TITRE : Procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage, dispositif et programme d'ordinateur correspondants

Domaine de l'invention

Le domaine de l'invention est celui de la résolution d'identifiants de nommage tels que des noms de domaines. Plus précisément, l'invention concerne l'identification et la sélection d'une entité embarquant une fonction de résolution d'identifiants de nommage, normalement exécutée par des résolveurs d'identifiants de nommage par défaut.

Art antérieur et ses inconvénients

Le développement récent de protocoles de transport sécurisé des résolutions de nommage (DNS) tel que les protocoles DoH (DoH signifiant DNS over HTTPS) spécifié dans le document RFC8484 (Request for Comment) publié par l'IETF (Internet Engineering Task Force) ou DoT (DNS over TLS), spécifié dans le document RFC7858 également publié par l'IETF s'est accompagné de la sélection dynamique du résolveur d'identifiants de nommage, ou résolveur DNS, par l'équipement requérant la résolution d'un identifiant de nommage. Afin de permettre à un équipement de sélectionner le résolveur d'identifiants de nommage idoine, ce dernier est doté d'une table de routage de résolution d'identifiants de nommage ou table de routage DNS, listant le ou les résolveurs d'identifiants de nommage à destination desquels il peut transmettre une requête en résolution d'identifiants de nommage ainsi qu'un jeu de règles de sélection du résolveur d'identifiants de nommage approprié.

Dans un premier mode, dit « par défaut », l'équipement établit une connexion sécurisée avec le résolveur sélectionné et lui transmet une requête en résolution d'identifiants de nommage.

Afin d'augmenter d'avantage le niveau de sécurité, il est proposé aux équipements 10 de communiquer avec un serveur mandataire afin de masquer leur adresse réseau - aux résolveurs d'identifiants de nommage.

La [Fig. IA] représente un exemple du scenario de résolution d'identifiants de nommage impliquant un serveur mandataire, dans lequel un équipement 10, tel qu'un terminal utilisateur, comprend une table de routage DNS TRDNS comprenant les identifiants tels qu'une adresse réseau, un nom de domaine, etc. de trois résolveurs d'identifiants de nommage 12, 13 et 14 ainsi que les règles permettant de sélectionner le résolveur d'identifiants de nommage à contacter. Une telle table de routage DNS indique qu'un identifiant de nommage en « .corn » est résolu par le résolveur d'identifiants de nommage 12, qu'un identifiant de nommage en « .fr » est résolu par le résolveur d'identifiants de nommage 13 et que le résolveur d'identifiants de nommage 14 est le résolveur d'identifiants de nommage par défaut. Le résolveur d'identifiants de nommage 16 n'est, quant à lui, pas répertorié dans la table de routage DNS TRDNS. L'équipement 17 est un serveur autoritaire associé à au moins un identifiant de nommage à résoudre.

L'équipement 10 établit une connexion avec un serveur mandataire 11 opéré par une société tierce. En d'autres termes, les données échangées entre l'équipement 10 et le serveur mandataire 11 sont encapsulées conformément au protocole HTTPS (pour Hypertext Transfer Protocol Secure en langue anglaise) transporté par les protocoles de transports sécurisés TLS (pour Transport Layer Security en langue anglaise) ou QUIC (pour Quick UDP Internet Connection en langue anglaise). Cette encapsulation des données échangées est représentée sous la forme d'un tunnel Tun établi entre l'équipement 10 et le serveur mandataire 11. Une telle encapsulation peut être obtenue en échangeant des messages conformes l'extension DATAGRAM du protocole QUIC telles que définies dans le document RFC 9221 publié par l'IETF, à l'extension « capsule » définie dans le document RFC 9297 publié par l'IETF ou encore les extensions « draft-ietf-masque-connect- ip » et « connect-udp »" définies dans le document RFC 9298 lui aussi publié par l'IETF. L'équipement 10 émet une requête de résolution d'identifia nts de nommage à destination du résolveur d'identifiants de nommage adapté, par exemple le résolveur 12 car l'identifiant de nommage à résoudre est « example.com » au travers du tunnel Tun.

Le serveur mandataire 11 relaye ensuite un message émis par le résolveur 12, destiné à l'équipement 10, comprenant au moins un identifiant de nommage, comme par exemple une adresse IP (Internet Protocol) de type IPv4 ou IPv6 ou encore des données de redirection telles qu'un nom de domaine canonique ou DNS CNAME associé à des serveurs 15 associés à l'identifiant de nommage à résoudre, ces serveurs 15 stockant des données relatives à la mise œuvre d'un service requis par l'équipement 10 tel que des données relatives à une page web ou des données relatives à un contenu téléchargeable, etc. Un tel message est transmis par le serveur mandataire 11 à l'équipement 10 au travers du tunnel Tun.

L'équipement 10 peut alors établir une connexion avec le serveur 15 correspondant et peut accéder aux données relatives à la mise œuvre du service requis.

La [Fig. IB] représente un exemple du scenario de résolution d'identifiants de nommage dit « par défaut », dans lequel l'équipement 10 comprend toujours une table de routage DNS TRDNS comprenant les identifiants tels qu'une adresse réseau, un nom de domaine, etc. de trois résolveurs d'identifiants de nommage 12, 13 et 14 ainsi que les règles permettant de sélectionner le résolveur d'identifiants de nommage à contacter. Une telle table de routage DNS indique qu'un identifiant de nommage en « .corn » est résolu par le résolveur d'identifiants de nommage 12, qu'un identifiant de nommage en « .fr » est résolu par le résolveur d'identifiants de nommage 13 et que le résolveur d'identifiants de nommage 14 est le résolveur d'identifiants de nommage par défaut. Le résolveur d'identifiants de nommage 16 n'est, quant à lui, pas répertorié dans la table de routage DNS TRDNS. L'équipement 17 est un serveur autoritaire associé à au moins un identifiant de nommage à résoudre.

L'équipement 10 établit une connexion avec un serveur mandataire 11 opéré par une société tierce et embarqué dans le résolveur 12. En d'autres termes, les données échangées entre l'équipement 10 et le serveur autoritaire 12 sont encapsulées conformément au protocole HTTPS transporté par les protocoles de transports sécurisés TLS ou QUIC. Cette encapsulation des données échangées est représentée par le tunnel Tun établi entre l'équipement 10 et le résolveur 12. Une telle encapsulation peut être obtenue en échangeant des messages conformes à l'extension DATAGRAM du protocole QUIC, à l'extension « capsule » ou encore les extensions « draft-ietf- masque-connect-ip » et « connect-udp »".

L'équipement 10 émet une requête de résolution d'identifiants de nommage à destination du résolveur 12 car l'identifiant de nommage à résoudre est « example.com » au travers du tunnel Tun.

Le résolveur 12 transmet ensuite un message au travers du tunnel Tun à destination de l'équipement 10, comprenant au moins un identifiant de nommage, comme par exemple une adresse IP (Internet Protocol) de type IPv4 ou IPv6 ou encore des données de redirection telles qu'un nom de domaine canonique ou DNS CNAME associé à des serveurs 15 associés à l'identifiant de nommage à résoudre, ces serveurs 15 stockant des données relatives à la mise œuvre d'un service requis par l'équipement 10 tel que des données relatives à une page web ou des données relatives à un contenu téléchargeable, etc.

L'équipement 10 peut alors établir une connexion avec le serveur 15 correspondant et peut accéder aux données relatives à la mise œuvre du service requis.

Dans ce scenario, les requêtes en résolution d'identifiants de nommage sont transmises à des résolveurs d'identifiants de nommage sans concertation avec le fournisseur de service internet ISP auprès duquel un utilisateur de l'équipement 10 a souscrit une offre de service, notamment une offre de service de connectivité pouvant contenir des qualités de service différenciées en fonction des offres/besoins des partenaires du fournisseur de services ISP, et sans que celui-ci ait accès à ces requêtes en résolution d'identifiants de nommage puisque ces dernières sont transmises au travers du tunnel Tun.

Cela impacte la gestion des ressources des différents équipements de communication, gérés par le fournisseur de service internet ISP auprès duquel un utilisateur de l'équipement 10 a souscrit une offre de service et impliqués dans la résolution d'identifiants de nommage qui peuvent ne pas être utilisés de manière optimale. Le fournisseur de service, par ailleurs, ne peut pas intervenir par exemple sur la requête en résolution et la réponse à cette requête, notamment pour adapter la réponse à l'architecture du fournisseur de services ou des partenaires au fournisseur de services. L'intervention peut consister en effet à enrichir la requête avec une information pouvant être utilisée pour adapter la réponse en fonction de cet enrichissement ou bien à équilibrer par exemple la charge entre plusieurs serveurs opérés pour le compte d'un ou plusieurs partenaires du fournisseur de services ISP stockant les données relatives à la mise en œuvre du service. Il existe donc un besoin d'une technique de résolution d'identifiants de nommage présentant pas tout ou partie des inconvénients précités.

Exposé de l'invention

L'invention répond à ce besoin en proposant un procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage émise par un équipement au travers d'un chemin établi entre ledit équipement et un serveur mandataire, ledit procédé étant mis en œuvre par ledit serveur mandataire et comprenant les étapes suivantes :

- interception de ladite requête comprenant un identifiant d'au moins une première entité implémentant une fonction de résolution d'au moins un identifiant de nommage, dite entité par défaut, à destination de laquelle elle a été émise,

- transmission de ladite requête à destination d'au moins une deuxième entité implémentant une fonction de résolution d'au moins un identifiant de nommage, ladite deuxième entité étant sélectionnée en fonction d'au moins un paramètre relatif audit équipement et/ou d'au moins un paramètre relatif à l'identifiant de nommage à résoudre,

- transmission à destination dudit équipement d'un identifiant d'au moins un serveur associé à l'identifiant de nommage à résoudre transmise par ladite deuxième entité.

Par serveur mandataire on entend tout équipement intermédiaire connu de l'équipement ou découvert lors des échanges protocolaires mis en œuvre lors de l'établissement du tunnel.

Une telle solution permet de forcer la transmission de la requête en résolution d'un identifiant de nommage émise par l'équipement à destination d'un résolveur d'identifiants de nommage par défaut vers un autre résolveur d'identifiants de nommage.

L'identité de ce deuxième résolveur d'identifiants de nommage peut, par exemple résulter d'un accord entre le fournisseur de service internet auprès duquel un utilisateur de l'équipement a souscrit une offre de service et une société tierce opérant les serveurs autoritaires associés aux identifiants de nommage à résoudre.

Pour se faire, le serveur mandataire (ou proxy) a en sa possession des informations lui permettant, pour un identifiant de nommage à résoudre, d'identifier au moins un résolveur d'identifiants de nommage à destination duquel transmettre la requête en résolution d'identifiants de nommage.

Ainsi, en fonction d'informations relatives à l'équipement ayant requis une résolution d'un identifiant de nommage, le serveur mandataire est capable de déterminer à destination de quel résolveur d'identifiants de nommage il doit confier le traitement de la requête en résolution d'identifiants de nommage émise par l'équipement.

Une telle requête en résolution d'identifiants de nommage étant transmise à un résolveur d'identifiants de nommage choisi par le fournisseur de service internet auprès duquel un utilisateur de l'équipement a souscrit une offre de service, ce dernier a de nouveau la capacité de gérer les ressources des différents équipements de communication qu'il opère.

Selon une autre caractéristique du procédé objet de l'invention, ce dernier comprend préalablement à l'interception de ladite requête, une étape de réception d'au moins un message comprenant ledit au moins paramètre relatif audit équipement et ledit au moins un paramètre relatif à l'identifiant de nommage à résoudre, ledit message étant émis par un serveur autoritaire associé à l'au moins un identifiant de nommage à résoudre.

Selon une autre caractéristique du procédé objet de la présente invention, ledit message reçu est en outre signé d'un certificat dudit serveur autoritaire indiquant la propriété de l'au moins un identifiant de nommage à résoudre.

Un tel certificat de propriété peut être délivré au serveur autoritaire associé à l'identifiant de nommage à résoudre par une autorité de confiance. Ainsi, le serveur mandataire sait que les informations fournies par le serveur autoritaire sont fiables.

Dans une implémentation du procédé objet de la présente invention, ledit au moins un paramètre relatif à l'au moins un identifiant de nommage à résoudre comprend au moins une adresse réseau d'un résolveur d'identifiants de nommage embarquant ladite deuxième entité et/ou une information de redirection de ladite requête à destination dudit résolveur d'identifiants de nommage.

Dans une telle implémentation, le serveur mandataire redirige la requête en résolution d'identifiants de nommage émise par l'équipement à destination d'un résolveur d'identifiants de nommage dont une adresse réseau lui a été fourni par le serveur autoritaire associé à l'identifiant de nommage à résoudre.

Dans une autre implémentation du procédé objet de la présente invention, ladite deuxième entité étant embarquée dans ledit serveur mandataire, ledit au moins un paramètre relatif à l'au moins un identifiant de nommage à résoudre comprend au moins une autorisation d'exécution par ledit serveur mandataire d'une fonction de résolution d'au moins un identifiant de nommage.

Une telle solution permet de déléguer la résolution d'identifiants de nommage effectuée par défaut par des résolveurs d'identifiants de nommage au serveur mandataire.

La délégation de la résolution d'identifiants de nommage au serveur mandataire permet de réduire les coûts liés à l'exécution de cette fonction de résolution d'identifiant de nommage. En effet, en délégant la résolution d'identifiants de nommage au serveur mandataire il est possible de réduire le nombre de connexions entre équipements de communication afin de résoudre un identifiant de nommage, notamment en réutilisant les connections existantes entre les équipements utilisateur et les serveurs mandataires. Une telle réduction du nombre de connexions entre équipements de communication entraine une réduction de la consommation énergétique de ces équipements de communication.

De plus, une telle solution de délégation de la résolution d'identifiants de nommage présente également des performances accrues. Cela tient au fait que le nombre de connexions établies entre des équipements de communication afin de résoudre un identifiant de nommage est réduit.

En outre, la solution de délégation de la résolution d'identifiants de nommage proposée est fiable. En effet, dans le cadre de la présente solution, un serveur mandataire mettant en œuvre une résolution d'identifiants de nommage à la place d'un résolveur d'identifiants de nommage est doté d'une autorisation d'exécution de cette fonction de résolution d'au moins un identifiant de nommage qui peut être vérifiée le cas échéant.

Selon une caractéristique du procédé objet de la présente invention, l'autorisation d'exécution est une empreinte numérique de l'au moins un identifiant de nommage associé audit serveur mandataire signée par une clé cryptographique associée audit serveur autoritaire associé audit au moins un identifiant de nommage à résoudre.

L'autorisation d'exécution est générée par le serveur autoritaire associé à l'identifiant de nommage à résoudre et est propre à chaque serveur mandataire auprès duquel une fonction de résolution d'un identifiant de nommage est déléguée. Ainsi, seul un serveur mandataire autorisé par un serveur autoritaire associé à un identifiant de nommage se voit déléguer la résolution d'identifiant de nommage.

Selon une caractéristique du procédé objet de la présente invention, le paramètre relatif à l'équipement est un paramètre de localisation de l'équipement.

En fonction de la localisation de l'équipement un résolveur d'identifiants de nommage pourra être préféré à un autre.

L'invention a également pour objet un procédé de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage, ledit serveur mandataire interceptant une requête en résolution d'au moins un identifiant de nommage émise par un équipement au travers d'un chemin établi entre ledit équipement et un serveur mandataire, ladite requête comprenant un identifiant d'au moins une première entité implémentant une fonction de résolution d'au moins un identifiant de nommage, dite entité par défaut, à destination de laquelle elle a été émise, ledit procédé étant mis en œuvre par un serveur autoritaire associé audit identifiant de nommage à résoudre et comprenant les étapes suivantes :

- détermination d'une empreinte numérique dudit au moins un identifiant de nommage à résoudre associé à un identifiant dudit serveur mandataire,

- transmission, à destination du serveur mandataire, de ladite autorisation d'exécution comprenant ladite empreinte numérique.

Selon une caractéristique du procédé de génération d'une autorisation d'exécution objet de la présente invention, ladite empreinte numérique est en outre signée par une clé cryptographique associée au serveur autoritaire.

Ainsi, l'authenticité et l'intégrité de l'empreinte numérique sont assurées et peuvent être, le cas échéant, vérifiées par le serveur mandataire.

L'invention concerne encore un serveur mandataire capable de traiter une requête en résolution d'au moins un identifiant de nommage émise par un équipement au travers d'un chemin établi entre ledit équipement et ledit serveur mandataire, ledit serveur mandataire comprenant au moins un processeur configuré pour:

- intercepter ladite requête comprenant un identifiant d'au moins une première entité implémentant une fonction de résolution d'au moins un identifiant de nommage, dite entité par défaut, à destination de laquelle elle a été émise,

- transmettre ladite requête à destination d'au moins une deuxième entité implémentant une fonction de résolution d'au moins un identifiant de nommage, ladite deuxième entité étant sélectionnée en fonction d'au moins paramètre relatif audit équipement et/ou d'au moins un paramètre relatif à l'identifiant de nommage à résoudre,

- transmettre à destination dudit équipement un identifiant d'au moins un serveur associé à l'identifiant de nommage à résoudre transmise par ladite deuxième entité.

L'invention a pour autre objet un serveur autoritaire associé à au moins un identifiant de nommage, ledit serveur étant capable de générer une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution dudit au moins un identifiant de nommage, ledit serveur mandataire interceptant une requête en résolution d'au moins un identifiant de nommage émise par un équipement au travers d'un chemin établi entre ledit équipement et un serveur mandataire, ladite requête comprenant un identifiant d'au moins une première entité implémentant une fonction de résolution d'au moins un identifiant de nommage, dite entité par défaut, à destination de laquelle elle a été émise, ledit serveur autoritaire comprenant au moins un processeur configuré pour :

- déterminer une empreinte numérique dudit au moins un identifiant de nommage à résoudre associé à un identifiant dudit serveur mandataire,

- transmettre, à destination du serveur mandataire, ladite autorisation d'exécution comprenant ladite empreinte numérique.

L'invention concerne enfin des produits programme d'ordinateur comprenant des instructions de code de programme pour la mise en œuvre des procédés tels que décrits précédemment, lorsqu'ils sont exécutés par un processeur.

L'invention vise également un support d'enregistrement lisible par un ordinateur sur lequel sont enregistrés des programmes d'ordinateur comprenant des instructions de code de programme pour l'exécution des étapes des procédés selon l'invention tels que décrits ci-dessus.

Un tel support d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker les programmes. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une clé USB ou un disque dur.

D'autre part, un tel support d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens, de sorte que les programmes d'ordinateur qu'il contient sont exécutables à distance. Les programmes selon l'invention peuvent être en particulier téléchargés sur un réseau par exemple le réseau Internet.

Alternativement, le support d'enregistrement peut être un circuit intégré dans lequel les programmes sont incorporés, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution des procédés objets de l'invention précités.

Liste des figures

D'autres buts, caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description suivante, donnée à titre de simple exemple illustratif, et non limitatif, en relation avec les figures, parmi lesquelles :

[fig. IA] : cette figure représente un premier exemple de scenario de résolution d'identifia nts de nommage,

[fig. IB] : cette figure représente un deuxième exemple de scenario de résolution d'identifiants de nommage,

[fig- 2] : cette figure représente un diagramme d'échanges entre différents équipements de communication impliqués dans un premier mode d'implémentation des procédés de traitement d'une requête en résolution d'au moins un identifiant de nommage et de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage,

[fig- 3] : cette figure représente un diagramme d'échanges entre différents équipements de communication impliqués dans un deuxième mode d'implémentation des procédés de traitement d'une requête en résolution d'au moins un identifiant de nommage et de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage,

[fig- 4] : cette figure représente un diagramme d'échanges entre différents équipements de communication impliqués dans un troisième mode d'implémentation des procédés de traitement d'une requête en résolution d'au moins un identifiant de nommage et de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage,

[fig- 5] : cette figure représente un serveur mandataire apte à mettre en œuvre les différents modes de réalisation du procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage selon l'invention,

[fig. 6] : cette figure représente un serveur autoritaire apte à mettre en œuvre les différents modes de réalisation du procédé de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage selon l'invention.

Description détaillée de modes de réalisation de l'invention

Le principe général de l'invention repose sur la transmission d'une requête en résolution d'un identifiant de nommage destinée à être traitée par un résolveur d'identifiants de nommage défini par défaut vers un autre résolveur d'identifiants de nommage choisi par exemple à l'issue d'un accord entre un fournisseur de service internet auprès duquel un utilisateur a souscrit une offre de service et une société tierce opérant des serveurs autoritaires associés aux identifiants de nommage à résoudre.

Cela permet notamment au fournisseur de service internet auprès duquel un utilisateur de l'équipement a souscrit une offre de service d'avoir de nouveau la capacité de gérer les ressources des différents équipements de communication qu'il opère.

On présente désormais, en relation avec la [fig. 2] un diagramme d'échanges entre différents équipements de communication impliqués dans un premier mode d'implémentation des procédés de traitement d'une requête en résolution d'au moins un identifiant de nommage et de de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage.

Au cours d'une étape E0, un serveur autoritaire 17 associé à un identifiant de nommage, tel que example.com, transmet un message Record comprenant au moins un paramètre relatif audit équipement 10, ou un paramètre relatif à l'identifiant de nommage à résoudre à destination du serveur mandataire 11 et un certificat indiquant que l'opérateur du serveur autoritaire 17 est propriétaire de l'identifiant de nommage considéré. Un tel certificat de propriété peut être délivré au serveur autoritaire 17 associé à l'identifiant de nommage à résoudre par une autorité de confiance. Ainsi, le serveur mandataire 11 sait que les informations fournies par le serveur autoritaire 17 sont fiables. Le paramètre relatif à l'équipement 10 est par exemple un masque d'adresses IP, une adresse IP ou plus généralement un identifiant de l'équipement 10. Ainsi, le serveur mandataire 11 peut identifier les équipements 10 pour lesquels un traitement particulier des requêtes en résolution d'identifiants de nommage doit être appliqué.

Au cours d'une étape El, un équipement 10, tel qu'un terminal utilisateur, émet un message de demande d'établissement d'une session de communication de type Masque à destination du serveur mandataire 11. Un tel message d'établissement d'une session de communication est par exemple un message http de type CONNECT "connect-udp" défini dans le document RFC 9298 publié par l'IETF. dans lequel 192.0.2.6 est l'adresse réseau du résolveur 12.

Les données échangées entre l'équipement 10 et le serveur mandataire 11 au cours de cette session sont donc, par exemple, encapsulées dans des messages de type DATAGRAM du protocole QUIC, ou des extensions « capsule » (dans le cas de messages http de type CONNECT "connect-ip". Cette encapsulation des données échangées est représentée sous la forme du tunnel Tun établi entre l'équipement 10 et le serveur mandataire 11.

Une fois la session de communication établie entre l'équipement 10 et le serveur mandataire 11, l'équipement 10 émet, dans une étape E2, une requête en résolution d'identifiant de nommage RDN à destination du serveur mandataire 11 pour l'identifiant de nommage example.com. Cette requête en résolution d'identifiant de nommage RDN est par exemple un message du type DNS over QUIC example.com. Conformément à ce qui est indiqué dans la table de routage DNS TRDNS de l'équipement 10, le résolveur d'identifiants de nommage par défaut identifié pour résoudre les identifiants de nommage ayant une extension en « .corn » est le résolveur 12. Ainsi, la requête en résolution d'identifiant de nommage RDN est émise par l'équipement 10 à destination du résolveur 12.

Dans une étape E3, le serveur mandataire 11 intercepte la requête en résolution d'identifiant de nommage RDN. Le serveur mandataire 11 détermine, par exemple au moyen du masque d'adresses IP reçus au cours de l'étape E0, si la requête en résolution d'un identifiant de nommage RDN doit faire ou non l'objet d'un traitement particulier. Si tel est le cas, le serveur mandataire 11 met en œuvre l'étape E4.

Dans ce premier mode de réalisation, le message Record émis par le serveur autoritaire 17 au cours de l'étape E0 comprend en plus du paramètre relatif audit équipement 10, du paramètre relatif à l'identifiant de nommage à résoudre et du certificat de propriété du serveur autoritaire 17, un paramètre de redirection de la requête en résolution d'identifiants de nommage. Un tel paramètre de redirection est par exemple un identifiant tel qu'une adresse IP du résolveur d'identifiants de nommage 16, lequel est par exemple opéré par le fournisseur de service internet auprès duquel un utilisateur de l'équipement 10 a souscrit une offre de service.

Le serveur mandataire 11 émet alors la requête en résolution d'un identifiant de nommage RDN à destination du résolveur 16, au cours de l'étape E4, au lieu de la transférer au résolveur 12 comme demandé par l'équipement 10.

Dans une étape E5, le résolveur 16 résout l'identifiant de nommage compris dans la requête en résolution d'identifiant de nommage RDN et émet dans une étape E6 un message MSG comprenant une adresse IP ou un identifiant associé à au moins un serveur 15 associé à l'identifiant de nommage à résoudre. Un tel message MSG est un message conforme au protocole DNS.

Un tel serveur 15 peut être situé dans un réseau distant ou être proche de l'équipement 10 lorsque l'adresse IP du serveur 15 transmise par le résolveur 16 correspond à un sous-réseau particulier dans lequel se situe l'équipement 10 par exemple. Le choix de privilégier un serveur 15 situé dans un réseau distant ou dans un sous-réseau proche de celui dans lequel l'équipement 10 se situe relève de l'accord établi entre le fournisseur de service internet auprès duquel un utilisateur a souscrit une offre de service et la société tierce opérant les serveurs autoritaires 17 associés aux identifiants de nommage à résoudre.

Dans une étape E7, le serveur mandataire 11 intercepte le message MSG et le transmet, dans une étape E8 à destination de l'équipement 10 : Enfin dans une étape E9, l'équipement 10 établit une session de communication avec le serveur 15 dont l'identifiant, par exemple l'adresse IP, était comprise dans le message MSG afin d'obtenir par exemple le contenu associé à la requête en résolution d'identifiant de nommage qu'il a émise.

On présente désormais, en relation avec la [fig. 3] un diagramme d'échanges entre différents équipements de communication impliqués dans un deuxième mode d'implémentation des procédés de traitement d'une requête en résolution d'au moins un identifiant de nommage et de de génération d'une autorisation d'exécution, par un serveur mandataire embarqué dans un serveur autoritaire, d'une fonction de résolution d'au moins un identifiant de nommage.

Au cours d'une étape F0, un serveur autoritaire 17 associé à un identifiant de nommage, tel que example.com, transmet un message Record comprenant au moins un paramètre relatif audit équipement 10, ou un paramètre relatif à l'identifiant de nommage à résoudre à destination du serveur mandataire 11 embarqué dans le résolveur 12 et un certificat indiquant que l'opérateur du serveur autoritaire 17 est propriétaire de l'identifiant de nommage considéré. Un tel certificat de propriété peut être délivré au serveur autoritaire 17 associé à l'identifiant de nommage à résoudre par une autorité de confiance. Ainsi, le serveur mandataire 11 sait que les informations fournies par le serveur autoritaire 17 sont fiables. Le paramètre relatif à l'équipement 10 est par exemple un masque d'adresses IP, une adresse IP ou plus généralement un identifiant de l'équipement 10. Ainsi, le serveur mandataire 11 peut identifier les équipements 10 pour lesquels un traitement particulier des requêtes en résolution d'identifiants de nommage doit être appliqué.

Au cours d'une étape Fl, l'équipement 10 émet un message de demande d'établissement d'une session de communication de type Masque à destination du serveur mandataire 11 embarqué dans le résolveur 12. Un tel message d'établissement d'une session de communication est par exemple un message http de type CONNECT "connect-udp". dans lequel 192.0.2.6 est l'adresse réseau du résolveur 12.

Les données échangées entre l'équipement 10 et le serveur mandataire 11 au cours de cette session sont donc, par exemple, encapsulées dans des messages de type DATAGRAM du protocole QUIC, ou des extensions « capsule » (dans le cas de messages http de type CONNECT "connect-ip". Cette encapsulation des données échangées est représentée sous la forme du tunnel Tun établi entre l'équipement 10 et le résolveur 12.

Une fois la session de communication établie entre l'équipement 10 et le serveur mandataire 11, l'équipement 10 émet, dans une étape F2, une requête en résolution d'identifiant de nommage RDN à destination du serveur mandataire 11 embarqué dans le résolveur 12 puisque, conformément à ce qui est indiqué dans la table de routage DNS TRDNS de l'équipement 10, le résolveur d'identifiants de nommage par défaut identifié pour résoudre les identifiants de nommage ayant une extension en « .corn » est le résolveur 12. Cette requête en résolution d'identifiant de nommage RDN est par exemple un message du type DNS over QUIC example.com. Dans une étape F3, le serveur mandataire 11 reçoit la requête en résolution d'identifiant de nommage RDN. Le serveur mandataire 11 détermine, par exemple au moyen du masque d'adresses IP reçus au cours de l'étape E0, si la requête en résolution d'un identifiant de nommage RDN doit faire ou non l'objet d'un traitement particulier. Si tel est le cas, le serveur mandataire 11 met en œuvre l'étape F4.

Dans ce premier mode de réalisation, le message Record émis par le serveur autoritaire 17 au cours de l'étape F0 comprend en plus du paramètre relatif audit équipement 10, du paramètre relatif à l'identifiant de nommage à résoudre et du certificat de propriété du serveur autoritaire 17, un paramètre de redirection de la requête en résolution d'identifiants de nommage. Un tel paramètre de redirection est par exemple un identifiant tel qu'une adresse IP du résolveur d'identifiants de nommage 16 lequel est par exemple opéré par le fournisseur de service internet auprès duquel un utilisateur de l'équipement 10 a souscrit une offre de service.

Le résolveur 12 transmet alors la requête en résolution d'un identifiant de nommage RDN à destination du résolveur 16, au cours de l'étape F4, au lieu de la traiter lui-même comme demandé par l'équipement 10.

Dans une étape F5, le résolveur 16 résout l'identifiant de nommage compris dans la requête en résolution d'identifiant de nommage RDN et émet dans une étape F6 un message MSG comprenant une adresse IP ou un identifiant associé à au moins un serveur 15 associé à l'identifiant de nommage à résoudre à destination du serveur mandataire 11. Un tel message MSG est un message conforme au protocole DNS.

Un tel serveur 15 peut être situé dans un réseau distant ou être proche de l'équipement 10 lorsque l'adresse IP du serveur 15 transmise par le résolveur 16 correspond à un sous-réseau particulier dans lequel se situe l'équipement 10 par exemple. Le choix de privilégier un serveur 15 situé dans un réseau distant ou dans un sous-réseau proche de celui dans lequel l'équipement 10 se situe relève de l'accord établi entre le fournisseur de service internet auprès duquel un utilisateur a souscrit une offre de service et la société tierce opérant les serveurs autoritaires 17 associés aux identifiants de nommage à résoudre.

Dans une étape F7, le serveur mandataire 11 intercepte le message MSG et le transmet, dans une étape F8 à destination de l'équipement via de l'ajout de champs d'entête http propres au présent procédé tels qu'un champ d'entête DNS_ID = 'example.com', un champ d'entête DNS_TYPE='A' ou encore un champ d'entête DNS_VALUE=' 103.168.1.1' indiquant à l'équipement 10 qu'il doit demander le contenu identifié par l'identifiant de domaine « example.com » au serveur 15 dont l'adresse réseau est 193.168.1.1.

Le serveur mandataire 11 embarqué dans le résolveur peut en outre indiquer dans le message MSG une modification du résolveur pour cet identifiant de domaine.

Pour cela, des champs d'entête propres au présent procédé sont ajoutés au message MSG tel qu'un champ d'entête DNS_ROUTE_DOMAIN et un champ d'entête DNS_ROUTE_RESOLVER indiquant à l'équipement 10 que le résolveur 16 est maintenant le résolveur par défaut pour l'identifiant de domaine example.com. Une telle procédure est définie par l'IETF dans le document suivant : https://httpwg.org/http-extensions/draft-ietf-httpbis-messag e-signatures.html.

A réception du message MSG, l'équipement 10 met à jour la table de routage TRFNS avec ces informations.

Enfin dans une étape F9, l'équipement 10 établit une session de communication avec le serveur 15 dont l'identifiant, par exemple l'adresse IP, était comprise dans le message MSG afin d'obtenir par exemple le contenu associé à la requête http qu'il effectue.

On présente désormais, en relation avec la [fig. 4] un diagramme d'échanges entre différents équipements de communication impliqués dans un troisième mode d'implémentation des procédés de traitement d'une requête en résolution d'au moins un identifiant de nommage et de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage.

Au cours d'étape GO, le serveur autoritaire 17 associé à l'identifiant de nommage example.com génère une autorisation d'exécution AD associé au serveur mandataire 11 pour l'identifiant de nommage example.com.

Ainsi, le serveur autoritaire 17 chiffre avec une clé cryptographique privée associée à une clé cryptographique publique chaque identifiant de nommage associé à un serveur mandataire 11 auquel il donne une autorisation d'exécution d'une fonction de résolution d'au moins un identifiant de nommage. Le serveur autoritaire 17 calcule ensuite une empreinte numérique de l'identifiant de nommage associé à un identifiant du serveur mandataire 11 signée au moyen de la clé cryptographique associée au serveur autoritaire 17. Une telle empreinte numérique est par exemple un hash de la clé publique du serveur autoritaire 17, de l'identifiant de nommage, example.com, et de l'identifiant du serveur mandataire 11. Le serveur autoritaire 17 détermine ainsi l'autorisation d'exécution AD du serveur mandataire 11 pour l'identifiant de nommage example.com.

Dans une étape Gl, le serveur autoritaire 17 transmet un message Record comprenant au moins un paramètre relatif audit équipement 10, un certificat de propriété du serveur autoritaire 17 et une autorisation d'exécution AD. Un tel certificat de propriété peut être délivré au serveur autoritaire 17 associé à l'identifiant de nommage à résoudre par une autorité de confiance. Ainsi, le serveur mandataire 11 sait que les informations fournies par le serveur autoritaire 17 sont fiables. Le paramètre relatif à l'équipement 10 est par exemple un masque d'adresses IP. Ainsi, le serveur mandataire 11 peut identifier les équipements 10 pour lesquels un traitement particulier des requêtes en résolution d'identifiants de nommage doit être appliqué.

Dans une étape G2, Le résolveur d'identifiant de nommage 12 stocke des adresses IP de serveurs 15 associés aux identifiants de nommage pour lesquels il dispose d'une autorisation d'exécution AD dans une table de correspondance destinée à être utilisée lors de la résolution des identifiants de nommages.

Ces étapes GO, Gl et G2 ne déclenchent pas directement les étapes G3 et suivantes, elles peuvent leur être préalables ou être postérieures à l'étape G3 afin d'assurer la bonne exécution des procédés de traitement d'une requête en résolution d'au moins un identifiant de nommage et de de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage.

Au cours d'une étape G3, l'équipement 10 émet un message de demande d'établissement d'une session de communication HS à destination du serveur mandataire 11. Un tel message d'établissement d'une session de communication est par exemple un message http de type CONNECT "connect-udp" : où 192.0.2.6 est l'adresse réseau du résolveur 12.

Les données échangées entre l'équipement 10 et le serveur mandataire 11 au cours de cette session sont donc encapsulées dans des paquets UDP. Cette encapsulation des données échangées est représentée sous la forme du tunnel Tun établit entre l'équipement 10 et le serveur mandataire 11.

Une fois la session de communication établie entre l'équipement 10 et le serveur mandataire 11, l'équipement 10 émet, dans une étape G4, une requête en résolution d'identifiant de nommage RDN à destination du serveur mandataire 11 pour l'identifiant de nommage example.com. Cette requête en résolution d'identifiant de nommage RDN est par exemple un message du type DNS over QUIC example.com. Conformément à ce qui est indiqué dans la table de routage DNS TRDNS de l'équipement 10, le résolveur d'identifiants de nommage par défaut identifié pour résoudre les identifiants de nommage ayant une extension en « .corn », ou un identifiant de nommage spécifique tel que « example.com », est le résolveur 12. Ainsi, la requête en résolution d'identifiant de nommage RDN est émise par l'équipement 10 à destination du résolveur 12.

Dans une étape G5, le serveur mandataire 11 intercepte la requête en résolution d'identifiant de nommage RDN. Le serveur mandataire 11 détermine au moyen du masque d'adresses IP reçus au cours de l'étape G2, si la requête en résolution d'un identifiant de nommage RDN doit faire ou non l'objet d'un traitement particulier. Si tel est le cas, le serveur mandataire 11 met en œuvre l'étape G6.

Au cours de l'étape G6, le serveur mandataire 11, ayant déterminé qu'il possède d'une autorisation d'exécution AD associée à l'identifiant de nommage à résoudre, ne procède pas à la transmission de la requête en résolution d'identifiants de nommage interceptée. Au lieu de cela, il procède à la résolution de l'identifiant de nommage compris dans la requête en résolution d'identifiants de nommage au moyen de la table de correspondance obtenue à l'étape G3.

Une fois l'identifiant de nommage résolu, le serveur mandataire 11 émet, dans une étape G7, un message MSG1 comprenant un identifiant tel que par exemple une adresse IP, un nom de domaine, etc. associé à au moins un serveur 15 associé à l'identifiant de nommage résolu à destination de l'équipement 10.

Un tel serveur 15 peut être situé dans un réseau distant ou être proche de l'équipement 10 lorsque l'adresse IP du serveur 15 transmise par le résolveur 16 correspond à un sous-réseau particulier dans lequel se situe l'équipement 10 par exemple. Le choix de privilégier un serveur 15 situé dans un réseau distant ou dans un sous-réseau proche de celui dans lequel l'équipement 10 se situe relève de l'accord établi entre le fournisseur de service internet auprès duquel un utilisateur a souscrit une offre de service et une entité opérant les serveurs autoritaires 17 associés aux identifiants de nommage à résoudre.

Enfin dans une étape G8, l'équipement 10 établit une session de communication avec le serveur 15 dont l'adresse IP était comprise dans le message MSG.

La [fig. 5] représente un serveur mandataire 11 apte à mettre en œuvre les différents modes de réalisation du procédé de traitement d'une requête en résolution d'au moins un identifiant de nommage selon les figures 2 à 4.

Un serveur mandataire 11 peut comprendre au moins un processeur matériel 51, une unité de stockage 52, et au moins une interface de réseau 53 qui sont connectés entre eux au travers d'un bus 54. Bien entendu, les éléments constitutifs du serveur mandataire 11 peuvent être connectés au moyen d'une connexion autre qu'un bus.

Le processeur 51 commande les opérations du serveur mandataire 11. L'unité de stockage

52 stocke au moins un programme pour la mise en œuvre de la méthode selon un mode de réalisation à exécuter par le processeur 51, et diverses données, telles que des paramètres utilisés pour des calculs effectués par le processeur 51, des données intermédiaires de calculs effectués par le processeur 51, etc. Le processeur 51 peut être formé par tout matériel ou logiciel connu et approprié, ou par une combinaison de matériel et de logiciel. Par exemple, le processeur 51 peut être formé par un matériel dédié tel qu'un circuit de traitement, ou par une unité de traitement programmable telle qu'une unité centrale de traitement (Central Processing Unit) qui exécute un programme stocké dans une mémoire de celui-ci.

L'unité de stockage 52 peut être formée par n'importe quel moyen approprié capable de stocker le programme ou les programmes et des données d'une manière lisible par un ordinateur. Des exemples d'unité de stockage 52 comprennent des supports de stockage non transitoires lisibles par ordinateur tels que des dispositifs de mémoire à semi-conducteurs, et des supports d'enregistrement magnétiques, optiques ou magnéto-optiques chargés dans une unité de lecture et d'écriture.

Au moins une interface réseau 53 fournit une connexion entre le serveur mandataire 11, les résolveurs 12-16, l'équipement 10 et le serveur autoritaire 17.

La [fig. 6] représente un serveur autoritaire 17 apte à mettre en œuvre les différents modes de réalisation du procédé de génération d'une autorisation d'exécution, par un serveur mandataire, d'une fonction de résolution d'au moins un identifiant de nommage selon les figures 2 à 4.

Un serveur autoritaire 17 peut comprendre au moins un processeur matériel 61, une unité de stockage 62, et au moins une interface de réseau 63 qui sont connectés entre eux au travers d'un bus 64. Bien entendu, les éléments constitutifs du serveur hébergeant des ressources 14 peuvent être connectés au moyen d'une connexion autre qu'un bus.

Le processeur 61 commande les opérations du serveur autoritaire 17. L'unité de stockage 62 stocke au moins un programme pour la mise en œuvre de la méthode selon un mode de réalisation à exécuter par le processeur 61, et diverses données, telles que des paramètres utilisés pour des calculs effectués par le processeur 61, des données intermédiaires de calculs effectués par le processeur 61, etc. Le processeur 61 peut être formé par tout matériel ou logiciel connu et approprié, ou par une combinaison de matériel et de logiciel. Par exemple, le processeur 61 peut être formé par un matériel dédié tel qu'un circuit de traitement, ou par une unité de traitement programmable telle qu'une unité centrale de traitement (Central Processing Unit) qui exécute un programme stocké dans une mémoire de celui-ci.

L'unité de stockage 62 peut être formée par n'importe quel moyen approprié capable de stocker le programme ou les programmes et des données d'une manière lisible par un ordinateur. Des exemples d'unité de stockage 62 comprennent des supports de stockage non transitoires lisibles par ordinateur tels que des dispositifs de mémoire à semi-conducteurs, et des supports d'enregistrement magnétiques, optiques ou magnéto-optiques chargés dans une unité de lecture et d'écriture.

Au moins une interface réseau 63 fournit une connexion entre le serveur autoritaire 17 et le serveur mandataire 11.