获取与解析通信网络中的域名标识符相关的委托链的方法

摘要

一种用于获取能够向终端(100)传递内容的数据服务器(22)的标识符的方法和设备，该方法由该终端(100)执行，该终端向通信架构的解析服务器(50)传输请求获得第二域(40)中的该数据服务器(22)的标识符的消息。该请求消息触发从该解析服务器(50)接收信息消息，该信息消息包括第一域(20)中的该数据服务器(22)的标识符。此外，该消息包括委托链，该委托链包括从该第二域(40)到该第一域(20)的一系列重定向。

说明书

技术领域

本发明涉及通信网络并且旨在实施一种方法，该方法使得可以实施从DNS(域名服务器)架构的第二域到第一域的安全委托，以便终端获得能够传递内容的第一域的数据服务器的标识符，该标识符最初是从第二域请求的。

背景技术

在通信架构中，内容通常从数据服务器分发到终端，这些数据服务器不一定是最初具有所请求的内容的所谓源服务器。例如，如果终端想要访问页面http://www.exemple.fr的数据，则这些数据很可能会由CDN服务器传输，或者换言之，由已经从托管上述页面的数据的源服务器获得这些数据的高速缓存服务器传输。然后，必须将该CDN服务器的标识符传输到客户端，该客户端与该CDN服务器建立会话以实际获得数据，例如，通过建立HTTPS(超文本传输协议安全)会话，例如通过TLS(传输层安全)的HTTP类型。这些类型的架构尤其可以限制对源服务器的访问，以通过使数据服务器更靠近终端来减少通信网络中的带宽消耗，并且提高想要访问这些数据的客户端的体验质量。

因此，将用于获得数据服务器的标识符的请求传输到源域(例如，CSP.com)的DNS(域名服务器)服务器的终端被重定向到通信网络的运营商的CDN的DNS服务器，或者被重定向到CDN服务器(例如，负责管理能够传递终端请求的内容的CDN服务器)的运营商的DNS服务器。作为示例，在旨在在第五代(5G)网络中实施的“边缘计算”架构的背景下，由靠近终端的服务器传递内容可以减少与内容分发相关的延迟，并且因此通过将服务器分布在不同域中来提高客户端的体验质量并提高数据访问服务的可靠性，域表示由同一个实体管理的一组通信网络资源。

在CDN架构的情况下，CDN服务器必须通过使用源域名来传递内容，以便终端能够检查并确保所接收到的内容(不是来自源域的服务器)来自与源服务器达成协议的域的服务器。终端实际上比较了在最初传输的DNS请求中请求的域与CDN域的数据服务器发送的证书中存在的域名上的信息之间的匹配。然而，为了能够进行这种比较，源域必须将证书连同与源域相关联的私钥一起传输到CDN域服务器。实际上，私钥的传输确实带来了必须解决的保密性和安全性问题。因此，终端从某一域的服务器获得内容，而该终端不知道该域与终端为获得内容而调用的源域的关系。文档draft-sheffer-acme-star-delegation-01描述了一种解决方案，该解决方案允许源服务器向第三方服务器进行单一委托，而通信网络架构通常互连大量的域，这些域不一定都与源服务器达成协议。

例如，参与内容传递的域X也可能与对应于不同服务提供商的不同域达成协议，并且本身可以调用另一个更合适的域Y来提供数据服务器标识符。因此，向终端提供数据服务器的标识符可能涉及大量连续的域，而没有对最初由终端调用的源域进行先验控制。然而，出于安全原因，在不同域之间共享私钥是不期望的，并且取决于数据类型和/或时隙、甚至取决于某些服务的不同域之间的协议，不同域可能参与向终端提供数据服务器的标识符。根据现有技术，也无法通过事前检查(也就是说，在终端连接到在被传输到终端的DNS响应中标识的数据服务器之前)或者甚至事后检查(也就是说，终端连接到数据服务器之后)来控制数据访问服务的可靠性。本发明的目的是提供对现有技术状态的改进。

发明内容

本发明通过使用一种用于获取能够向终端传递内容的数据服务器的标识符的方法来改善这种情况，该方法由该终端执行并且包括：从通信架构的解析服务器接收信息消息的步骤，该信息消息包括第一域中的该数据服务器的标识符、并且进一步包括委托链，该委托链包括从第二域到该第一域的至少一个重定向，该信息消息的接收由向该解析服务器传输请求获得该第二域中的该数据服务器的标识符的消息的步骤来触发。

向终端提供内容通常需要不同域的名称服务器(DNS服务器)的贡献，这些名称服务器将连续地将DNS请求重定向到远至能够传输数据服务器的标识符的域的名称服务器，该终端必须连接到该数据服务器才能获得内容。在提供数据服务器的标识符中所涉及的名称服务器中，可以识别参与管理通信网络的运营商的CDN域的DNS服务器和CDN解决方案提供商的CDN域的DNS服务器。通过了解从(最初由终端经由获得数据服务器标识符的请求而调用的解析服务器所调用的)源域的服务器到委托链末端的域的传递服务器的整个委托链(包括从一个名称服务器到另一个名称服务器的连续委托)，终端可以确保将被传递的内容实际上确实最初源自链中逐步批准的域的服务器。终端还可以根据委托链中存在的信息来确保数据服务器确实被授权提供内容。委托链实际上对应于从源域服务器或第二域到实际包含能够向终端传递内容的数据服务器的域的一系列重定向。重定向的数量和链起始域(即源域)与链末端域(即包括传递服务器)之间的中间域的数量不受限制。域对应于一组共享目录信息的设备。该域可以是地理域或逻辑域，并且每个域本身可以包括子域，从而创建域名的分层组织，诸如用于DNS服务的分层组织。域之间的重定向包括将获得服务器标识符的请求传输到另一个域，这些交换在名称服务器之间执行。

该获取方法还呈现出以下优势：能够通知终端关于不同域的情况，以及因此甚至在请求内容之前通知终端在内容提供中所涉及的参与者。因此，该方法使得能够在实际传输获得内容的请求之前通知终端。终端在实际传输获得内容的请求之前拥有关于域之间的委托的所有信息，并且如果链的委托之一不适合该终端，该终端可以在必要时不请求内容。

因此，该获取方法可以用于不同的协议，然后这些协议使用由终端接收的委托链。因此，通过TLS的HTTP协议或与边缘缓存相关的服务(使得尽可能靠近终端地传递内容成为可能)可以应用该方法。

该获取方法还免除了将与第二域相关的私钥发送到第一域，因为委托链指示第二域隐式地授权第一域的传递服务器传递内容、并且因此代表了造成安全问题的私钥共享的替代方案。当获得传递请求内容的数据服务器的标识符时，获得委托链中描述的有关域间连续委托的信息也使得能够可能基于不同的通信协议将链上的信息用于获得内容的连续请求。该方法可以通过与广泛用于通信网络的DNS协议相关的交换来实施。

根据本发明的一方面，该获取方法的请求消息包括委托参数。

由终端在获得请求消息中发送委托参数使得可以向终端传输或不传输委托链，或者区分获得请求从而限制生成链和/或获得该链所需的交换，甚至允许实施适合于提供委托链的解析架构。

根据本发明的另一方面，在该获取方法中，委托链包括链有效性时间。

该方法提供了能够在有限时间内实施委托链的益处。这使得可以通过避免允许被破坏的域能够例如持续地保留在由终端获得的链中来提高委托的安全性。有效性时间还使得可以迫使终端定期(即，当有效性时间到期时)实施用于获得委托链更新的方法。

根据本发明的另一方面，在该获取方法中，委托链包括链认证数据。

委托链有利地包括链签名数据，例如用于对重定向到另一个域的域进行认证，并且可能包括用于检查委托链的算法或任何其他认证信息，该认证信息由链的服务器添加并且允许终端对添加到委托链中的服务器进行认证。特别地，链中存在的每个域都将证书附加到生成的委托链，该证书可能在确定的时间内是有效的。

根据本发明的另一方面，在该获取方法中，该委托链包括到至少一个第三中间域的至少一个重定向。

当在其中实施该获取方法的通信架构包括至少3个域并且在传输到终端的委托链中包含不同域之间的至少两个重定向时，实施该获取方法是有利的。因此，每个域都可以使用链的信息来将获得标识符的请求重定向到另一个域。

根据本发明的另一方面，该获取方法进一步包括向第一域中的该数据服务器的标识符传输连接建立消息的步骤，该建立消息包括委托链。

终端可以有利地使用与委托链相关的信息来建立与传递服务器的连接，以便获得所请求的内容。事实上，一旦终端获得了负责提供内容的传递服务器的标识符，该终端可以直接建立与该服务器的连接来获得内容。在连接建立消息中添加委托链使得可以通知传递服务器该终端已经获得该链并且该终端可以确认在信息消息中接收的委托链。

根据本发明的另一方面，该获取方法进一步包括从该数据服务器接收连接接受消息的步骤。

从数据服务器接收连接接受消息的步骤允许该数据服务器确认连接的建立和已经在连接建立消息中传输的委托链有效(或无效)。

根据本发明的另一方面，在该获取方法中，连接建立消息进一步包括第二域的标识数据。

由于终端最初已经请求了第二域的服务器的标识符，可以有利地将第二域的标识数据添加到连接建立消息中。该信息允许第一域的传递服务器在连接建立与链之间建立链接。

根据本发明的另一方面，该获取方法进一步包括从该数据服务器接收传送与委托链相关联的至少一个证书的消息的步骤。

与委托链中存在并且因此参与所请求内容的传递的域相关联的证书的传送。然后，第二域的证书的存在允许终端完成与传递服务器的安全会话的建立。

刚刚已经描述的获取方法的各个方面可以彼此独立地实施或者彼此组合地实施。

本发明还涉及一种用于将委托链与包括能够向终端传递内容的数据服务器的标识符的信息消息相关联的方法，该方法由通信架构的解析服务器执行并且包括以下步骤：

-从该终端接收请求获得第二域中的该数据服务器的标识符的消息，

-确定委托链，该委托链包括从该第二域到第一域的至少一个重定向，

-向该终端传输信息消息，该信息消息包括该第一域中的该数据服务器的标识符，所述信息消息进一步包括已确定的委托链。

本发明还涉及一种用于获取能够向终端传递内容的数据服务器的标识符的设备，该设备包括：

-接收器，该接收器能够从通信架构的解析服务器接收信息消息，该信息消息包括第一域中的该数据服务器的标识符，并且进一步包括委托链，该委托链包括从第二域到该第一域的至少一个重定向，

-发射器，该发射器能够向该解析服务器传输请求获得该第二域中的该数据服务器的标识符的消息，并且触发该信息消息的接收。

能够在其所有实施例中实施刚刚已经描述的获取方法的此设备旨在在终端(诸如移动终端(智能手机、平板计算机等)或固定终端(诸如计算机)或甚至是家庭或专业网络的接入单元(盒子)中实施。

本发明还涉及一种用于将委托链与包括能够向终端传递内容的数据服务器的标识符的信息消息相关联的设备，该设备在通信架构中实施并且包括：

-接收器，该接收器能够从该终端接收请求获得第二域中的该数据服务器的标识符的消息，

-确定模块，该确定模块能够确定包括从该第二域到第一域的至少一个重定向的委托链，

-发射器，该发射器能够向该终端传输信息消息，所述消息包括该第一域中的该数据服务器的标识符，并且进一步包括已确定的委托链。

能够在刚刚已经描述的关联方法中实施的此设备旨在在名称解析器(例如，DNS解析器)中实施，并且可以在固定终端或移动终端、或甚至在家庭或专业网络的接入单元(盒子)或者在运营商网络的特定单元中实例化。

本发明还涉及一种用于获取数据服务器的标识符的系统，该系统包括：

-用于获取数据服务器的标识符的设备，

-用于关联委托链的设备。

本发明还涉及包括指令的计算机程序，这些指令用于在这些程序由处理器和存储介质执行时实施刚刚已经描述的相应获取方法和关联方法的步骤，这些存储介质可以被其上存储有计算机程序的相应获取设备和关联设备读取。

这些程序可以使用任何编程语言，并且可以采用源代码、目标代码、或在源代码与目标代码之间的中间代码的形式，诸如呈部分编译的形式、或呈任何其他令人期望的形式。

本发明还针对一种信息介质，该信息介质可以由计算机读取并且包括如上所述的计算机程序指令。

该信息介质可以是能够存储程序的任何实体或设备。例如，该介质可以包括诸如ROM(例如，CD ROM或微电子电路ROM)等存储装置、或甚至磁性存储装置(例如，磁盘(软盘)或硬盘)。

并且，该信息介质可以是可以经由电缆或光缆以无线或其他方式传送的可传输介质(诸如电信号或光信号)。根据本发明的程序可以具体地通过互联网类型的网络进行下载。

可替代地，该信息介质可以是结合了该程序的集成电路，该电路被适配成执行或用于执行有关方法。

附图说明

在阅读了作为说明性和非限制性示例给出的以下对本发明的具体实施例的描述以及对所附附图的描述后，本发明的其他优点和特征将变得更加清楚明显，在附图中：

[图1]图1呈现了根据本发明的一方面的在其中实施本发明的通信架构的简化视图，

[图2]图2呈现了根据本发明的一方面的包括一组重定向的委托链的生成，

[图3]图3呈现了根据本发明的一个实施例的用于获取数据服务器的标识符的方法的概览，

[图4]图4呈现了根据本发明的一方面的获取设备的结构的示例，

[图5]图5呈现了根据本发明的一方面的关联设备的结构的示例。

具体实施方式

在下文的描述中，本发明的实施例在通信基础设施中呈现。该基础设施可以是固定的或移动的，并且本发明可以旨在为企业客户端或所谓的住宅客户端或公众获取数据服务器的标识符。

首先参考图1，该图呈现了根据本发明的一方面的在其中实施本发明的通信架构的简化视图。

终端100(其可以是固定终端或移动终端)想要通过使用HTTPS协议从远程服务器获得内容。例如，远程服务器的内容如下：https://www.abc.com。因此，终端100针对名称https://www.abc.com传输解析请求以获得与该名称相对应的网络标识符，例如IPv4或IPv6类型的IP(互联网协议)地址。终端100因此调用解析服务器50来获得存储内容的服务器的网络标识符。根据一个替代方案，由终端100发送的用于获得源服务器的标识符的请求可以包括委托参数，该委托参数尤其指示终端100支持“委托”功能并且命令解析服务器50请求与委托相关的信息。解析服务器50是例如“DNS(域名系统)解析器”类型的设备。该DNS解析器可以并入终端100中，或者在终端100所附接的局域网中实施，或者甚至由管理终端100所附接的接入网络的运营商操作。不具有将网络标识符与名称(在这种情况下对应于地址)相关联的记录的解析服务器50启动重定向方法，以便建立用于获得托管内容的数据服务器的标识符的委托链。该解析服务器调用源域40abc.com的名称服务器41(例如，DNS服务器)，以通过传输包括从终端100接收的委托参数的请求消息来获得网络标识符。根据一个示例，解析服务器50可能在已经传输允许该解析服务器从其他服务器(诸如所谓的根服务器和/或.com域的服务器)获得源域的名称服务器41的标识符的请求之后被重定向到名称服务器41，然后才能实际联系名称服务器41。

在该请求中考虑在所谓的本地服务器中复制内容https://www.abc.com，从而允许终端以较少的延迟访问复制的内容并且允许较少的通信资源消耗。服务器41确定将解析服务器50重定向到的另一个域30。名称服务器41通过传输指令消息来响应解析服务器50，该指令消息指示可以通过向域30的名称服务器31传输请求来获得存储内容的服务器的IP地址。因此，重定向消息包括指示由域40到域30的重定向的委托链。

在接收到该重定向消息时，解析服务器50向域30的名称服务器31传输请求获得存储内容https://www.abc.com的服务器的标识符的消息。该请求进一步包括从服务器41接收的委托链。在利用从域30到域20的新添加的重定向修改委托链之后，服务器31通过将解析服务器50重定向到域20的名称服务器21来响应该解析服务器。该经修改的链也被传输到域20。

然后，解析服务器50根据先前获得的重定向通过附接经修改的链来调用名称服务器21，以获得内容https://www.abc.com。由于服务器21了解域20中托管终端100请求的内容的服务器22的IP地址，所以该服务器在指令消息中将该IP地址传送到解析服务器50，该指令消息进一步包括从源域40到域20的完整委托链，即从域40到域30、然后从域30到能够向终端100传递内容的数据服务器22所在的域20。

解析服务器50将该信息消息传输到终端100，该终端然后获得数据服务器22的IP地址(向该地址传输获得内容的请求)以及从解析服务器50接收的完整的委托链。根据一个示例，终端100然后向服务器22传输连接建立消息(诸如HTTP/TLS(传输层安全)类型的消息)，该消息包括接收到的委托链。作为回应，服务器22向终端100传输源自传递内容的服务器22的连接接受消息。

关于图2，呈现了根据本发明的一方面的包括一系列重定向的委托链的生成。

在该图中，也呈现了图1中呈现的三个域20、30、40。在本实施例中认为三个域20、30、40对应于CDN(内容分发网络)网络，但这三个域也可以是运营商网络或甚至位于不同位置的存储(云)基础设施。域40包括数据服务器，一个终端(未在该图中示出)想要获得该数据服务器的标识符以便然后从该服务器请求数据。

域40的数据服务器的标识符未被传输到终端，而是将在不同域40、30、20之间应用一系列重定向，以便更靠近终端和/或更强大以满足来自终端的请求和/或具有更多资源将数据传输到终端的数据服务器被识别并且被传输到终端。在当前情况下，CDN域20的数据服务器的标识符将被传输到终端。从域40到域20的一系列重定向必须对终端透明地进行，终端必须能够进行检查并根据重定向来调整其行为。根据一个替代方案，被称为源域的域40还可以例如根据与包括连续重定向的链中存在的不同域的协议来确认不同的重定向是有效还是无效。图2呈现了委托链的重定向以及链中可能存在的不同信息，但是没有呈现与解析服务器的交换。图2呈现了域之间的重定向方法的概要视图，元素D1、D2、D3、D4不代表域40、30、20之间的交换，而是代表根据连续的重定向信息生成委托链的原理。

在域40的名称服务器接收到获得托管终端所期望内容的数据服务器的标识符(名称、IP地址等)的请求时，名称服务器(DNS)可以指示域40的数据服务器(HTTP服务器、FTP(文件传输协议)服务器等)的标识符或者将解析服务器(终端用于获得标识符的代理)重定向到另一个域的名称服务器。该第二选项由域40的DNS服务器使用，该服务器将数据服务器的标识符的提供委托给域30的DNS服务器。域40将对由解析服务器发送的获得标识符的请求的响应委托给域30。并且，域30执行相同的操作来将要传输到解析服务器的响应委托给域20，从而有助于委托链的生成。在图2中，D1包括从域40到域30的委托信息，该信息被传输到解析服务器，并且D2包括从域30到域20的委托信息，该委托信息也被传输到解析服务器。链包括从域40到域20的完整委托信息D4，该完整委托信息包括信息D1和D2以及可能的从域20到其自身的重定向信息D3。因此，委托链可以包括大量连续的委托信息。当完整的链包括从域20到其自身的委托信息D3时，该完整的链允许解析服务器识别委托链的末端，以便于促进未来的处理操作并且因此指示该链是完整的。因此，在已经通过添加到解析服务器必须调用的域的重定向来修改委托链之后，域的名称服务器指示解析服务器必须调用的另一个域。

为了获得完整的委托链，需要查询参与DNS解析的所有域的名称服务器，从而可以最终获得数据服务器的标识符。根据一个示例，委托链D1包括与某个块对应的一组元素，诸如

-From：委托域的名称——CDN1 40

-To：被委托域的名称——CDN2 30

-Start_time：委托的开始时间(UTC时间)

-Validity：从Start_time开始的以秒为单位的时间

-signature_algorithm：签名哈希+算法——用于检查委托链的算法名称。可能的值在文档IETF RFC 8446第4.2.3节中标识

-Signature：包含带有证书的签名，该证书用于对“From”字段中存在的域的名称进行认证。

根据一个替代方案添加的签名字段使得可以通过检查签名的内容和身份来隐式地证明委托链的每个重定向的真实性。当新的重定向添加到现有链时，该签名字段会被迭代地应用。与从一个域到另一个域的委托相对应的新块确认先前的委托并证明新委托的真实性。用于对每个块进行签名的私钥是正在进行委托的域(From字段)的证书的私钥。应当注意，重定向信息是由来自块的“from”和“to”字段的信息组成的。

因此，链D4的信息包括与从域CDN1 40到域CDN2 30然后从域CDN2 30到域CDN3 20的连续委托相对应的2个数据块D1和D2，以及可能的与从域CDN3 20到其自身的委托相对应的第三数据块D3。

块的重定向信息(因此“From”和“To”字段)必须存在，而与委托时间和安全性相关的其他信息块是可选的。由块组成的链由域的名称服务器从解析服务器接收，然后通过添加包括重定向和可能的链的生命周期以及签名的块进行修改，然后返回到解析服务器。因此，解析服务器调用域40的名称服务器，作为回应，接收包括委托链的重定向消息，该委托链包括到域30的重定向信息D1。解析服务器向域30的名称服务器传输用于获得数据服务器的标识符的消息，该消息包括所接收的链。不在包括数据服务器标识符的域中的该名称服务器标识将解析服务器重定向到的域，并且通过添加数据块D2来修改链。该名称服务器在指令消息中将链(D1+D2)发送到解析服务器。解析服务器调用域20的名称服务器。域20包括数据服务器，名称服务器通过添加块D3来修改所接收的链，并且将包括数据块D1、D2、D3的经修改的链传输到解析服务器。

现在参考图3，该图呈现了根据本发明的一个实施例的用于获取数据服务器的标识符的方法的概览。

在步骤E1，终端100向DNS解析器类型的设备50传输请求获得数据服务器的标识符的消息(这里由DNS请求表示)。该DNS请求由终端100发送，以了解给定域中的能够传递终端100所请求的内容的数据服务器的身份。DNS请求例如为“DNS Query A cdn.co.com”类型，并且终端想要获得与域名cdn.co.com的类型A(地址)的记录相对应的IP地址。根据一个示例，该请求包括委托参数，例如空的委托链Delegation()，因为暂时没有发生委托。DNS解析器50可以在终端100中、在终端100所附接的局域网中或者甚至在由运营商管理的网络中。

在步骤E11中，DNS解析器50实施用于确定与获取终端100所请求的数据服务器的标识符相关联的委托链的过程。该确定是DNS解析器50与包含在委托链中的重定向中所涉及的域的不同名称服务器之间的迭代过程。

在步骤E1中终端100传输了请求之后，DNS解析器在步骤E2中传输请求与cdn.co.com相对应的数据服务器的标识符的消息。该消息实际上被传输到域cdn.co.com的所谓授权DNS服务器。已知cdn.co.com包含至少三个域，即域.com、co.com和cdn.co.com，DNS解析器50可以在调用域cdn.co.com的DNS服务器之前调用域.com的授权DNS服务器然后调用域co.com的授权DNS服务器。在图3的示例中，仅表示了向域cdn.co.com的DNS服务器41发送请求消息。在步骤E2中，DNS服务器41被标识为源服务器，因为该服务器是DNS解析器50为了获得数据服务器的标识符而调用的第一个DNS服务器。DNS解析器50在传输到DNS服务器41的请求消息中包括可能从终端100接收的空委托链。DNS解析器50传输如下消息：

DNS query A cdn.co.com

Extension：Delegation()

在步骤E21中，DNS服务器41通过添加从域cdn.co.com到域co.cdn1.com的重定向来修改委托链。在步骤E3中，DNS服务器41(已经确定了DNS解析器50必须被重定向到的域并且在步骤E21中相应地修改了链之后)向DNS解析器50发送重定向消息，以向该DNS解析器指示可以从域co.cdn1.com获得内容。因此，该DNS服务器创建了对co.cdn1.com的第一级委托，并且因此通过向在步骤E2中接收的委托链添加数据块来修改委托链。这是委托链的第一次出现，这个出现对应于从域cdn.co.com到域co.cdn1.com的重定向。根据一个示例，该链可以包括链有效性时间。根据另一个示例，该链可以进一步包括链认证数据，诸如服务器41的证书。重定向消息是DNS CNAME(规范名)类型的消息，该消息指示解析器51调用域cdn1.co.com的授权DNS服务器。服务器41向DNS解析器50传输的重定向消息的内容如下：

因此，名称服务器41已经实施了利用从域cdn.co.com到域co.cdn1.com的重定向来修改委托链的方法。

在接收到重定向消息时，DNS解析器50在步骤E4中向域cdn1.co.com的授权DNS服务器31传输请求由DNS服务器41在其重定向消息中指示的域的标识符的消息。该请求消息包括服务器41在步骤E21中更新的委托链。解析服务器50传输的消息的内容如下：

确定DNS服务器31具有记录co.cdn2.com，DNS解析器50必须被重定向到该记录以获得数据服务器的标识符，DNS服务器31在步骤E41中利用从co.cdn1.com到co.cdn2.com的重定向修改在步骤E4中接收的委托链。域co.cdn1.com的DNS服务器31向DNS解析器50传输与重定向相对应的指令消息，该消息包括通过添加从域co.cdn1.com到域co.cdn2.com的重定向修改的委托链。根据一个示例，步骤E41中对链的修改还包括例如通过检查由域cdn.co.com的服务器41添加的证书的真实性来验证所接收的链“from：cdn.co.com to：co.cdn1.com”的步骤，以及通过利用特定于服务器31的私钥对添加到委托链的数据块进行签名来对经修改的链进行签名的步骤。服务器31在步骤E5中传输的消息的内容如下：

以与步骤E4相同的方式，在步骤E6中，DNS解析器50向域co.cdn2.com的DNS服务器21传输请求域cdn2.co.com中的数据服务器的标识符的消息。请求消息包括由服务器31修改的委托链，并且消息的内容如下：

DNS服务器21能够向DNS解析器50指示域co.cdn2.com中的数据服务器的标识符。在步骤E7中，该DNS服务器因此决定发送指令消息，在这种情况下，DNS响应消息包括数据服务器22的IP地址和在步骤E61中通过添加从域co.cdn2.com到其自身的委托修改的委托链。实际上，DNS服务器21向从DNS解析器50接收的链添加从域co.cdn2.com到其自身的重定向，从而指示到操作该链的设备的委托链的末端。DNS服务器21在步骤E7中向DNS解析器50传输的消息如下：

DNS解析器50在接收到指令消息时了解到负责传递内容的域co.cdn2.com和负责传递内容的域co.cdn2.com的服务器22的标识符(在这种情况下是IP地址)。

根据一个替代方案，DNS解析器50在步骤E8中向域cdn.co.com的DNS服务器41传输包括由服务器21修改的委托链的控制消息。由DNS解析器50传输的消息如下：

根据一个示例，服务器41可以确认生成的委托链有效还是无效。因此，如果链的域未与域cdn.co.com达成协议和/或如果域不安全，则DNS服务器41可以确认该链无效，并且在步骤E9中发送链无效消息，该链无效消息例如包括指示委托链无效的参数。在接收到指示委托链无效的消息时，DNS解析器50可以利用链无效参数向名称DNS服务器41传输获得域cdn.co.com中的数据服务器的标识符的新请求，从而向名称服务器41指示要么传输新的重定向，要么向名称解析器50传输域cdn.co.com的名称服务器的标识符而无需重定向。根据另一个示例，如果DNS服务器41确认该链有效，则该DNS服务器向DNS解析器50传输有效消息。根据一个替代方案，用于指示链的有效的该有效消息包括从域cdn.co.com到域cdn2.co.com的重定向。然后，有效消息采取如下形式：

解析器50接着向终端100传输包括数据服务器22的标识符的信息消息。在该示例中，该信息消息是包括数据服务器22的IP地址并且进一步包括由服务器41生成且可能批准的委托链的DNS消息。

终端100在步骤E9接收的消息如下：

因此，DNS解析器已经实施了重定向方法，使得可以建立委托链，该委托链使得可以确定数据传递服务器22的标识符并将其传输到终端100。委托链包括域之间的连续重定向。根据一个示例，传输到终端100的链可以包括链有效性时间。

根据一个替代方案，终端100一旦拥有该信息(数据服务器22的IP地址、委托链的重定向和可选参数)就可以建立与数据服务器22的连接。在步骤E11中，根据一个示例，终端100与其IP地址特定于域co.cdn2.com的数据服务器22建立TLS连接，该IP地址在步骤E10中通过传输TLS ClientHello消息传输。根据一个示例，TLS client Hello消息的SNI(服务器名称指示)扩展包括域名cdn.co.com，因为该域是终端100最初调用的域。TLSClient Hello消息进一步包括从DNS解析器50接收的委托链，从而向数据服务器22指示终端100正在根据域cdn.co.com、DNS解析器50和终端100接收并且可能批准的委托链来调用该数据服务器。TLS Client Hello消息的内容如下：

在步骤E12中，数据服务器22向终端100传输连接接受消息。例如，该数据服务器向终端100传输TLS ServerHello消息。

在步骤E13中，根据一个示例，数据服务器22向终端100发送传送与该委托链相关联的至少一个证书的消息。该消息例如是TLS ServerCertificate消息，该消息包含域cdn.co.com的证书以及与委托链的域的连续验证相对应的证书的完整路径。该数据服务器添加了co.cdn2.com的证书以及证明该委托的委托链。因此，终端10具有域co.cdn2.com的证书、指示域之间的连续重定向的委托链、以及确保链中的域的真实性的一系列证书。因此，终端可以完全安全地将域co.cdn2.com的证书用于终端100与数据服务器22之间的后续交换，尤其是与数据加密密钥的交换相关的交换。

例如，TLS serverCertificate消息包括以下信息：

在未来的TLS交换中，终端100因此将能够使用委托域co.cdn2.com的证书代替源域cdn.co.com的证书用于“TLS Handshake(握手)”交换。

因此，本发明使得可以通过中间域之间的连续重定向来委托向终端提供数据服务器的标识符，该数据服务器处于与终端最初调用的域不同的域中。这些重定向形成了由解析服务器与在提供中涉及的不同域的名称服务器之间的连续迭代生成的委托链。因此，本发明使得可以在无需在域之间交换私钥的情况下实施域之间的动态且安全的委托。本发明实际上使得不同域能够在没有事先协议的情况下参与解析服务器50的重定向方法，每个域通过每一个重定向确定链的下一个域，并且相应地修改委托链，直到一个域决定或能够将其域中的数据服务器的标识符传输到解析服务器50为止。终端因此可以使用链信息和链信息的认证数据来建立与链中最终指示的域的安全会话。

应当注意，在图3中，委托链中存在的信息仅包括域之间的重定向，但是根据图2中呈现的数据块的信息，该链可以包括与链的生命周期相关的、与链相关的安全数据相关的附加数据。

关于图4，根据本发明的一方面呈现了获取设备的结构的示例。

获取设备60实施获取方法，刚刚已经描述了该获取方法的不同实施例。

这种设备60可以在终端(诸如移动终端(智能手机、平板计算机等)或固定终端(诸如计算机)或甚至是家庭或专业网络的接入单元(盒子)中实施。

例如，设备60包括处理单元630，该处理单元配备有例如微处理器μP并且由计算机程序610驱动，该计算机程序存储在存储器620中并且实施根据本发明的收费方法。在初始化时，在计算机程序610的代码指令由处理单元630的处理器执行之前，这些代码指令被加载到例如RAM存储器中。

这种装置60包括：

-接收器64，该接收器能够从通信架构的解析服务器接收信息消息Info，该信息消息包括第一域中的该数据服务器的标识符，并且进一步包括委托链，该委托链包括从第二域到该第一域的至少一个重定向，

-发射器63，该发射器能够向该解析服务器传输请求获得该第二域中的传输数据服务器的标识符的消息，并且触发该信息消息的接收。

关于图5，根据本发明的一方面呈现了关联设备的结构的示例。

关联设备80实施关联方法，刚刚已经描述了该关联方法的不同实施例。

这种关联设备80可以在名称解析器(例如，DNS解析器)中实施，并且可以在固定终端或移动终端、或者在家庭或专业网络的接入单元(盒子)或者甚至在运营商网络的特定单元中实例化。

例如，设备80包括处理单元830，该处理单元配备有例如微处理器μP并且由计算机程序810驱动，该计算机程序存储在存储器820中并且实施根据本发明的收费方法。在初始化时，在计算机程序810的代码指令由处理单元830的处理器执行之前，这些代码指令被加载到例如RAM存储器中。

这种关联设备80包括：

-接收器84，该接收器能够从该终端接收请求获得第二域中的数据服务器的标识符的消息，

-确定模块82，该确定模块能够确定包括从该第二域到第一域的至少一个重定向的委托链，

-发射器83，该发射器能够向该终端传输信息消息，所述消息包括该第一域中的该数据服务器的标识符，并且进一步包括已确定的委托链。