CN102870104B - 验证对域名***记录的更新 - Google Patents
验证对域名***记录的更新 Download PDFInfo
- Publication number
- CN102870104B CN102870104B CN201180020446.5A CN201180020446A CN102870104B CN 102870104 B CN102870104 B CN 102870104B CN 201180020446 A CN201180020446 A CN 201180020446A CN 102870104 B CN102870104 B CN 102870104B
- Authority
- CN
- China
- Prior art keywords
- dns
- territory
- record
- strategy
- amendment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
公开了用于验证对域名***(DNS)记录更新的多个实施例。接收请求以修改和域所有者拥有的域相关的至少一个DNS记录。比较对至少一个DNS记录的修改请求与至少一个策略。所述至少一个策略是由域所有者可配置的。至少根据所述比较对至少一个DNS记录的所请求修改选择性地授权。
Description
技术领域
本发明请求于2010年5月18体提交的申请号为12/782,227,标题为“ValidatingUpdatestoDomainNameSystemRecords”的美国专利申请的优先权,在此通过引用并入其全文。
背景技术
称为域名***(DNS)的体系命名***允许电脑、服务,或连接到互联网的任何资源或私有网络通过名称引用,诸如www.foo.com。DNS服务器协作将对人类有意义的域名翻译为用于计算机至计算机通信的数字地址。
DNS服务器可以是“域攻击”的目标,其中攻击者劫持域名的控制。DNS服务器的常规安全措施并不提供防御攻击的稳健防护。在最简单的攻击形式中,管理员帐户证书被猜测,或借助管理员计算机上的恶意软件经过中间人攻击而获得。一旦这些证书暴露,攻击者然后可以修改DNS服务器使用的记录以将域业务指引到其他地方,诸如宣传网站或钓鱼网站。
附图简述
参考下列附图可以更好理解本公开的多个方面。附图中组件并不一定是按比例的,重点相反被放在可以清楚示出本公开的原理。此外,在附图中,相同的附图标记用于指示多个图中的对应部件。
图1是根据本公开多个实施例的网络环境的附图。
图2和3是根据本公开的多个实施例,示出在图1的网络环境中实施为计算设备中执行的DNS验证服务器的部分的功能的示例的流程图。
图4是是根据本公开的多个实施例,提供在图1的网络环境中采用的计算设备的一个示例示意的原理框图。
发明详述
本公开涉及控制对DNS记录的访问。在多个实施例中,目前披露通过当更新不符合策略时避免更新DNS记录而改进DNS服务器的安全性,并减少域攻击的威胁。更新策略通过允许改变或禁止改变描述对DNS记录中字段的可能改变。策略可以通过域所有者拥有的资源描述可允许改变。更新策略的示例可以是“确保所有邮件服务器记录识别域所有者所拥有的域,并最终指向域所有者控制的体系”。
在多个实施例中,目前披露决定对DNS记录的字段的所请求改变是否违反策略中指定的条件。根据应用策略的结果,管理员请求更新记录或被授权或被拒绝。目前披露还提供了管理员代表域所有者更新策略的配置。在一些实施例中,配置更新策略需要第二级认证,其和用于更新DNS记录所需的认证相比更困难。在接下来的讨论中提供***和其组件的一般性描述,接着是其操作的描述。
参照图1,所示是根据多个实施例的网络环境100。网络环境100包括借助网络109与一个或多个管理员客户端106进行数据通信的计算设备103。该计算设备103也借助网络115与一个或多个计算设备112进行通信。在多个实施例中,网络109和网络115可以是同一网络或不同网络。网络109,115可例如包括互联网、内部网、外部网、广域网(WAN)、局域网(LAN)、有线网、无线网或其他合适的网络等,或两个或多个该网络的任何组合。
计算设备103可例如包括服务器计算机或提供计算能力的任何其他***。可替换地,多个计算设备103可使用例如配置为一个或多个服务器组或电脑组或其他配置。为此,多个计算设备103一起可包括例如云计算资源,网格计算资源和/或任何其他分布式计算配置。该计算设备103可位于单独设备中或可分散在许多不同的地理位置之间。在一个实施例中,计算设备103表示执行一个或多个物理计算***的虚拟计算机***。为了方便,计算设备103在本文被称为是单数。尽管计算设备103被称为是单数,但可以理解的是:多个计算设备103可用在上述的多个配置中。
各种应用和/或其他功能可根据多个实施例在计算设备103中执行。各种数据也存储在计算设备103可访问的更新策略数据存储器118和/或DNS记录数据存储器121中。如可以理解地,更新策略数据存储器118可代表多个DNS策略数据存储器118。如可以理解地,DNS记录数据存储器121可代表多个DNS记录数据存储器121。更新策略数据存储器118和/或DNS记录数据存储器121中存储的数据例如相关于下述的多个应用和/或功能实体的操作。
计算设备103上执行的组件例如包括:DNS核心服务124,DNS管理应用127,DNS更新验证服务130以及未在本文详细讨论的其他应用、服务、流程、***、引擎或功能。DNS核心服务124经执行以通过实施DNS协议(在诸如置评请求(RFC)1034,RFC1035等的标准中所描述)提供各种组件的名称解析服务,诸如管理员客户端106。DNS核心服务124通过与也实施DNS协议(诸如DNS服务133)的其他组件通信提供名称解析服务。具体而言,DNS核心服务124访问DNS记录数据存储器121中的DNS记录136以便响应来自其他DNS组件的DNS查询。DNS核心服务124还当适合时向其他DNS组件发送DNS查询。DNS查询和响应行为在各种DNS标准中更详细地描述。
DNS管理应用127经执行以向管理员客户端106提供到DNS记录数据存储器121中的DNS记录136的管理员界面,以至于特定域的所有者(或代表域名所有者的管理员)可以更新和域相关的DNS记录136。在本披露中,可应用于DNS记录的术语“更新”包括:添加和删除记录以及修改现有记录的内容。为了完成该操作,DNS管理应用127可以生成一个或多个网络页面,包括经过网络109发送到管理员客户端106的用户界面。在多个实施例中,DNS管理应用127可以利用任何类型的中间件框架与在管理员客户端106上执行的客户端应用通信。该框架的示例包括远程过程调用、面向服务体系结构(SOA)、具象状态传输(REST)和其他框架。
DNS更新验证服务130经执行以验证请求用于添加、修改或删除和特定域相关的DNS记录136。这些请求(本文被称为“更新”请求)由特定域的所有者通过管理员客户端106进行。DNS更新验证服务130确保更新请求符合在更新策略数据存储器118中存储的更新策略139。DNS更新验证服务130也在执行更新之前被执行以验证请求DNS更新的域所有者的认证。
管理员客户端106代表可耦合到网络109的多个客户端设备。管理员客户端106可例如包括基于处理器的***,诸如计算机***。该计算机***可体现为如下形式:桌面电脑、笔记本电脑、个人数字助理、蜂窝电话、机顶盒、音乐播放器、网络垫,平板电脑***或具有类似功能的其他设备。
管理员客户端106可以经配置以执行各种应用,诸如浏览器142和/或其他应用。管理员客户端106可在管理员客户端106中执行,例如,访问和提交网络页面(诸如网页),或由管理员客户端106和/或其他服务器提供的其他网络内容。管理员客户端106可经配置以在浏览器142上执行应用,例如电子邮件应用,即时消息应用和/或其他应用。
计算设备112可例如包括服务器计算机或提供计算能力的任何其他***。可替换地,多个计算设备112可经采用被配置为一个或多个服务器组或计算机组或其他配置。为此,多个计算设备112一起可包括例如云计算资源,网格计算资源和/或任何其他分布式计算配置。这样的计算设备112可位于单独安装中或可分散在许多不同的地理位置之间。在一个实施例中,计算设备112代表执行一个或多个物理计算***的虚拟计算机***。为了方便,计算设备112在本文被称为单数。尽管计算设备112被称为单数,但可以理解,多个计算设备112可被应用在上述的多个配置中。
各种应用和/或其他功能可根据多个实施例在计算设备112中执行。计算设备112上执行的组件例如包括DNS服务133和未在本文详细讨论的其他应用、服务、流程、***、引擎或功能。DNS服务133经执行以通过与也实施协议(诸如DNS核心服务124)的其他组件通信而实施DNS协议。
接下来,提供网络环境100的多个组件的操作的一般性描述。首先,管理员客户端106的用户可以通过网络109与DNS管理应用127通信以请求用户界面,所述用户界面允许更新在DNS记录数据存储器121中存储的DNS记录136。为了完成该操作,DNS管理应用127在一个实施例中生成一个或多个网络页面,包括更新DNS记录的用户界面。DNS管理应用127然后通过网络109向管理员客户端106发送生成的网络页面,然后由浏览器142提交。
在用户被允许更新任何DNS记录136之前,管理员客户端106与DNS管理应用127合作以某种方式认证用户(例如,用户名和密码)。认证处理关联用户与单个实体拥有的特定域名或域名集合。更新仅限于和认证域名相关的记录。
域所有者与网络页面交互以指示更新DNS记录136或记录集合。该更新可例如包括:创建一个或多个新记录,删除一个或多个现有记录,或修改一个或多个现有记录的内容。作为一个非限制性示例,域所有者可改变关联到特定域名的互联网协议(IP)地址范围。作为另一个非限制性示例,域所有者可添加关联新新规范名称与特定域名的DNS记录136。作为另一个非限制性示例,域所有者可删除关联一个域名和另一个的现有DNS记录136。管理员客户端106然后从网络页面将描述更新的DNS记录请求的信息通过网络109发送到DNS管理应用127。
在另一个实施例中,管理员客户端106可以本地生成用户界面而不是从DNS管理应用127接收界面。在该实施例中,域所有者与本地生成的用户界面交互以指示按上述方式更新DNS记录136或记录集合。管理员客户端106然后基于该交互生成DNS更新请求,并将该DNS更新请求例如通过网络服务(诸如web服务)发送到DNS管理应用127。
更新DNS记录的请求描述被更新的记录,以及对记录的数据字段进行的改变。作为一个非限制性示例,更新DNS地址记录的请求可描述记录为“具有地址值=196.44.10.10的A记录”以及进行的更改为“修改值为196.88.10.10”。作为另一个非限制性示例,更新请求可描述记录为“所有的邮件服务器记录”以及进行的更改为“删除”。如上所述,所有的更新请求涉及与验证域所有者相关的记录。因此,更新请求“删除所有邮件服务器记录”暗示只适用于和域所有者关联的邮件服务器记录,而不是DNS记录数据存储器121中的所有邮件服务器记录。
在获得DNS更新请求之后,DNS管理应用127将DNS更新请求传递到DNS更新验证服务130进行验证。DNS更新请求传递通过DNS管理应用127,随后DNS管理应用127必须认证用户为域名所有者。因此,DNS更新验证服务130接收的更新请求仅限于和特定域名或域名集合关联的记录。
DNS更新验证服务130通过应用在更新策略数据存储118中的存储点一个或多个合适的更新策略139而验证DNS更新请求。为此,DNS更新验证服务130确定对DNS记录136的标识符字段(例如,IP地址字段,域名字段)的所请求改变是否违反更新策略139中的条件。根据应用更新策略139的结果,DNS更新验证服务130允许或拒绝所述更新请求。更新策略139指定至少一个DNS记录类型和在更新期间对记录的数据字段所施加的至少一个条件。条件可以是消极的(通过对DNS记录的禁止修改表示)或积极的(通过对DNS记录的可允许修改表示)。
为了验证更新请求,DNS更新验证服务130寻找匹配正被更新的DNS记录类型的更新策略139。DNS更新验证服务130检查对DNS记录的所请求更改并确定所请求更改是否违反更新策略139中的条件。作为一个非限制性示例,如果请求是使用新的地址字段196.88.10.10更新特定的A-记录,A记录的更新策略139指定条件“必须在范围168.*.*.*”,然后DNS更新验证服务130会拒绝所述更新请求。因为196.88.10.10不在范围168.*.*.*内,因此请求将被拒绝,因此更新DNS记录违反更新策略139指定的条件。
涉及IP地址的条件可指定特定地址,地址范围,或多个地址范围。地址范围可以是不连续的。条件可指定特定域名或域名列表。列表可以是白名单或黑名单。当条件包含白名单时,只要新域名包含在列表中,更新是允许的。当条件包含黑名单时,每当新域名包含在列表中时,更新被禁止。白名单和黑名单也可以使用IP地址。
条件的另一个示例是“所有所有者域”条件,其中只要新地址或新域名是验证域所有者拥有的,则更新是允许的。例如,域所有者可拥有abc.com以及foo.com。在这种情况下,包括CNAME记录类型和所有所有者域条件的策略将允许将www.foo.com指向bigserver.abc.com的新的CNAME记录,因为两者都属于相同的实体。
条件的另一个示例是“所有者体系”条件,其中只要新的标识符字段最终指向验证域所有者控制的体系,则更新是允许的。在一些实施例中,标识符字段是地址字段或域名字段。
现在参见图2,显示的是提供根据多个实施例操作部分DNS更新验证服务130的操作的一个示例的流程图。需要理解:图2的流程图提供了可用于实施本文所述部分DNS更新验证服务130的操作的许多不同类型功能配置的仅仅一个例子。作为替代方案,图2的流程图可被视为描述根据一个或多个实施例在计算设备103(图1)中实施的方法的步骤的示例。
开始于步骤203,DNS更新验证服务130从DNS管理应用127获取DNS更新请求。如上所述,更新请求经过网络109源自管理员客户端106,DNS管理应用127将请求传递到DNS更新验证服务130。作为非限制性示例,更新请求可通过超文本传输协议(HTTP)、SOAP和/或其他协议进行转换。
接下来,在步骤206,DNS更新验证服务130寻找匹配正被更新的DNS记录类型的更新策略139。在步骤209,DNS更新验证服务130确定是否发现任何匹配的更新策略139。如果,在步骤209,DNS更新验证服务130确定没有发现匹配的更新策略139,DNS更新验证服务130移动到步骤212。
在步骤212,DNS更新验证服务130根据更新请求更新DNS记录136。在一些实施例中,该操作涉及到使用DNS核心服务124的服务。在步骤215,DNS更新验证服务130表明:更新请求被授权。管理员客户端106被通知该结果。此后,DNS更新验证服务130结束。
如果相反在步骤209,DNS更新验证服务130确定已发现匹配的更新策略139,DNS更新验证服务130进行到步骤218。在步骤218,DNS更新验证服务130检查对DNS记录136的所请求更新,并确定所请求更新是否违反更新策略139的条件。如果,在步骤218,DNS更新验证服务130确定会违反条件,DNS更新验证服务130移动到步骤221。在步骤221,DNS更新验证服务130表明:更新请求被拒绝。管理员客户端106被通知该结果。此后,DNS更新验证服务130结束。
如果相反在步骤218,DNS更新验证服务130确定匹配更新策略139中的条件不会被违反,DNS更新验证服务130移动到步骤212。在步骤212,DNS更新验证服务130按照更新请求更新DNS记录136。在步骤215,DNS更新验证服务130表明:更新请求被授予。管理员客户端106被通知该结果。此后,DNS更新验证服务130结束。
转向图3,显示根据不同实施例提供DNS更新验证服务130的部分的操作的另一示例的的流程图。需要理解:流程图的图3仅仅提供可用于实施如上所述部分DNS更新验证服务130的操作的许多不同类型功能配置的示例。作为替代方案,图3的流程图可被视为描述根据一个或多个实施例在计算设备103(图1)中实施的方法的步骤的示例。
开始于步骤303,DNS更新验证服务130从管理员客户端106接收表示域名所有者的证书。这些证书用于配置更新策略139。换句话说,一旦使用这些证书验证,域名所有者被允许创建新的更新策略139,删除现有更新策略139以及修改现有更新策略139。在一些实施例中,DNS管理应用127可以作为DNS更新验证服务130和管理员客户端106的中介。在其他的实施例中,DNS管理应用127并不涉及获取这些证书。
接下来,在步骤306,DNS更新验证服务130验证所接收证书以确定域名所有者是否被授权配置更新策略139。在步骤306执行的验证是除了验证用户是否能更新DNS记录数据存储器121中的DNS记录136的验证之外。在一些实施例中,用于策略配置的身份验证是不同于用于DNS记录更新的机制。在这些实施例的某些中,用于策略配置的验证机制和用于DNS记录更新的机制相比施加了更大程度的难度,以至于更新策略139的配置和DNS记录更新相比更难攻击。策略配置的验证机制的示例包括:需要域所有者提供基于硬件的身份验证令牌,通过生物技术识别,或向代表人放置语音电话和呼叫或交互式语音应答***。
在步骤309,DNS更新验证服务130确定策略配置验证通过或失败。如果,在步骤309,DNS更新验证服务130确定策略配置验证失败,DNS更新验证服务130移动到步骤312。在步骤312,DNS更新验证服务130通知管理员客户端106:策略配置验证失败。此后,DNS更新验证服务130结束。
如果,在步骤309,DNS更新验证服务130确定策略配置验证通过,DNS更新验证服务130移动到步骤315。在步骤315,域所有者可以配置更新策略139。可以使用各种配置机制。配置例如通过由DNS管理应用程序127生成并通过浏览器142呈现给域所有者的用户界面提供,所述浏览器142在管理员客户端106上执行。可替换地,更新策略139可采取文本文件的方式,以至于域所有者通过在员客户端106编辑文本文件并向计算设备103加载编辑的文本文件而配置更新策略139,所述计算设备103然后执行DNS更新验证服务130。当域所有者已经完成配置更新策略139,DNS更新验证服务130结束。
接下来参见图4,显示的是根据目前披露实施例的计算设备103的原理框图。计算设备103包括至少一个处理器电路,例如,具有处理器403和存储器406,这两者都耦合到本地接口409。为此,计算设备103例如包括至少一个服务器计算机或类似设备。本地接口409可例如包括具有相应地址.控制总线或可以理解的其他总线结构的数据总线。
存储器406中存储的是数据和可由处理器403执行的一些组件。具体而言,在存储器406中存储并由处理器403执行的是DNS核心服务124,DNS管理应用127,DNS更新验证服务130,以及可能的其他应用。还储存在存储器406中的更新策略数据存储器118,DNS记录数据存储器121和其他数据。此外,操作***可存储在存储器406中并由处理器403执行。虽然未示出,计算设备112还包括类似图4所示的组件,而DNS服务133被存储在存储器中并由处理器执行。
需要理解,如可以理解的,还有其他应用被存储在存储器406中并由处理器403执行。虽然在此处讨论的任何组件以软件形式实施,但可以采用多个编程语言中的任何一个,例如C、C++、C#、ObjectiveC、Java、Java脚本、Perl、PHP、VisualBasic、Python、Ruby、Delphi、Flash或其他编程语言。
许多软件组件被存储在存储器406中并由处理器403执行。在这方面,术语“可执行”意味着以最终由处理器403运行的形式的程序文件。可执行程序的示例可以例如是:编译程序,可以翻译成以装入存储器406的随机访问部分并由处理器403运行的形式的机器编码;源编码,可表示为合适格式,诸如对象编码,能加载到存储器406的随机访问部分并由处理器403执行;或源编码,可由另一个可执行程序即使以在存储器406的随机访问部分生成将被处理器403执行的指令,等等。可执行程序可存储在存储器406的任何部分或组件中,例如包括,随机存取存储器(RAM)、只读存储器(ROM)、硬盘、固态驱动器、USB闪存驱动器、记忆卡、光盘(诸如光盘(CD)或数字多功能光碟(DVD))、软盘、磁带或其他内存组件。
存储器406在本文被定义包括易失性和非易失性存储器和数据存储组件。易失性组件是那些一旦掉电不保留数据值的组件。非易失性组件是一旦掉电保留数据的组件。因此,存储器406可例如包括,随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器、固态驱动器、USB闪存、可通过存储卡读取器访问的存储卡、通过关联的软盘驱动器访问的软盘、通过光盘驱动器访问的光盘,通过合适磁带驱动访问的磁带,和/或其他存储器组件、或者任何两个或更多这些内存组件的组合。此外,RAM可例如包括:静态随机存取存储器(SRAM)、动态随机存取记忆体(DRAM)、或磁性随机存取存储器(MRAM)和其他类似设备。ROM可例如包括:可编程的只读存储器(PROM)、可擦可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM),或者其他类似存储设备。
同样,分别地,处理器403可表示多个处理器403以及存储器406可表示运行在并行处理电路的多个存储器406。在这种情况下,本地接口409可以是适当的网络109,115(图1),帮助多个处理器403的任意两个之间,任何处理器403和任何存储器406之间,或任何两个存储器406之间的通信等。本地接口409可包括指定以协作该通信的其他***,例如包括执行负载平衡。处理器403可以是电子或其他某些其他可用结构。
尽管DNS核心服务124,DNS管理应用127,DNS更新验证服务130和本文所述的其他各种***可体现在以上述的通用硬件执行的软件或编码,作为一种替代方法,同样也可体现在专用硬件或软件/通用硬件和专用硬件的组合。如果体现为专用硬件,每个可以实现为采用多个技术任何之一或组合的电路或状态机。这些技术可包括(但不限于):具有逻辑门的离散逻辑电路用于对一个或多个数据信号的应用实施各种逻辑功能,具有合适逻辑门的特定于应用的集成电路,或其他组件,等。这些技术通常是本领域技术人员公知的,并因此不在本文详细描述。
图3和4的流程图显示DNS更新验证服务130的部分实施的功能和操作。如果以软件实施,每块可代表模块、段、或者包括程序指令来实现指定的逻辑功能的编码部分。程序指令可体现以源编码的形式,包括以编程语言或机器编码写成的人类可读语句,包括由合适执行***识别的数字指令,诸如在一个计算机***或其他***中的处理器403。机器编码可从源编码等等转换。假如以硬件实施,每块可代表电路或多个互联电路以实现指定的逻辑功能。
尽管图3和图4显示执行的特定顺序,需要理解:执行顺序可不同于所描述的。例如,两个或多个块的执行顺序可相对于显示顺序改变。同时,在图3和4中连续表示的两个或多个块可并发执行或部分并发。进一步,在一些实施例中,图3和4中所示的一个或多个块可以跳过或忽略。此外,任何数量的计数器,状态变量,警告信号或消息可添加到本文所述的逻辑流,用于增强实用性,记账,性能测量,或提供故障诊断辅助等。需要理解:所有这些变化都在本公开的范围内。
同时,文中所述的包括软件或编码的任何逻辑或应用(包括DNS核心服务124,DNS管理应用程序127,DNS更新验证服务130)可以实施在任何非临时计算机可读介质用于或连接指令执行***(诸如例如计算机***或其他***中的处理器403)。在这个意义上,逻辑可包括例如语句(包括指令)和从计算机可读介质提取并由指令执行***执行的声明。鉴于当前的披露信息,“计算机可读介质”可以是任何媒介,可以包含,存储或维护本文所述逻辑或应用用于或结合指令令执行***。计算机可读介质可以包括许多物理媒体的任何一个,例如电子、磁性、光学、电磁、红外、或半导体媒体。合适的计算机可读介质的更具体示例可以包括(但不限于)磁带、磁软盘、磁硬盘驱动器、记忆卡、固态驱动器、USB闪存驱动器或者光盘。同时,计算机可读介质可以是随机存取存储器(RAM),包括例如,静态随机存取存储器(SRAM)和动态随机存取记忆体(DRAM),或磁性随机存取存储器(MRAM)。此外,计算机可读介质可以是只读存储器(ROM)、可编程的只读存储器(PROM)、可擦可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM),或者其他类型的存储设备。
条款1一种嵌入在计算设备中可执行的程序的非临时计算机可读介质,所述程序包括:
编码,认证域所有者用于域名***(DNS)记录修改;
编码,接收请求以修改和域所有者拥有的域相关的至少一个DNS记录;
编码,通过向所述请求应用至少一个策略而验证所述请求,所述验证响应于所述认证的成功,至少一个策略禁止修改指向由所述域所有者控制的体系之外的识别符的DNS记录;
编码,响应验证失败,拒绝修改至少一个DNS记录的请求;
编码,使用故意不便于域所有者的机制认证域所有者;
编码,接收请求以配置至少一个策略;以及
编码,响应于用于策略配置的认证失败,拒绝所述配置请求。
条款2.如条款1所述的计算机可读介质,进一步包括编码,响应于认证成功授权所述配置请求。
条款3.如条款1所述的计算机可读介质,其中所述编码验证确定IP地址字段出现在至少一个DNS记录中并至少在地址字段包含在由至少一个策略指定的一个或多个范围内的条件下成功认证所述修改请求。
条款4.如条款1所述的计算机可读介质,其中所述编码验证确定正规名称出现在至少一个DNS记录中并至少在正规名称出现在由至少一个策略指定的白名单的条件下成功认证所述修改请求。
条款5.如条款1所述的计算机可读介质,其中所述编码认证确定交换域名出现在至少一个DNS记录中并在交换域名在由域所有者控制的体系内的条件下成功认证所述修改请求。
条款6.一种***,包括:
至少一个计算设备;
在至少一个计算设备中可执行的域名***(DNS)策略管理器,所述DNS策略管理器包括:
逻辑,向和由域所有者拥有的域相关的至少一个DNS记录应用应用至少一个策略,所述策略禁止修改指向由所述域所有者控制的体系之外的DNS记录;以及
逻辑,至少根据至少一个策略的应用,选择性授权对至少一个DNS记录的所请求修改。
条款7.如条款6所述的***,所述DNS策略管理器进一步包括逻辑,响应域名所有者的配置请求,配置至少一个策略。
条款8.如条款6所述的***,其中选择性地授权所请求修改的逻辑至少在至少一个DNS记录中的IP地址包含在由至少一个策略制定的至少一个范围内的条件下,授权所请求修改。
条款9.如条款6所述的***,其中选择性地授权所请求修改的逻辑至少在至少一个DNS记录中的名称是由所述域所有者拥有的另一个域的一部分的条件下,授权所请求修改。
条款10.如条款6所述的***,其中选择性地授权所请求修改的逻辑至少在至少一个DNS记录中的名称在由所述所有者控制的体系内的条件下,授权所请求修改。
条款11.如条款6所述的***,其中选择性地授权所请求修改的逻辑至少在至少一个DNS记录中的名称包含在由所述至少一个策略指定的白名单中的条件下,授权所请求修改。
条款12.一种方法,包括步骤:
接收请求以修改和域所有者拥有的域相关的至少一个域名***(DNS)记录;
比较对至少一个DNS记录的修改请求与至少一个策略,所述至少一个策略是由域所有者可配置的;以及
至少根据所述比较选择性地授权至少一个DNS记录的所请求修改。
条款13.如条款12所述的方法,进一步包括步骤:
响应所述域所有者的配置请求配置至少一个策略。
条款14.如条款13所述的方法,进一步包括步骤:
认证所述域所有者用于策略配置;以及
响应认证失败,拒绝所述配置请求。
条款15.如条款13所述的方法,进一步包括步骤:
使用第一认证机制验证所述域所有者,用于DNS记录修改;
响应使用所述第一认证机制的认证失败,拒绝对至少一个DNS记录的所请求修改;
使用不同于所述第一认证机制的第二认证机制,认证所述域所有者,用于策略配置;以及
响应使用所述第二认证机制的认证失败,拒绝所述配置请求。
条款16.如条款13所述的方法,进一步包括步骤:
使用第一认证机制认证所述域所有者,用于DNS记录修改;
响应使用所述第一认证机制的认证失败,拒绝对至少一个DNS记录的所请求修改;
使用困难度大于由所述第一认证机制所施加的第二认证机制,认证所述域所有者,所述第二认证机制用于策略配置;以及
响应使用所述第二认证机制的认证失败,拒绝所述配置请求。
条款17.如条款12所述的方法,其中至少一个策略禁止修改指向由所述域所有者控制的体系之外的至少一个DNS记录。
条款18.如条款12所述的方法,进一步包括步骤:至少在所述至少一个DNS记录中IP地址被包含在由所述策略指定的至少一个范围的条件下,授权所请求修改。
条款19.如条款12所述的方法,进一步包括步骤:至少在所述至少一个DNS记录是由所述域所有者拥有的另一域的条件下,授权所请求修改。
条款20.如条款12所述的方法,进一步包括步骤:至少在至少一个DNS记录中的名称是由所有者控制的体系的条件下,授权所请求修改。
条款21.如条款12所述的方法,进一步包括步骤:至少在至少一个DNS记录中的名称包含在由策略指定的白名单内的条件下,授权所请求修改。
应该强调,目前披露的上述实施例仅仅是为了清楚理解本公开原理提出的可能的实施方式示例。在不实质背离本公开的精神和原理的情况下可对上述实施例进行许多变化和修改。所有这些变化和修改在此用于包括在本公开中并受到如下权利要求的保护。
Claims (12)
1.一种用于验证对域名***DNS记录的更新的***,包括:
至少一个计算设备;以及
在所述至少一个计算设备上可执行的域名***DNS策略管理器,所述DNS策略管理器包括:
逻辑,向与由域所有者拥有的域相关的至少一个DNS记录应用至少一个策略,所述策略禁止修改指向由所述域所有者控制的体系之外的DNS记录;以及
逻辑,至少根据所述至少一个策略的应用来选择性地授权对所述至少一个DNS记录的所请求修改;
其中选择性地授权所请求修改的所述逻辑至少在所述至少一个DNS记录中的IP地址包含在由所述至少一个策略指定的至少一个范围内的条件下,授权所请求修改。
2.如权利要求1所述的***,所述DNS策略管理器进一步包括响应由所述域所有者的配置请求来配置所述至少一个策略的逻辑。
3.如权利要求1所述的***,其中选择性地授权所请求修改的所述逻辑至少在所述至少一个DNS记录中的名称是同样由所述域所有者拥有的另一个域的一部分的条件下,授权所请求修改。
4.如权利要求1所述的***,其中选择性地授权所请求修改的所述逻辑至少在所述至少一个DNS记录中的名称在由所述域所有者控制的体系内的条件下,授权所请求修改。
5.如权利要求1所述的***,其中选择性地授权所请求修改的所述逻辑至少在所述至少一个DNS记录中的名称包含在由所述至少一个策略指定的白名单中的条件下,授权所请求修改。
6.一种用于验证对域名***DNS记录的更新的方法,包括下列步骤:
接收对修改和域所有者拥有的域相关的至少一个域名***DNS记录的请求;
比较对所述至少一个DNS记录的修改的所述请求与至少一个策略,所述至少一个策略是由所述域所有者可配置的;以及
至少根据所述比较选择性地授权对所述至少一个DNS记录的所请求修改;其中所述至少一个策略禁止修改指向由所述域所有者控制的体系之外的至少一个DNS记录;
所述方法进一步包括步骤:至少在所述至少一个DNS记录中的IP地址包含在由所述策略指定的至少一个范围内的条件下,授权所请求修改。
7.如权利要求6所述的方法,进一步包括下列步骤:
响应所述域所有者的配置请求配置所述至少一个策略。
8.如权利要求7所述的方法,进一步包括下列步骤:
认证所述域所有者用于策略配置;以及
响应认证失败,拒绝所述配置请求。
9.如权利要求7所述的方法,进一步包括下列步骤:
使用第一认证机制认证所述域所有者,用于DNS记录修改;
响应使用所述第一认证机制的认证失败,拒绝对所述至少一个DNS记录的所请求修改;
使用不同于所述第一认证机制的第二认证机制,认证所述域所有者,用于策略配置;以及
响应使用所述第二认证机制的认证失败,拒绝所述配置请求。
10.如权利要求7所述的方法,进一步包括下列步骤:
使用第一认证机制认证所述域所有者,用于DNS记录修改;
响应使用所述第一认证机制的认证失败,拒绝对所述至少一个DNS记录的所请求修改;
使用施加的困难度大于由所述第一认证机制所施加的另一困难度的第二认证机制,认证所述域所有者,所述第二认证机制用于策略配置;以及
响应使用所述第二认证机制的认证失败,拒绝所述配置请求。
11.如权利要求6所述的方法,进一步包括步骤:至少在所述至少一个DNS记录中的名称是同样由所述域所有者拥有的另一域的一部分的情况下,授权所请求修改。
12.如权利要求6所述的方法,进一步包括步骤:至少在所述至少一个DNS记录中的名称在由所述域所有者控制的体系内的条件下,授权所请求修改。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/782,227 | 2010-05-18 | ||
| US12/782,227 US8719900B2 (en) | 2010-05-18 | 2010-05-18 | Validating updates to domain name system records |
| PCT/US2011/034415 WO2011146217A1 (en) | 2010-05-18 | 2011-04-29 | Validating updates to domain name system records |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102870104A CN102870104A (zh) | 2013-01-09 |
| CN102870104B true CN102870104B (zh) | 2016-05-25 |
Family
ID=44991985
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180020446.5A Active CN102870104B (zh) | 2010-05-18 | 2011-04-29 | 验证对域名***记录的更新 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8719900B2 (zh) |
| EP (1) | EP2572288B1 (zh) |
| JP (1) | JP5530562B2 (zh) |
| CN (1) | CN102870104B (zh) |
| CA (1) | CA2797378C (zh) |
| SG (1) | SG185373A1 (zh) |
| WO (1) | WO2011146217A1 (zh) |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8423607B2 (en) * | 2010-06-01 | 2013-04-16 | Qualcomm Incorporated | Fallback procedures for domain name server update in a mobile IP registration |
| US8935766B2 (en) * | 2011-01-19 | 2015-01-13 | Qualcomm Incorporated | Record creation for resolution of application identifier to connectivity identifier |
| US8799439B2 (en) * | 2011-08-17 | 2014-08-05 | Red Hat, Inc. | Managing attributes associated with an application server |
| US10565666B2 (en) | 2011-09-26 | 2020-02-18 | Verisign, Inc. | Protect intellectual property (IP) rights across namespaces |
| US10237231B2 (en) | 2011-09-26 | 2019-03-19 | Verisign, Inc. | Multiple provisioning object operation |
| US9407626B2 (en) * | 2011-09-29 | 2016-08-02 | Red Hat, Inc. | Security token management service hosting in application server |
| US9077687B2 (en) | 2012-05-10 | 2015-07-07 | Centurylink Intellectual Property Llc | System and method for secure machine-to-machine communications |
| US9225731B2 (en) * | 2012-05-24 | 2015-12-29 | International Business Machines Corporation | System for detecting the presence of rogue domain name service providers through passive monitoring |
| US8935430B2 (en) | 2012-06-29 | 2015-01-13 | Verisign, Inc. | Secondary service updates into DNS system |
| US10447611B2 (en) | 2012-07-11 | 2019-10-15 | Verisign, Inc. | System and method for adding a whitelist entry via DNS |
| US8856305B2 (en) * | 2012-07-11 | 2014-10-07 | Verisign, Inc. | System and method for adding a whitelist entry via DNS |
| GB2505644A (en) * | 2012-09-05 | 2014-03-12 | Ibm | Managing network configurations |
| CN104052829A (zh) * | 2013-03-14 | 2014-09-17 | 弗里塞恩公司 | 自适应名字解析 |
| JP2014183585A (ja) | 2013-03-15 | 2014-09-29 | Verisign Inc | マルチテナント・ジェネリック・トップ・レベル・ドメイン配置のためのシステムおよび方法 |
| BE1020923B1 (nl) * | 2013-05-08 | 2019-09-16 | Register Nv | Toepassing voor het efficient configureren en beheren van dns-gegevens en domeinnamen. |
| US10389680B2 (en) * | 2013-10-30 | 2019-08-20 | Hewlett Packard Enterprise Development Lp | Domain name and internet address approved and disapproved membership interface |
| AU2014262178A1 (en) * | 2013-11-12 | 2015-05-28 | Verisign, Inc. | Multiple provisioning object operation |
| US9654482B2 (en) * | 2014-01-22 | 2017-05-16 | Cisco Technology, Inc. | Overcoming circular dependencies when bootstrapping an RPKI site |
| US10050927B2 (en) * | 2015-01-27 | 2018-08-14 | Mastercard International Incorporated | Systems and methods for centralized domain name system administration |
| MA41502A (fr) | 2015-02-14 | 2017-12-19 | Valimail Inc | Validation centralisée d'expéditeurs d'email par ciblage de noms ehlo et d'adresses ip |
| CN105072210A (zh) * | 2015-07-17 | 2015-11-18 | 中国互联网络信息中心 | 一种校验域名信息的dns数据更新***和方法 |
| US9591030B1 (en) * | 2015-08-18 | 2017-03-07 | Farsight Security, Inc. | Lock-free updates to a domain name blacklist |
| US9264399B1 (en) * | 2015-08-18 | 2016-02-16 | Farsight Security, Inc. | Lock-free updates to a domain name blacklist |
| US10560427B2 (en) | 2015-09-29 | 2020-02-11 | Verisign, Inc. | Domain name operation verification code generation and/or verification |
| US11552923B2 (en) * | 2015-12-30 | 2023-01-10 | Donuts, Inc. | Whitelist domain name registry |
| US10521453B1 (en) * | 2016-09-07 | 2019-12-31 | United Services Automobile Association (Usaa) | Selective DNS synchronization |
| CN107453922B (zh) * | 2017-09-08 | 2020-10-02 | 北京寄云鼎城科技有限公司 | 基础服务配置方法、客户端及服务器 |
| US11171917B2 (en) * | 2017-11-01 | 2021-11-09 | Verisign, Inc. | Systems and methods for domain name system promotion and redemption |
| US11522862B2 (en) * | 2019-09-25 | 2022-12-06 | Shopify Inc. | Systems and methods for a trusted entity to facilitate authentication of emails sent by 3rd parties |
| US11522859B2 (en) | 2019-09-25 | 2022-12-06 | Shopify Inc. | Systems and methods for facilitating authentication of emails sent by 3rd parties |
| US11425091B1 (en) * | 2020-05-29 | 2022-08-23 | United Services Automobile Association (Usaa) | Distributed domain name systems and methods |
| CN113154046B (zh) | 2021-04-26 | 2022-07-05 | 清华大学 | 磁液自补充的磁性液体密封装置 |
| CN116389411B (zh) * | 2023-06-07 | 2023-08-18 | 阿里巴巴(中国)有限公司 | 域名数据处理方法、装置及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1688953A (zh) * | 2002-10-30 | 2005-10-26 | 国际商业机器公司 | 用于动态用户认证的方法和设备 |
| CN1815949A (zh) * | 2005-02-04 | 2006-08-09 | 株式会社Ntt都科摩 | 客户端装置、设备检验装置以及检验方法 |
| CN1901485A (zh) * | 2005-07-22 | 2007-01-24 | 阿尔卡特公司 | 用于限制并检测网络恶意行为的基于域名***的执行 |
| WO2009008003A2 (en) * | 2007-07-10 | 2009-01-15 | Bhavin Turakhia | Method and system for restricting access of one or more users to a service |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6769031B1 (en) * | 2000-09-29 | 2004-07-27 | Interland, Inc. | Dynamically incorporating updates to active configuration information |
| US7451234B1 (en) * | 2003-05-24 | 2008-11-11 | At&T Mobility Ii Llc | Systems and methods for updating dynamic IP addresses in a firewall using a DDNS server |
| JP4880675B2 (ja) * | 2005-05-05 | 2012-02-22 | シスコ アイアンポート システムズ エルエルシー | 参照リソースの確率的解析に基づく不要な電子メールメッセージの検出 |
| US7987251B2 (en) * | 2005-09-16 | 2011-07-26 | Microsoft Corporation | Validation of domain name control |
| US7926108B2 (en) | 2005-11-23 | 2011-04-12 | Trend Micro Incorporated | SMTP network security processing in a transparent relay in a computer network |
| JP4730118B2 (ja) * | 2006-01-30 | 2011-07-20 | ヤマハ株式会社 | ドメインネームシステム |
| WO2008084729A1 (ja) * | 2006-12-28 | 2008-07-17 | Nec Corporation | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム |
| CN101277257B (zh) * | 2007-03-26 | 2012-02-01 | 华为技术有限公司 | 一种dns动态更新的方法、装置和*** |
| CN101217576B (zh) * | 2008-01-18 | 2012-05-02 | 厦门纳网科技有限公司 | 动态域名解析***及其动态解析方法 |
-
2010
- 2010-05-18 US US12/782,227 patent/US8719900B2/en active Active
-
2011
- 2011-04-29 CA CA2797378A patent/CA2797378C/en active Active
- 2011-04-29 EP EP11783929.0A patent/EP2572288B1/en active Active
- 2011-04-29 SG SG2012078952A patent/SG185373A1/en unknown
- 2011-04-29 WO PCT/US2011/034415 patent/WO2011146217A1/en active Application Filing
- 2011-04-29 JP JP2013509126A patent/JP5530562B2/ja active Active
- 2011-04-29 CN CN201180020446.5A patent/CN102870104B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1688953A (zh) * | 2002-10-30 | 2005-10-26 | 国际商业机器公司 | 用于动态用户认证的方法和设备 |
| CN1815949A (zh) * | 2005-02-04 | 2006-08-09 | 株式会社Ntt都科摩 | 客户端装置、设备检验装置以及检验方法 |
| CN1901485A (zh) * | 2005-07-22 | 2007-01-24 | 阿尔卡特公司 | 用于限制并检测网络恶意行为的基于域名***的执行 |
| WO2009008003A2 (en) * | 2007-07-10 | 2009-01-15 | Bhavin Turakhia | Method and system for restricting access of one or more users to a service |
Non-Patent Citations (2)
| Title |
|---|
| 《企业级信息***中基于策略的访问控制》;谢东文等;《计算机集成制造***》;20050526;第11卷(第4期);全文 * |
| 《保护DNS资源记录》;微软;《微软TechNet》;20050131;第1页,表格 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2797378C (en) | 2016-07-12 |
| EP2572288A1 (en) | 2013-03-27 |
| US8719900B2 (en) | 2014-05-06 |
| CN102870104A (zh) | 2013-01-09 |
| US20120017259A1 (en) | 2012-01-19 |
| WO2011146217A1 (en) | 2011-11-24 |
| JP2013531914A (ja) | 2013-08-08 |
| EP2572288B1 (en) | 2018-08-08 |
| CA2797378A1 (en) | 2011-11-24 |
| EP2572288A4 (en) | 2017-01-11 |
| SG185373A1 (en) | 2012-12-28 |
| JP5530562B2 (ja) | 2014-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102870104B (zh) | 验证对域名***记录的更新 | |
| CN111033502B (zh) | 经由区块链使用生物特征数据和不可逆函数进行身份验证 | |
| US8973122B2 (en) | Token based two factor authentication and virtual private networking system for network management and security and online third party multiple network management method | |
| JP4746266B2 (ja) | ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム | |
| CN101771532B (zh) | 实现资源共享的方法、装置及*** | |
| CN110463161A (zh) | 用于访问受保护资源的口令状态机 | |
| EP2894891B1 (en) | Mobile token | |
| CN104718526A (zh) | 安全移动框架 | |
| JP2017069989A (ja) | パラメータベースのキー導出 | |
| US20170104749A1 (en) | System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration | |
| CN112532599B (zh) | 一种动态鉴权方法、装置、电子设备和存储介质 | |
| KR20220149638A (ko) | 통제된 액세스 자원들에 대한 위치―기반 액세스 | |
| Beltran | Characterization of web single sign-on protocols | |
| US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
| Pérez-Méndez et al. | Identity federations beyond the web: A survey | |
| CN109088890A (zh) | 一种身份认证方法、相关装置及*** | |
| CN104052829A (zh) | 自适应名字解析 | |
| CN112334898A (zh) | 用于管理能够访问多个域的用户的多域访问凭证的***和方法 | |
| Chadwick et al. | My private cloud–granting federated access to cloud resources | |
| Garibyan et al. | Access and identity management for libraries: controlling access to online information | |
| CN104104683A (zh) | 一种面向多数据中心的安全体系实现方法 | |
| Zic et al. | Towards a cloud-based integrity measurement service | |
| Madsen et al. | Challenges to supporting federated assurance | |
| US11743265B2 (en) | Method and system for delegating control in network connection access rules using multi-factor authentication (MFA) | |
| US11012433B2 (en) | Method and system for modifying network connection access rules using multi-factor authentication (MFA) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |