解析参数的集合来确定应用于第一标识符的一组适用的解析参数，以及查阅标识符高速缓存的内容来确定高速缓存中是否存在对应于第一标识符的第二标识符。该高速缓存对于该高速缓存中的每一标识符包括所存储的用于获得第二标识符的解析参数。该方法还包括当存在第二标识符时，将所存储的用于获得第二标识符的解析参数与该组适用的解析参数进行比较，并且在所存储的解析参数匹配该组适用的解析参数时，从高速缓存返回第二标识符。