用户自主选择域名系统DNS解析线路的系统和方法与流程

本发明涉及一种用户自主选择域名系统DNS(Domain Name System)解析线路的系统和方法，属于计算机网络通信的技术领域。

背景技术：

认证、授权、计费的AAA(Authentication、Authorization、Accounting)服务器架构是用于智能控制计算机网络资源的接入访问、强制执行某些管控措施、以及向付费服务提供必要信息的实现网络安全管理的一种重要机制，这个服务器整合机制能够同时为客户端提供认证、授权、计费的三种网络安全管理功能。因此，在现有的IP认证计费网络中，通常的解决方案是使用Portal(门户或入口)协议配合AAA服务器进行客户端的认证、授权、计费；或者采用美国电气电子工程师学会IEEE802委员会制定的LAN标准中的802.1X进行用户认证：由网络接入认证装置—网络接入服务器NAS(Network Access Server)接收认证，并向AAA服务器进行验证。现在，这两种技术和方法已经成为一项使用非常广泛、有效的实现网络管理和安全方面的重要技术措施和保障。其中：

认证是确认用户终端或装置(如主机、服务器、交换机、路由器等)所宣称的身份的过程。认证是通过提供身份和凭证来完成的。此处的凭证包括各种各样，例如：密码、一次性令牌、数字证书及电话号码(呼叫方/被呼叫方)。

授权是授予用户、用户群、系统或某一进程的访问权限，它是以用户各自的认证、请求的服务和当前系统状态为前提。授权基于设定的限制，如使用时段限制、物理位置限制或禁止相同用户多次登录的限制等。授权决定了授予用户服务的特征。例如，包括但又不仅限于下述的各种服务：IP地址过滤、地址分配、路径分配、服务质量QoS(Quality of Service)/差分服务、带宽控制/流量管理、特定终点的强制隧道和加密术。

计费是创建某个用户执行设定行为的方法，如跟踪用户链接、日志系统用户等。计费信息可能用于实现管理、规划、计量或其它目标。实时计费(Real-time accounting)是采用计费信息与资源消耗并发传送的方式。分批计费(Batch accounting)是在计费过程中，采用将计费信息在发送后才被保存处理的方式。通常收集的信息包括：用户身份、提供服务的性质、服务开始和结束的时间。

域名系统DNS(Domain Name System)是记录域名和因特网协议IP(Internet Protocol)地址之间的映射关系的一个分布式数据库，能够使得用户通过域名直接访问网站，而不用去记住每个域名所对应的IP地址。

在现有的IP认证计费网络中，DNS服务器、认证服务器和用户终端设备之间完成DNS解析线路的典型组网结构及其交互流程如下所述(参见图1)：

(1)用户预先签约一个或多个提供互联网接入服务的运营商。

(2)用户发起认证，根据网络中认证服务器是Portal服务器还是网络接入服务器NAS，分别采用两种不同的认证方式：

方法一：认证服务器是Portal服务器时，用户通过其终端向Portal服务器发送认证信息(账户名及密码)，并选择本次接入使用的运营商接入装置，也就是使用哪条出口链路进行后续的数据通信。

方法二：认证服务器是网络接入服务器NAS时，用户发起802.1X认证，并选择本次接入使用的运营商接入装置，由网络接入服务器NAS执行接收认证操作，并向AAA服务器进行验证。

(3)认证服务器(Portal服务器或NAS服务器)通过用户认证，并将用户认证成功消息及使用的接入运营商接入装置通知出口网关。

(4)用户终端向DNS服务器发起域名解析访问请求。

(5)DNS服务器随机为用户返回该域名在任一线路上的IP地址。

(6)用户向出口网关发起请求，请求访问DNS服务器返回的这个IP地址。

(7)出口网关根据步骤(3)接收到的选路结果，将用户对应IP地址的访问请求数据报文发送到用户所选链路。

例如，参见图1(A)和(B)所示的两个用户A和用户B，在向认证服务器发起认证时的网络系统结构组成及其交互流程如下：

用户A选择的链路是电信，用户B选择的链路是联通。认证服务器将他们各自的选路结果都分别发送给了出口网关，但是，DNS服务器并不知道他们各自的选路结果。因此，当用户A和用户B分别向DNS服务器发送域名wrdtech.com的解析请求后，DNS服务器给他们都随机地返回了wrdtech.com在电信下的IP地址。用户A和用户B分别向这个电信的IP地址发起访问请求，出口网关根据这两个用户的选路结果，将用户A的访问请求发送到电信链路(参见图1(A))，将用户B的访问请求发送到联通链路(参见图1(B))。这样就使得用户A向电信运营商接入装置请求访问电信的IP地址时，电信运营商接入装置就能够直接经过本网取得请求结果，实现访问。而用户B向联通运营商接入装置请求访问电信运营商的IP地址，联通运营商接入装置就必须先将该访问请求转发到运营商网间的接入装置，进入电信网络后，才能够返回电信运营商的该IP地址的访问请求结果。由于这个用户B的网络访问请求过程发生了跨运营商网络的访问、造成访问路径的迂回，增加了访问延时和丢包风险，严重影响用户的网络访问体验。

基于上述分析，目前的执行认证的网络系统结构组成及其交互流程存在如下缺点：用户终端在认证时只选择了转发流量(出口)的数据链路，没有选择DNS的解析线路，导致DNS服务器返回的域名IP地址所对应的运营商接入装置和出口网关请求访问的运营商不同时(例如用户向联通运营商接入装置请求访问电信IP地址)，这种情况就会产生路径迂回，不仅增加访问延时，还容易发生丢包风险导致网络访问速度明显下降，影响用户的访问体验，有时甚至出现用户不能访问某些网络资源的情况。

参见图2，介绍目前针对上述问题的解决方案：在出口网关外部设置多台DNS服务器，其中的每台DNS服务器分别对应一个运营商接入装置，其网络系统的组成结构与交互流程如图2所示。

(1)用户预先签约一个或多个提供互联网接入服务的运营商。

(2)用户进行认证并选择本次接入使用的运营商(例如联通)。

(3)认证服务器(Portal服务器或NAS服务器)通过用户认证，并将用户选择的出口链路通知出口网关。

(4)用户终端向出口网关发起访问请求(例如请求访问域名wrdtech.com)。

(5)出口网关接收到用户终端的访问请求，根据步骤(3)中接收到的选路结果，将访问请求发送到所选链路运营商对应的DNS服务器、即DNS服务器1。

(6)DNS服务器1给出口网关返回域名在该运营商接入装置线路下对应的IP地址(wrdtech.com的联通IP地址)。

(7)出口网关将接收到的IP地址返回给用户终端。

(8)用户终端向出口网关发送请求，请求访问该IP地址。

(9)出口网关将用户终端的请求发送到步骤2中收到的选路结果所对应的运营商(联通)接入装置。

(10)运营商接入装置将访问结果通过出口网关返回给用户终端。

然而，这样的组网结构与交流方式同样存在许多缺点：首先是要为每个运营商接入装置都对应配置至少一台DNS服务器，造成软硬件的投资费用显著增加。而且，DNS服务器的部署位置要求特殊，某些网络条件下无法部署实施。再者，将DNS服务器安设在出口网关外部，存在极大的安全隐患，容易遭到外部攻击，导致网络瘫痪。另外，由于用户终端接入网络时获得的DNS服务器列表的时间，要早于用户完整实现认证和选择线路的时间，导致DNS服务器的解析结果所对应链路与用户实际认证时所选链路有可能存在不一致的情况，这样也会导致网络访问迂回。

技术实现要素：

有鉴于此，本发明的目的是提供一种用户自主选择域名系统DNS解析线路的系统和方法，该系统的结构非常简单，容易实现，操作方法的步骤同样非常灵活、便利，较好地解决了现有技术在外部部署多台DNS服务器实现策略一致而带来的软硬件的投资费用成本过高、安全性低、仍然可能造成迂回访问网络等多个问题，能够明显提高网络访问速度，提升和改善用户体验。

为了达到上述目的，本发明提供了一种用户自主选择域名系统DNS(Domain Name System)解析线路的系统，包括：用户终端、DNS服务器、认证服务器、出口网关和运营商接入装置；其特征在于：所述DNS服务器和认证服务器各自分别增设用于相互通信的认证服务器通信接口和DNS服务器通信接口，所述认证服务器是门户Portal服务器或网络接入服务器NAS(Network Access Server)；其中：

增设DNS服务器通信接口的认证服务器，由其用户认证选路接口负责将完成认证并选路的用户终端的IP地址及其所选链路信息分别传送给DNS服务器通信接口和出口网关；该认证服务器的DNS服务器通信接口负责将该用户终端的IP地址和Portal服务器或NAS服务器所选择的链路信息封装在报文中，直接发送给DNS服务器；

增设认证服务器通信接口的DNS服务器，由其认证服务器通信接口负责接收来自认证服务器的报文，获取用户终端IP地址及其所选链路信息；再将该所选链路对应为相应运营商线路，建立用户终端IP地址和运营商线路的映射表；DNS服务器在用户终端认证上线时，按照认证先后顺序，将用户终端IP地址和运营商线路的对应关系记录于映射表，以供接收到用户终端访问某个域名请求时，在映射表中查找该用户终端IP地址所对应的运营商线路后，返回该用户终端请求访问的域名在其所选运营商线路下解析得到的IP地址；

出口网关，负责从认证服务器接收完成认证与选路的用户终端的所选线路结果，再根据接收到的用户终端选路结果，将用户终端对运营商线路域名IP地址的访问请求发送到对应的运营商接入装置，并将运营商接入装置返回的访问结果发送给用户终端。

为了达到上述目的，本发明还提供了一种采用本发明用户自主选择域名系统DNS解析线路的系统的工作方法，其特征在于：所述方法包括下列操作步骤：

步骤1，认证服务器的用户认证选路接口接收到完成认证的用户终端的IP地址及其所选链路信息后，将该用户终端的IP地址及其所选链路信息发送到DNS服务器通信接口；

步骤2，认证服务器的DNS服务器通信接口将接收到的该用户终端的IP地址及其所选链路信息封装在报文中，直接发送给DNS服务器的认证服务器通信接口；同时将该用户终端IP地址及其所选链路信息发送给出口网关；

步骤3，DNS服务器的认证服务器通信接口接收到来自认证服务器的报文信息，将该用户终端所选链路对应为运营商线路，建立用户终端IP地址和运营商线路对应关系的映射表；

步骤4，DNS服务器接收到用户终端访问某个域名请求时，在映射表中查找发送访问请求的用户终端IP地址所对应的运营商线路，并将该域名在该运营商线路下解析得到的IP地址返回给发送访问请求的用户终端；

步骤5，用户终端向出口网关发送访问该运营商线路域名的IP地址请求；

步骤6，出口网关根据在步骤2接收到的用户终端选路结果，将该用户终端对运营商线路下域名解析得到的IP地址的访问请求发送到对应的运营商接入装置，并将运营商接入装置返回的访问结果发送给用户终端。

本发明的创新技术特点和优点是：

本发明用户自主选择DNS解析线路的系统结构组成，是在认证服务器与DNS服务器之间增设通讯接口，以便将用户认证选路信息直接通知DNS服务器。为此，只需要对现有的DNS服务器和认证服务器进行改进：各自分别增设用于相互通信的Portal服务器通信接口和DNS服务器通信接口，而对客户端、用户终端或其他装置无需进行任何改动。因此，本发明系统结构非常简单，对现有用户的正常操作及行为不会造成干扰，也就是说，本发明的结构非常简单，它的改进对网络中的用户而言，是透明的。

本发明用户自主选择DNS解析线路的系统与方法，通过认证服务器将用户的链路选择结果通知DNS服务器，实现了用户自主选择DNS解析线路，避免了现有系统中部署多台DNS服务器的技术方案所带来的高成本、不安全的问题，提高了用户的访问体验。而且，本发明系统是根据用户选择的上网线路和DNS服务器的域名解析结果，自动优化筛选，智能地选择对用户网络访问体验最佳的域名解析结果，无需用户手工设置递归解析DNS服务器地址；既优化用户体验，也解决了用户终端的DNS解析与运营商接入装置IP路由选路不一致的问题；从而使得用户访问网络实现优化：使用最佳线路。

附图说明

图1(A)、(B)是在现有的IP认证计费网络中，DNS服务器、认证服务器和用户终端之间完成DNS解析线路的系统结构组成和两种操作方法示意图。

图2是在现有的IP认证计费网络中，另一种DNS服务器、认证服务器和用户终端之间完成DNS解析线路的系统结构组成及其操作方法示意图。

图3是本发明用户自主选择域名系统DNS解析线路的系统中，认证服务器和DNS服务器各自分别增设用于相互通信的DNS服务器通信接口和认证服务器通信接口的结构组成示意图。

图4是本发明用户自主选择域名系统DNS解析线路的系统结构组成及其工作方法操作步骤示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图和实施例对本发明作进一步的详细描述。

参见图3和图4，本发明用户自主选择域名系统DNS解析线路的系统，是在原有的网元：用户终端、认证服务器(包括两种网元：门户Portal服务器或网络接入服务器NAS(Network Access Server))、DNS服务器、出口网关和运营商接入装置基础上进行改进组成的：即认证服务器增设用于与DNS服务器通信的DNS服务器通信接口，以及DNS服务器增设用于与认证服务器相互通信的认证服务器通信接口(参见图3)。其中：

增设DNS服务器通信接口的认证服务器，由其用户认证选路接口负责将完成认证并选路的用户终端的IP地址及其所选链路信息分别传送给DNS服务器通信接口和出口网关；该认证服务器的DNS服务器通信接口负责将该用户终端的IP地址和所选链路信息封装在报文中，直接发送给DNS服务器。

增设认证服务器通信接口的DNS服务器，由其认证服务器通信接口负责接收来自认证服务器的报文，获取用户终端IP地址及其所选链路信息；再将该所选链路对应为相应运营商线路，建立用户终端IP地址和运营商线路的映射表。DNS服务器在用户终端认证上线时，按照认证的先后顺序，将用户终端IP地址和运营商线路的对应关系记录于映射表，以供接收到用户终端访问某个域名请求时，在映射表中查找该用户终端IP地址所对应的运营商线路后，返回该用户终端请求访问的域名在其所选运营商线路下解析得到的IP地址。

同样地，本发明系统中的DNS服务器在处理记录在映射表中的用户终端IP地址和运营商线路的对应关系时，一旦用户终端操作离线时，就及时删除该对应关系。

出口网关，仍然负责从认证服务器接收完成认证与选路的用户终端的所选线路结果，再根据接收到的用户终端的选路结果，将用户终端对运营商线路域名IP地址的访问请求发送到对应的运营商接入装置，并将运营商接入装置返回的访问结果发送给用户终端。

参见图4，举例介绍本发明用户自主选择域名系统DNS解析线路的系统的工作方法具体操作步骤：

步骤1，认证服务器(Portal服务器或NAS服务器)的用户认证选路接口接收到完成认证的用户终端的IP地址及其所选链路信息(例如联通)后，将该用户终端的IP地址及其所选链路信息发送到DNS服务器通信接口。

步骤2，认证服务器的DNS服务器通信接口将接收到的该用户终端的IP地址及其所选链路(联通)信息封装在报文中，直接发送给DNS服务器的Portal服务器通信接口；同时将该用户终端IP地址及其所选链路(联通)信息发送给出口网关。

步骤3，DNS服务器的认证服务器通信接口接收到来自认证服务器的报文信息，将该用户终端所选链路(联通)对应为(联通)运营商的线路，建立用户终端IP地址和(联通)运营商线路对应关系的映射表。

步骤4，DNS服务器接收到用户终端访问某个域名请求(例如wrdtech.com)时，在映射表中查找发送访问请求的用户终端IP地址所对应的(联通)运营商线路，并将该域名在该(联通)运营商线路下解析得到的IP地址(例如wrdtech.com在联通的IP地址)返回给发送访问请求的用户终端。

该步骤中，映射表中记录的用户终端IP地址和运营商线路的对应关系，在该用户终端操作离线时，DNS服务器应删除该对应关系。

步骤5，用户终端向出口网关发送访问该运营商线路域名的IP地址请求。

步骤6，出口网关根据在步骤2接收到的用户终端选路结果，将该用户终端对运营商线路下域名解析得到的的IP地址(例如wrdtech.com在联通的IP地址)的访问请求发送到对应的(联通)运营商接入装置，并将(联通)运营商接入装置返回的访问结果发送给用户终端。

在北京邮电大学校园网的优化改进过程中，已经对本发明用户自主选择DNS解析线路的系统与方法进行了多次实施试验。试验结果表明，实现了发明目的，能够实现用户自主选择DNS解析线路，且有效提升了用户的上网体验。