WO2024083694A1 - Procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage, dispositif et programme d'ordinateur correspondants - Google Patents

Procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage, dispositif et programme d'ordinateur correspondants Download PDF

Info

Publication number
WO2024083694A1
WO2024083694A1 PCT/EP2023/078560 EP2023078560W WO2024083694A1 WO 2024083694 A1 WO2024083694 A1 WO 2024083694A1 EP 2023078560 W EP2023078560 W EP 2023078560W WO 2024083694 A1 WO2024083694 A1 WO 2024083694A1
Authority
WO
WIPO (PCT)
Prior art keywords
identifier
naming
equipment
request
naming identifier
Prior art date
Application number
PCT/EP2023/078560
Other languages
English (en)
Inventor
Frédéric FIEAU
Emile Stephan
Gaël FROMENTOUX
Original Assignee
Orange
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange filed Critical Orange
Publication of WO2024083694A1 publication Critical patent/WO2024083694A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Definitions

  • TITLE Method for processing a request for resolution of at least one naming identifier, device and corresponding computer program
  • the field of the invention is that of the resolution of naming identifiers such as domain names. More specifically, the invention relates to the identification and selection of an entity embedding a naming identifier resolution function, normally executed by default naming identifier resolvers.
  • DNS secure naming resolution
  • DoH protocols DoH meaning DNS over HTTPS
  • IETF Internet Engineering Task Force
  • DoT DNS over TLS
  • the latter is provided with a naming identifier resolution routing table or DNS routing table, listing the naming identifier resolver(s). to which it can transmit a request for resolution of naming identifiers as well as a set of rules for selecting the appropriate naming identifier resolver.
  • the equipment In a first mode, called "by default", the equipment establishes a secure connection with the selected resolver and sends it a request for resolution of naming identifiers.
  • the equipment 10 is offered to communicate with a proxy server in order to hide their network address - from the naming identifier resolvers.
  • FIG. IA represents an example of the naming identifier resolution scenario involving a proxy server, in which equipment 10, such as a user terminal, comprises a TRDNS DNS routing table including identifiers such as a network address, a domain name, etc. of three naming identifier resolvers 12, 13 and 14 as well as the rules for selecting the naming identifier resolver to contact.
  • a DNS routing table indicates that a naming identifier in ".corn” is resolved by the naming identifier resolver 12, that a naming identifier in ".fr” is resolved by the identifier resolver of naming 13 and that naming identifier resolver 14 is the default naming identifier resolver.
  • Naming identifier resolver 16 is not listed in the TRDNS DNS routing table.
  • the equipment 17 is an authoritative server associated with at least one naming identifier to be resolved.
  • the equipment 10 establishes a connection with a proxy server 11 operated by a third party company.
  • the data exchanged between the equipment 10 and the proxy server 11 are encapsulated in accordance with the HTTPS protocol (for Hypertext Transfer Protocol Secure in English) transported by the secure transport protocols TLS (for Transport Layer Security in English). English) or QUIC (for Quick UDP Internet Connection in English).
  • HTTPS protocol for Hypertext Transfer Protocol Secure in English
  • TLS for Transport Layer Security in English
  • QUIC for Quick UDP Internet Connection in English
  • Such encapsulation can be obtained by exchanging messages conforming to the DATAGRAM extension of the QUIC protocol as defined in the document RFC 9221 published by the IETF, with the “capsule” extension defined in document RFC 9297 published by the IETF or the “draft-ietf-masque-connect-ip” and “connect-udp” extensions defined in document RFC 9298 also published by the IETF.
  • the equipment 10 sends a naming identifier resolution request to the appropriate naming identifier resolver, for example the resolver 12 because the naming identifier to be resolved is “example.com” through the tunnel Tun .
  • the proxy server 11 then relays a message sent by the resolver 12, intended for the equipment 10, comprising at least one naming identifier, such as for example an IP (Internet Protocol) address of the IPv4 or IPv6 type or even redirection data such as a canonical domain name or DNS CNAME associated with servers 15 associated with the naming identifier to be resolved, these servers 15 storing data relating to the implementation of a service required by the equipment 10 such as data relating to a web page or data relating to downloadable content, etc.
  • a message is transmitted by the proxy server 11 to the equipment 10 through the tunnel Tun.
  • the equipment 10 can then establish a connection with the corresponding server 15 and can access the data relating to the implementation of the required service.
  • FIG. IB represents an example of the so-called “default” naming identifier resolution scenario, in which the equipment 10 always includes a TRDNS DNS routing table including identifiers such as a network address, a domain name, etc. . of three naming identifier resolvers 12, 13 and 14 as well as the rules for selecting the naming identifier resolver to contact.
  • a DNS routing table indicates that a naming identifier in ".corn” is resolved by the naming identifier resolver 12, that a naming identifier in ".fr” is resolved by the identifier resolver of naming 13 and that naming identifier resolver 14 is the default naming identifier resolver.
  • Naming identifier resolver 16 is not listed in the TRDNS DNS routing table.
  • the equipment 17 is an authoritative server associated with at least one naming identifier to be resolved.
  • the equipment 10 establishes a connection with a proxy server 11 operated by a third party company and embedded in the resolver 12.
  • the data exchanged between the equipment 10 and the authoritative server 12 are encapsulated in accordance with the transported HTTPS protocol. by secure transport protocols TLS or QUIC.
  • This encapsulation of the exchanged data is represented by the tunnel Tun established between the equipment 10 and the resolver 12.
  • Such encapsulation can be obtained by exchanging messages conforming to the DATAGRAM extension of the QUIC protocol, to the “capsule” extension or again the “draft-ietf-mask-connect-ip” and “connect-udp” extensions.
  • the equipment 10 sends a naming identifier resolution request to the resolver 12 because the naming identifier to be resolved is “example.com” through the Tun tunnel.
  • the resolver 12 then transmits a message through the tunnel Tun to the equipment 10, comprising at least one naming identifier, such as for example an IP (Internet Protocol) address of type IPv4 or IPv6 or even redirection data such as that a canonical domain name or DNS CNAME associated with servers 15 associated with the naming identifier to be resolved, these servers 15 storing data relating to the implementation of a service required by the equipment 10 such as data relating to a web page or data relating to downloadable content, etc.
  • IP Internet Protocol
  • the equipment 10 can then establish a connection with the corresponding server 15 and can access the data relating to the implementation of the required service.
  • requests for resolution of naming identifiers are transmitted to naming identifier resolvers without consultation with the ISP internet service provider with which a user of the equipment 10 has subscribed to a service offer, in particular a connectivity service offering that may contain differentiated qualities of service depending on of the offers/needs of the partners of the ISP service provider, and without the latter having access to these requests for resolution of naming identifiers since the latter are transmitted through the Tun tunnel.
  • the service provider moreover, cannot intervene for example on the resolution request and the response to this request, in particular to adapt the response to the architecture of the service provider or the partners of the service provider.
  • the intervention may in fact consist of enriching the request with information that can be used to adapt the response according to this enrichment or, for example, balancing the load between several servers operated on behalf of one or more partners of the service provider.
  • ISP services storing data relating to the implementation of the service. There is therefore a need for a technique for resolving naming identifiers that does not present all or part of the aforementioned drawbacks.
  • the invention responds to this need by proposing a method for processing a request for resolution of at least one naming identifier sent by equipment through a path established between said equipment and a proxy server, said method being implemented implemented by said proxy server and comprising the following steps:
  • proxy server we mean any intermediate equipment known to the equipment or discovered during the protocol exchanges implemented during the establishment of the tunnel.
  • Such a solution makes it possible to force the transmission of the request for resolution of a naming identifier sent by the equipment to a default naming identifier resolver to another naming identifier resolver.
  • This second naming identifier resolver may, for example, result from an agreement between the internet service provider with which a user of the equipment has subscribed to a service offer and a third party company operating the associated authoritative servers. to the naming identifiers to resolve.
  • the proxy server (or proxy) has in its possession information allowing it, for a naming identifier to be resolved, to identify at least one naming identifier resolver to which to transmit the resolution request. naming identifiers.
  • the proxy server is able to determine to which naming identifier resolver it must entrust the processing of the resolution request. of naming identifiers issued by the equipment.
  • Such a naming identifier resolution request being transmitted to a naming identifier resolver chosen by the internet service provider from which a user equipment has subscribed to a service offer, the latter once again has the capacity to manage the resources of the various communication equipment that it operates.
  • the latter comprises, prior to the interception of said request, a step of receiving at least one message comprising said at least parameter relating to said equipment and said at least one parameter relating to the naming identifier to be resolved, said message being sent by an authoritative server associated with the at least one naming identifier to be resolved.
  • said received message is further signed with a certificate from said authoritative server indicating the ownership of at least one naming identifier to be resolved.
  • Such an ownership certificate may be issued to the authoritative server associated with the naming identifier to be resolved by a trusted authority.
  • the proxy server knows that the information provided by the authoritative server is reliable.
  • said at least one parameter relating to the at least one naming identifier to be resolved comprises at least one network address of a naming identifier resolver embedding said second entity and/or redirection information from said request to said naming identifier resolver.
  • the proxy server redirects the naming identifier resolution request sent by the equipment to a naming identifier resolver whose network address was provided to it by the authoritative server associated with the naming identifier to resolve.
  • said at least one parameter relating to the at least one naming identifier to be resolved comprises at least one execution authorization by said server proxy for a resolution function of at least one naming identifier.
  • Delegating naming identifier resolution to the proxy server reduces the cost of performing this naming identifier resolution function. Indeed, by delegating the resolution of naming identifiers to the proxy server, it is possible to reduce the number of connections between communication equipment in order to resolve a naming identifier, in particular by reusing existing connections between user equipment and proxy servers. . Such a reduction in the number of connections between communication equipment leads to a reduction in the energy consumption of this communication equipment.
  • a proxy server implementing a resolution of naming identifiers in place of a resolver of naming identifiers is provided with authorization to execute this resolution function. at least one naming identifier which can be verified if necessary.
  • the execution authorization is a digital fingerprint of the at least one naming identifier associated with said proxy server signed by a cryptographic key associated with said authoritative server associated with said at least one naming identifier to be resolved.
  • the execution authorization is generated by the authoritative server associated with the naming identifier to be resolved and is specific to each proxy server to which a naming identifier resolution function is delegated. Thus, only a proxy server authorized by an authoritative server associated with a naming identifier is delegated the resolution of the naming identifier.
  • the parameter relating to the equipment is a location parameter of the equipment.
  • one naming identifier resolver may be preferred to another.
  • the invention also relates to a method for generating an authorization for execution, by a proxy server, of a function for resolving at least one naming identifier, said proxy server intercepting a request for resolution of at least one naming identifier.
  • at least one naming identifier transmitted by equipment through a path established between said equipment and a proxy server, said request comprising an identifier of at least one first entity implementing a resolution function of at least one naming identifier, said default entity, to which it was issued, said method being implemented by an authoritative server associated with said naming identifier to be resolved and comprising the following steps:
  • said digital fingerprint is further signed by a cryptographic key associated with the authoritative server.
  • the authenticity and integrity of the digital fingerprint are ensured and can be, if necessary, verified by the proxy server.
  • the invention also relates to a proxy server capable of processing a request for resolution of at least one naming identifier sent by equipment through a path established between said equipment and said proxy server, said proxy server comprising at least one processor configured for:
  • Another subject of the invention is an authoritative server associated with at least one naming identifier, said server being capable of generating an authorization for execution, by a proxy server, of a resolution function of said at least one naming identifier, said proxy server intercepting a request for resolution of at least one naming identifier sent by equipment through a path established between said equipment and a proxy server, said request comprising an identifier of at least one first entity implementing a resolution function of at least one naming identifier, called default entity, to which it was issued, said authoritative server comprising at least one processor configured for:
  • the invention finally relates to computer program products comprising program code instructions for implementing the methods as described above, when executed by a processor.
  • the invention also relates to a computer-readable recording medium on which computer programs are recorded comprising program code instructions for executing the steps of the methods according to the invention as described above.
  • Such a recording medium can be any entity or device capable of storing the programs.
  • the support may comprise a storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or even a magnetic recording means, for example a USB key or a hard disk.
  • such a recording medium may be a transmissible medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means, so that the programs computer it contains can be executed remotely.
  • the programs according to the invention can in particular be downloaded onto a network, for example the Internet network.
  • the recording medium may be an integrated circuit in which the programs are incorporated, the circuit being adapted to execute or to be used in the execution of the aforementioned methods which are the subject of the invention.
  • fig. IA this figure represents a first example of a naming identifier resolution scenario
  • fig. IB this figure represents a second example of a naming identifier resolution scenario
  • fig- 2 this figure represents an exchange diagram between different communication equipment involved in a first mode of implementation of the methods of processing a request for resolution of at least one naming identifier and generation of an authorization for execution, by a proxy server, of a function for resolving at least one naming identifier,
  • fig- 3 this figure represents an exchange diagram between different communication equipment involved in a second mode of implementation of the methods of processing a request for resolution of at least one naming identifier and generation of an authorization for execution, by a proxy server, of a function for resolving at least one naming identifier,
  • fig- 4 this figure represents an exchange diagram between different communication equipment involved in a third mode of implementation of the methods for processing a request for resolution of at least one naming and generation identifier an authorization to execute, by a proxy server, a function for resolving at least one naming identifier,
  • fig- 5 this figure represents a proxy server capable of implementing the different embodiments of the method for processing a request for resolution of at least one naming identifier according to the invention
  • fig. 6 this figure represents an authoritative server capable of implementing the different embodiments of the method for generating an authorization for execution, by a proxy server, of a function for resolving at least one naming identifier according to the invention.
  • the general principle of the invention is based on the transmission of a request for resolution of a naming identifier intended to be processed by a naming identifier resolver defined by default to another naming identifier resolver chosen for example following an agreement between an internet service provider from which a user has subscribed to a service offer and a third-party company operating authoritative servers associated with the naming identifiers to be resolved.
  • FIG. 2 a diagram of exchanges between different communication equipment involved in a first mode of implementation of the methods for processing a request for resolution of at least one naming identifier and for generating an execution authorization, by a proxy server, a function for resolving at least one naming identifier.
  • an authoritative server 17 associated with a naming identifier transmits a Record message comprising at least one parameter relating to said equipment 10, or a parameter relating to the naming identifier to resolve to the proxy server 11 and a certificate indicating that the operator of the authoritative server 17 is the owner of the naming identifier considered.
  • a certificate of ownership can be delivered to the authoritative server 17 associated with the naming identifier to be resolved by a trusted authority.
  • the proxy server 11 knows that the information provided by the authoritative server 17 is reliable.
  • the parameter relating to the equipment 10 is for example an IP address mask, an IP address or more generally an identifier of the equipment 10.
  • the proxy server 11 can identify the equipment 10 for which particular processing of requests in naming identifier resolution must be applied.
  • equipment 10 such as a user terminal, sends a message requesting the establishment of a Mask type communication session to the proxy server 11.
  • a communication session is for example an http message of CONNECT type "connect-udp" defined in document RFC 9298 published by the IETF. in which 192.0.2.6 is the network address of resolver 12.
  • the data exchanged between the equipment 10 and the proxy server 11 during this session are therefore, for example, encapsulated in DATAGRAM type messages of the QUIC protocol, or “capsule” extensions (in the case of http messages of type CONNECT "connect-ip".
  • This encapsulation of the data exchanged is represented in the form of the tunnel Tun established between the equipment 10 and the proxy server 11.
  • the equipment 10 sends, in a step E2, a request for resolution of the RDN naming identifier to the proxy server 11 for the identifier of naming example.com.
  • This request for resolution of the RDN naming identifier is for example a message of the type DNS over QUIC example.com.
  • the default naming identifier resolver identified to resolve naming identifiers having a “.corn” extension is resolver 12.
  • the request for resolution of the RDN naming identifier is sent by the equipment 10 to the resolver 12.
  • the proxy server 11 intercepts the request for resolution of the RDN naming identifier.
  • the proxy server 11 determines, for example by means of the IP address mask received during step E0, whether or not the request for resolution of an RDN naming identifier must be subject to special processing. If this is the case, the proxy server 11 implements step E4.
  • the Record message sent by the authoritative server 17 during step E0 includes in addition to the parameter relating to said equipment 10, the parameter relating to the naming identifier to be resolved and the certificate of ownership of the authoritative server 17, a redirection parameter for the naming identifier resolution request.
  • a redirection parameter is for example an identifier such as an IP address of the naming identifier resolver 16, which is for example operated by the internet service provider with which a user of the equipment 10 has subscribed to a service offer. service.
  • the proxy server 11 then sends the request for resolution of an RDN naming identifier to the resolver 16, during step E4, instead of transferring it to the resolver 12 as requested by the equipment 10.
  • the resolver 16 resolves the naming identifier included in the RDN naming identifier resolution request and transmits in a step E6 an MSG message comprising an IP address or an identifier associated with at least one associated server 15 to the naming identifier to resolve.
  • an MSG message is a message conforming to the DNS protocol.
  • Such a server 15 can be located in a remote network or be close to the equipment 10 when the IP address of the server 15 transmitted by the resolver 16 corresponds to a particular subnetwork in which the equipment 10 is located for example.
  • the choice of favoring a server 15 located in a remote network or in a subnetwork close to that in which the equipment 10 is located depends on the agreement established between the internet service provider with which a user has subscribed to a service offer. service and the third party company operating the authoritative servers 17 associated with the naming identifiers to be resolved.
  • the proxy server 11 intercepts the MSG message and transmits it, in a step E8 to the equipment 10: Finally in a step E9, the equipment 10 establishes a communication session with the server 15 whose identifier, for example the IP address, was included in the MSG message in order to obtain for example the content associated with the request in naming identifier resolution it issued.
  • the server 15 whose identifier, for example the IP address, was included in the MSG message in order to obtain for example the content associated with the request in naming identifier resolution it issued.
  • FIG. 3 a diagram of exchanges between different communication equipment involved in a second mode of implementation of the methods for processing a request for resolution of at least one naming identifier and for generating an execution authorization, by a proxy server embedded in an authoritative server, a function for resolving at least one naming identifier.
  • an authoritative server 17 associated with a naming identifier transmits a Record message comprising at least one parameter relating to said equipment 10, or a parameter relating to the naming identifier to resolve to the proxy server 11 embedded in the resolver 12 and a certificate indicating that the operator of the authoritative server 17 is the owner of the naming identifier considered.
  • a certificate of ownership can be delivered to the authoritative server 17 associated with the naming identifier to be resolved by a trusted authority.
  • the proxy server 11 knows that the information provided by the authoritative server 17 is reliable.
  • the parameter relating to the equipment 10 is for example an IP address mask, an IP address or more generally an identifier of the equipment 10.
  • the proxy server 11 can identify the equipment 10 for which particular processing of requests in naming identifier resolution must be applied.
  • the equipment 10 sends a message requesting the establishment of a Mask type communication session to the proxy server 11 embedded in the resolver 12.
  • a message for establishing a communication session is for example an http message of type CONNECT "connect-udp". in which 192.0.2.6 is the network address of resolver 12.
  • the data exchanged between the equipment 10 and the proxy server 11 during this session are therefore, for example, encapsulated in DATAGRAM type messages of the QUIC protocol, or “capsule” extensions (in the case of http messages of type CONNECT "connect-ip".
  • This encapsulation of the data exchanged is represented in the form of the tunnel Tun established between the equipment 10 and the resolver 12.
  • the equipment 10 sends, in a step F2, a request for resolution of the RDN naming identifier to the proxy server 11 embedded in the resolver 12 since, in accordance with what is indicated in the DNS routing table TRDNS of the equipment 10, the default naming identifier resolver identified to resolve naming identifiers having an extension in “.corn” is resolver 12.
  • This request for resolution of the RDN naming identifier is for example a message of the type DNS over QUIC example.com.
  • the proxy server 11 receives the RDN naming identifier resolution request.
  • the proxy server 11 determines, for example by means of the IP address mask received during step E0, whether or not the request for resolution of an RDN naming identifier must be subject to special processing. If this is the case, the proxy server 11 implements step F4.
  • the Record message sent by the authoritative server 17 during step F0 includes in addition to the parameter relating to said equipment 10, the parameter relating to the naming identifier to be resolved and the certificate of ownership of the authoritative server 17, a redirection parameter for the naming identifier resolution request.
  • a redirection parameter is for example an identifier such as an IP address of the naming identifier resolver 16 which is for example operated by the internet service provider with which a user of the equipment 10 has subscribed to a service offer. .
  • the resolver 12 then transmits the request for resolution of an RDN naming identifier to the resolver 16, during step F4, instead of processing it itself as requested by the equipment 10.
  • a step F5 the resolver 16 resolves the naming identifier included in the request for resolution of the RDN naming identifier and in a step F6 transmits an MSG message comprising an IP address or an identifier associated with at least one associated server 15 to the naming identifier to be resolved to the proxy server 11.
  • an MSG message is a message conforming to the DNS protocol.
  • Such a server 15 can be located in a remote network or be close to the equipment 10 when the IP address of the server 15 transmitted by the resolver 16 corresponds to a particular subnetwork in which the equipment 10 is located for example.
  • the choice of favoring a server 15 located in a remote network or in a subnetwork close to that in which the equipment 10 is located depends on the agreement established between the internet service provider with which a user has subscribed to a service offer. service and the third party company operating the authoritative servers 17 associated with the naming identifiers to be resolved.
  • the proxy server 11 embedded in the resolver can also indicate in the MSG message a modification of the resolver for this domain identifier.
  • header fields specific to this method are added to the MSG message such as a DNS_ROUTE_DOMAIN header field and a DNS_ROUTE_RESOLVER header field indicating to the equipment 10 that the resolver 16 is now the default resolver for the domain identifier example.com.
  • a DNS_ROUTE_DOMAIN header field indicating to the equipment 10 that the resolver 16 is now the default resolver for the domain identifier example.com.
  • Such a procedure is defined by the IETF in the following document: https://httpwg.org/http-extensions/draft-ietf-httpbis-message-signatures.html.
  • the equipment 10 On receipt of the MSG message, the equipment 10 updates the TRFNS routing table with this information.
  • the equipment 10 establishes a communication session with the server 15 whose identifier, for example the IP address, was included in the MSG message in order to obtain for example the content associated with the http request which he performs.
  • the server 15 whose identifier, for example the IP address, was included in the MSG message in order to obtain for example the content associated with the http request which he performs.
  • the authoritative server 17 associated with the naming identifier example.com generates an AD execution authorization associated with the proxy server 11 for the naming identifier example.com.
  • the authoritative server 17 encrypts with a private cryptographic key associated with a public cryptographic key each naming identifier associated with a proxy server 11 to which it gives authorization to execute a resolution function of at least one naming identifier .
  • the authoritative server 17 calculates a digital fingerprint of the naming identifier associated with an identifier of the proxy server 11 signed by means of the cryptographic key associated with the authoritative server 17.
  • Such a digital fingerprint is for example a hash of the public key of the authoritative server 17, the naming identifier, example.com, and the identifier of the proxy server 11.
  • the authoritative server 17 thus determines the AD execution authorization of the proxy server 11 for the naming identifier example. com.
  • the authoritative server 17 transmits a Record message comprising at least one parameter relating to said equipment 10, a certificate of ownership of the authoritative server 17 and an execution authorization AD.
  • a certificate of ownership can be delivered to the authoritative server 17 associated with the naming identifier to be resolved by a trusted authority.
  • the proxy server 11 knows that the information provided by the authoritative server 17 is reliable.
  • the parameter relating to equipment 10 is for example an IP address mask.
  • the proxy server 11 can identify the equipment 10 for which particular processing of requests for resolution of naming identifiers must be applied.
  • the naming identifier resolver 12 stores IP addresses of servers 15 associated with the naming identifiers for which it has AD execution authorization in a correspondence table intended to be used during resolution naming identifiers.
  • steps GO, Gl and G2 do not directly trigger steps G3 and following, they may be prior to them or be subsequent to step G3 in order to ensure the proper execution of the processes for processing a request for resolution of at at least one naming identifier and generating an authorization for execution, by a proxy server, of a function for resolving at least one naming identifier.
  • the equipment 10 sends a message requesting the establishment of a communication session HS to the proxy server 11.
  • a message for establishing a communication session is for example a http message of type CONNECT "connect-udp": where 192.0.2.6 is the network address of resolver 12.
  • the data exchanged between the equipment 10 and the proxy server 11 during this session are therefore encapsulated in UDP packets.
  • This encapsulation of the data exchanged is represented in the form of the tunnel Tun established between the equipment 10 and the proxy server 11.
  • the equipment 10 sends, in a step G4, a request for resolution of the RDN naming identifier to the proxy server 11 for the identifier of naming example.com.
  • This request for resolution of the RDN naming identifier is for example a message of the type DNS over QUIC example.com.
  • the default naming identifier resolver identified to resolve naming identifiers having an extension in “.corn”, or a specific naming identifier such as "example.com” is the resolver 12.
  • the request for resolution of the RDN naming identifier is sent by the equipment 10 to the resolver 12.
  • the proxy server 11 intercepts the request for resolution of the RDN naming identifier.
  • the proxy server 11 determines, by means of the IP address mask received during step G2, whether or not the request for resolution of an RDN naming identifier must be subject to special processing. If this is the case, the proxy server 11 implements step G6.
  • the proxy server 11 having determined that it has an AD execution authorization associated with the naming identifier to be resolved, does not proceed to transmit the request for resolution of Naming identifiers intercepted. Instead, it proceeds to resolve the naming identifier included in the naming identifier resolution request using the lookup table obtained in step G3.
  • the proxy server 11 transmits, in a step G7, a message MSG1 comprising an identifier such as for example an IP address, a domain name, etc. associated with at least one server 15 associated with the naming identifier resolved to the equipment 10.
  • a message MSG1 comprising an identifier such as for example an IP address, a domain name, etc. associated with at least one server 15 associated with the naming identifier resolved to the equipment 10.
  • Such a server 15 can be located in a remote network or be close to the equipment 10 when the IP address of the server 15 transmitted by the resolver 16 corresponds to a particular subnetwork in which the equipment 10 is located for example.
  • the choice of favoring a server 15 located in a remote network or in a subnetwork close to that in which the equipment 10 is located depends on the agreement established between the internet service provider with which a user has subscribed to a service offer. service and an entity operating the authoritative servers 17 associated with the naming identifiers to be resolved.
  • the equipment 10 establishes a communication session with the server 15 whose IP address was included in the MSG message.
  • the [fig. 5] represents a proxy server 11 capable of implementing the different embodiments of the method for processing a request for resolution of at least one naming identifier according to Figures 2 to 4.
  • a proxy server 11 may comprise at least one hardware processor 51, a storage unit 52, and at least one network interface 53 which are connected to each other via a bus 54.
  • the constituent elements of the proxy server 11 can be connected using a connection other than a bus.
  • the processor 51 controls the operations of the proxy server 11.
  • the storage unit
  • the processor 51 stores at least one program for implementing the method according to a mode of realization to be executed by the processor 51, and various data, such as parameters used for calculations carried out by the processor 51, intermediate data of calculations carried out by the processor 51, etc.
  • the processor 51 can be formed by any known and suitable hardware or software, or by a combination of hardware and software.
  • the processor 51 can be formed by dedicated hardware such as a processing circuit, or by a programmable processing unit such as a Central Processing Unit which executes a program stored in a memory. this one.
  • the storage unit 52 may be formed by any suitable means capable of storing the program(s) and data in a computer-readable manner.
  • Examples of storage unit 52 include non-transitory computer-readable storage media such as solid-state memory devices, and magnetic, optical, or magneto-optical recording media loaded into a read and read unit. 'writing.
  • At least one network interface 53 provides a connection between the proxy server 11, the resolvers 12-16, the equipment 10 and the authoritative server 17.
  • the [fig. 6] represents an authoritative server 17 capable of implementing the different embodiments of the method for generating an authorization for execution, by a proxy server, of a function for resolving at least one naming identifier according to the figures 2 to 4.
  • An authoritative server 17 may comprise at least one hardware processor 61, a storage unit 62, and at least one network interface 63 which are connected to each other via a bus 64.
  • the constituent elements of the server hosting resources 14 can be connected by means of a connection other than a bus.
  • the processor 61 controls the operations of the authoritative server 17.
  • the storage unit 62 stores at least one program for implementing the method according to an embodiment to be executed by the processor 61, and various data, such as parameters used for calculations carried out by the processor 61, intermediate data of calculations carried out by the processor 61, etc.
  • the processor 61 can be formed by any known and suitable hardware or software, or by a combination of hardware and software.
  • the processor 61 can be formed by dedicated hardware such as a processing circuit, or by a programmable processing unit such as a Central Processing Unit which executes a program stored in a memory. this one.
  • the storage unit 62 may be formed by any suitable means capable of storing the program(s) and data in a computer-readable manner.
  • Examples of storage unit 62 include non-transitory computer-readable storage media such as solid-state memory devices, and magnetic, optical, or magneto-optical recording media loaded into a read and read unit. 'writing.
  • At least one network interface 63 provides a connection between the authoritative server 17 and the proxy server 11.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Dans certaines solutions de résolutions d'identifiants de nommage existantes, le résolveur destiné à résoudre un identifiant de nommage est sélectionné par défaut par l'équipement requérant la résolution de cet identifiant de nommage. Ceci est préjudiciable car les requêtes en résolution d'identifiants de nommage sont transmises par l'équipement à des résolveurs d'identifiants de nommage sans concertation avec le fournisseur de service internet ISP auprès duquel un utilisateur de l'équipement a souscris une offre de service et sans que celui-ci ait accès à ces requêtes en résolution d'identifiants de nommage puisque ces dernières sont transmises au travers d'un tunnel établi entre l'équipement et un serveur mandataire opéré par une société tierce. L'invention permet de forcer la transmission de la requête en résolution d'un identifiant de nommage vers un autre résolveur d'identifiants de nommage sélectionné par le fournisseur de service internet auprès duquel un utilisateur de l'équipement a souscrit une offre de service.

Description

DESCRIPTION
TITRE : Procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage, dispositif et programme d'ordinateur correspondants
Domaine de l'invention
Le domaine de l'invention est celui de la résolution d'identifiants de nommage tels que des noms de domaines. Plus précisément, l'invention concerne l'identification et la sélection d'une entité embarquant une fonction de résolution d'identifiants de nommage, normalement exécutée par des résolveurs d'identifiants de nommage par défaut.
Art antérieur et ses inconvénients
Le développement récent de protocoles de transport sécurisé des résolutions de nommage (DNS) tel que les protocoles DoH (DoH signifiant DNS over HTTPS) spécifié dans le document RFC8484 (Request for Comment) publié par l'IETF (Internet Engineering Task Force) ou DoT (DNS over TLS), spécifié dans le document RFC7858 également publié par l'IETF s'est accompagné de la sélection dynamique du résolveur d'identifiants de nommage, ou résolveur DNS, par l'équipement requérant la résolution d'un identifiant de nommage. Afin de permettre à un équipement de sélectionner le résolveur d'identifiants de nommage idoine, ce dernier est doté d'une table de routage de résolution d'identifiants de nommage ou table de routage DNS, listant le ou les résolveurs d'identifiants de nommage à destination desquels il peut transmettre une requête en résolution d'identifiants de nommage ainsi qu'un jeu de règles de sélection du résolveur d'identifiants de nommage approprié.
Dans un premier mode, dit « par défaut », l'équipement établit une connexion sécurisée avec le résolveur sélectionné et lui transmet une requête en résolution d'identifiants de nommage.
Afin d'augmenter d'avantage le niveau de sécurité, il est proposé aux équipements 10 de communiquer avec un serveur mandataire afin de masquer leur adresse réseau - aux résolveurs d'identifiants de nommage.
La [Fig. IA] représente un exemple du scenario de résolution d'identifiants de nommage impliquant un serveur mandataire, dans lequel un équipement 10, tel qu'un terminal utilisateur, comprend une table de routage DNS TRDNS comprenant les identifiants tels qu'une adresse réseau, un nom de domaine, etc. de trois résolveurs d'identifiants de nommage 12, 13 et 14 ainsi que les règles permettant de sélectionner le résolveur d'identifiants de nommage à contacter. Une telle table de routage DNS indique qu'un identifiant de nommage en « .corn » est résolu par le résolveur d'identifiants de nommage 12, qu'un identifiant de nommage en « .fr » est résolu par le résolveur d'identifiants de nommage 13 et que le résolveur d'identifiants de nommage 14 est le résolveur d'identifiants de nommage par défaut. Le résolveur d'identifiants de nommage 16 n'est, quant à lui, pas répertorié dans la table de routage DNS TRDNS. L'équipement 17 est un serveur autoritaire associé à au moins un identifiant de nommage à résoudre.
L'équipement 10 établit une connexion avec un serveur mandataire 11 opéré par une société tierce. En d'autres termes, les données échangées entre l'équipement 10 et le serveur mandataire 11 sont encapsulées conformément au protocole HTTPS (pour Hypertext Transfer Protocol Secure en langue anglaise) transporté par les protocoles de transports sécurisés TLS (pour Transport Layer Security en langue anglaise) ou QUIC (pour Quick UDP Internet Connection en langue anglaise). Cette encapsulation des données échangées est représentée sous la forme d'un tunnel Tun établi entre l'équipement 10 et le serveur mandataire 11. Une telle encapsulation peut être obtenue en échangeant des messages conformes l'extension DATAGRAM du protocole QUIC telles que définies dans le document RFC 9221 publié par l'IETF, à l'extension « capsule » définie dans le document RFC 9297 publié par l'IETF ou encore les extensions « draft-ietf-masque-connect- ip » et « connect-udp »" définies dans le document RFC 9298 lui aussi publié par l'IETF. L'équipement 10 émet une requête de résolution d'identifia nts de nommage à destination du résolveur d'identifiants de nommage adapté, par exemple le résolveur 12 car l'identifiant de nommage à résoudre est « example.com » au travers du tunnel Tun.
Le serveur mandataire 11 relaye ensuite un message émis par le résolveur 12, destiné à l'équipement 10, comprenant au moins un identifiant de nommage, comme par exemple une adresse IP (Internet Protocol) de type IPv4 ou IPv6 ou encore des données de redirection telles qu'un nom de domaine canonique ou DNS CNAME associé à des serveurs 15 associés à l'identifiant de nommage à résoudre, ces serveurs 15 stockant des données relatives à la mise œuvre d'un service requis par l'équipement 10 tel que des données relatives à une page web ou des données relatives à un contenu téléchargeable, etc. Un tel message est transmis par le serveur mandataire 11 à l'équipement 10 au travers du tunnel Tun.
L'équipement 10 peut alors établir une connexion avec le serveur 15 correspondant et peut accéder aux données relatives à la mise œuvre du service requis.
La [Fig. IB] représente un exemple du scenario de résolution d'identifiants de nommage dit « par défaut », dans lequel l'équipement 10 comprend toujours une table de routage DNS TRDNS comprenant les identifiants tels qu'une adresse réseau, un nom de domaine, etc. de trois résolveurs d'identifiants de nommage 12, 13 et 14 ainsi que les règles permettant de sélectionner le résolveur d'identifiants de nommage à contacter. Une telle table de routage DNS indique qu'un identifiant de nommage en « .corn » est résolu par le résolveur d'identifiants de nommage 12, qu'un identifiant de nommage en « .fr » est résolu par le résolveur d'identifiants de nommage 13 et que le résolveur d'identifiants de nommage 14 est le résolveur d'identifiants de nommage par défaut. Le résolveur d'identifiants de nommage 16 n'est, quant à lui, pas répertorié dans la table de routage DNS TRDNS. L'équipement 17 est un serveur autoritaire associé à au moins un identifiant de nommage à résoudre.
L'équipement 10 établit une connexion avec un serveur mandataire 11 opéré par une société tierce et embarqué dans le résolveur 12. En d'autres termes, les données échangées entre l'équipement 10 et le serveur autoritaire 12 sont encapsulées conformément au protocole HTTPS transporté par les protocoles de transports sécurisés TLS ou QUIC. Cette encapsulation des données échangées est représentée par le tunnel Tun établi entre l'équipement 10 et le résolveur 12. Une telle encapsulation peut être obtenue en échangeant des messages conformes à l'extension DATAGRAM du protocole QUIC, à l'extension « capsule » ou encore les extensions « draft-ietf- masque-connect-ip » et « connect-udp »".
L'équipement 10 émet une requête de résolution d'identifiants de nommage à destination du résolveur 12 car l'identifiant de nommage à résoudre est « example.com » au travers du tunnel Tun.
Le résolveur 12 transmet ensuite un message au travers du tunnel Tun à destination de l'équipement 10, comprenant au moins un identifiant de nommage, comme par exemple une adresse IP (Internet Protocol) de type IPv4 ou IPv6 ou encore des données de redirection telles qu'un nom de domaine canonique ou DNS CNAME associé à des serveurs 15 associés à l'identifiant de nommage à résoudre, ces serveurs 15 stockant des données relatives à la mise œuvre d'un service requis par l'équipement 10 tel que des données relatives à une page web ou des données relatives à un contenu téléchargeable, etc.
L'équipement 10 peut alors établir une connexion avec le serveur 15 correspondant et peut accéder aux données relatives à la mise œuvre du service requis.
Dans ce scenario, les requêtes en résolution d'identifiants de nommage sont transmises à des résolveurs d'identifiants de nommage sans concertation avec le fournisseur de service internet ISP auprès duquel un utilisateur de l'équipement 10 a souscrit une offre de service, notamment une offre de service de connectivité pouvant contenir des qualités de service différenciées en fonction des offres/besoins des partenaires du fournisseur de services ISP, et sans que celui-ci ait accès à ces requêtes en résolution d'identifiants de nommage puisque ces dernières sont transmises au travers du tunnel Tun.
Cela impacte la gestion des ressources des différents équipements de communication, gérés par le fournisseur de service internet ISP auprès duquel un utilisateur de l'équipement 10 a souscrit une offre de service et impliqués dans la résolution d'identifiants de nommage qui peuvent ne pas être utilisés de manière optimale. Le fournisseur de service, par ailleurs, ne peut pas intervenir par exemple sur la requête en résolution et la réponse à cette requête, notamment pour adapter la réponse à l'architecture du fournisseur de services ou des partenaires au fournisseur de services. L'intervention peut consister en effet à enrichir la requête avec une information pouvant être utilisée pour adapter la réponse en fonction de cet enrichissement ou bien à équilibrer par exemple la charge entre plusieurs serveurs opérés pour le compte d'un ou plusieurs partenaires du fournisseur de services ISP stockant les données relatives à la mise en œuvre du service. Il existe donc un besoin d'une technique de résolution d'identifiants de nommage présentant pas tout ou partie des inconvénients précités.
Exposé de l'invention
L'invention répond à ce besoin en proposant un procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage émise par un équipement au travers d'un chemin établi entre ledit équipement et un serveur mandataire, ledit procédé étant mis en œuvre par ledit serveur mandataire et comprenant les étapes suivantes :
- interception de ladite requête comprenant un identifiant d'au moins une première entité implémentant une fonction de résolution d'au moins un identifiant de nommage, dite entité par défaut, à destination de laquelle elle a été émise,
- transmission de ladite requête à destination d'au moins une deuxième entité implémentant une fonction de résolution d'au moins un identifiant de nommage, ladite deuxième entité étant sélectionnée en fonction d'au moins un paramètre relatif audit équipement et/ou d'au moins un paramètre relatif à l'identifiant de nommage à résoudre,
- transmission à destination dudit équipement d'un identifiant d'au moins un serveur associé à l'identifiant de nommage à résoudre transmise par ladite deuxième entité.
Par serveur mandataire on entend tout équipement intermédiaire connu de l'équipement ou découvert lors des échanges protocolaires mis en œuvre lors de l'établissement du tunnel.
Une telle solution permet de forcer la transmission de la requête en résolution d'un identifiant de nommage émise par l'équipement à destination d'un résolveur d'identifiants de nommage par défaut vers un autre résolveur d'identifiants de nommage.
L'identité de ce deuxième résolveur d'identifiants de nommage peut, par exemple résulter d'un accord entre le fournisseur de service internet auprès duquel un utilisateur de l'équipement a souscrit une offre de service et une société tierce opérant les serveurs autoritaires associés aux identifiants de nommage à résoudre.
Pour se faire, le serveur mandataire (ou proxy) a en sa possession des informations lui permettant, pour un identifiant de nommage à résoudre, d'identifier au moins un résolveur d'identifiants de nommage à destination duquel transmettre la requête en résolution d'identifiants de nommage.
Ainsi, en fonction d'informations relatives à l'équipement ayant requis une résolution d'un identifiant de nommage, le serveur mandataire est capable de déterminer à destination de quel résolveur d'identifiants de nommage il doit confier le traitement de la requête en résolution d'identifiants de nommage émise par l'équipement.
Une telle requête en résolution d'identifiants de nommage étant transmise à un résolveur d'identifiants de nommage choisi par le fournisseur de service internet auprès duquel un utilisateur de l'équipement a souscrit une offre de service, ce dernier a de nouveau la capacité de gérer les ressources des différents équipements de communication qu'il opère.
Selon une autre caractéristique du procédé objet de l'invention, ce dernier comprend préalablement à l'interception de ladite requête, une étape de réception d'au moins un message comprenant ledit au moins paramètre relatif audit équipement et ledit au moins un paramètre relatif à l'identifiant de nommage à résoudre, ledit message étant émis par un serveur autoritaire associé à l'au moins un identifiant de nommage à résoudre.
Selon une autre caractéristique du procédé objet de la présente invention, ledit message reçu est en outre signé d'un certificat dudit serveur autoritaire indiquant la propriété de l'au moins un identifiant de nommage à résoudre.
Un tel certificat de propriété peut être délivré au serveur autoritaire associé à l'identifiant de nommage à résoudre par une autorité de confiance. Ainsi, le serveur mandataire sait que les informations fournies par le serveur autoritaire sont fiables.
Dans une implémentation du procédé objet de la présente invention, ledit au moins un paramètre relatif à l'au moins un identifiant de nommage à résoudre comprend au moins une adresse réseau d'un résolveur d'identifiants de nommage embarquant ladite deuxième entité et/ou une information de redirection de ladite requête à destination dudit résolveur d'identifiants de nommage.
Dans une telle implémentation, le serveur mandataire redirige la requête en résolution d'identifiants de nommage émise par l'équipement à destination d'un résolveur d'identifiants de nommage dont une adresse réseau lui a été fourni par le serveur autoritaire associé à l'identifiant de nommage à résoudre.
Dans une autre implémentation du procédé objet de la présente invention, ladite deuxième entité étant embarquée dans ledit serveur mandataire, ledit au moins un paramètre relatif à l'au moins un identifiant de nommage à résoudre comprend au moins une autorisation d'exécution par ledit serveur mandataire d'une fonction de résolution d'au moins un identifiant de nommage.
Une telle solution permet de déléguer la résolution d'identifiants de nommage effectuée par défaut par des résolveurs d'identifiants de nommage au serveur mandataire.
La délégation de la résolution d'identifiants de nommage au serveur mandataire permet de réduire les coûts liés à l'exécution de cette fonction de résolution d'identifiant de nommage. En effet, en délégant la résolution d'identifiants de nommage au serveur mandataire il est possible de réduire le nombre de connexions entre équipements de communication afin de résoudre un identifiant de nommage, notamment en réutilisant les connections existantes entre les équipements utilisateur et les serveurs mandataires. Une telle réduction du nombre de connexions entre équipements de communication entraine une réduction de la consommation énergétique de ces équipements de communication.
De plus, une telle solution de délégation de la résolution d'identifiants de nommage présente également des performances accrues. Cela tient au fait que le nombre de connexions établies entre des équipements de communication afin de résoudre un identifiant de nommage est réduit.
En outre, la solution de délégation de la résolution d'identifiants de nommage proposée est fiable. En effet, dans le cadre de la présente solution, un serveur mandataire mettant en œuvre une résolution d'identifiants de nommage à la place d'un résolveur d'identifiants de nommage est doté d'une autorisation d'exécution de cette fonction de résolution d'au moins un identifiant de nommage qui peut être vérifiée le cas échéant.
Selon une caractéristique du procédé objet de la présente invention, l'autorisation d'exécution est une empreinte numérique de l'au moins un identifiant de nommage associé audit serveur mandataire signée par une clé cryptographique associée audit serveur autoritaire associé audit au moins un identifiant de nommage à résoudre.
L'autorisation d'exécution est générée par le serveur autoritaire associé à l'identifiant de nommage à résoudre et est propre à chaque serveur mandataire auprès duquel une fonction de résolution d'un identifiant de nommage est déléguée. Ainsi, seul un serveur mandataire autorisé par un serveur autoritaire associé à un identifiant de nommage se voit déléguer la résolution d'identifiant de nommage.
Selon une caractéristique du procédé objet de la présente invention, le paramètre relatif à l'équipement est un paramètre de localisation de l'équipement.
En fonction de la localisation de l'équipement un résolveur d'identifiants de nommage pourra être préféré à un autre.
L'invention a également pour objet un procédé de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage, ledit serveur mandataire interceptant une requête en résolution d'au moins un identifiant de nommage émise par un équipement au travers d'un chemin établi entre ledit équipement et un serveur mandataire, ladite requête comprenant un identifiant d'au moins une première entité implémentant une fonction de résolution d'au moins un identifiant de nommage, dite entité par défaut, à destination de laquelle elle a été émise, ledit procédé étant mis en œuvre par un serveur autoritaire associé audit identifiant de nommage à résoudre et comprenant les étapes suivantes :
- détermination d'une empreinte numérique dudit au moins un identifiant de nommage à résoudre associé à un identifiant dudit serveur mandataire,
- transmission, à destination du serveur mandataire, de ladite autorisation d'exécution comprenant ladite empreinte numérique.
Selon une caractéristique du procédé de génération d'une autorisation d'exécution objet de la présente invention, ladite empreinte numérique est en outre signée par une clé cryptographique associée au serveur autoritaire.
Ainsi, l'authenticité et l'intégrité de l'empreinte numérique sont assurées et peuvent être, le cas échéant, vérifiées par le serveur mandataire.
L'invention concerne encore un serveur mandataire capable de traiter une requête en résolution d'au moins un identifiant de nommage émise par un équipement au travers d'un chemin établi entre ledit équipement et ledit serveur mandataire, ledit serveur mandataire comprenant au moins un processeur configuré pour:
- intercepter ladite requête comprenant un identifiant d'au moins une première entité implémentant une fonction de résolution d'au moins un identifiant de nommage, dite entité par défaut, à destination de laquelle elle a été émise,
- transmettre ladite requête à destination d'au moins une deuxième entité implémentant une fonction de résolution d'au moins un identifiant de nommage, ladite deuxième entité étant sélectionnée en fonction d'au moins paramètre relatif audit équipement et/ou d'au moins un paramètre relatif à l'identifiant de nommage à résoudre,
- transmettre à destination dudit équipement un identifiant d'au moins un serveur associé à l'identifiant de nommage à résoudre transmise par ladite deuxième entité.
L'invention a pour autre objet un serveur autoritaire associé à au moins un identifiant de nommage, ledit serveur étant capable de générer une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution dudit au moins un identifiant de nommage, ledit serveur mandataire interceptant une requête en résolution d'au moins un identifiant de nommage émise par un équipement au travers d'un chemin établi entre ledit équipement et un serveur mandataire, ladite requête comprenant un identifiant d'au moins une première entité implémentant une fonction de résolution d'au moins un identifiant de nommage, dite entité par défaut, à destination de laquelle elle a été émise, ledit serveur autoritaire comprenant au moins un processeur configuré pour :
- déterminer une empreinte numérique dudit au moins un identifiant de nommage à résoudre associé à un identifiant dudit serveur mandataire,
- transmettre, à destination du serveur mandataire, ladite autorisation d'exécution comprenant ladite empreinte numérique.
L'invention concerne enfin des produits programme d'ordinateur comprenant des instructions de code de programme pour la mise en œuvre des procédés tels que décrits précédemment, lorsqu'ils sont exécutés par un processeur.
L'invention vise également un support d'enregistrement lisible par un ordinateur sur lequel sont enregistrés des programmes d'ordinateur comprenant des instructions de code de programme pour l'exécution des étapes des procédés selon l'invention tels que décrits ci-dessus.
Un tel support d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker les programmes. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une clé USB ou un disque dur.
D'autre part, un tel support d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens, de sorte que les programmes d'ordinateur qu'il contient sont exécutables à distance. Les programmes selon l'invention peuvent être en particulier téléchargés sur un réseau par exemple le réseau Internet.
Alternativement, le support d'enregistrement peut être un circuit intégré dans lequel les programmes sont incorporés, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution des procédés objets de l'invention précités.
Liste des figures
D'autres buts, caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description suivante, donnée à titre de simple exemple illustratif, et non limitatif, en relation avec les figures, parmi lesquelles :
[fig. IA] : cette figure représente un premier exemple de scenario de résolution d'identifia nts de nommage,
[fig. IB] : cette figure représente un deuxième exemple de scenario de résolution d'identifiants de nommage,
[fig- 2] : cette figure représente un diagramme d'échanges entre différents équipements de communication impliqués dans un premier mode d'implémentation des procédés de traitement d'une requête en résolution d'au moins un identifiant de nommage et de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage,
[fig- 3] : cette figure représente un diagramme d'échanges entre différents équipements de communication impliqués dans un deuxième mode d'implémentation des procédés de traitement d'une requête en résolution d'au moins un identifiant de nommage et de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage,
[fig- 4] : cette figure représente un diagramme d'échanges entre différents équipements de communication impliqués dans un troisième mode d'implémentation des procédés de traitement d'une requête en résolution d'au moins un identifiant de nommage et de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage,
[fig- 5] : cette figure représente un serveur mandataire apte à mettre en œuvre les différents modes de réalisation du procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage selon l'invention,
[fig. 6] : cette figure représente un serveur autoritaire apte à mettre en œuvre les différents modes de réalisation du procédé de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage selon l'invention.
Description détaillée de modes de réalisation de l'invention
Le principe général de l'invention repose sur la transmission d'une requête en résolution d'un identifiant de nommage destinée à être traitée par un résolveur d'identifiants de nommage défini par défaut vers un autre résolveur d'identifiants de nommage choisi par exemple à l'issue d'un accord entre un fournisseur de service internet auprès duquel un utilisateur a souscrit une offre de service et une société tierce opérant des serveurs autoritaires associés aux identifiants de nommage à résoudre.
Cela permet notamment au fournisseur de service internet auprès duquel un utilisateur de l'équipement a souscrit une offre de service d'avoir de nouveau la capacité de gérer les ressources des différents équipements de communication qu'il opère.
On présente désormais, en relation avec la [fig. 2] un diagramme d'échanges entre différents équipements de communication impliqués dans un premier mode d'implémentation des procédés de traitement d'une requête en résolution d'au moins un identifiant de nommage et de de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage.
Au cours d'une étape E0, un serveur autoritaire 17 associé à un identifiant de nommage, tel que example.com, transmet un message Record comprenant au moins un paramètre relatif audit équipement 10, ou un paramètre relatif à l'identifiant de nommage à résoudre à destination du serveur mandataire 11 et un certificat indiquant que l'opérateur du serveur autoritaire 17 est propriétaire de l'identifiant de nommage considéré. Un tel certificat de propriété peut être délivré au serveur autoritaire 17 associé à l'identifiant de nommage à résoudre par une autorité de confiance. Ainsi, le serveur mandataire 11 sait que les informations fournies par le serveur autoritaire 17 sont fiables. Le paramètre relatif à l'équipement 10 est par exemple un masque d'adresses IP, une adresse IP ou plus généralement un identifiant de l'équipement 10. Ainsi, le serveur mandataire 11 peut identifier les équipements 10 pour lesquels un traitement particulier des requêtes en résolution d'identifiants de nommage doit être appliqué.
Au cours d'une étape El, un équipement 10, tel qu'un terminal utilisateur, émet un message de demande d'établissement d'une session de communication de type Masque à destination du serveur mandataire 11. Un tel message d'établissement d'une session de communication est par exemple un message http de type CONNECT "connect-udp" défini dans le document RFC 9298 publié par l'IETF.
Figure imgf000009_0001
Figure imgf000010_0001
dans lequel 192.0.2.6 est l'adresse réseau du résolveur 12.
Les données échangées entre l'équipement 10 et le serveur mandataire 11 au cours de cette session sont donc, par exemple, encapsulées dans des messages de type DATAGRAM du protocole QUIC, ou des extensions « capsule » (dans le cas de messages http de type CONNECT "connect-ip". Cette encapsulation des données échangées est représentée sous la forme du tunnel Tun établi entre l'équipement 10 et le serveur mandataire 11.
Une fois la session de communication établie entre l'équipement 10 et le serveur mandataire 11, l'équipement 10 émet, dans une étape E2, une requête en résolution d'identifiant de nommage RDN à destination du serveur mandataire 11 pour l'identifiant de nommage example.com. Cette requête en résolution d'identifiant de nommage RDN est par exemple un message du type DNS over QUIC example.com. Conformément à ce qui est indiqué dans la table de routage DNS TRDNS de l'équipement 10, le résolveur d'identifiants de nommage par défaut identifié pour résoudre les identifiants de nommage ayant une extension en « .corn » est le résolveur 12. Ainsi, la requête en résolution d'identifiant de nommage RDN est émise par l'équipement 10 à destination du résolveur 12.
Dans une étape E3, le serveur mandataire 11 intercepte la requête en résolution d'identifiant de nommage RDN. Le serveur mandataire 11 détermine, par exemple au moyen du masque d'adresses IP reçus au cours de l'étape E0, si la requête en résolution d'un identifiant de nommage RDN doit faire ou non l'objet d'un traitement particulier. Si tel est le cas, le serveur mandataire 11 met en œuvre l'étape E4.
Dans ce premier mode de réalisation, le message Record émis par le serveur autoritaire 17 au cours de l'étape E0 comprend en plus du paramètre relatif audit équipement 10, du paramètre relatif à l'identifiant de nommage à résoudre et du certificat de propriété du serveur autoritaire 17, un paramètre de redirection de la requête en résolution d'identifiants de nommage. Un tel paramètre de redirection est par exemple un identifiant tel qu'une adresse IP du résolveur d'identifiants de nommage 16, lequel est par exemple opéré par le fournisseur de service internet auprès duquel un utilisateur de l'équipement 10 a souscrit une offre de service.
Le serveur mandataire 11 émet alors la requête en résolution d'un identifiant de nommage RDN à destination du résolveur 16, au cours de l'étape E4, au lieu de la transférer au résolveur 12 comme demandé par l'équipement 10.
Dans une étape E5, le résolveur 16 résout l'identifiant de nommage compris dans la requête en résolution d'identifiant de nommage RDN et émet dans une étape E6 un message MSG comprenant une adresse IP ou un identifiant associé à au moins un serveur 15 associé à l'identifiant de nommage à résoudre. Un tel message MSG est un message conforme au protocole DNS.
Un tel serveur 15 peut être situé dans un réseau distant ou être proche de l'équipement 10 lorsque l'adresse IP du serveur 15 transmise par le résolveur 16 correspond à un sous-réseau particulier dans lequel se situe l'équipement 10 par exemple. Le choix de privilégier un serveur 15 situé dans un réseau distant ou dans un sous-réseau proche de celui dans lequel l'équipement 10 se situe relève de l'accord établi entre le fournisseur de service internet auprès duquel un utilisateur a souscrit une offre de service et la société tierce opérant les serveurs autoritaires 17 associés aux identifiants de nommage à résoudre.
Dans une étape E7, le serveur mandataire 11 intercepte le message MSG et le transmet, dans une étape E8 à destination de l'équipement 10 : Enfin dans une étape E9, l'équipement 10 établit une session de communication avec le serveur 15 dont l'identifiant, par exemple l'adresse IP, était comprise dans le message MSG afin d'obtenir par exemple le contenu associé à la requête en résolution d'identifiant de nommage qu'il a émise.
On présente désormais, en relation avec la [fig. 3] un diagramme d'échanges entre différents équipements de communication impliqués dans un deuxième mode d'implémentation des procédés de traitement d'une requête en résolution d'au moins un identifiant de nommage et de de génération d'une autorisation d'exécution, par un serveur mandataire embarqué dans un serveur autoritaire, d'une fonction de résolution d'au moins un identifiant de nommage.
Au cours d'une étape F0, un serveur autoritaire 17 associé à un identifiant de nommage, tel que example.com, transmet un message Record comprenant au moins un paramètre relatif audit équipement 10, ou un paramètre relatif à l'identifiant de nommage à résoudre à destination du serveur mandataire 11 embarqué dans le résolveur 12 et un certificat indiquant que l'opérateur du serveur autoritaire 17 est propriétaire de l'identifiant de nommage considéré. Un tel certificat de propriété peut être délivré au serveur autoritaire 17 associé à l'identifiant de nommage à résoudre par une autorité de confiance. Ainsi, le serveur mandataire 11 sait que les informations fournies par le serveur autoritaire 17 sont fiables. Le paramètre relatif à l'équipement 10 est par exemple un masque d'adresses IP, une adresse IP ou plus généralement un identifiant de l'équipement 10. Ainsi, le serveur mandataire 11 peut identifier les équipements 10 pour lesquels un traitement particulier des requêtes en résolution d'identifiants de nommage doit être appliqué.
Au cours d'une étape Fl, l'équipement 10 émet un message de demande d'établissement d'une session de communication de type Masque à destination du serveur mandataire 11 embarqué dans le résolveur 12. Un tel message d'établissement d'une session de communication est par exemple un message http de type CONNECT "connect-udp".
Figure imgf000011_0001
dans lequel 192.0.2.6 est l'adresse réseau du résolveur 12.
Les données échangées entre l'équipement 10 et le serveur mandataire 11 au cours de cette session sont donc, par exemple, encapsulées dans des messages de type DATAGRAM du protocole QUIC, ou des extensions « capsule » (dans le cas de messages http de type CONNECT "connect-ip". Cette encapsulation des données échangées est représentée sous la forme du tunnel Tun établi entre l'équipement 10 et le résolveur 12.
Une fois la session de communication établie entre l'équipement 10 et le serveur mandataire 11, l'équipement 10 émet, dans une étape F2, une requête en résolution d'identifiant de nommage RDN à destination du serveur mandataire 11 embarqué dans le résolveur 12 puisque, conformément à ce qui est indiqué dans la table de routage DNS TRDNS de l'équipement 10, le résolveur d'identifiants de nommage par défaut identifié pour résoudre les identifiants de nommage ayant une extension en « .corn » est le résolveur 12. Cette requête en résolution d'identifiant de nommage RDN est par exemple un message du type DNS over QUIC example.com. Dans une étape F3, le serveur mandataire 11 reçoit la requête en résolution d'identifiant de nommage RDN. Le serveur mandataire 11 détermine, par exemple au moyen du masque d'adresses IP reçus au cours de l'étape E0, si la requête en résolution d'un identifiant de nommage RDN doit faire ou non l'objet d'un traitement particulier. Si tel est le cas, le serveur mandataire 11 met en œuvre l'étape F4.
Dans ce premier mode de réalisation, le message Record émis par le serveur autoritaire 17 au cours de l'étape F0 comprend en plus du paramètre relatif audit équipement 10, du paramètre relatif à l'identifiant de nommage à résoudre et du certificat de propriété du serveur autoritaire 17, un paramètre de redirection de la requête en résolution d'identifiants de nommage. Un tel paramètre de redirection est par exemple un identifiant tel qu'une adresse IP du résolveur d'identifiants de nommage 16 lequel est par exemple opéré par le fournisseur de service internet auprès duquel un utilisateur de l'équipement 10 a souscrit une offre de service.
Le résolveur 12 transmet alors la requête en résolution d'un identifiant de nommage RDN à destination du résolveur 16, au cours de l'étape F4, au lieu de la traiter lui-même comme demandé par l'équipement 10.
Dans une étape F5, le résolveur 16 résout l'identifiant de nommage compris dans la requête en résolution d'identifiant de nommage RDN et émet dans une étape F6 un message MSG comprenant une adresse IP ou un identifiant associé à au moins un serveur 15 associé à l'identifiant de nommage à résoudre à destination du serveur mandataire 11. Un tel message MSG est un message conforme au protocole DNS.
Un tel serveur 15 peut être situé dans un réseau distant ou être proche de l'équipement 10 lorsque l'adresse IP du serveur 15 transmise par le résolveur 16 correspond à un sous-réseau particulier dans lequel se situe l'équipement 10 par exemple. Le choix de privilégier un serveur 15 situé dans un réseau distant ou dans un sous-réseau proche de celui dans lequel l'équipement 10 se situe relève de l'accord établi entre le fournisseur de service internet auprès duquel un utilisateur a souscrit une offre de service et la société tierce opérant les serveurs autoritaires 17 associés aux identifiants de nommage à résoudre.
Dans une étape F7, le serveur mandataire 11 intercepte le message MSG et le transmet, dans une étape F8 à destination de l'équipement via de l'ajout de champs d'entête http propres au présent procédé tels qu'un champ d'entête DNS_ID = 'example.com', un champ d'entête DNS_TYPE='A' ou encore un champ d'entête DNS_VALUE=' 103.168.1.1' indiquant à l'équipement 10 qu'il doit demander le contenu identifié par l'identifiant de domaine « example.com » au serveur 15 dont l'adresse réseau est 193.168.1.1.
Le serveur mandataire 11 embarqué dans le résolveur peut en outre indiquer dans le message MSG une modification du résolveur pour cet identifiant de domaine.
Pour cela, des champs d'entête propres au présent procédé sont ajoutés au message MSG tel qu'un champ d'entête DNS_ROUTE_DOMAIN et un champ d'entête DNS_ROUTE_RESOLVER indiquant à l'équipement 10 que le résolveur 16 est maintenant le résolveur par défaut pour l'identifiant de domaine example.com. Une telle procédure est définie par l'IETF dans le document suivant : https://httpwg.org/http-extensions/draft-ietf-httpbis-message-signatures.html.
A réception du message MSG, l'équipement 10 met à jour la table de routage TRFNS avec ces informations.
Enfin dans une étape F9, l'équipement 10 établit une session de communication avec le serveur 15 dont l'identifiant, par exemple l'adresse IP, était comprise dans le message MSG afin d'obtenir par exemple le contenu associé à la requête http qu'il effectue.
On présente désormais, en relation avec la [fig. 4] un diagramme d'échanges entre différents équipements de communication impliqués dans un troisième mode d'implémentation des procédés de traitement d'une requête en résolution d'au moins un identifiant de nommage et de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage.
Au cours d'étape GO, le serveur autoritaire 17 associé à l'identifiant de nommage example.com génère une autorisation d'exécution AD associé au serveur mandataire 11 pour l'identifiant de nommage example.com.
Ainsi, le serveur autoritaire 17 chiffre avec une clé cryptographique privée associée à une clé cryptographique publique chaque identifiant de nommage associé à un serveur mandataire 11 auquel il donne une autorisation d'exécution d'une fonction de résolution d'au moins un identifiant de nommage. Le serveur autoritaire 17 calcule ensuite une empreinte numérique de l'identifiant de nommage associé à un identifiant du serveur mandataire 11 signée au moyen de la clé cryptographique associée au serveur autoritaire 17. Une telle empreinte numérique est par exemple un hash de la clé publique du serveur autoritaire 17, de l'identifiant de nommage, example.com, et de l'identifiant du serveur mandataire 11. Le serveur autoritaire 17 détermine ainsi l'autorisation d'exécution AD du serveur mandataire 11 pour l'identifiant de nommage example.com.
Dans une étape Gl, le serveur autoritaire 17 transmet un message Record comprenant au moins un paramètre relatif audit équipement 10, un certificat de propriété du serveur autoritaire 17 et une autorisation d'exécution AD. Un tel certificat de propriété peut être délivré au serveur autoritaire 17 associé à l'identifiant de nommage à résoudre par une autorité de confiance. Ainsi, le serveur mandataire 11 sait que les informations fournies par le serveur autoritaire 17 sont fiables. Le paramètre relatif à l'équipement 10 est par exemple un masque d'adresses IP. Ainsi, le serveur mandataire 11 peut identifier les équipements 10 pour lesquels un traitement particulier des requêtes en résolution d'identifiants de nommage doit être appliqué.
Dans une étape G2, Le résolveur d'identifiant de nommage 12 stocke des adresses IP de serveurs 15 associés aux identifiants de nommage pour lesquels il dispose d'une autorisation d'exécution AD dans une table de correspondance destinée à être utilisée lors de la résolution des identifiants de nommages.
Ces étapes GO, Gl et G2 ne déclenchent pas directement les étapes G3 et suivantes, elles peuvent leur être préalables ou être postérieures à l'étape G3 afin d'assurer la bonne exécution des procédés de traitement d'une requête en résolution d'au moins un identifiant de nommage et de de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage.
Au cours d'une étape G3, l'équipement 10 émet un message de demande d'établissement d'une session de communication HS à destination du serveur mandataire 11. Un tel message d'établissement d'une session de communication est par exemple un message http de type CONNECT "connect-udp" :
Figure imgf000013_0001
Figure imgf000013_0002
où 192.0.2.6 est l'adresse réseau du résolveur 12.
Les données échangées entre l'équipement 10 et le serveur mandataire 11 au cours de cette session sont donc encapsulées dans des paquets UDP. Cette encapsulation des données échangées est représentée sous la forme du tunnel Tun établit entre l'équipement 10 et le serveur mandataire 11.
Une fois la session de communication établie entre l'équipement 10 et le serveur mandataire 11, l'équipement 10 émet, dans une étape G4, une requête en résolution d'identifiant de nommage RDN à destination du serveur mandataire 11 pour l'identifiant de nommage example.com. Cette requête en résolution d'identifiant de nommage RDN est par exemple un message du type DNS over QUIC example.com. Conformément à ce qui est indiqué dans la table de routage DNS TRDNS de l'équipement 10, le résolveur d'identifiants de nommage par défaut identifié pour résoudre les identifiants de nommage ayant une extension en « .corn », ou un identifiant de nommage spécifique tel que « example.com », est le résolveur 12. Ainsi, la requête en résolution d'identifiant de nommage RDN est émise par l'équipement 10 à destination du résolveur 12.
Dans une étape G5, le serveur mandataire 11 intercepte la requête en résolution d'identifiant de nommage RDN. Le serveur mandataire 11 détermine au moyen du masque d'adresses IP reçus au cours de l'étape G2, si la requête en résolution d'un identifiant de nommage RDN doit faire ou non l'objet d'un traitement particulier. Si tel est le cas, le serveur mandataire 11 met en œuvre l'étape G6.
Au cours de l'étape G6, le serveur mandataire 11, ayant déterminé qu'il possède d'une autorisation d'exécution AD associée à l'identifiant de nommage à résoudre, ne procède pas à la transmission de la requête en résolution d'identifiants de nommage interceptée. Au lieu de cela, il procède à la résolution de l'identifiant de nommage compris dans la requête en résolution d'identifiants de nommage au moyen de la table de correspondance obtenue à l'étape G3.
Une fois l'identifiant de nommage résolu, le serveur mandataire 11 émet, dans une étape G7, un message MSG1 comprenant un identifiant tel que par exemple une adresse IP, un nom de domaine, etc. associé à au moins un serveur 15 associé à l'identifiant de nommage résolu à destination de l'équipement 10.
Un tel serveur 15 peut être situé dans un réseau distant ou être proche de l'équipement 10 lorsque l'adresse IP du serveur 15 transmise par le résolveur 16 correspond à un sous-réseau particulier dans lequel se situe l'équipement 10 par exemple. Le choix de privilégier un serveur 15 situé dans un réseau distant ou dans un sous-réseau proche de celui dans lequel l'équipement 10 se situe relève de l'accord établi entre le fournisseur de service internet auprès duquel un utilisateur a souscrit une offre de service et une entité opérant les serveurs autoritaires 17 associés aux identifiants de nommage à résoudre.
Enfin dans une étape G8, l'équipement 10 établit une session de communication avec le serveur 15 dont l'adresse IP était comprise dans le message MSG.
La [fig. 5] représente un serveur mandataire 11 apte à mettre en œuvre les différents modes de réalisation du procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage selon les figures 2 à 4.
Un serveur mandataire 11 peut comprendre au moins un processeur matériel 51, une unité de stockage 52, et au moins une interface de réseau 53 qui sont connectés entre eux au travers d'un bus 54. Bien entendu, les éléments constitutifs du serveur mandataire 11 peuvent être connectés au moyen d'une connexion autre qu'un bus.
Le processeur 51 commande les opérations du serveur mandataire 11. L'unité de stockage
52 stocke au moins un programme pour la mise en œuvre de la méthode selon un mode de réalisation à exécuter par le processeur 51, et diverses données, telles que des paramètres utilisés pour des calculs effectués par le processeur 51, des données intermédiaires de calculs effectués par le processeur 51, etc. Le processeur 51 peut être formé par tout matériel ou logiciel connu et approprié, ou par une combinaison de matériel et de logiciel. Par exemple, le processeur 51 peut être formé par un matériel dédié tel qu'un circuit de traitement, ou par une unité de traitement programmable telle qu'une unité centrale de traitement (Central Processing Unit) qui exécute un programme stocké dans une mémoire de celui-ci.
L'unité de stockage 52 peut être formée par n'importe quel moyen approprié capable de stocker le programme ou les programmes et des données d'une manière lisible par un ordinateur. Des exemples d'unité de stockage 52 comprennent des supports de stockage non transitoires lisibles par ordinateur tels que des dispositifs de mémoire à semi-conducteurs, et des supports d'enregistrement magnétiques, optiques ou magnéto-optiques chargés dans une unité de lecture et d'écriture.
Au moins une interface réseau 53 fournit une connexion entre le serveur mandataire 11, les résolveurs 12-16, l'équipement 10 et le serveur autoritaire 17.
La [fig. 6] représente un serveur autoritaire 17 apte à mettre en œuvre les différents modes de réalisation du procédé de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage selon les figures 2 à 4.
Un serveur autoritaire 17 peut comprendre au moins un processeur matériel 61, une unité de stockage 62, et au moins une interface de réseau 63 qui sont connectés entre eux au travers d'un bus 64. Bien entendu, les éléments constitutifs du serveur hébergeant des ressources 14 peuvent être connectés au moyen d'une connexion autre qu'un bus.
Le processeur 61 commande les opérations du serveur autoritaire 17. L'unité de stockage 62 stocke au moins un programme pour la mise en œuvre de la méthode selon un mode de réalisation à exécuter par le processeur 61, et diverses données, telles que des paramètres utilisés pour des calculs effectués par le processeur 61, des données intermédiaires de calculs effectués par le processeur 61, etc. Le processeur 61 peut être formé par tout matériel ou logiciel connu et approprié, ou par une combinaison de matériel et de logiciel. Par exemple, le processeur 61 peut être formé par un matériel dédié tel qu'un circuit de traitement, ou par une unité de traitement programmable telle qu'une unité centrale de traitement (Central Processing Unit) qui exécute un programme stocké dans une mémoire de celui-ci.
L'unité de stockage 62 peut être formée par n'importe quel moyen approprié capable de stocker le programme ou les programmes et des données d'une manière lisible par un ordinateur. Des exemples d'unité de stockage 62 comprennent des supports de stockage non transitoires lisibles par ordinateur tels que des dispositifs de mémoire à semi-conducteurs, et des supports d'enregistrement magnétiques, optiques ou magnéto-optiques chargés dans une unité de lecture et d'écriture.
Au moins une interface réseau 63 fournit une connexion entre le serveur autoritaire 17 et le serveur mandataire 11.

Claims

REVENDICATIONS
1. Procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage émise par un équipement au travers d'un chemin établi entre ledit équipement et un serveur mandataire, ledit procédé étant mis en œuvre par ledit serveur mandataire et comprenant les étapes suivantes :
- interception de ladite requête comprenant un identifiant d'au moins une première entité implémentant une fonction de résolution d'au moins un identifiant de nommage, dite entité par défaut, à destination de laquelle ladite requête a été émise,
- transmission de ladite requête à destination d'au moins une deuxième entité implémentant une fonction de résolution de l'au moins un identifiant de nommage, ladite deuxième entité étant sélectionnée en fonction d'au moins un paramètre relatif audit équipement et/ou d'au moins un paramètre relatif à l'au moins un identifiant de nommage à résoudre,
- transmission à destination dudit équipement d'un identifiant d'au moins un serveur associé à l'au moins un identifiant de nommage à résoudre transmise par ladite deuxième entité.
2. Procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage selon la revendication 1 comprenant, préalablement à l'interception de ladite requête, une étape de réception d'au moins un message comprenant ledit au moins un paramètre relatif audit équipement et ledit au moins un paramètre relatif à l'identifiant de nommage à résoudre, ledit message étant émis par un serveur autoritaire associé à l'au moins un identifiant de nommage à résoudre.
3. Procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage selon la revendication 2 dans lequel ledit message reçu est en outre signé d'un certificat dudit serveur autoritaire indiquant la propriété de l'au moins un identifiant de nommage à résoudre.
4. Procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage selon l'une quelconque des revendications 1 à 3 dans lequel ledit au moins un paramètre relatif à l'au moins un identifiant de nommage à résoudre comprend au moins une adresse réseau d'un résolveur d'identifiants de nommage embarquant ladite deuxième entité et/ou une information de redirection de ladite requête à destination dudit résolveur d'identifiants de nommage.
5. Procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage selon les revendications 2 à 3 dans lequel, ladite deuxième entité étant embarquée dans ledit serveur mandataire, ledit au moins un paramètre relatif à l'au moins un identifiant de nommage à résoudre comprend au moins une autorisation d'exécution par ledit serveur mandataire d'une fonction de résolution d'au moins un identifiant de nommage.
6. Procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage selon la revendication 5 dans lequel l'autorisation d'exécution est une empreinte numérique de l'au moins un identifiant de nommage associé audit serveur mandataire signée par une clé cryptographique associée audit serveur autoritaire associé audit au moins un identifiant de nommage à résoudre.
7. Procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage selon l'une quelconque des revendications précédentes dans lequel l'au moins un paramètre relatif à l'équipement est un paramètre de localisation de l'équipement.
8. Procédé de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage, ledit serveur mandataire interceptant une requête en résolution d'au moins un identifiant de nommage émise par un équipement au travers d'un chemin établi entre ledit équipement et un serveur mandataire, ladite requête comprenant un identifiant d'au moins une première entité implémentant une fonction de résolution d'au moins un identifiant de nommage, dite entité par défaut, à destination de laquelle elle a été émise, ledit procédé étant mis en œuvre par un serveur autoritaire associé audit identifiant de nommage à résoudre et comprenant les étapes suivantes :
- détermination d'une empreinte numérique dudit au moins un identifiant de nommage à résoudre associé à un identifiant dudit serveur mandataire,
- transmission, à destination du serveur mandataire, de ladite autorisation d'exécution comprenant ladite empreinte numérique.
9. Procédé de génération d'une autorisation d'exécution selon la revendication 8 dans lequel ladite empreinte numérique est en outre signée par une clé cryptographique associée au serveur autoritaire.
10. Serveur mandataire capable de traiter une requête en résolution d'au moins un identifiant de nommage émise par un équipement au travers d'un chemin établi entre ledit équipement et ledit serveur mandataire, ledit serveur mandataire comprenant au moins un processeur configuré pour :
- intercepter ladite requête comprenant un identifiant d'au moins une première entité implémentant une fonction de résolution d'au moins un identifiant de nommage, dite entité par défaut, à destination de laquelle elle a été émise,
- transmettre ladite requête à destination d'au moins une deuxième entité implémentant une fonction de résolution d'au moins un identifiant de nommage, ladite deuxième entité étant sélectionnée en fonction d'au moins un paramètre relatif audit équipement et/ou d'au moins un paramètre relatif à l'identifiant de nommage à résoudre,
- transmettre à destination dudit équipement un identifiant d'au moins un serveur associé à l'identifiant de nommage à résoudre transmise par ladite deuxième entité.
11. Serveur autoritaire associé à au moins un identifiant de nommage, ledit serveur étant capable de générer une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution dudit au moins un identifiant de nommage, ledit serveur mandataire interceptant une requête en résolution d'au moins un identifiant de nommage émise par un équipement au travers d'un chemin établi entre ledit équipement et un serveur mandataire, ladite requête comprenant un identifiant d'au moins une première entité implémentant une fonction de résolution d'au moins un identifiant de nommage, dite entité par défaut, à destination de laquelle elle a été émise, ledit serveur autoritaire comprenant au moins un processeur configuré pour :
- déterminer une empreinte numérique dudit au moins un identifiant de nommage à résoudre associé à un identifiant dudit serveur mandataire,
- transmettre, à destination du serveur mandataire, ladite autorisation d'exécution comprenant ladite empreinte numérique.
12. Produit programme d'ordinateur comprenant des instructions de code de programme pour la mise en œuvre d'un procédé selon les revendications 1 à 7, lorsqu'il est exécuté par un processeur.
13. Produit programme d'ordinateur comprenant des instructions de code de programme pour la mise en œuvre d'un procédé selon les revendications 8 à 9, lorsqu'il est exécuté par un processeur.
PCT/EP2023/078560 2022-10-18 2023-10-13 Procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage, dispositif et programme d'ordinateur correspondants WO2024083694A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FRFR2210753 2022-10-18
FR2210753A FR3141023A1 (fr) 2022-10-18 2022-10-18 Procédé de traitement d’une requête en résolution d’au moins un identifiant de nommage, dispositif et programme d’ordinateur correspondants

Publications (1)

Publication Number Publication Date
WO2024083694A1 true WO2024083694A1 (fr) 2024-04-25

Family

ID=86099840

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2023/078560 WO2024083694A1 (fr) 2022-10-18 2023-10-13 Procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage, dispositif et programme d'ordinateur correspondants

Country Status (2)

Country Link
FR (1) FR3141023A1 (fr)
WO (1) WO2024083694A1 (fr)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200120024A1 (en) * 2018-10-12 2020-04-16 Hewlett Packard Enterprise Development Lp Domain name system (dns) optimization for wide area networks

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200120024A1 (en) * 2018-10-12 2020-04-16 Hewlett Packard Enterprise Development Lp Domain name system (dns) optimization for wide area networks

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"Recursive DoH", 4 November 2019 (2019-11-04), XP051813182, Retrieved from the Internet <URL:https://ftp.3gpp.org/tsg_sa/WG6_MissionCritical/TSGS6_034_Reno/docs/S6-192117.zip pCR_Pictures v2.1.pptx> [retrieved on 20191104] *
ERICSSON: "pCR 23.758 - New solution", vol. SA WG6, no. Reno NV, USA; 20191111 - 20191115, 4 November 2019 (2019-11-04), XP051815168, Retrieved from the Internet <URL:https://ftp.3gpp.org/tsg_sa/WG6_MissionCritical/TSGS6_034_Reno/docs/S6-192093.zip S6-192093 pCR_758 new solution_r3.2.docx> [retrieved on 20191104] *
ERICSSON: "Solution to KI#1, DNS over HTTP", vol. SA WG2, no. Incheon, Korea; 20200113 - 20200117, 7 January 2020 (2020-01-07), XP051842304, Retrieved from the Internet <URL:https://ftp.3gpp.org/tsg_sa/WG2_Arch/TSGS2_136AH_Incheon/Docs/S2-2000197.zip S2-2000197_pCR DoH solution.docx> [retrieved on 20200107] *

Also Published As

Publication number Publication date
FR3141023A1 (fr) 2024-04-19

Similar Documents

Publication Publication Date Title
EP2553908B1 (fr) Serveur dns, passerelles et procedes pour la gestion d&#39;un identifiant d&#39;une plage de ports dans la transmission de donnees
EP2294798B1 (fr) Procede de routage d&#39;un paquet de donnees dans un reseau et dispositif associe
WO2018130796A1 (fr) Procédés et dispositifs de vérification de la validité d&#39;une délégation de diffusion de contenus chiffrés
EP3568966B1 (fr) Procédés et dispositifs de délégation de diffusion de contenus chiffrés
WO2024083694A1 (fr) Procédé de traitement d&#39;une requête en résolution d&#39;au moins un identifiant de nommage, dispositif et programme d&#39;ordinateur correspondants
WO2021123593A1 (fr) Procede de resolution d&#39;identifiants de nommage
WO2020128239A1 (fr) Procédé de détermination d&#39;une chaîne de délégation associée à une résolution d&#39;un nom de domaine dans un réseau de communication
WO2020128238A1 (fr) Procédé d&#39;acquisition d&#39;une chaîne de délégation relative à la résolution d&#39;un identifiant de nom de domaine dans un réseau de communication
EP3149902B1 (fr) Technique d&#39;obtention d&#39;une politique de routage de requêtes émises par un module logiciel s&#39;exécutant sur un dispositif client
WO2020002793A1 (fr) Procédé de modification de messages par un équipement sur un chemin de communication établi entre deux nœuds
EP4128717A1 (fr) Délégation d&#39;une fonction de résolution d&#39;identifiants de nommage
WO2023083772A1 (fr) Procédés de contrôle et de transmission, et entités configurées pour mettre en œuvre ces procédés
FR3081644A1 (fr) Procede de decouverte de fonctions intermediaires et de selection d&#39;un chemin entre deux equipements de communication
FR3015839A1 (fr) Procede de ralentissement d&#39;une communication dans un reseau
WO2024068722A1 (fr) Procedes de resolution de nom, de communication, de traitement de messages et serveur, dispositif client et noeud relais correspondants
WO2021260327A1 (fr) Procede de controle d&#39;acces a un contenu mis en œuvre par un serveur cache
WO2024121281A1 (fr) Procédé de gestion d&#39;un ensemble d&#39;adresses ip, procédé de collaboration et dispositifs configurés pour mettre en œuvre ces procédés
EP2053833A1 (fr) Procédé de traduction d&#39;entête de paquets de données
WO2023281231A1 (fr) Procede d&#39;etablissement authentifie d&#39;une connexion entre un equipement raccorde a au moins un reseau de communication et un serveur d&#39;un fournisseur de services et dispositifs correspondants
FR3137238A1 (fr) Procédé de suspension d’un jeton de certification permettant d’authentifier l’établissement d’une connexion entre deux équipements de communication, dispositifs et programmes d’ordinateur correspondants
WO2021240098A1 (fr) Procede de delegation de la livraison de contenus a un serveur cache
WO2011023881A1 (fr) Technique pour evaluer une collaboration entre des noeuds d&#39;un reseau de communication

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23786621

Country of ref document: EP

Kind code of ref document: A1