用于預(yù)簽名dnssec啟用區(qū)域至記錄集中的系統(tǒng)和方法
【專(zhuān)利摘要】本發(fā)明涉及用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法。域名系統(tǒng)(DNS)可以接收和/或施加管理員或DNS運(yùn)營(yíng)商自身所希望的DNS策略集以管理用于網(wǎng)絡(luò)域的具有安全性擴(kuò)展的域名方案(DNSSEC)。DNS可以基于該策略集生成指向域的用戶問(wèn)題的回答集?;诓呗砸?guī)則而不同或變化的那些回答可以被存儲(chǔ)為變體回答,并且可以用變體ID來(lái)標(biāo)記。該變體回答可以被預(yù)簽名并存儲(chǔ)在DNS中。由于在DNS請(qǐng)求被接收之前生成和存儲(chǔ)密鑰數(shù)據(jù)和其它信息,所以請(qǐng)求的變體回答可以以更大的響應(yīng)性和安全性返回。
【專(zhuān)利說(shuō)明】用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法
[0001]優(yōu)先權(quán)
[0002]要求2013 年 3 月 15 日提交的、標(biāo)題為 “Systems and Methods for Pre-Signingof DNSSEC Enabled Zones into Record Sets”、序號(hào) 61 / 800,405 的美國(guó)臨時(shí)專(zhuān)利申請(qǐng)的優(yōu)先權(quán),其內(nèi)容通過(guò)弓I用被明確地合并到本文中。
【技術(shù)領(lǐng)域】
[0003]本教導(dǎo)涉及用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法,并且更具體地,涉及用于基于DNS系統(tǒng)策略管理從具有預(yù)簽名的密鑰簽名數(shù)據(jù)的域名系統(tǒng)中生成回答的平臺(tái)和技術(shù)。
【背景技術(shù)】
[0004]在用于在互聯(lián)網(wǎng)和其它網(wǎng)絡(luò)上定位網(wǎng)站和其它資源的域名系統(tǒng)(DNS)的發(fā)展中,安全性問(wèn)題隨時(shí)間占據(jù)增加的重要性。響應(yīng)于發(fā)展安全性需要,行業(yè)中的組織已對(duì)基線DNS協(xié)議提出和開(kāi)發(fā)了擴(kuò)展以允許在DNS服務(wù)的傳遞中引進(jìn)安全性措施。一般來(lái)說(shuō)這些已知的標(biāo)準(zhǔn)被稱(chēng)為具有安全性擴(kuò)展的DNS,或DNSSEC。
[0005]具體來(lái)說(shuō),需求本身已呈現(xiàn)為允許用戶運(yùn)行網(wǎng)絡(luò)瀏覽器或其它軟件以保證當(dāng)試圖導(dǎo)航至已知的通用資源定位器(URL)時(shí)傳遞給它們的互聯(lián)網(wǎng)協(xié)議(IP)地址是真的,并且表示它們正試圖訪問(wèn)的網(wǎng)站。由于緩存中毒或?qū)NS服務(wù)器的其它攻擊,偽IP地址可能被傳遞給不知情的用戶,DNS服務(wù)器用于取出和供應(yīng)給定域名的IP地址或由DNS系統(tǒng)提供的其它回答。
[0006]在網(wǎng)站布署方面,現(xiàn)在許多網(wǎng)站由許多分層區(qū)段或分區(qū)組成,其中每個(gè)都有不同的擴(kuò)展域名。例如,涉及體育新聞的網(wǎng)站可以具有根等級(jí)諸如SportsPage.com,并且此外許多區(qū)段或“區(qū)域”致力于單獨(dú)的體育活動(dòng)。那些標(biāo)題可能反映在域(諸如Golf.SportsPage.com、Soccer.SportsPage.com 等等)中。
[0007]在SportsPage.com內(nèi)導(dǎo)航的用戶可以向支持網(wǎng)站的DNS系統(tǒng)提供一個(gè)或多個(gè)問(wèn)題或請(qǐng)求,諸如IP地址,或其它信息。對(duì)用戶問(wèn)題的回答可以從網(wǎng)站內(nèi)的各個(gè)區(qū)域內(nèi)生成。為了確保用戶收到一個(gè)有效的回答,DNSSEC啟用域要求用使用公/私密鑰信息生成的簽名來(lái)簽名的一系列消息。盡管DNSSEC協(xié)議因此供應(yīng)認(rèn)證服務(wù)給通過(guò)網(wǎng)絡(luò)屬性導(dǎo)航的用戶,但因?yàn)橛虻膮^(qū)域的深度和分層鏈接變得更加復(fù)雜,DNS系統(tǒng)的處理和帶寬資源上的負(fù)擔(dān)變大。那個(gè)負(fù)擔(dān)會(huì)即減小DNS響應(yīng)性。
[0008]此外,對(duì)于希望施加靈活的DNS策略同時(shí)使用DNSSEC布置的網(wǎng)站所有者,事情可能進(jìn)一步復(fù)雜。也就是說(shuō),部署了具有許多區(qū)域的相對(duì)豐富的網(wǎng)站的運(yùn)營(yíng)商可能希望對(duì)個(gè)體請(qǐng)求者施加規(guī)則以便基于用戶的位置、日時(shí)、服務(wù)器負(fù)載、和/或基于其它因素,它們的DNS查找或回答被指向不同的服務(wù)器、和/或域的區(qū)域。識(shí)別關(guān)于用戶的信息,施加恰當(dāng)?shù)牟呗?,并且然后生成將允許它們的具體回答被認(rèn)證的必要簽名,同樣可能招致性能以及對(duì)系統(tǒng)響應(yīng)性的用戶感知方面的損失。
[0009]可能需要提供用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的方法和系統(tǒng),其中域名系統(tǒng)可以從域名所有者處接收任意策略集,將那些策略轉(zhuǎn)換為預(yù)生成的簽名回答集或其它區(qū)域文件,并基于所存儲(chǔ)的資源記錄將簽名回答而不是必須按需生成和/或簽名的回答傳輸至用戶。
【發(fā)明內(nèi)容】
[0010]依照本發(fā)明的一個(gè)實(shí)施例,提供了管理域名系統(tǒng)操作的方法,該方法包括:
[0011]使用具有安全性擴(kuò)展的域名系統(tǒng)(DNSSEC)訪問(wèn)用于域名系統(tǒng)(DNS)操作的策略集;
[0012]基于該策略集,生成對(duì)與區(qū)域的域名集相關(guān)的問(wèn)題的回答集;
[0013]根據(jù)該回答集和密鑰數(shù)據(jù)集生成簽名回答集;
[0014]將該簽名回答集存儲(chǔ)在區(qū)域文件中;
[0015]從解析器接收問(wèn)題;以及
[0016]基于從解析器接收的問(wèn)題以及該策略集取出簽名回答以傳輸給解析器。
[0017]該方法還包括升級(jí)該策略集。
[0018]該方法還包括基于該升級(jí)的策略集升級(jí)該回答集。
[0019]依照本發(fā)明的另一個(gè)實(shí)施例,一種系統(tǒng)包括:
[0020]至解析器的網(wǎng)絡(luò)接口,傳輸與區(qū)域的域名集相關(guān)的問(wèn)題,該域名在具有安全性擴(kuò)展的域系統(tǒng)(DNSSEC)下操作;以及
[0021]處理器,經(jīng)由該網(wǎng)絡(luò)接口與該解析器通信,該處理器被配置為:
[0022]訪問(wèn)用于域名系統(tǒng)(DNS)操作的策略集,
[0023]基于該策略集,生成對(duì)與域名的區(qū)域集相關(guān)的問(wèn)題的回答集,
[0024]根據(jù)該回答集和密鑰數(shù)據(jù)集生成簽名回答集,
[0025]將該簽名回答集存儲(chǔ)在區(qū)域文件中,
[0026]從解析器接收該問(wèn)題,以及
[0027]基于該問(wèn)題和該策略集取出簽名回答以傳輸給解析器。
[0028]依照本發(fā)明的另一個(gè)實(shí)施例,訪問(wèn)該策略集包括從與該域名相關(guān)的用戶處接收策略集。
[0029]依照本發(fā)明的另一個(gè)實(shí)施例,訪問(wèn)該策略集包括施加由DNS生成的策略。
[0030]依照本發(fā)明的另一個(gè)實(shí)施例,訪問(wèn)該策略集包括安裝默認(rèn)的策略集。
[0031]依照本發(fā)明的另一個(gè)實(shí)施例,生成簽名回答集包括使用存儲(chǔ)在該密鑰數(shù)據(jù)中的公密鑰和私密鑰集生成該簽名回答集。
[0032]依照本發(fā)明的另一個(gè)實(shí)施例,該策略集包括下述至少一個(gè)
[0033]基于地理位置數(shù)據(jù)的策略,
[0034]基于負(fù)載均衡數(shù)據(jù)的策略,
[0035]基于日時(shí)信息的策略,
[0036]基于授權(quán)級(jí)別的策略,或
[0037]基于流量管理規(guī)則的策略.
[0038]依照本發(fā)明的另一個(gè)實(shí)施例,生成回答集包括基于與該解析器和該策略集相關(guān)的互聯(lián)網(wǎng)協(xié)議(IP)地址生成回答集。
[0039]依照本發(fā)明的另一個(gè)實(shí)施例,該回答集包括下述至少一個(gè)
[0040]與該域名集相關(guān)的互聯(lián)網(wǎng)協(xié)議(IP)數(shù)據(jù)集,
[0041]與該域名集相關(guān)的所有權(quán)信息,
[0042]與該域名集相關(guān)的分類(lèi)信息,
[0043]與該域名集相關(guān)的初始信息,或
[0044]與該域名集相關(guān)的過(guò)期信息。
[0045]依照本發(fā)明的另一個(gè)實(shí)施例,該處理器還被配置成升級(jí)該策略集。
[0046]依照本發(fā)明的另一個(gè)實(shí)施例,該處理器還被配置成基于該升級(jí)的策略集升級(jí)該回答集。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0047]被合并到本說(shuō)明書(shū)中并構(gòu)成本說(shuō)明書(shū)的部分的附圖圖示了本教導(dǎo)的實(shí)施方式并且與描述一起,用于解釋本教導(dǎo)的原理。在圖中:
[0048]圖1圖示了依照各個(gè)實(shí)施方式,可以在用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法中使用的整體域名環(huán)境;
[0049]圖2圖示了依照各個(gè)實(shí)施方式,可以在用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法中使用的區(qū)域文件的數(shù)據(jù)結(jié)構(gòu);
[0050]圖3圖示了依照各個(gè)實(shí)施方式,可以在用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法中使用的策略驗(yàn)證、簽名數(shù)據(jù)生成、以及其它處理的流程圖;以及
[0051]圖4圖示了依照各種實(shí)施方式,可以在用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中使用的示例性硬件、軟件、和其它資源。
【具體實(shí)施方式】
[0052]本教導(dǎo)的實(shí)施方式涉及用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法。更具體地,實(shí)施方式涉及用于管理采用DNSSEC安全性的DNS實(shí)施方式的平臺(tái)和技術(shù)。在那個(gè)環(huán)境中,依照本教導(dǎo)的平臺(tái)和技術(shù)可以接收用于DNS操作的任意策略集,通過(guò)其可以執(zhí)行回答問(wèn)題的請(qǐng)求,諸如將域名解析到有效IP地址或其它中的請(qǐng)求。
[0053]DNS系統(tǒng)可以從域名所有者或運(yùn)營(yíng)商處接收策略集、對(duì)照DNS系統(tǒng)本身的內(nèi)部操作策略驗(yàn)證那些策略,并且合并可被用以生成有效回答的策略。該策略集還能或替代地包括由DNS系統(tǒng)本身的運(yùn)營(yíng)商供應(yīng)的規(guī)則或策略,例如,向DNS底層結(jié)構(gòu)施加負(fù)載均衡或其它邏輯。基于策略變量將變化或不同的回答可以被生成且存儲(chǔ)在區(qū)域文件的資源記錄集中,由變體標(biāo)識(shí)符索引??梢杂霉?私密鑰對(duì)預(yù)簽名變體回答,使得當(dāng)新問(wèn)題到達(dá)DNS系統(tǒng)時(shí),已經(jīng)被簽名的有效回答可以從區(qū)域文件表或其它記錄中取出,并且傳輸至請(qǐng)求者。
[0054]因此新的域名解析請(qǐng)求可以被更有效地解析,因?yàn)楹灻臄?shù)據(jù)不是運(yùn)行中生成的。也可以更安全地執(zhí)行那些操作,因?yàn)楣?私密鑰數(shù)據(jù)不必分配給支持DNS平臺(tái)的各種服務(wù)器??梢詫?shí)現(xiàn)其它的優(yōu)點(diǎn)和益處。
[0055]現(xiàn)在將詳細(xì)參考在附圖中圖示的本教導(dǎo)的示例性實(shí)施方式。其中可能相同的參考數(shù)字在整個(gè)附圖中將被用于指代相同或類(lèi)似部分。
[0056]圖1圖示了依照各方面的整體DNS環(huán)境100,其中用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法可以操作。在如所示的方面中,該DNS環(huán)境可包括與域名系統(tǒng)(DNS) 122通信的解析器102用于傳送問(wèn)題104以及接收簽名回答120。如本文中所用的,該簽名回答120可以指代包含簽名DNS記錄的回答。DNS122可以是或包括服務(wù)器、分布式服務(wù)器集、集群、基于云的服務(wù)、應(yīng)用和/或其它硬件、資源、平臺(tái)、或元件。
[0057]問(wèn)題104可以是或包括各種查詢中的任何一種,諸如,舉例來(lái)說(shuō),對(duì)關(guān)于給定域名、區(qū)域、和/或其它地點(diǎn)或位置的互聯(lián)網(wǎng)協(xié)議(IP)地址的請(qǐng)求。該IP地址可以是IPv4(32位)、IPv6 (128位)、和/或其它格式。問(wèn)題104還可以或替代地是對(duì)來(lái)自DNS122的其它信息的請(qǐng)求,諸如位置信息、證書(shū)信息、授權(quán)信息、服務(wù)器信息、網(wǎng)絡(luò)信息、和/或其它結(jié)果或信息。解析器102可以經(jīng)由互聯(lián)網(wǎng)和/或其它公或私網(wǎng)絡(luò)或信道與DNS122進(jìn)行通信。解析器102可以由多方操作,包括例如域名的所有者或運(yùn)營(yíng)商、用于那些實(shí)體的系統(tǒng)管理員、或其它。
[0058]DNS122可被配置成接收問(wèn)題104以及生成與具有安全性擴(kuò)展的DNS(DNSSEC)標(biāo)準(zhǔn)一致的簽名回答120,如由互聯(lián)網(wǎng)工程任務(wù)組(IETF)和/或其它相關(guān)標(biāo)準(zhǔn)實(shí)體指定。一般來(lái)說(shuō),DNSSEC的使用包括在支持給定域的服務(wù)器、與域相關(guān)的區(qū)域、和/或DNS網(wǎng)絡(luò)中的其它元件之間對(duì)簽名消息或數(shù)據(jù)的交換的使用。給DNS查詢提供回答的服務(wù)器可以使用私密鑰簽名它們的回答,傳輸給信任鏈中的下一個(gè)服務(wù)器以認(rèn)證提供的信息。簽名回答或其它數(shù)據(jù)的接收者可以使用始發(fā)服務(wù)器的公密鑰檢驗(yàn)對(duì)該數(shù)據(jù)的認(rèn)證。
[0059]圖示的DNSl22可以主持或管理用于各種實(shí)體的DNS平臺(tái)或服務(wù)。例如,DNS122可以為希望使其DNS操作由外部資源提供的第三方訂戶提供DNS服務(wù)。同樣可以采用DNS122來(lái)支持用于實(shí)體自身網(wǎng)絡(luò)的DNS服務(wù),或可以支持其它布置下的DNS服務(wù)。
[0060]DNS122 一般可合并許多元件或資源以執(zhí)行啟用DNSSEC的DNS操作,同時(shí)使用策略集112來(lái)確定對(duì)進(jìn)入的問(wèn)題的回答或者可能涉及域名和/或與該域名相關(guān)的區(qū)域集或與域名和/或與該域名相關(guān)的區(qū)域集相關(guān)的請(qǐng)求。DNS122可以合并DNS服務(wù)器106 (或多個(gè)服務(wù)器),其與策略服務(wù)器108通信以生成或取出對(duì)問(wèn)題104的回答114??梢匀缰赋龅哪菢踊谠摬呗约?12生成或取出回答114,該策略集可存儲(chǔ)在策略數(shù)據(jù)庫(kù)110和/或在DNS122中被主持或與DNS122相關(guān)的其它數(shù)據(jù)存儲(chǔ)中。依照各方面,該策略集112可被施加至IJ問(wèn)題104和/或回答114以響應(yīng)于問(wèn)題104而創(chuàng)建信息的預(yù)生成集。該預(yù)生成的信息可被分割成依賴于在該策略集112中指定的變量和策略而不同或變化的信息,以及不依賴于在該策略集112中指定的變量和策略而不同或變化的信息。
[0061]該策略集112可以是或包括腳本或其它邏輯、程序設(shè)計(jì)、條件、或者規(guī)則集,它們確定對(duì)解析器問(wèn)題104的回答114在其下被生成和供應(yīng)給請(qǐng)求用戶的條件。該策略集112可包括地理位置規(guī)則,例如指定以特定地理區(qū)域作出請(qǐng)求的用戶的IP地址可被指向與DNS122相關(guān)的特定服務(wù)器。也可以施加基于日時(shí)的規(guī)則,諸如當(dāng)接收問(wèn)題104時(shí)。該策略集112可以進(jìn)一步包括基于負(fù)載均衡準(zhǔn)則的規(guī)則以平衡掉與DNS122相關(guān)的服務(wù)器上的負(fù)載。該策略集112同樣可以包括其它規(guī)則、測(cè)試、試探、或策略。例如,該策略集112可以包括諸如由Daniel James和Arunabho Das在2013年3月15日提交的、序號(hào)—、標(biāo)題為“High Performance DNS Traffic Management”、代理人案號(hào)第 11569.0210、并且被轉(zhuǎn)讓給或在轉(zhuǎn)讓的義務(wù)下給與本申請(qǐng)相同的實(shí)體的、共同未決美國(guó)申請(qǐng)中所描述那些的規(guī)則和邏輯,該申請(qǐng)通過(guò)引用以其整體被合并。
[0062]在各情況中,該策略集112可以被由DNS122支持的域名的所有者或運(yùn)營(yíng)商提供。該策略集112還可以或替代地由DNS122的所有者或運(yùn)營(yíng)商本身和/或由其它用戶或資源指定。
[0063]在接收和安裝該策略集112后,在實(shí)施方式中,DNS122可以比照DNS122的內(nèi)部規(guī)則或策略檢驗(yàn)或驗(yàn)證那些策略,以確保由解析器102和/或其它用戶提供的策略不與DNS122的內(nèi)部操作沖突。依照進(jìn)一步的實(shí)施方式,在解析器102和/或其它用戶不能供應(yīng)必要策略全集的情況下,DNS122可以對(duì)相關(guān)域名的操作施加默認(rèn)的規(guī)則或策略。
[0064]在該策略集112被安裝后,DNS122可以使用那個(gè)規(guī)則或邏輯集生成與域名和/或其相關(guān)區(qū)域相關(guān)的回答。依照各方面,以及如在圖1中所示,回答可以編碼在區(qū)域文件116中。該區(qū)域文件116可以以表格的形式存儲(chǔ),由針對(duì)每個(gè)可能回答的標(biāo)識(shí)符(例如,如所示的回答1、回答2、回答3...)基于該策略集112索引。在實(shí)施方式中,給定的該策略集112以及域的相關(guān)域名記錄,則生成或知道問(wèn)題104的所有可能回答可以是可能的。在實(shí)例中,例如,回答的總數(shù)目可能相對(duì)小,例如5、10、或另外數(shù)目的可能回答。較小數(shù)目的回答可以有助于更大的系統(tǒng)響應(yīng)性,但是將理解的是還可以生成和存儲(chǔ)更大集合的回答。
[0065]如所示的,由DNS122發(fā)展的回答可以被分割成兩個(gè)整體組:基于該策略集112和/或其它因素將會(huì)不同或變化的一個(gè)集,和將不會(huì)不同或變化的另一個(gè)集。當(dāng)接收到要求那些動(dòng)態(tài)選擇的回答之一的問(wèn)題104時(shí),如上所述,變化的回答可以作為“變體答案”被存儲(chǔ)在區(qū)域文件116中供取出。那些變體回答可基于變體ID被索引或鍵控,并且當(dāng)接收到相應(yīng)的問(wèn)題104時(shí)被取出以發(fā)送至解析器102。變體回答數(shù)據(jù)可以例如包括針對(duì)不同服務(wù)位置的不同IP地址值,和/或包括不同別名(CNAME),以及其它信息。不變化的回答可以存儲(chǔ)在非變體DNS記錄118中。例如,該非變體DNS記錄集在域名的給定示例中可以是或包括:與郵件交換(MX)數(shù)據(jù)相關(guān)的數(shù)據(jù)、文本(TXT)數(shù)據(jù)、別名(CNAME)數(shù)據(jù)、或其它類(lèi)型數(shù)據(jù)。但是將明白的是,在其它的實(shí)施方式中,數(shù)據(jù)的所述類(lèi)型(MX等)可以合并入存儲(chǔ)在區(qū)域文件116中的變體回答信息中,和/或其它信息可以存儲(chǔ)在非變體DNS記錄118中的。
[0066]隨著問(wèn)題104在106被接收,數(shù)據(jù)從116中取出并且108用于使用策略服務(wù)器108選擇從區(qū)域文件116中取出的回答114或回答114的組成部分。數(shù)據(jù)可以替代地或額外地從118中取出。從116和/或118取出的數(shù)據(jù)可以被組合和編碼在簽名回答120中,簽名回答120被返回至解析器102。
[0067]圖2圖示了可以在區(qū)域文件116中使用的示例性數(shù)據(jù)結(jié)構(gòu)。在所示的實(shí)施方式中,區(qū)域文件116可以編碼或存儲(chǔ)各種信息,包括變體ID124,其可以作為密鑰或索引用到存儲(chǔ)在區(qū)域文件116中的表中。其它信息(諸如所有者名、分類(lèi)、類(lèi)型、記錄數(shù)據(jù)(rdata)、初始、和過(guò)期)可以記錄在區(qū)域文件116中。區(qū)域文件116還可以包括基于與由變體ID124標(biāo)識(shí)的每個(gè)變體回答相關(guān)的密鑰數(shù)據(jù)的簽名126。簽名126可以由解析器102或其它用戶使用公密鑰信息檢查以確保簽名的回答120是可信的并且能被依賴。因此該簽名的回答120可以在自發(fā)或運(yùn)行中基礎(chǔ)上被取出并且傳輸至解析器102而無(wú)需生成回答本身,或針對(duì)回答的簽名126。
[0068]依照各方面,圖3圖示了可以在用于預(yù)簽名DNSSEC啟用區(qū)域至記錄集中的系統(tǒng)和方法中執(zhí)行的策略調(diào)節(jié)、簽名數(shù)據(jù)通路生成、以及其它處理的流程圖。在302中,處理可以開(kāi)始。在304中,對(duì)于給定的或主題區(qū)域,DNS122可以標(biāo)識(shí)將基于該策略集112而變化或不同的策略依賴的記錄。在306中,DNS122可以為由該策略集112的應(yīng)用產(chǎn)生的每個(gè)變體記錄集限定或生成所有可能的值。在308中,DNS122可以標(biāo)識(shí)用于從該策略集112中選擇每個(gè)變體回答的一個(gè)或多個(gè)策略。
[0069]在310中,DNS122可以單獨(dú)簽名區(qū)域文件116,該區(qū)域文件116包括由該策略集112產(chǎn)生的每個(gè)變體回答。對(duì)區(qū)域文件116的簽名可以通過(guò)使用脫機(jī)訪問(wèn)的密鑰數(shù)據(jù)而被執(zhí)行,密鑰數(shù)據(jù)存儲(chǔ)在分離的系統(tǒng)中,該單獨(dú)系統(tǒng)包括專(zhuān)用密鑰數(shù)據(jù)存儲(chǔ)系統(tǒng),或其它存儲(chǔ)或主機(jī)。在312中,DNS122可以從解析器102接收問(wèn)題104,諸如對(duì)IP地址的請(qǐng)求和/或其它查詢或請(qǐng)求。在314中,如果問(wèn)題104被DNS122確定為請(qǐng)求變體資源記錄集(而不是非變體DNS記錄118),則DNS122可以調(diào)用該策略集112中的一個(gè)或多個(gè)相關(guān)策略以挑選或選擇簽名回答120。在316中,DNS122可以基于所選擇的一個(gè)或多個(gè)策略而將簽名回答120返回至解析器102。在318中,處理可以重復(fù),返回至之前的處理點(diǎn),跳轉(zhuǎn)至進(jìn)一步處理點(diǎn),或結(jié)束。
[0070]圖4圖示了依照各實(shí)施方式的、可以被合并在DNS122中的各種硬件、軟件、和其它資源。在所示的實(shí)施方式中,DNS122可以包含平臺(tái),該平臺(tái)包括與存儲(chǔ)器142(諸如電隨機(jī)訪問(wèn)存儲(chǔ)器)通信的處理器140,在操作系統(tǒng)146控制下或連同操作系統(tǒng)146 —起進(jìn)行操作。實(shí)施方式中的處理器140可以被合并在一個(gè)或多個(gè)服務(wù)器、集群、和/或其它計(jì)算機(jī)或硬件資源中,和/或可以使用基于云的資源來(lái)實(shí)施。操作系統(tǒng)146可以是例如分布式Linux?操作系統(tǒng)、Unix?操作系統(tǒng)、或其它開(kāi)源或?qū)S械牟僮飨到y(tǒng)或平臺(tái)。處理器140可以與數(shù)據(jù)存儲(chǔ)148 (諸如存儲(chǔ)在本地硬驅(qū)動(dòng)器或驅(qū)動(dòng)器陣列上的數(shù)據(jù)庫(kù))通信,以訪問(wèn)或存儲(chǔ)一個(gè)或多個(gè)區(qū)域文件116、其它DNS記錄、和/或其選擇的子集,以及其它內(nèi)容、媒介、或其它數(shù)據(jù)。處理器140還可以與網(wǎng)絡(luò)接口 150(諸如以太網(wǎng)或無(wú)線數(shù)據(jù)連接)通信,網(wǎng)絡(luò)接口150進(jìn)而與一個(gè)或多個(gè)網(wǎng)絡(luò)152 (諸如互聯(lián)網(wǎng)或其它公共或私有網(wǎng)絡(luò))通信。一般來(lái)說(shuō),處理器140可以編程或配置為在DNS122的控制下執(zhí)行控制邏輯以及控制各種處理操作,包括處理問(wèn)題104、策略集112、IP地址信息、和/或涉及DNS操作的其它數(shù)據(jù)或信息。在各方面中,解析器102以及在主題域中的任何區(qū)域服務(wù)器可以是或包括類(lèi)似于DNS122中的那些的資源,和/或可包括額外的或不同的硬件、軟件、和/或其它資源。DNS122、解析器102、相關(guān)網(wǎng)絡(luò)相連、以及其它硬件、軟件、和服務(wù)資源的其它配置是可能的。
[0071]前面的描述是說(shuō)明性的,并且對(duì)本領(lǐng)域技術(shù)人員來(lái)說(shuō),可以發(fā)生配置和實(shí)施方式中的變化。例如,盡管已經(jīng)描述了在其中一個(gè)DNS122平臺(tái)或元件支持給定域的實(shí)施方式,但是在各實(shí)施方式中,可以應(yīng)用兩個(gè)或多個(gè)域名系統(tǒng)(DNS)來(lái)支持域。被描述為單個(gè)或集成的其它資源在實(shí)施方式中可以是復(fù)數(shù)個(gè)或分布式的,并且被描述為多個(gè)或分布式的資源在實(shí)施方式中可以被組合。因此本教導(dǎo)的范圍意圖僅僅由所附權(quán)利要求來(lái)限定。
【權(quán)利要求】
1.一種管理域名系統(tǒng)操作的方法,包括: 使用具有安全性擴(kuò)展的域名系統(tǒng)(DNSSEC)訪問(wèn)用于域名系統(tǒng)(DNS)操作的策略集; 基于該策略集,生成對(duì)與區(qū)域的域名集相關(guān)的問(wèn)題的回答集; 根據(jù)該回答集和密鑰數(shù)據(jù)集生成簽名回答集; 將該簽名回答集存儲(chǔ)在區(qū)域文件中; 從解析器接收問(wèn)題;以及 基于從解析器接收的問(wèn)題以及該策略集取出簽名回答以傳輸給解析器。
2.如權(quán)利要求1所述的方法,其中訪問(wèn)該策略集包括從與該域名集相關(guān)的用戶處接收策略集。
3.如權(quán)利要求1所述的方法,其中訪問(wèn)該策略集包括施加由DNS生成的策略。
4.如權(quán)利要求1所述的方法,其中訪問(wèn)該策略集包括安裝默認(rèn)策略集。
5.如權(quán)利要求1所述的方法,其中生成簽名回答集包括使用存儲(chǔ)在密鑰數(shù)據(jù)中的公和私密鑰集生成該簽名回答集。
6.如權(quán)利要求1所述的方法,其中該策略集包括以下中的至少一個(gè): 基于地理位置數(shù)據(jù)的策略, 基于負(fù)載均衡數(shù)據(jù)的策略, 基于日時(shí)信息的策略, 基于授權(quán)級(jí)別的策略,或 基于流量管理規(guī)則的策略。
7.如權(quán)利要求1所述的方法,其中生成回答集包括基于與解析器和策略集相關(guān)的互聯(lián)網(wǎng)協(xié)議(IP)地址生成回答集。
8.如權(quán)利要求1所述的方法,其中該回答集包括下述中的至少一個(gè): 與該域名集相關(guān)的互聯(lián)網(wǎng)協(xié)議(IP)數(shù)據(jù)集, 與該域名集相關(guān)的所有權(quán)信息, 與該域名集相關(guān)的分類(lèi)信息, 與該域名集相關(guān)的初始信息,或 與該域名集相關(guān)的過(guò)期信息。
9.如權(quán)利要求1所述的方法,還包括升級(jí)該策略集。
10.一種系統(tǒng),包括: 至解析器的網(wǎng)絡(luò)接口,傳輸與區(qū)域的域名集相關(guān)的問(wèn)題,該域名在具有安全性擴(kuò)展的域系統(tǒng)(DNSSEC)下操作;以及 處理器,經(jīng)由該網(wǎng)絡(luò)接口與該解析器通信,該處理器被配置為: 訪問(wèn)用于域名系統(tǒng)(DNS)操作的策略集, 基于該策略集,生成對(duì)與域名的區(qū)域集相關(guān)的問(wèn)題的回答集, 根據(jù)該回答集和密鑰數(shù)據(jù)集生成簽名回答集, 將該簽名回答集存儲(chǔ)在區(qū)域文件中, 從解析器接收該問(wèn)題,以及 基于該問(wèn)題和該策略集取出簽名回答以傳輸給解析器。
【文檔編號(hào)】H04L29/12GK104052736SQ201410148406
【公開(kāi)日】2014年9月17日 申請(qǐng)日期:2014年3月15日 優(yōu)先權(quán)日:2013年3月15日
【發(fā)明者】D·布拉卡, R·潘德蘭吉 申請(qǐng)人:弗里塞恩公司