用戶自主選擇域名系統(tǒng)DNS解析線路的系統(tǒng)和方法技術(shù)方案

一種用戶自主選擇DNS解析線路的系統(tǒng)和方法，該系統(tǒng)改進之處是：DNS服務器和認證服務器(Portal服務器或NAS服務器)各自在原裝置基礎上，分別增設用于相互通信的認證服務器通信接口和DNS服務器通信接口。這樣改進后，認證服務器將用戶終端IP地址及其所選鏈路封裝于報文，直接經(jīng)由DNS服務器通信接口傳送給DNS服務器。DNS服務器從其認證服務器通信接口接收報文、獲知信息后，將所選鏈路對應為運營商線路，建立用戶終端IP地址和運營商線路映射表。在接收到用戶訪問某域名請求時，直接在映射表中查找用戶地址對應的運營商線路，返回所選運營商鏈路下該域名解析得到的IP地址。本發(fā)明專利技術(shù)系統(tǒng)結(jié)構(gòu)簡單，容易實現(xiàn)，操作步驟便利、靈活，網(wǎng)絡訪問速度快，用戶體驗良好。

【技術(shù)實現(xiàn)步驟摘要】

本專利技術(shù)涉及一種用戶自主選擇域名系統(tǒng)DNS(Domain Name System)解析線路的系統(tǒng)和方法，屬于計算機網(wǎng)絡通信的

技術(shù)介紹
認證、授權(quán)、計費的AAA(Authentication、Authorization、Accounting)服務器架構(gòu)是用于智能控制計算機網(wǎng)絡資源的接入訪問、強制執(zhí)行某些管控措施、以及向付費服務提供必要信息的實現(xiàn)網(wǎng)絡安全管理的一種重要機制，這個服務器整合機制能夠同時為客戶端提供認證、授權(quán)、計費的三種網(wǎng)絡安全管理功能。因此，在現(xiàn)有的IP認證計費網(wǎng)絡中，通常的解決方案是使用Portal(門戶或入口)協(xié)議配合AAA服務器進行客戶端的認證、授權(quán)、計費；或者采用美國電氣電子工程師學會IEEE802委員會制定的LAN標準中的802.1X進行用戶認證：由網(wǎng)絡接入認證裝置—網(wǎng)絡接入服務器NAS(Network Access Server)接收認證，并向AAA服務器進行驗證?，F(xiàn)在，這兩種技術(shù)和方法已經(jīng)成為一項使用非常廣泛、有效的實現(xiàn)網(wǎng)絡管理和安全方面的重要技術(shù)措施和保障。其中：認證是確認用戶終端或裝置(如主機、服務器、交換機、路由器等)所宣稱的身份的過程。認證是通過提供身份和憑證來完成的。此處的憑證包括各種各樣，例如：密碼、一次性令牌、數(shù)字證書及電話號碼(呼叫方/被呼叫方)。授權(quán)是授予用戶、用戶群、系統(tǒng)或某一進程的訪問權(quán)限，它是以用戶各自的認證、請求的服務和當前系統(tǒng)狀態(tài)為前提。授權(quán)基于設定的限制，如使用時段限制、物理位置限制或禁止相同用戶多次登錄的限制等。授權(quán)決定了授予用戶服務的特征。例如，包括但又不僅限于下述的各種服務：IP地址過濾、地址分配、路徑分配、服務質(zhì)量QoS(Quality of Service)/差分服務、帶寬控制/流量管理、特定終點的強制隧道和加密術(shù)。計費是創(chuàng)建某個用戶執(zhí)行設定行為的方法，如跟蹤用戶鏈接、日志系統(tǒng)用戶等。計費信息可能用于實現(xiàn)管理、規(guī)劃、計量或其它目標。實時計費(Real-time accounting)是采用計費信息與資源消耗并發(fā)傳送的方式。分批計費(Batch accounting)是在計費過程中，采用將計費信息在發(fā)送后才被保存處理的方式。通常收集的信息包括：用戶身份、提供服務的性質(zhì)、服務開始和結(jié)束的時間。域名系統(tǒng)DNS(Domain Name System)是記錄域名和因特網(wǎng)協(xié)議IP(Internet Protocol)地址之間的映射關(guān)系的一個分布式數(shù)據(jù)庫，能夠使得用戶通過域名直接訪問網(wǎng)站，而不用去記住每個域名所對應的IP地址。在現(xiàn)有的IP認證計費網(wǎng)絡中，DNS服務器、認證服務器和用戶終端設備之間完成DNS解析線路的典型組網(wǎng)結(jié)構(gòu)及其交互流程如下所述(參見圖1)：(1)用戶預先簽約一個或多個提供互聯(lián)網(wǎng)接入服務的運營商。(2)用戶發(fā)起認證，根據(jù)網(wǎng)絡中認證服務器是Portal服務器還是網(wǎng)絡接入服務器NAS，分別采用兩種不同的認證方式：方法一：認證服務器是Portal服務器時，用戶通過其終端向Portal服務器發(fā)送認證信息(賬戶名及密碼)，并選擇本次接入使用的運營商接入裝置，也就是使用哪條出口鏈路進行后續(xù)的數(shù)據(jù)通信。方法二：認證服務器是網(wǎng)絡接入服務器NAS時，用戶發(fā)起802.1X認證，并選擇本次接入使用的運營商接入裝置，由網(wǎng)絡接入服務器NAS執(zhí)行接收認證操作，并向AAA服務器進行驗證。(3)認證服務器(Portal服務器或NAS服務器)通過用戶認證，并將用戶認證成功消息及使用的接入運營商接入裝置通知出口網(wǎng)關(guān)。(4)用戶終端向DNS服務器發(fā)起域名解析訪問請求。(5)DNS服務器隨機為用戶返回該域名在任一線路上的IP地址。(6)用戶向出口網(wǎng)關(guān)發(fā)起請求，請求訪問DNS服務器返回的這個IP地址。(7)出口網(wǎng)關(guān)根據(jù)步驟(3)接收到的選路結(jié)果，將用戶對應IP地址的訪問請求數(shù)據(jù)報文發(fā)送到用戶所選鏈路。例如，參見圖1(A)和(B)所示的兩個用戶A和用戶B，在向認證服務器發(fā)起認證時的網(wǎng)絡系統(tǒng)結(jié)構(gòu)組成及其交互流程如下：用戶A選擇的鏈路是電信，用戶B選擇的鏈路是聯(lián)通。認證服務器將他們各自的選路結(jié)果都分別發(fā)送給了出口網(wǎng)關(guān)，但是，DNS服務器并不知道他們各自的選路結(jié)果。因此，當用戶A和用戶B分別向DNS服務器發(fā)送域名wrdtech.com的解析請求后，DNS服務器給他們都隨機地返回了wrdtech.com在電信下的IP地址。用戶A和用戶B分別向這個電信的IP地址發(fā)起訪問請求，出口網(wǎng)關(guān)根據(jù)這兩個用戶的選路結(jié)果，將用戶A的訪問請求發(fā)送到電信鏈路(參見圖1(A))，將用戶B的訪問請求發(fā)送到聯(lián)通鏈路(參見圖1(B))。這樣就使得用戶A向電信運營商接入裝置請求訪問電信的IP地址時，電信運營商接入裝置就能夠直接經(jīng)過本網(wǎng)取得請求結(jié)果，實現(xiàn)訪問。而用戶B向聯(lián)通運營商接入裝置請求訪問電信運營商的IP地址，聯(lián)通運營商接入裝置就必須先將該訪問請求轉(zhuǎn)發(fā)到運營商網(wǎng)間的接入裝置，進入電信網(wǎng)絡后，才能夠返回電信運營商的該IP地址的訪問請求結(jié)果。由于這個用戶B的網(wǎng)絡訪問請求過程發(fā)生了跨運營商網(wǎng)絡的訪問、造成訪問路徑的迂回，增加了訪問延時和丟包風險，嚴重影響用戶的網(wǎng)絡訪問體驗?；谏鲜龇治?，目前的執(zhí)行認證的網(wǎng)絡系統(tǒng)結(jié)構(gòu)組成及其交互流程存在如下缺點：用戶終端在認證時只選擇了轉(zhuǎn)發(fā)流量(出口)的數(shù)據(jù)鏈路，沒有選擇DNS的解析線路，導致DNS服務器返回的域名IP地址所對應的運營商接入裝置和出口網(wǎng)關(guān)請求訪問的運營商不同時(例如用戶向聯(lián)通運營商接入裝置請求訪問電信IP地址)，這種情況就會產(chǎn)生路徑迂回，不僅增加訪問延時，還容易發(fā)生丟包風險導致網(wǎng)絡訪問速度明顯下降，影響用戶的訪問體驗，有時甚至出現(xiàn)用戶不能訪問某些網(wǎng)絡資源的情況。參見圖2，介紹目前針對上述問題的解決方案：在出口網(wǎng)關(guān)外部設置多臺DNS服務器，其中的每臺DNS服務器分別對應一個運營商接入裝置，其網(wǎng)絡系統(tǒng)的組成結(jié)構(gòu)與交互流程如圖2所示。(1)用戶預先簽約一個或多個提供互聯(lián)網(wǎng)接入服務的運營商。(2)用戶進行認證并選擇本次接入使用的運營商(例如聯(lián)通)。(3)認證服務器(Portal服務器或NAS服務器)通過用戶認證，并將用戶選擇的出口鏈路通知出口網(wǎng)關(guān)。(4)用戶終端向出口網(wǎng)關(guān)發(fā)起訪問請求(例如請求訪問域名wrdtech.com)。(5)出口網(wǎng)關(guān)接收到用戶終端的訪問請求，根據(jù)步驟(3)中接收到的選路結(jié)果，將訪問請求發(fā)送到所選鏈路運營商對應的DNS服務器、即DNS服務器1。(6)DNS服務器1給出口網(wǎng)關(guān)返回域名在該運營商接入裝置線路下對應的IP地址(wrdtech.com的聯(lián)通IP地址)。(7)出口網(wǎng)關(guān)將接收到的IP地址返回給用戶終端。(8)用戶終端向出口網(wǎng)關(guān)發(fā)送請求，請求訪問該IP地址。(9)出口網(wǎng)關(guān)將用戶終端的請求發(fā)送到步驟2中收到的選路結(jié)果所對應的運營商(聯(lián)通)接入裝置。(10)運營商接入裝置將訪問結(jié)果通過出口網(wǎng)關(guān)返回給用戶終端。然而，這樣的組網(wǎng)結(jié)構(gòu)與交流方式同樣存在許多缺點：首先是要為每個運營商接入裝置都對應配置至少一臺DNS服務器，造成軟硬件的投資費用顯著增加。而且，DNS服務器的部署位置要求特殊，某些網(wǎng)絡條件下無法部署實施。再者，將DNS服務器安設在出口網(wǎng)關(guān)外部，存在極大的安全隱患，容易遭到外部攻擊，導致網(wǎng)絡癱瘓。另外，由于用戶終端接入網(wǎng)本文檔來自技高網(wǎng)...

【技術(shù)保護點】
一種用戶自主選擇域名系統(tǒng)DNS(Domain?Name?System)解析線路的系統(tǒng)，包括：用戶終端、DNS服務器、認證服務器、出口網(wǎng)關(guān)和運營商接入裝置；其特征在于：所述DNS服務器和認證服務器各自分別增設用于相互通信的認證服務器通信接口和DNS服務器通信接口，所述認證服務器是門戶Portal服務器或網(wǎng)絡接入服務器NAS(Network?Access?Server)；其中：增設DNS服務器通信接口的認證服務器，由其用戶認證選路接口負責將完成認證并選路的用戶終端的IP地址及其所選鏈路信息分別傳送給DNS服務器通信接口和出口網(wǎng)關(guān)；該認證服務器的DNS服務器通信接口負責將該用戶終端的IP地址和Portal服務器或NAS服務器所選擇的鏈路信息封裝在報文中，直接發(fā)送給DNS服務器；增設認證服務器通信接口的DNS服務器，由其認證服務器通信接口負責接收來自認證服務器的報文，獲取用戶終端IP地址及其所選鏈路信息；再將該所選鏈路對應為相應運營商線路，建立用戶終端IP地址和運營商線路的映射表；DNS服務器在用戶終端認證上線時，按照認證先后順序，將用戶終端IP地址和運營商線路的對應關(guān)系記錄于映射表，以供接收到用戶終端訪問某個域名請求時，在映射表中查找該用戶終端IP地址所對應的運營商線路后，返回該用戶終端請求訪問的域名在其所選運營商線路下解析得到的IP地址；出口網(wǎng)關(guān)，負責從認證服務器接收完成認證與選路的用戶終端的所選線路結(jié)果，再根據(jù)接收到的用戶終端選路結(jié)果，將用戶終端對運營商線路域名IP地址的訪問請求發(fā)送到對應的運營商接入裝置，并將運營商接入裝置返回的訪問結(jié)果發(fā)送給用戶終端。...

【技術(shù)特征摘要】
1.一種用戶自主選擇域名系統(tǒng)DNS(Domain Name System)解析線路的系統(tǒng)，包括：用戶終端、DNS服務器、認證服務器、出口網(wǎng)關(guān)和運營商接入裝置；其特征在于：所述DNS服務器和認證服務器各自分別增設用于相互通信的認證服務器通信接口和DNS服務器通信接口，所述認證服務器是門戶Portal服務器或網(wǎng)絡接入服務器NAS(Network Access Server)；其中：增設DNS服務器通信接口的認證服務器，由其用戶認證選路接口負責將完成認證并選路的用戶終端的IP地址及其所選鏈路信息分別傳送給DNS服務器通信接口和出口網(wǎng)關(guān)；該認證服務器的DNS服務器通信接口負責將該用戶終端的IP地址和Portal服務器或NAS服務器所選擇的鏈路信息封裝在報文中，直接發(fā)送給DNS服務器；增設認證服務器通信接口的DNS服務器，由其認證服務器通信接口負責接收來自認證服務器的報文，獲取用戶終端IP地址及其所選鏈路信息；再將該所選鏈路對應為相應運營商線路，建立用戶終端IP地址和運營商線路的映射表；DNS服務器在用戶終端認證上線時，按照認證先后順序，將用戶終端IP地址和運營商線路的對應關(guān)系記錄于映射表，以供接收到用戶終端訪問某個域名請求時，在映射表中查找該用戶終端IP地址所對應的運營商線路后，返回該用戶終端請求訪問的域名在其所選運營商線路下解析得到的IP地址；出口網(wǎng)關(guān)，負責從認證服務器接收完成認證與選路的用戶終端的所選線路結(jié)果，再根據(jù)接收到的用戶終端選路結(jié)果，將用戶終端對運營商線路域名IP地址的訪問請求發(fā)送到對應的運營商接入裝置，并將運營商接入裝置返回的訪問結(jié)果發(fā)送給用戶終端。2.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征在于：所述DNS服務器是在現(xiàn)有的DNS服務器基礎上，增設與認證服務器的通信接口而構(gòu)成的。3.根據(jù)權(quán)利要求1所述的...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：王道佳，翁源，楊呈飛，郜東晨，
申請(專利權(quán))人：北京網(wǎng)瑞達科技有限公司，
類型：發(fā)明
國別省市：北京;11