專利名稱:流量管理設(shè)備的制作方法
技術(shù)領(lǐng)域:
本技術(shù)大體涉及網(wǎng)絡(luò)通信�,尤其是處理不同資源記錄類型之間請(qǐng)求的系統(tǒng)和方法。
背景技術(shù):
計(jì)算機(jī)網(wǎng)絡(luò)(比如�����,互聯(lián)網(wǎng))正在緩慢而吃力地從互聯(lián)網(wǎng)協(xié)議第4版(IPv4, Internet Protocol version 4)轉(zhuǎn)換到互聯(lián)網(wǎng)協(xié)議第 6 版(IPv6, InternetProtocolversion 6):緩慢是由于如果所有的網(wǎng)絡(luò)設(shè)備均部署IPv6��,部署IPv6才是最有用的(“網(wǎng)絡(luò)效應(yīng)”)�����,吃力是由于需要更新軟件和/或硬件��。一個(gè)示例方案為DNS64�,其為把在 IPv4中使用的A記錄合成為在IPv6中使用的AAAA資源記錄(或�����,4-A記錄)的示例性機(jī)制����。但是�����,如果請(qǐng)求AAAA資源地址的DNS客戶端和DNS服務(wù)器之間的DNS64軟件已經(jīng)進(jìn)行了AAAA資源記錄的合成但是不能對(duì)合成的AAAA資源記錄簽名,下游驗(yàn)證器會(huì)將合成的AAAA資源記錄類型標(biāo)記為無(wú)效���,這是由于傳統(tǒng)的技術(shù)不能驗(yàn)證合成的AAAA資源記錄造成的。當(dāng)轉(zhuǎn)換到IPv6時(shí)(針對(duì)的是源自A響應(yīng)的AAAA響應(yīng),該A響應(yīng)為不同于該AAAA響應(yīng)的資源記錄類型)���,與IPv4A資源記錄類型相關(guān)的原始資源記錄簽名(RRSIG, Resource RecordSignature)變成無(wú)效���。因此�����,DNS64的傳統(tǒng)實(shí)現(xiàn)方式破壞了域名系統(tǒng)安全擴(kuò)展(DNSSEC��,Domain Name System SecurityExtensions)�����。遺憾的是,采用傳統(tǒng)技術(shù)會(huì)獲得未通過(guò)驗(yàn)證的AAAA資源記錄響應(yīng),這對(duì)請(qǐng)求該資源記錄的客戶端設(shè)備構(gòu)成安全威脅,并造成其DNSSEC不能實(shí)現(xiàn)。
實(shí)用新型內(nèi)容本技術(shù)的一個(gè)示例為一種處理不同資源記錄類型之間請(qǐng)求的方法����。該方法包括在流量管理設(shè)備根據(jù)客戶端設(shè)備的請(qǐng)求從一個(gè)或多個(gè)服務(wù)器設(shè)備接收第一資源記錄類型�。該流量管理設(shè)備驗(yàn)證該第一資源記錄類型��,并在驗(yàn)證后創(chuàng)建對(duì)應(yīng)于該第一資源記錄類型的第二資源記錄類型�����。在該流量管理設(shè)備對(duì)第二資源記錄類型簽名����,從而為該客戶端設(shè)備的該請(qǐng)求提供服務(wù)�����。另一示例為存儲(chǔ)有用于處理不同資源記錄類型之間請(qǐng)求的指令的計(jì)算機(jī)可讀介質(zhì)�,當(dāng)被至少一個(gè)處理器執(zhí)行時(shí)�,使該處理器進(jìn)行一系列步驟�����。該步驟包括在流量管理設(shè)備根據(jù)客戶端設(shè)備的請(qǐng)求從一個(gè)或多個(gè)服務(wù)器設(shè)備接收第一資源記錄類型。另外,該步驟包括在該流量管理設(shè)備驗(yàn)證該第一資源記錄類型,并在驗(yàn)證后創(chuàng)建對(duì)應(yīng)于該第一資源記錄類型的第二資源記錄類型����;在該流量管理設(shè)備對(duì)該第二資源記錄類型簽名,從而為該客戶端設(shè)備的請(qǐng)求提供服務(wù)。另一示例為流量管理設(shè)備,其包括至少一個(gè)用于執(zhí)行存儲(chǔ)在存儲(chǔ)器內(nèi)的程序指令的一個(gè)以上處理器;通過(guò)總線與所述一個(gè)以上處理器連接的存儲(chǔ)器;以及與所述處理器和所述存儲(chǔ)器連接并用于接收和轉(zhuǎn)發(fā)來(lái)自網(wǎng)絡(luò)的涉及多個(gè)應(yīng)用程序的數(shù)據(jù)包以及處理不同資源記錄類型之間請(qǐng)求的網(wǎng)絡(luò)接口控制器���。在該示例中��,具有邏輯的所述網(wǎng)絡(luò)接口控制器進(jìn)一步包括根據(jù)客戶端設(shè)備的請(qǐng)求接收來(lái)自一個(gè)以上服務(wù)器設(shè)備的第一資源記錄類型的接收模塊�;驗(yàn)證所述第一資源記錄類型的驗(yàn)證模塊;在驗(yàn)證后創(chuàng)建對(duì)應(yīng)于所述第一資源記錄類型的第二資源記錄類型的創(chuàng)建模塊;對(duì)所述第二資源記錄類型簽名從而為客戶端設(shè)備的請(qǐng)求提供服務(wù)的簽名模塊。這些示例給安全處理請(qǐng)求和動(dòng)態(tài)實(shí)時(shí)或高速(on-the-fly)地把請(qǐng)求從一種資源記錄類型轉(zhuǎn)換成另一種類型帶來(lái)了諸多好處��。僅作為示例,公開的技術(shù)能給DNS64實(shí)時(shí)動(dòng)態(tài)部署DNSSEC代理����,從而在IPv4和IPv6環(huán)境之間維持完整的信任關(guān)系或信任鏈���。即使 當(dāng)AAAA記錄通過(guò)DNS64設(shè)備(比如�����,流量管理設(shè)備)合成時(shí)����,仍然維持了信任鏈��,因?yàn)樵摵铣傻腁AAA記錄是通過(guò)在該合成發(fā)生的DNS64設(shè)備處附上簽名來(lái)驗(yàn)證的。因此,當(dāng)請(qǐng)求的資源記錄類型未從服務(wù)器未獲得時(shí)�,對(duì)該合成或創(chuàng)建的示例性資源記錄類型的AAAA資源記錄進(jìn)行的驗(yàn)證使該請(qǐng)求的響應(yīng)有效�����,從而滿足響應(yīng)設(shè)備(比如,服務(wù)器)的DNSSEC�。需要指出����,盡管在上述示例中對(duì)AAAA和A資源記錄類型進(jìn)行了討論����,但是該技術(shù)也適用于其他類型的資源記錄���,包括��,但不限于����,安德魯文件系統(tǒng)數(shù)據(jù)庫(kù)(AFSDB, Andrew FileSystem Database)記錄、規(guī)范名稱(CNAME, CanonicalName)記錄���、主機(jī)信息(HINFO, HostInformation)記錄�、綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN, Integrated Services Digital Network)記錄�����、位置(L0C, Location)記錄、郵件交換(MX, Mail Exchanger)記錄���、郵件組(MG, MailGroup)記錄��、郵箱(MB, Mailbox)記錄��、郵箱信息(MINF0, Mailbox Information)記錄、郵箱重命名(MR, Mailbox Rename)記錄��、名稱服務(wù)器(NS, Name Server)記錄�����、網(wǎng)絡(luò)業(yè)務(wù)接入?yún)f(xié)議(NSAP, Network Service Access Protocol)記錄、公鑰(KEY)記錄�、負(fù)責(zé)人(RP��,Responsible Person)記錄��、反向查詢指針(PTR,Reverse-lookupPointer)記錄��、路徑方向(RT, Route Through)記錄�、起始授權(quán)機(jī)構(gòu)(S0A, Start of Authority)記錄、文本(TXT)記錄�、公認(rèn)服務(wù)(WKS, Well-Known Services)記錄、X. 400地址映射(PX)記錄�����、X25地址映射(X25)記錄等�。結(jié)合附圖,上述或其他優(yōu)點(diǎn)����、方面和特征在下面的詳細(xì)說(shuō)明中會(huì)更加清晰。結(jié)合附圖對(duì)非限制性和非窮盡的示例進(jìn)行說(shuō)明�。因此�,下面的附圖和說(shuō)明為說(shuō)明性的,而非限定性或限制性的��。
圖I為采用流量管理設(shè)備處理不同資源記錄類型之間請(qǐng)求的示例性網(wǎng)絡(luò)系統(tǒng)環(huán)境的不意圖���;圖2為圖I所示示例性網(wǎng)絡(luò)環(huán)境中流量管理設(shè)備的部分原理和功能框圖�;圖3為處理不同資源記錄類型之間請(qǐng)求的示例性步驟和方法的流程圖��;圖4為流量管理設(shè)備中網(wǎng)絡(luò)接口控制器的部分功能框圖����。
具體實(shí)施方式
所公開技術(shù)中的多個(gè)示例使流量管理設(shè)備110能夠處理來(lái)自客戶端設(shè)備的第一資源記錄類型的請(qǐng)求并基于服務(wù)器設(shè)備的不同的或第二資源記錄類型的響應(yīng)為這些請(qǐng)求提供服務(wù)。比如,在IPv6單一環(huán)境中運(yùn)行的客戶端設(shè)備需要與在IPv4單一環(huán)境中運(yùn)行的服務(wù)器通信����。流量管理設(shè)備110驗(yàn)證其自身合成的或從服務(wù)器接收的響應(yīng)來(lái)回應(yīng)請(qǐng)求�����。在一個(gè)示例中�,流量管理設(shè)備110驗(yàn)證IPv6客戶端設(shè)備的AAAA資源記錄類型��,當(dāng)存在來(lái)自服務(wù)器的IPv4A資源記錄類型響應(yīng)時(shí),在流量管理設(shè)備110創(chuàng)建AAAA資源記錄類型�,這樣�,合成的AAAA資源記錄類型對(duì)應(yīng)于流量管理設(shè)備110接收的A資源記錄類型�����。參照?qǐng)D1,示出了示例性網(wǎng)絡(luò)系統(tǒng)100�,其包括用于處理不同資源記錄類型之間請(qǐng)求的流量管理設(shè)備110����。僅作為示例����,網(wǎng)絡(luò)112可根據(jù)本示例中基于超文本傳輸協(xié)議(HTTP)的應(yīng)用、各種請(qǐng)求評(píng)議(RFC, Request for Comments)文件指南或通用互聯(lián)網(wǎng)文件系統(tǒng)(CIFS,Common Internet File System)或網(wǎng)絡(luò)文件系統(tǒng)(NFS,Network File System)協(xié)議來(lái)接收請(qǐng)求并提供響應(yīng)��,當(dāng)然,本申請(qǐng)所討論的原理不限于這些示例��,還可包括其他應(yīng)用協(xié)議和其他類型的請(qǐng)求(比如,基于文件傳輸協(xié)議(FTP)的請(qǐng)求)。該示例性網(wǎng)絡(luò)系統(tǒng)100可包括一系列的一個(gè)或多個(gè)客戶端設(shè)備,比如��,客戶端計(jì)算機(jī)104(1)到104(n)���?�?蛻舳擞?jì)算 機(jī)104(1)到104 (η)通過(guò)包含負(fù)載均衡設(shè)備106(1)到106 (η)的多個(gè)負(fù)載均衡設(shè)備106與流量管理設(shè)備110連接,每個(gè)負(fù)載均衡設(shè)備具有一個(gè)基于資源記錄類型格式的唯一的網(wǎng)絡(luò)地址(比如,唯一的128位IPv6地址)��。流量管理設(shè)備110設(shè)置在服務(wù)器102 (I)到102 (η)和客戶端設(shè)備104(1)到104(η)之間來(lái)提供從網(wǎng)絡(luò)112到局域網(wǎng)(LAN) 114的一個(gè)或多個(gè)通信信道���,當(dāng)然�����,也可在沒有網(wǎng)絡(luò)112和/或局域網(wǎng)114的網(wǎng)絡(luò)系統(tǒng)100的各設(shè)備之間直接建立其他通信信道��。為了清晰和簡(jiǎn)要�,在圖I中示出了兩個(gè)服務(wù)器設(shè)備102(1)和102 (η)�����,但是,應(yīng)理解的是���,任意數(shù)量的服務(wù)器設(shè)備可使用于該示例性網(wǎng)絡(luò)系統(tǒng)100���。同理�����,在圖I中示出了三個(gè)客戶端設(shè)備104(1),104(2),104(η)和一個(gè)流量管理設(shè)備110,但是任意數(shù)量的客戶端設(shè)備和流量管理設(shè)備也均可使用于該示例性網(wǎng)絡(luò)系統(tǒng)100�����。盡管示出的是網(wǎng)絡(luò)112和局域網(wǎng)114�,但是也可使用其他數(shù)量和類型的網(wǎng)絡(luò)���。省略號(hào)和符號(hào)“η”分別表示數(shù)量不限定的服務(wù)器設(shè)備和客戶端設(shè)備。服務(wù)器102 (I)到102 (η)(也稱為服務(wù)器設(shè)備102 (I)到102 (η))包括一個(gè)或多個(gè)能運(yùn)行一個(gè)或多個(gè)基于網(wǎng)絡(luò)(Web)的應(yīng)用程序的服務(wù)器計(jì)算機(jī)或設(shè)備���,其可由網(wǎng)絡(luò)112中的網(wǎng)絡(luò)設(shè)備��,比如��,客戶端計(jì)算機(jī)104(1)到104(η)����,經(jīng)由多個(gè)負(fù)載均衡器106和流量管理設(shè)備110進(jìn)行訪問����,并可提供代表所請(qǐng)求資源的其他數(shù)據(jù)���,比如域名服務(wù)和區(qū)域�����、對(duì)應(yīng)于統(tǒng)一資源定位符(URL)請(qǐng)求的特殊Web頁(yè)面�、實(shí)體對(duì)象的圖像和其他任意對(duì)象,來(lái)響應(yīng)請(qǐng)求��,當(dāng)然,服務(wù)器102(1)到102 (η)還可進(jìn)行其他任務(wù)并提供其他類型的資源����。在該示例中���,月艮務(wù)器102(1)到102 (η)中的至少一個(gè)為滿足客戶端計(jì)算機(jī)104(1)到104 (η)各種請(qǐng)求的IPv4單一設(shè)備?����;蛘呋蛲ǔ?lái)說(shuō)�,服務(wù)器102(1)到102 (η)可以是一組提供與客戶端計(jì)算機(jī)104(1)到104(η)所請(qǐng)求和處理的資源記錄類型不同的資源記錄響應(yīng)的設(shè)備�����。需要指出的是���,盡管在圖I的網(wǎng)絡(luò)系統(tǒng)100中只示出了兩個(gè)服務(wù)器102(1)和102 (η),其他數(shù)量和類型的服務(wù)器也可與流量管理設(shè)備110連接。還需要注意的是�,服務(wù)器102(1)到102(η)中的一個(gè)或多個(gè)可以是網(wǎng)絡(luò)流量管理設(shè)備(比如流量管理設(shè)備110)管理的集群服務(wù)器����。該示例中的客戶端計(jì)算機(jī)104(1)到104 (η)(也可稱為客戶端設(shè)備104(1)至Ij104 (η)�,客戶端計(jì)算設(shè)備104(1)到104 (η)���,客戶端104(1)到104 (η)以及客戶端計(jì)算系統(tǒng)104(1)到104(η))可運(yùn)行比如Web瀏覽器等接口應(yīng)用程序��,這些接口應(yīng)用程序能夠提供接口��,以通過(guò)一個(gè)或多個(gè)與網(wǎng)絡(luò)112相連的負(fù)載均衡設(shè)備和/或通過(guò)流量管理設(shè)備110向基于Web服務(wù)器的不同應(yīng)用程序請(qǐng)求(包括IPv6請(qǐng)求)及發(fā)送數(shù)據(jù)����。一系列網(wǎng)絡(luò)應(yīng)用程序能在可傳輸客戶端計(jì)算機(jī)104(1)到104(n)請(qǐng)求的數(shù)據(jù)的服務(wù)器102(1)到102 (η)上運(yùn)行���。服務(wù)器102(1)到102 (η)能提供數(shù)據(jù)或接收數(shù)據(jù)來(lái)響應(yīng)來(lái)自客戶端計(jì)算機(jī)104(1)到104 (η)的針對(duì)服務(wù)器102(1)到102 (η)上的各個(gè)應(yīng)用程序的請(qǐng)求����。比如,可根據(jù)傳輸控制協(xié)議(TCP)將數(shù)據(jù)包從發(fā)出請(qǐng)求的客戶端計(jì)算機(jī)104 (I)到104 (η)發(fā)送到服務(wù)器102 (I)到102(η)�,來(lái)發(fā)送數(shù)據(jù)���,當(dāng)然���,也可采用其他協(xié)議(比如���,F(xiàn)TP)。可理解的是����,服務(wù)器102(1)到102 (η)可以是硬件或在硬件上執(zhí)行并且由硬件支持的軟件�,或可代表具有多個(gè)服務(wù)器的系統(tǒng)���,其可包括內(nèi)部或外部網(wǎng)絡(luò)�����。服務(wù)器102(1)到102(η)可以是具有將一個(gè)或多個(gè)網(wǎng)址區(qū)域托管(hosting)的域名系統(tǒng)(DNS)能力的域名服務(wù)器�。通常����,比如客戶端計(jì)算機(jī)104(1)到104(n)等客戶端設(shè)備可包括實(shí)際上能與另一計(jì)算設(shè)備相連的任意計(jì)算設(shè)備以發(fā)送和接收信息,包括基于Web的信息���。如圖I所示���,這組設(shè)備可包括通常采用有線(和/或無(wú)線)通信介質(zhì)連接的設(shè)備,比如�,個(gè)人電腦(比如�����,臺(tái)式機(jī)、筆記本)��、移動(dòng)和/或智能手機(jī)等�。比如����,客戶端設(shè)備104(2)為除了音頻功能還具有網(wǎng)絡(luò)功能的移動(dòng)電話設(shè)備或智能手機(jī)���。在該示例中�,客戶端設(shè)備可運(yùn)行瀏覽器和其他類型的 應(yīng)用程序(比如�,基于web的應(yīng)用程序),這些應(yīng)用程序能夠提供接口���,通過(guò)網(wǎng)絡(luò)112向基于服務(wù)器的不同應(yīng)用程序提出一個(gè)或多個(gè)請(qǐng)求���,當(dāng)然,客戶端計(jì)算機(jī)104(1)到104(η)還可請(qǐng)求其他類型的網(wǎng)絡(luò)應(yīng)用程序和資源(比如��,URL)��?���?蛻舳擞?jì)算機(jī)104(1)到104(η)可用于通過(guò)各種類型的流量管理設(shè)備(比如��,路由器����、負(fù)載均衡器�����、應(yīng)用交付控制器(applicationdelivery controller)等)向服務(wù)器102 (I)到102 (η)提出ΙΡν6ΜΑΑ資源記錄類型請(qǐng)求���。如下所述,客戶端計(jì)算機(jī)104(1)到104 (η)可通過(guò)多個(gè)負(fù)載均衡設(shè)備106提交請(qǐng)求,該負(fù)載均衡設(shè)備106將該請(qǐng)求轉(zhuǎn)發(fā)給本地或全局流量管理設(shè)備110來(lái)進(jìn)行分析���。在一示例中���,負(fù)載均衡設(shè)備106(1)到106 (η)為ΝΑΤ64設(shè)備���,當(dāng)然����,如本領(lǐng)域的技術(shù)人員在閱讀本文件后能想到的,還可使用具有網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)能力和/或其他能力的其他類型的負(fù)載均衡器�。在有些示例中��,流量管理設(shè)備110可以是多個(gè)負(fù)載均衡設(shè)備106的一部分����。一系列基于Web的和/或其他類型的保護(hù)和未保護(hù)的網(wǎng)絡(luò)應(yīng)用程序能在可傳輸客戶端計(jì)算機(jī)104(1)到104 (η)請(qǐng)求的數(shù)據(jù)的服務(wù)器102(1)到102 (η)上運(yùn)行�����?����?蛻舳擞?jì)算機(jī)104(1)到104 (η)可進(jìn)一步用于通過(guò)多個(gè)負(fù)載均衡設(shè)備106��、本地域名服務(wù)器(LDNS),或采用比如安全套接層(SSL)、互聯(lián)網(wǎng)協(xié)議安全(IPSec)、傳輸層安全(TLS)等方式直接與流量管理設(shè)備110和/或服務(wù)器102(1)到102 (η)安全通信。在該示例中�,網(wǎng)絡(luò)112包括具有客戶端計(jì)算機(jī)104(1)到104(η)的公共接入網(wǎng)絡(luò),t匕如�����,互聯(lián)網(wǎng)��,當(dāng)然�,網(wǎng)絡(luò)112還可包括具有其他設(shè)備的其他類型的專用和公共網(wǎng)絡(luò)。本示例中����,通信��,比如客戶端計(jì)算機(jī)104(1)到104(η)的請(qǐng)求和服務(wù)器102(1)到102 (η)的響應(yīng),是根據(jù)標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議(比如,HTTP和TCP/IP協(xié)議)通過(guò)網(wǎng)絡(luò)112進(jìn)行的��,但是�,本申請(qǐng)討論的原理并不限于該示例��,還可包括其他協(xié)議(比如�����,F(xiàn)TP)���。另外�����,網(wǎng)絡(luò)112可包括局域網(wǎng)(LAN)�����、廣域網(wǎng)(WAN)、直接連接��、其他類型和數(shù)量的網(wǎng)絡(luò)類型及其任意組合。在一組互聯(lián)的局域網(wǎng)或其他網(wǎng)絡(luò)上(包括基于不同架構(gòu)和協(xié)議的網(wǎng)絡(luò))�,路由器、交換器、集線器�、網(wǎng)關(guān)��、網(wǎng)橋、縱橫式交換矩陣(crossbar)以及其他中間網(wǎng)絡(luò)設(shè)備可用作局域網(wǎng)和其他網(wǎng)絡(luò)內(nèi)及其之間的鏈路以使消息和其他數(shù)據(jù)可發(fā)送自及發(fā)送給網(wǎng)絡(luò)設(shè)備�。另外,局域網(wǎng)和其他網(wǎng)絡(luò)內(nèi)及其之間的通信鏈路通常包括雙絞線(比如����,以太網(wǎng))�����、同軸電纜����、模擬電話線���、包括Tl���、T2���、T3和T4的全部專用或部分專用數(shù)字線路����、綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN)、數(shù)字用戶線路(DSL)�、包括衛(wèi)星線路的無(wú)線鏈路���、光纖以及其他相關(guān)領(lǐng)域的技術(shù)人員已知的通信鏈路���。通常����,網(wǎng)絡(luò)112包括可使數(shù)據(jù)在客戶端計(jì)算機(jī)104⑴到104 (η)、服務(wù)器102⑴到102 (η)和流量管理設(shè)備110之間傳輸?shù)娜我馔ㄐ沤橘|(zhì)和方法���,這里所提供的這些設(shè)備僅是示例性的。在該示例中��,每個(gè)服務(wù)器102(1)到102(η)���、流量管理設(shè)備110�、負(fù)載均衡設(shè)備106和客戶端計(jì)算機(jī)104(1)到104(η)可包括通過(guò)總線或其他鏈路連接在一起的中央處理器(CPU)�、控制器或處理器�����、存儲(chǔ)器以及接口系統(tǒng)�,當(dāng)然,也可采用其他數(shù)量和類型的每個(gè)所述組件以及所述組件的其他配置和位置�。由于這些設(shè)備對(duì)于相關(guān)領(lǐng)域的技術(shù)人員來(lái)說(shuō)是已知的�,因此這里不再詳述�。另外,可用兩個(gè)或多個(gè)計(jì)算系統(tǒng)或設(shè)備代替網(wǎng)絡(luò)系統(tǒng)100中的任意一個(gè)系統(tǒng)����。因此�,根據(jù)情況��,還可實(shí)現(xiàn)云計(jì)算和/或分布式處理的原理和優(yōu)點(diǎn)�����,比如,冗余�、復(fù)制�����、虛擬化等���,從而增加網(wǎng)絡(luò)系統(tǒng)100的設(shè)備和系統(tǒng)的穩(wěn)健性和性能。網(wǎng)絡(luò)系統(tǒng)100還可在這樣一種計(jì)算機(jī)系統(tǒng)上實(shí)現(xiàn)�����,該計(jì)算機(jī)系統(tǒng)拓展到使用了任意合適的接口機(jī)制和通信技術(shù)�,比如��,包 括任何合適形式的電信(比如聲音���、調(diào)制解調(diào)器等)��、公共交換電話網(wǎng)(PSTN)��,分組數(shù)據(jù)網(wǎng)(TON)���、互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)及其組合等的整個(gè)網(wǎng)絡(luò)環(huán)境��。僅作為示例而非限制,局域網(wǎng)114包括具有與一個(gè)或多個(gè)服務(wù)器102 (I)到102 (η)連接的流量管理設(shè)備110的專用局域網(wǎng),當(dāng)然�,局域網(wǎng)114還可包括具有其他設(shè)備的其他類型的專用和公共網(wǎng)絡(luò)。除了相關(guān)領(lǐng)域的技術(shù)人員所理解的�����,已經(jīng)對(duì)網(wǎng)絡(luò)�����,包括局域網(wǎng),連同網(wǎng)絡(luò)112進(jìn)行了說(shuō)明���,這里不再贅述。如圖I的網(wǎng)絡(luò)系統(tǒng)100的示例環(huán)境所示,流量管理設(shè)備110可如圖I所示設(shè)置在通過(guò)局域網(wǎng)114連接的網(wǎng)絡(luò)112和服務(wù)器102(1)到102 (η)之間?���;蛘?,流量管理設(shè)備110為處于網(wǎng)絡(luò)112周邊的多個(gè)負(fù)載均衡設(shè)備106的一部分并且與局域網(wǎng)114和/或服務(wù)器102(1)到102(η)連接����。再者�����,網(wǎng)絡(luò)系統(tǒng)100可以其他方式設(shè)置�,具有其他數(shù)量和類型的設(shè)備����。另外�����,流量管理設(shè)備110通過(guò)一個(gè)或多個(gè)網(wǎng)絡(luò)通信鏈路和中間網(wǎng)絡(luò)設(shè)備(比如,路由器�、交換器��、網(wǎng)關(guān)、集線器���、縱橫式交換矩陣以及其他設(shè)備)與網(wǎng)絡(luò)112連接��。應(yīng)理解的是��,圖I所示的設(shè)備和特殊配置僅作為示例而非限制。除了單個(gè)流量管理設(shè)備110�����,根據(jù)具體應(yīng)用�����,還可有其他流量管理設(shè)備與該流量管理設(shè)備110串聯(lián)和/或并聯(lián)��,從而形成集群��,圖I所示的單個(gè)流量管理設(shè)備110僅作為示例而非限制����。通常��,流量管理設(shè)備110管理來(lái)自/至這些示例中位于客戶端計(jì)算機(jī)104(1)到104 (η)和局域網(wǎng)114內(nèi)一個(gè)或多個(gè)服務(wù)器102(1)到102 (η)之間的網(wǎng)絡(luò)112的網(wǎng)絡(luò)通信�,這些網(wǎng)絡(luò)通信包括一個(gè)或多個(gè)客戶端請(qǐng)求和服務(wù)器響應(yīng)。比如,這些請(qǐng)求可指定給一個(gè)或多個(gè)服務(wù)器102 (I)到102 (η)�����,并且如上面所述,可采取來(lái)自網(wǎng)絡(luò)112、通過(guò)一個(gè)或多個(gè)中間網(wǎng)絡(luò)設(shè)備和/或中間網(wǎng)絡(luò)、直到最終到達(dá)流量管理設(shè)備110的一個(gè)或多個(gè)TCP/IP(傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議)數(shù)據(jù)包的形式���。當(dāng)在客戶端計(jì)算機(jī)104(1)到104(n)發(fā)起時(shí),這些請(qǐng)求為第一資源記錄類型格式(比如�����,IPv64-A資源記錄類型請(qǐng)求或查詢),并且由提供不同類型的資源記錄格式(比如,IPv4A資源記錄類型響應(yīng))響應(yīng)的服務(wù)器102(1)到102 (η)提供服務(wù)����。在一示例中���,流量管理設(shè)備110配置為全局服務(wù)器負(fù)載均衡設(shè)備以基于業(yè)務(wù)政策�����、數(shù)據(jù)中心條件����、網(wǎng)絡(luò)條件、用戶位置和應(yīng)用性能分配終端用戶應(yīng)用請(qǐng)求,這樣�����,客戶端計(jì)算機(jī)104(1)到104 (η)的每個(gè)請(qǐng)求自動(dòng)指向?qū)⒁粋€(gè)或多個(gè)服務(wù)器102(1)到102 (η)設(shè)為主機(jī)的最近或性能最好的數(shù)據(jù)中心���。在該示例中����,流量管理設(shè)備110具有全局服務(wù)器負(fù)載均衡能力��,而在其他示例中��,流量管理設(shè)備110可以是接收來(lái)自與局域網(wǎng)114連接的全局服務(wù)器負(fù)載均衡(GSLB, global server load balancing)設(shè)備的響應(yīng)的本地流量管理設(shè)備。僅作為示例�,這種全局負(fù)載均衡設(shè)備可以是由華盛頓州西雅圖(WA��,Seattle)的F5網(wǎng)絡(luò)公司提供的BIG-IP 全局流量管理器TM�。另外,需要注意的是�����,盡管所示流量管理設(shè)備110獨(dú)立于多個(gè)負(fù)載均衡設(shè)備106��,但是���,在有些示例中���,流量管理設(shè)備110本身可以是該多個(gè)負(fù)載均衡設(shè)備106中的一個(gè)���。此外��,結(jié)合圖2和圖3進(jìn)行詳述,流量管理設(shè)備110用于處理不同資源記錄類型之間的請(qǐng)求(比如����,針對(duì)來(lái)自服務(wù)器102(1)到 102 (η)的ΙΡν4Α資源記錄的IPv64_A請(qǐng)求)。根據(jù)例如結(jié)合圖2和圖3進(jìn)一步描述的系統(tǒng)和步驟,在任何情況下,流量管理設(shè)備110可通過(guò)執(zhí)行多種涉及安全或非安全網(wǎng)絡(luò)通信(比如���,負(fù)載均衡��、接入控制�����、VPN(虛擬專用網(wǎng)絡(luò))托管���、網(wǎng)絡(luò)流量加速��、加密����、解密����、cookie和密鑰管理)的網(wǎng)絡(luò)流量管理相關(guān)的功能以及提供驗(yàn)證的域名服務(wù)來(lái)管理網(wǎng)絡(luò)通信。參照?qǐng)D2,示出了示例性的流量管理設(shè)備110����。流量管理設(shè)備110內(nèi)包括經(jīng)由網(wǎng)橋25與主機(jī)系統(tǒng)18連接以及與輸入-輸出(I/O)設(shè)備30連接的系統(tǒng)總線26 (也稱為總線26)����。在該示例中,示出的單個(gè)I/O設(shè)備30表示與總線26相連的任意數(shù)量的I/O設(shè)備����。在一示例中����,網(wǎng)橋25通過(guò)主機(jī)輸入輸出(I/O)端口 29進(jìn)一步與主機(jī)處理器20連接����。主機(jī)處理器20可進(jìn)一步通過(guò)緩沖存儲(chǔ)器21、主機(jī)存儲(chǔ)器22 (通過(guò)存儲(chǔ)器端口 53)和CPU總線202與網(wǎng)絡(luò)接口控制器24連接��。如上所述,在主機(jī)處理器20中包括主機(jī)I/O端口 29、存儲(chǔ)器端口 53和主處理器(未單獨(dú)示出)���。在該示例中���,主機(jī)系統(tǒng)18包括存儲(chǔ)有算法和指令/代碼的驗(yàn)證模塊208���,從而通過(guò)給合成的資源記錄類型(比如����,合成的IPv6AAAA資源記錄類型)附上資源記錄簽名(RRSIGs)來(lái)對(duì)在流量管理設(shè)備110創(chuàng)建的資源記錄進(jìn)行驗(yàn)證和簽名����。需要注意的是�,驗(yàn)證模塊208可用作硬件邏輯電路或邏輯電路與其上執(zhí)行代碼的組合���。另外����,盡管示出的驗(yàn)證模塊208為單個(gè)模塊/塊,但是其功能可在流量管理設(shè)備110的各種組件之間以分布方式實(shí)現(xiàn)�。此外,驗(yàn)證模塊208可為能通過(guò)標(biāo)準(zhǔn)接口端口與流量管理設(shè)備110直接連接的獨(dú)立設(shè)備。在一示例中��,流量管理設(shè)備110可包括具有下列任一組件配置特征的主機(jī)處理器20 :響應(yīng)并處理從主機(jī)存儲(chǔ)器22獲取的指令的計(jì)算機(jī)可讀介質(zhì)和邏輯電路���;微處理器單元��,比如��,由位于加利福尼亞州圣克拉拉(Santa Clara,CA)的英特爾公司�����、位于伊利諾伊州紹姆堡(Schaumburg, IL)的摩托羅拉公司��、位于加利福尼亞圣克拉拉(Santa Clara, CA)的全美達(dá)公司制造的微處理器;RS/6000處理器,bm,由位于紐約州阿蒙克市(Armonk,NY)的國(guó)際商業(yè)機(jī)器公司(IBM)制造的RS/6000處理器��;處理器����,比如,由位于加利福尼亞州桑尼維爾(Sunnyvale,CA)的超微半導(dǎo)體公司(AMD)制造的處理器;或能執(zhí)行本申請(qǐng)所述的系統(tǒng)和方法的邏輯電路的其他任意組合���。主機(jī)處理器20的其他示例可包括下列任意組合微處理器、微控制器�����、單核中央處理器��、雙核中央處理器或多核中央處理器�����。流量管理設(shè)備110的示例包括由位于華盛頓州西雅圖(Seattle, WA)的F5網(wǎng)絡(luò)公司提供的BIG-IP 產(chǎn)品系列的一個(gè)或多個(gè)應(yīng)用交付控制器設(shè)備����,當(dāng)然�,也可采用其他類型的流量管理設(shè)備�����。在示例性結(jié)構(gòu)和/或設(shè)置中�����,流量管理設(shè)備110可包括通過(guò)第二總線(也稱為后部總線)與緩沖存儲(chǔ)器21通信的主機(jī)處理器20,而流量管理設(shè)備110的另一示例包括通過(guò)系統(tǒng)總線26與緩沖存儲(chǔ)器21連接的主機(jī)處理器20�。在有些實(shí)施例中,主機(jī)處理器20還可使用本地系統(tǒng)總線26以與多個(gè)類型的I/O設(shè)備30連接���。在有些示例中��,本地系統(tǒng)總線26可以是下列任意類型的總線視頻電子標(biāo)準(zhǔn)協(xié)會(huì)局部(VESA VL, VideoElectronicsStandards Association Local)總線、工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)(ISA, IndustryStandardArchitecture)總線��、擴(kuò)展工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)(EISA, Extended IndustryStandardArchitecture)總線���、微通道體系結(jié)構(gòu)(MCA, Micro Channel Architecture)總線���、夕卜設(shè)部件互連標(biāo)準(zhǔn)(PCI, Peripheral Component Interconnect)總線����、PCI-X 總線����、PCI-Express總線����、或NuBus (網(wǎng)絡(luò)用戶總線)��。流量管理設(shè)備110的其他示例配置包括通過(guò)高級(jí)圖形端口(AGP,Advanced Graphics Port)與主機(jī)處理器20連接的1/0設(shè)備30 (其為視頻顯示器�,未單獨(dú)示出)��。另外,流量管理設(shè)備110的其他形式包括通過(guò)下列一個(gè)或多個(gè)連接與I/o設(shè)備30相連的主機(jī)處理器20 HyperTransport (快 速傳輸)�、Rapid 1/0(高速輸入/輸出)或InfiniBand (無(wú)限帶寬)�。流量管理設(shè)備110的其他示例包括通信連接,其中��,主機(jī)處理器20通過(guò)本地互聯(lián)總線與一個(gè)1/0設(shè)備30連接���,通過(guò)直接連接與第二 1/0設(shè)備(未單獨(dú)示出)連接。如上所述,在有些示例中��,流量管理設(shè)備110包括主機(jī)存儲(chǔ)器22和緩沖存儲(chǔ)器21中的其中一個(gè)�。在有些示例中,緩沖存儲(chǔ)器21可以是下列任意類型的存儲(chǔ)器靜態(tài)隨機(jī)存儲(chǔ)器(SRAM, Static RandomAccess Memory)、突發(fā)或同步突發(fā)隨機(jī)存儲(chǔ)器(BSRAM, Burst or Synch Burst SRAM)�����、或增強(qiáng)動(dòng)態(tài)隨機(jī)存儲(chǔ)器(EDRAM, Enhanced DynamicRandom Access Memory) 0流量管理設(shè)備110的其他示例包括緩沖存儲(chǔ)器21和主機(jī)存儲(chǔ)器22����,其可以是下列任意類型的存儲(chǔ)器靜態(tài)隨機(jī)存儲(chǔ)器(SRAM)��、突發(fā)靜態(tài)隨機(jī)存儲(chǔ)器或同步突發(fā)靜態(tài)隨機(jī)存儲(chǔ)器(BSRAM)、動(dòng)態(tài)隨機(jī)存儲(chǔ)器(DRAM)、快速頁(yè)面模式動(dòng)態(tài)隨機(jī)存儲(chǔ)器(FPM DRAM)、增強(qiáng)動(dòng)態(tài)隨機(jī)存儲(chǔ)器(EDRAM)����、擴(kuò)展數(shù)據(jù)輸出隨機(jī)存儲(chǔ)器(EDO RAM)、擴(kuò)展數(shù)據(jù)輸出動(dòng)態(tài)隨機(jī)存儲(chǔ)器(EDO DRAM)�����、突發(fā)擴(kuò)展數(shù)據(jù)輸出動(dòng)態(tài)隨機(jī)存儲(chǔ)器(BED0 DRAM)�����、增強(qiáng)動(dòng)態(tài)隨機(jī)存儲(chǔ)器(EDRAM)��、同步動(dòng)態(tài)隨機(jī)存儲(chǔ)器(SDRAM)、JEDECSRAM(固態(tài)技術(shù)協(xié)會(huì)SRAM)、PCI00 SDRAM��、雙倍數(shù)據(jù)速率同步動(dòng)態(tài)隨機(jī)存儲(chǔ)器(DDR SDRAM)�、增強(qiáng)同步動(dòng)態(tài)隨機(jī)存儲(chǔ)器(ESDRAM)���、同步鏈接動(dòng)態(tài)隨機(jī)存儲(chǔ)器(SLDRAM���,SyncLink DRAM)����、直接Rambus動(dòng)態(tài)隨機(jī)存儲(chǔ)器(DRDRAM)、鐵電性隨機(jī)存儲(chǔ)器(FRAM,F(xiàn)erroelectric RAM)或能執(zhí)行本申請(qǐng)所述系統(tǒng)和方法的其他任意類型的存儲(chǔ)器設(shè)備。在有些實(shí)施例中,主機(jī)存儲(chǔ)器22和/或緩沖存儲(chǔ)器21可包括一個(gè)或多個(gè)能存儲(chǔ)數(shù)據(jù)并允許主機(jī)處理器20能直接訪問任意存儲(chǔ)位置的存儲(chǔ)器設(shè)備��。數(shù)據(jù)可存儲(chǔ)在通過(guò)網(wǎng)絡(luò)接口控制器24的一個(gè)或多個(gè)輸入輸出端口連接的流量管理設(shè)備110的內(nèi)部或外部的本地?cái)?shù)據(jù)庫(kù)中。流量管理設(shè)備110的其他示例包括能通過(guò)下列其中一個(gè)來(lái)訪問主機(jī)存儲(chǔ)器22的主機(jī)處理器20 :系統(tǒng)總線26��、存儲(chǔ)器端口 53、或使主機(jī)處理器20能訪問主機(jī)存儲(chǔ)器22的其他任意連接、總線或端口。流量管理設(shè)備110的一個(gè)示例支持下列任意一種安裝設(shè)備ZIP磁盤(壓縮磁盤)、CD-ROM (只讀光盤)驅(qū)動(dòng)器���、CD-R/RW驅(qū)動(dòng)器、DVD-ROM (只讀數(shù)字視頻光盤)驅(qū)動(dòng)器��、USB(通用串行總線)設(shè)備、可啟動(dòng)介質(zhì)�����、用于比如GNU/Linux分布(比如,KNOPPIX )的可啟動(dòng)光盤(CD)����、硬盤驅(qū)動(dòng)器或適合安裝應(yīng)用程序或軟件的其他任意設(shè)備����。在有些示例中�����,應(yīng)用程序可包括客戶端代理程序或客戶端代理程序的任意部分。流量管理設(shè)備110還可包括存儲(chǔ)設(shè)備(未單獨(dú)示出)�����,其可以是一個(gè)或多個(gè)硬盤驅(qū)動(dòng)器或獨(dú)立冗余磁盤陣列(RAID)����,其中��,該存儲(chǔ)設(shè)備用于存儲(chǔ)操作系統(tǒng)�����、軟件��、應(yīng)用程序或客戶端代理程序的至少一部分���。流量管理設(shè)備110的另一示例包括用作存儲(chǔ)設(shè)備的安裝設(shè)備��。此外,流量管理設(shè)備110可包括網(wǎng)絡(luò)接口控制器24����,從而通過(guò)網(wǎng)絡(luò)接口控制器24內(nèi)的輸入-輸出端口��、以多種連接方式���,包括���,但不限于,標(biāo)準(zhǔn)電話線、局域網(wǎng)或廣域網(wǎng)鏈路(比如��,802. 11、Tl、T3����、56kb、X. 25、SNA(系統(tǒng)網(wǎng)絡(luò)架構(gòu))�����、DECNET(數(shù)字設(shè)備公司網(wǎng)絡(luò)))�����、寬帶連接(比如��,ISDN、幀中繼��、異步傳輸模式�����、千兆以太網(wǎng)�����、Ethernet-over-SONET)���、無(wú)線連接����、光纖連接或任意和所有上述連接的組合���,與局域網(wǎng)���、廣域網(wǎng)或互聯(lián)網(wǎng)連接�。還可采用多種通信協(xié)議(比如,TCP/IP、IPX��、SPX、NetBIOS�、以太網(wǎng)���、ARCNET�、同步光纖網(wǎng)絡(luò)(SONET)����、同步數(shù)字體系(SDH)���、光纖分布式數(shù)據(jù)接口(FDDI)���、RS232���、RS485��、IEEE 802. 11�����、IEEE802. 11a、IEEE 802. lib���、IEEE 802. llg�����、碼分多址(CDMA)、全球移動(dòng)通訊系統(tǒng)(GSM) ,WiMax和直接異步連接)建立連接�����。流量管理設(shè)備110的一種形式是包括網(wǎng)絡(luò)接口控制器24����,用于通過(guò)任意類型和/或形式的網(wǎng)關(guān)或隧道協(xié)議(比如,安全套接層(SSL)或傳輸層安全
(TLS),或位于佛羅里達(dá)州勞德達(dá)爾堡(Fort Lauderdale, FL)的思杰系統(tǒng)公司的思杰網(wǎng)關(guān)協(xié)議)與其他計(jì)算設(shè)備通信�����。網(wǎng)絡(luò)接口控制器24的形式可包括下列任意一種內(nèi)置網(wǎng)絡(luò)適配器�、網(wǎng)絡(luò)接口卡��、PCMCIA網(wǎng)絡(luò)卡、卡總線網(wǎng)絡(luò)適配器�����、無(wú)線網(wǎng)絡(luò)適配器�����、USB網(wǎng)絡(luò)適配器����、調(diào)制解調(diào)器、或其他任意適合把流量管理設(shè)備110與能進(jìn)行通信和執(zhí)行本申請(qǐng)所述的方法和系統(tǒng)的網(wǎng)絡(luò)相連接的設(shè)備。在上述示例中��,流量管理設(shè)備110包括至少一個(gè)用于執(zhí)行存儲(chǔ)在存儲(chǔ)器內(nèi)的程序指令的一個(gè)以上處理器����;通過(guò)總線與所述一個(gè)以上處理器連接的存儲(chǔ)器;以及與所述處理器和所述存儲(chǔ)器連接并用于接收和轉(zhuǎn)發(fā)來(lái)自網(wǎng)絡(luò)的涉及多個(gè)應(yīng)用程序的數(shù)據(jù)包的網(wǎng)絡(luò)接口控制器���。圖4為示例性網(wǎng)絡(luò)接口控制器的部分功能框圖����。僅作為示例,具有邏輯的網(wǎng)絡(luò)接口控制器400可如圖4所示包括根據(jù)客戶端設(shè)備的請(qǐng)求接收來(lái)自一個(gè)以上服務(wù)器設(shè)備的第一資源記錄類型的接收模塊401 ;驗(yàn)證所述第一資源記錄類型的驗(yàn)證模塊402 ;在驗(yàn)證后創(chuàng)建對(duì)應(yīng)于所述第一資源記錄類型的第二資源記錄類型的創(chuàng)建模塊403 ����;對(duì)所述第二資源記錄類型簽名從而為客戶端設(shè)備的請(qǐng)求提供服務(wù)的簽名模塊404����。其中���,所述接收模塊401為接收與所述第一資源記錄類型相關(guān)且用于所述驗(yàn)證的簽名的接收模塊�;其中接收的第一資源記錄類型為32位IPv4A資源記錄類型,接收的客戶端設(shè)備的請(qǐng)求為IPv6請(qǐng)求��。所述驗(yàn)證模塊402為使用公鑰密碼術(shù)進(jìn)行驗(yàn)證的驗(yàn)證模塊���。所述創(chuàng)建模塊403為創(chuàng)建第二資源記錄類型為128位IPv6AAAA資源記錄類型的創(chuàng)建模塊。所述具有邏輯的網(wǎng)絡(luò)接口控制器400進(jìn)一步包括確定所述一個(gè)以上服務(wù)器設(shè)備能否根據(jù)所述IPv6請(qǐng)求直接提供簽名的IPv6資源記錄類型的確定模塊(圖中未示出);其中�,只有當(dāng)所述一個(gè)以上服務(wù)器設(shè)備不能根據(jù)所述客戶端設(shè)備的所述IPv6請(qǐng)求提供IPv6資源記錄類型時(shí)�,所述接收模塊401、驗(yàn)證模塊402���、創(chuàng)建模塊403和簽名模塊404才啟動(dòng)。另外��,所述網(wǎng)絡(luò)接口控制器400為在驗(yàn)證后將所述第一資源記錄類型的簽名丟棄��,且包括在將所述簽名的第二資源記錄類型轉(zhuǎn)發(fā)給所述客戶端設(shè)備前給所述第二資源記錄類型附上新簽名過(guò)程的網(wǎng)絡(luò)接口控制器���。在多個(gè)示例中,流量管理設(shè)備110可包括下列任意一種I/O設(shè)備鍵盤���、定點(diǎn)設(shè)備、鼠標(biāo)��、基于手勢(shì)的遙控設(shè)備�、生物統(tǒng)計(jì)設(shè)備、音頻設(shè)備��、觸控板��、光學(xué)筆、軌跡球、麥克風(fēng)�、視頻顯示器�����、揚(yáng)聲器����、或其他任意能執(zhí)行本申請(qǐng)所述的方法和系統(tǒng)的輸入/輸出設(shè)備���。在有些示例中�,主機(jī)I/o端口 29可與多個(gè)I/O設(shè)備30相連從而控制一個(gè)或多個(gè)I/O設(shè)備30。I/O設(shè)備30的一些示例為可用于存儲(chǔ)或提供安裝介質(zhì)����,其他示例則為可提供通用串行總線(USB)接口來(lái)接收USB存儲(chǔ)設(shè)備���,比如����,Twintech Industry公司所制造的設(shè)備的USB FlashDrive (閃存盤)線路。I/O設(shè)備30的其他示例可以是位于系統(tǒng)總線26和外部通信總線之間的網(wǎng)橋25��,該外部通信總線比如為:USB總線�����、蘋果桌面(AppleDesktop)總線�����、RS-232串行連接���、小型計(jì)算機(jī)系統(tǒng)接口(SCSI)總線�、FireWire (火線)總線、FireWire 800總線、以太網(wǎng)總線����、AppleTalk總線、千兆以太網(wǎng)總線�����、異步傳輸模式總線�����、HIPPI (高性能并行接口 )總線、超級(jí)HIPPI總線、SerialPlus總線�、SCI/LAMP總線��、光纖通道總線�����、或串聯(lián)的小型計(jì)算機(jī)系統(tǒng)接口(Serial Attached SCSI)總線���。根據(jù)有些示例����,流量管理設(shè)備110包括集成為主機(jī)系統(tǒng)18 —部分的驗(yàn)證模塊208,從而通過(guò)比如公鑰密碼術(shù)(publickeycryptography)來(lái)實(shí)施各種對(duì)流量管理設(shè)備110創(chuàng)建的資源記錄類型(比如,AAAA資源記錄)進(jìn)行簽名的示例性功能���。因此,流量管理設(shè)備110的組件包括一個(gè)或多個(gè)執(zhí)行一個(gè)或多個(gè)流量管理應(yīng)用程序的處理器(比如���,主機(jī)處理器20)�����、通過(guò)總線與一個(gè)或多個(gè)處理器連接的存儲(chǔ)器(比如���,緩沖存儲(chǔ)器21和/或主機(jī)存儲(chǔ)器22)、與一個(gè)或多個(gè)處理器和主機(jī)存儲(chǔ)器22連接并且用于接收來(lái)自網(wǎng)絡(luò)的涉及執(zhí)行流量管理應(yīng)用程序的數(shù)據(jù)包并處理來(lái)自客戶端計(jì)算機(jī)104(1)到104 (η)的第一資源記錄類型的請(qǐng)求的網(wǎng)絡(luò)接口控制器24�,其中�,服務(wù)器102(1)到102 (η)通過(guò)第二或不同資源記錄類型的響應(yīng)為這些請(qǐng)求提供服務(wù)�����。在該示例中,該一個(gè)或多個(gè)處理器中的至少一個(gè)用于執(zhí)行存儲(chǔ)在存儲(chǔ)器(比如�����,緩沖存儲(chǔ)器21和/或主機(jī)存儲(chǔ)器22)內(nèi)的程序指令���,包含邏輯的網(wǎng)絡(luò)接口控制器24能進(jìn)一步用于根據(jù)客戶端設(shè)備的請(qǐng)求在流量管理設(shè)備接收來(lái)自一個(gè)或多個(gè)服務(wù)器設(shè)備的第一資源記錄類型���。該實(shí)施過(guò)程包括在該流量管理設(shè)備驗(yàn)證該第一資源記錄類型,并在該驗(yàn)證后創(chuàng)建對(duì)應(yīng)于該第一資源記錄類型的第二資源記錄類型。在該流量管理設(shè)備對(duì)第二資源記錄類型簽名(比如�,通過(guò)驗(yàn)證模塊208)���,從而為來(lái)自該客戶端設(shè)備的該請(qǐng)求提供服務(wù)。下面分別結(jié)合圖I和圖2連同圖3所示的流程圖300�����,對(duì)使用比如圖I和圖2所示的流量管理設(shè)備Iio來(lái)處理不同資源記錄類型之間請(qǐng)求(比如���,給DNS64提供DNSSEC代理)的示例過(guò)程的步驟進(jìn)行說(shuō)明。流程圖300表示在比如流量管理設(shè)備110處動(dòng)態(tài)實(shí)時(shí)處理不同資源記錄類型之間請(qǐng)求的示例性機(jī)器可讀指令����。在該示例中�,該機(jī)器可讀指令包括由例如主機(jī)系統(tǒng)18內(nèi)的(a)處理器(比如,主機(jī)處理器20)����、(b)控制器和/或(c) 一個(gè)或多個(gè)合適的處理設(shè)備執(zhí)行的算法。該算法可在存儲(chǔ)于有形計(jì)算機(jī)可讀介質(zhì)(比如,閃存、CD-ROM、軟盤、硬盤驅(qū)動(dòng)器����、數(shù)字視頻(多功能)光盤(DVD)或其他存儲(chǔ)設(shè)備的軟件中執(zhí)行�,但是本領(lǐng)域的技術(shù)人員可容易意識(shí)到,整個(gè)算法和/或其中一部分算法可不由處理器而是由設(shè)備執(zhí)行���,和/或以已知的方式在固件或?qū)S糜布袌?zhí)行(比如,可由專用集成電路(ASIC,Application Specific Integrated Circuit)���、可編程邏輯設(shè)備(PLD,programmablelogic device)�����、現(xiàn)場(chǎng)可編程邏輯設(shè)備(FPLD, field programmable logic device)�、現(xiàn)場(chǎng)可編程門陣列(FPGA, field programmable gate array)����、離散邏輯等執(zhí)行)。比如,流量管理設(shè)備110的至少一部分組件可由軟件����、硬件和/或固件執(zhí)行���。同樣,圖3流程圖300的步驟所表示的一些或所有機(jī)器可讀指令可通過(guò)利用比如由系統(tǒng)管理員操作的命令行接口(CLI,Command Line Interface)提示窗口在流量管理設(shè)備110手動(dòng)執(zhí)行��。另外,盡管結(jié)合流程圖300對(duì)示例性算法進(jìn)行了說(shuō)明,但是本領(lǐng)域的技術(shù)人員會(huì)容易意識(shí)到還可采用許多其他方法來(lái)執(zhí)行所述示例性機(jī)器可讀指令。比如����,流程圖300中方框的執(zhí)行順序可以變化,和/或一些方框可以變化��、去掉或組合。參照?qǐng)D3,在流程圖300的步驟302中,流量管理設(shè)備110接收來(lái)自其中一個(gè)客戶端計(jì)算機(jī)104(1)到104(η)的請(qǐng)求。通常���,客戶端計(jì)算機(jī)104(I)到104(η)的請(qǐng)求的資源記錄類型不同于一個(gè)或多個(gè)服務(wù)器102(1)到102 (η)為響應(yīng)該請(qǐng)求而提供的資源記錄類型���。在一示例中�����,客戶端計(jì)算機(jī)104(1)到104(η)的請(qǐng)求是針對(duì)IPv4設(shè)備(比如��,一個(gè)或多個(gè) 服務(wù)器102(1)到102 (η))提供的資源(也稱為“Α”記錄��,其為32位IPv4地址)的128位IPv6請(qǐng)求或查詢(也稱為4Α或“ΑΑΑΑ”請(qǐng)求或查詢)。由于ΙΡν6ΑΑΑΑ和IPv4A資源記錄請(qǐng)求/查詢的各個(gè)標(biāo)準(zhǔn)格式對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)是已知的���,因此這里不再詳述��。另夕卜����,可采用其他類型的資源記錄,并且所討論的IPv4和IPv6資源記錄僅為示例而非限制。在步驟304中�����,流量管理設(shè)備110在移除位和/或標(biāo)頭后將接收的比如AAAA資源記錄格式的IPv6請(qǐng)求轉(zhuǎn)發(fā)給服務(wù)器102 (I)到102 (η)中的其中一個(gè)�,從而把該請(qǐng)求轉(zhuǎn)換為服務(wù)器102(1)到102(η)能識(shí)別的對(duì)于A資源記錄的IPv4請(qǐng)求���。所移除的位和/或標(biāo)頭可至少部分地為形成IPv6地址的96位前綴的一部分���。由于服務(wù)器102(1)到102 (η)不能識(shí)別IPv6地址格式并且服務(wù)器在IPv4網(wǎng)絡(luò)環(huán)境中,因此移除前綴位有助于把客戶端計(jì)算機(jī)104(1)到104(η)的請(qǐng)求指向合適的一個(gè)或多個(gè)服務(wù)器102(1)到102 (η)。在步驟306中�����,流量管理設(shè)備110接收來(lái)自其中一個(gè)服務(wù)器102(1)到102 (η)的響應(yīng)以及與該響應(yīng)相關(guān)的資源記錄簽名(RRSIG)����。該接收的響應(yīng)為簽名而經(jīng)受驗(yàn)證�����,比如用來(lái)確定其來(lái)自服務(wù)器102(1)到102 (η)之間的可信資源��??刹捎帽热缌髁抗芾碓O(shè)備110中驗(yàn)證模塊208實(shí)施的公鑰密碼術(shù)機(jī)制來(lái)進(jìn)行驗(yàn)證,當(dāng)然,也可采用其他技術(shù)來(lái)進(jìn)行驗(yàn)證���。在步驟308中����,流量管理設(shè)備110確定接收的響應(yīng)的資源記錄類型是否與客戶端設(shè)備請(qǐng)求的資源記錄類型相同�����。當(dāng)接收的響應(yīng)的資源記錄類型與所請(qǐng)求的資源記錄類型相同時(shí),則執(zhí)行步驟314�,該步驟中�����,流量管理設(shè)備110在驗(yàn)證后將該接收的響應(yīng)轉(zhuǎn)發(fā)給客戶端計(jì)算機(jī)104(1)到104(η)中發(fā)出請(qǐng)求的計(jì)算機(jī)��。比如,如果該接收的響應(yīng)為ΙΡν6ΑΑΑΑ類型響應(yīng)�,則流量管理設(shè)備110直接將該響應(yīng)轉(zhuǎn)發(fā)給客戶端計(jì)算機(jī)104(1)到104(η)中發(fā)出請(qǐng)求的計(jì)算機(jī)�。但是,在步驟310中����,當(dāng)該響應(yīng)包括一個(gè)或多個(gè)不同資源記錄類型格式(比如�����,IPv4格式或A資源記錄)的地址記錄時(shí),流量管理設(shè)備110創(chuàng)建與接收的資源記錄類型對(duì)應(yīng)而與請(qǐng)求的資源記錄類型格式(比如,其中帶有ΙΡν4Α資源記錄網(wǎng)絡(luò)地址的IPv6AAAA資源記錄類型)匹配或?qū)?yīng)的新資源記錄類型。然后,執(zhí)行步驟312����,在該步驟中����,流量管理設(shè)備110根據(jù)DNSSEC對(duì)包含上述新資源記錄類型的新建響應(yīng)(比如,合成的AAAA資源記錄)進(jìn)行簽名��。在該情況下��,當(dāng)流量管理設(shè)備110為該新建IPv6AAAA資源記錄類型響應(yīng)動(dòng)態(tài)實(shí)時(shí)地(或“on-the-fly”����,即快速地)附上新簽名(比如�����,新RRSIG)時(shí)����,對(duì)應(yīng)于IPv4A資源記錄類型響應(yīng)的舊簽名由于不再有效,而被該流量管理設(shè)備丟棄�。僅作為示例,如上所述���,對(duì)合成的資源記錄的簽名可由驗(yàn)證模塊208采用流量管理設(shè)備110內(nèi)(比如���,主機(jī)存儲(chǔ)器22內(nèi))存儲(chǔ)的密鑰來(lái)實(shí)施����,當(dāng)然,也可采用其他技術(shù)進(jìn)行簽名�����。因此��,簽名的AAA資源記錄盡管是在流量管理設(shè)備110合成的��,但是在到達(dá)客戶端設(shè)備中發(fā)出請(qǐng)求的設(shè)備前保持了 DNSSEC要求的信任鏈并且不會(huì)被其他下游驗(yàn)證器拒絕為無(wú)效���。在步驟314中,所述簽名的合成AAAA資源記錄作為響應(yīng)轉(zhuǎn)發(fā)給客戶端計(jì)算機(jī)104(1)到104(n)中發(fā)出請(qǐng)求的計(jì)算機(jī)��。需要指出的是��,盡管在該示例中�����,IPv6AAAA資源記錄稱為客戶端計(jì)算機(jī)104(1)到104(η)請(qǐng)求的資源記錄類型����,但是�,本申請(qǐng)公開的示例對(duì)于其他資源記錄類型同樣有效,只要服務(wù)器102(1)到102 (η)提供的響應(yīng)與這樣一種資源記錄的類型不同即可����,該資源記錄需要經(jīng)過(guò)驗(yàn)證或需要通過(guò)合成而轉(zhuǎn)換成與客戶端計(jì)算機(jī)104(1)到104(η)所請(qǐng)求的資源記錄類型相同�,然后比如通過(guò)在流量管理設(shè)備110附上簽名 而被驗(yàn)證���。通過(guò)對(duì)基本概念的說(shuō)明,對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)����,顯而易見的是�,上述詳細(xì)公開內(nèi)容僅作為示例而非限制���。盡管在本申請(qǐng)中未詳細(xì)闡述�,但是本領(lǐng)域的技術(shù)人員可進(jìn)行各種變化�����、改進(jìn)和修改�。實(shí)現(xiàn)提供安全應(yīng)用交付的方法和步驟的順序也可以改變。另外��,除了網(wǎng)絡(luò)112和局域網(wǎng)114�����,還可有多個(gè)網(wǎng)絡(luò)與接收或發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包的流量管理設(shè)備110相連����。這些變化、改進(jìn)和修改是本實(shí)用新型所建議的�,并且在示例的精神和范圍內(nèi)。另外����,所列出的處理部件的順序或次序、或數(shù)字���、字母或其他標(biāo)識(shí)的使用并不用于把主張的步驟和方法限于任何順序����,除非已在權(quán)利要求中指定�。
權(quán)利要求1.一種流量管理設(shè)備,其特征在于����,包括 至少一個(gè)用于執(zhí)行存儲(chǔ)在存儲(chǔ)器內(nèi)的程序指令的一個(gè)以上處理器; 通過(guò)總線與所述一個(gè)以上處理器連接的存儲(chǔ)器�;以及 與所述處理器和所述存儲(chǔ)器連接并用于接收和轉(zhuǎn)發(fā)來(lái)自網(wǎng)絡(luò)的涉及多個(gè)應(yīng)用程序的數(shù)據(jù)包的網(wǎng)絡(luò)接口控制器���; 其中���,具有邏輯的所述網(wǎng)絡(luò)接口控制器進(jìn)一步為 根據(jù)客戶端設(shè)備的請(qǐng)求接收來(lái)自一個(gè)以上服務(wù)器設(shè)備的第一資源記錄類型、 驗(yàn)證所述第一資源記錄類型�����、 在驗(yàn)證后創(chuàng)建對(duì)應(yīng)于所述第一資源記錄類型的第二資源記錄類型、 對(duì)所述第二資源記錄類型簽名從而為客戶端設(shè)備的請(qǐng)求提供服務(wù)的網(wǎng)絡(luò)接口控制器�����。
2.根據(jù)權(quán)利要求I所述的設(shè)備�,其特征在于�,所述網(wǎng)絡(luò)接口控制器為在驗(yàn)證后將所述第一資源記錄類型的簽名丟棄�、且包括在將所述簽名的第二資源記錄類型轉(zhuǎn)發(fā)給所述客戶端設(shè)備前給所述第二資源記錄類型附上新簽名過(guò)程的網(wǎng)絡(luò)接口控制器。
專利摘要本實(shí)用新型公開一種流量管理設(shè)備����,包括至少一個(gè)用于執(zhí)行存儲(chǔ)在存儲(chǔ)器內(nèi)的程序指令的一個(gè)以上處理器;通過(guò)總線與所述一個(gè)以上處理器連接的存儲(chǔ)器;以及與所述處理器和所述存儲(chǔ)器連接并用于接收和轉(zhuǎn)發(fā)來(lái)自網(wǎng)絡(luò)的涉及多個(gè)應(yīng)用程序的數(shù)據(jù)包的網(wǎng)絡(luò)接口控制器�����;其中��,所述網(wǎng)絡(luò)接口控制器進(jìn)一步包括根據(jù)客戶端設(shè)備的請(qǐng)求接收來(lái)自一個(gè)以上服務(wù)器設(shè)備的第一資源記錄類型的接收模塊;驗(yàn)證所述第一資源記錄類型的驗(yàn)證模塊���;在驗(yàn)證后創(chuàng)建對(duì)應(yīng)于所述第一資源記錄類型的第二資源記錄類型的創(chuàng)建模塊;對(duì)所述第二資源記錄類型簽名從而為客戶端設(shè)備的請(qǐng)求提供服務(wù)的簽名模塊。
文檔編號(hào)H04L12/24GK202524399SQ201120434308
公開日2012年11月7日 申請(qǐng)日期2011年11月4日 優(yōu)先權(quán)日2010年11月4日
發(fā)明者克里斯托菲爾·R·貝克, 彼得·M·索尼維爾 申請(qǐng)人:F5網(wǎng)絡(luò)公司