FR3141023A1

FR3141023A1 - Method for processing a request for resolution of at least one naming identifier, device and corresponding computer program

Info

Publication number: FR3141023A1
Application number: FR2210753A
Authority: FR
Inventors: Frédéric Fieau; Emile Stephan; Gaël Fromentoux
Original assignee: Orange SA
Current assignee: Orange SA
Priority date: 2022-10-18
Filing date: 2022-10-18
Publication date: 2024-04-19
Anticipated expiration: 2042-10-18
Also published as: FR3141023B1; WO2024083694A1

Abstract

Procédé de traitement d’une requête en résolution d’au moins un identifiant de nommage, dispositif et programme d’ordinateur correspondants Dans certaines solutions de résolutions d’identifiants de nommage existantes, le résolveur destiné à résoudre un identifiant de nommage est sélectionné par défaut par l’équipement requérant la résolution de cet identifiant de nommage. Ceci est préjudiciable car les requêtes en résolution d’identifiants de nommage sont transmises par l’équipement à des résolveurs d’identifiants de nommage sans concertation avec le fournisseur de service internet ISP auprès duquel un utilisateur de l’équipement a souscris une offre de service et sans que celui-ci ait accès à ces requêtes en résolution d’identifiants de nommage puisque ces dernières sont transmises au travers d’un tunnel établi entre l’équipement et un serveur mandataire opéré par une société tierce. L’invention permet de forcer la transmission de la requête en résolution d’un identifiant de nommage vers un autre résolveur d’identifiants de nommage sélectionné par le fournisseur de service internet auprès duquel un utilisateur de l’équipement a souscrit une offre de service. FIGURE 1 Method for processing a request for resolution of at least one naming identifier, device and corresponding computer program In certain existing naming identifier resolution solutions, the resolver intended to resolve a naming identifier is selected by default by the equipment requiring the resolution of this naming identifier. This is detrimental because naming identifier resolution requests are transmitted by the equipment to naming identifier resolvers without consultation with the ISP internet service provider with whom a user of the equipment has subscribed to a service offer. and without the latter having access to these requests for resolution of naming identifiers since the latter are transmitted through a tunnel established between the equipment and a proxy server operated by a third party company. The invention makes it possible to force the transmission of the request for resolution of a naming identifier to another naming identifier resolver selected by the internet service provider with which a user of the equipment has subscribed to a service offer. FIGURE 1

Description

Method for processing a request for resolution of at least one naming identifier, corresponding device and computer program

Field of invention

Le domaine de l'invention est celui de la résolution d’identifiants de nommage tels que des noms de domaines. Plus précisément, l'invention concerne l’identification et la sélection d’une entité embarquant une fonction de résolution d’identifiants de nommage, normalement exécutée par des résolveurs d’identifiants de nommage par défaut.The field of the invention is that of the resolution of naming identifiers such as domain names. More specifically, the invention relates to the identification and selection of an entity embedding a naming identifier resolution function, normally performed by default naming identifier resolvers.

Prior art and its drawbacks

Le développement récent de protocoles de transport sécurisé des résolutions de nommage (DNS) tel que les protocoles DoH (DoH signifiant DNS over HTTPS) spécifié dans le document RFC8484 (Request for Comment) publié par l’IETF (Internet Engineering Task Force) ou DoT (DNS over TLS), spécifié dans le document RFC7858 également publié par l’IETF s’est accompagné de la sélection dynamique du résolveur d’identifiants de nommage, ou résolveur DNS, par l’équipement requérant la résolution d’un identifiant de nommage. Afin de permettre à un équipement de sélectionner le résolveur d’identifiants de nommage idoine, ce dernier est doté d’une table de routage de résolution d’identifiants de nommage ou table de routage DNS, listant le ou les résolveurs d’identifiants de nommage à destination desquels il peut transmettre une requête en résolution d’identifiants de nommage ainsi qu’un jeu de règles de sélection du résolveur d’identifiants de nommage approprié.The recent development of secure transport protocols for name resolutions (DNS) such as the DoH protocols (DoH meaning DNS over HTTPS) specified in the document RFC8484 ( Request for Comment ) published by the IETF ( Internet Engineering Task Force ) or DoT (DNS over TLS), specified in the document RFC7858 also published by the IETF has been accompanied by the dynamic selection of the naming identifier resolver, or DNS resolver, by the equipment requesting the resolution of a naming identifier. In order to allow an equipment to select the appropriate naming identifier resolver, the latter is equipped with a naming identifier resolution routing table or DNS routing table, listing the naming identifier resolver(s) to which it can transmit a request for resolution of naming identifiers as well as a set of rules for selecting the appropriate naming identifier resolver.

Dans un premier mode, dit « par défaut », l’équipement établit une connexion sécurisée avec le résolveur sélectionné et lui transmet une requête en résolution d’identifiants de nommage.In a first mode, called “default”, the equipment establishes a secure connection with the selected resolver and transmits a request to it for resolution of naming identifiers.

Afin d’augmenter d’avantage le niveau de sécurité, il est proposé aux équipements 10 de communiquer avec un serveur mandataire afin de masquer leur adresse réseau - aux résolveurs d’identifiants de nommage.In order to further increase the level of security, it is proposed that the devices 10 communicate with a proxy server in order to hide their network address - from the naming identifier resolvers.

La représente un exemple du scenario de résolution d’identifiants de nommage impliquant un serveur mandataire, dans lequel un équipement 10, tel qu’un terminal utilisateur, comprend une table de routage DNS TRDNS comprenant les identifiants tels qu’une adresse réseau, un nom de domaine, etc. de trois résolveurs d’identifiants de nommage 12, 13 et 14 ainsi que les règles permettant de sélectionner le résolveur d’identifiants de nommage à contacter. Une telle table de routage DNS indique qu’un identifiant de nommage en « .com » est résolu par le résolveur d’identifiants de nommage 12, qu’un identifiant de nommage en « .fr » est résolu par le résolveur d’identifiants de nommage 13 et que le résolveur d’identifiants de nommage 14 est le résolveur d’identifiants de nommage par défaut. Le résolveur d’identifiants de nommage 16 n’est, quant à lui, pas répertorié dans la table de routage DNS TRDNS. L’équipement 17 est un serveur autoritaire associé à au moins un identifiant de nommage à résoudre.There represents an example of the naming identifier resolution scenario involving a proxy server, in which a device 10, such as a user terminal, comprises a DNS routing table TRDNS comprising the identifiers such as a network address, a domain name, etc. of three naming identifier resolvers 12, 13 and 14 as well as the rules for selecting the naming identifier resolver to be contacted. Such a DNS routing table indicates that a naming identifier in “.com” is resolved by the naming identifier resolver 12, that a naming identifier in “.fr” is resolved by the naming identifier resolver 13 and that the naming identifier resolver 14 is the default naming identifier resolver. The naming identifier resolver 16 is not listed in the DNS routing table TRDNS. Equipment 17 is an authoritative server associated with at least one naming identifier to be resolved.

L’équipement 10 établit une connexion avec un serveur mandataire 11 opéré par une société tierce. En d’autres termes, les données échangées entre l’équipement 10 et le serveur mandataire 11 sont encapsulées conformément au protocole HTTPS (pourHypertext Transfer Protocol Secureen langue anglaise) transporté par les protocoles de transports sécurisés TLS (pourTransport Layer Securityen langue anglaise) ou QUIC (pourQuick UDP Internet Connectionen langue anglaise). Cette encapsulation des données échangées est représentée sous la forme d’un tunnel Tun établi entre l’équipement 10 et le serveur mandataire 11. Une telle encapsulation peut être obtenue en échangeant des messages conformes l’extension DATAGRAM du protocole QUIC telles que définies dans le document RFC 9221 publié par l’IETF, à l’extension « capsule » définie dans le document RFC 9297 publié par l’IETF ou encore les extensions « draft-ietf-masque-connect-ip » et « connect-udp »" définies dans le document RFC 9298 lui aussi publié par l’IETF.The equipment 10 establishes a connection with a proxy server 11 operated by a third-party company. In other words, the data exchanged between the equipment 10 and the proxy server 11 are encapsulated in accordance with the HTTPS protocol (for Hypertext Transfer Protocol Secure in English) transported by the secure transport protocols TLS (for Transport Layer Security in English) or QUIC (for Quick UDP Internet Connection in English). This encapsulation of the exchanged data is represented in the form of a Tun tunnel established between the equipment 10 and the proxy server 11. Such encapsulation can be obtained by exchanging messages conforming to the DATAGRAM extension of the QUIC protocol as defined in the document RFC 9221 published by the IETF, to the “capsule” extension defined in the document RFC 9297 published by the IETF or even the extensions “draft-ietf-masque-connect-ip” and “connect-udp” defined in the document RFC 9298 also published by the IETF.

L’équipement 10 émet une requête de résolution d’identifiants de nommage à destination du résolveur d’identifiants de nommage adapté, par exemple le résolveur 12 car l’identifiant de nommage à résoudre est « example.com » au travers du tunnel Tun.The equipment 10 sends a request for resolution of naming identifiers to the appropriate naming identifier resolver, for example the resolver 12 because the naming identifier to be resolved is “example.com” through the Tun tunnel.

Le serveur mandataire 11 relaye ensuite un message émis par le résolveur 12, destiné à l’équipement 10, comprenant au moins un identifiant de nommage, comme par exemple une adresse IP (Internet Protocol) de type IPv4 ou IPv6 ou encore des données de redirection telles qu’un nom de domaine canonique ou DNS CNAME associé à des serveurs 15 associés à l’identifiant de nommage à résoudre, ces serveurs 15 stockant des données relatives à la mise œuvre d’un service requis par l’équipement 10 tel que des données relatives à une page web ou des données relatives à un contenu téléchargeable, etc. Un tel message est transmis par le serveur mandataire 11 à l’équipement 10 au travers du tunnel Tun.The proxy server 11 then relays a message sent by the resolver 12, intended for the equipment 10, comprising at least one naming identifier, such as for example an IP ( Internet Protocol ) address of the IPv4 or IPv6 type or redirection data such as a canonical domain name or DNS CNAME associated with servers 15 associated with the naming identifier to be resolved, these servers 15 storing data relating to the implementation of a service required by the equipment 10 such as data relating to a web page or data relating to downloadable content, etc. Such a message is transmitted by the proxy server 11 to the equipment 10 through the Tun tunnel.

L’équipement 10 peut alors établir une connexion avec le serveur 15 correspondant et peut accéder aux données relatives à la mise œuvre du service requis.The equipment 10 can then establish a connection with the corresponding server 15 and can access the data relating to the implementation of the required service.

La représente un exemple du scenario de résolution d’identifiants de nommage dit « par défaut », dans lequel l’équipement 10 comprend toujours une table de routage DNS TRDNS comprenant les identifiants tels qu’une adresse réseau, un nom de domaine, etc. de trois résolveurs d’identifiants de nommage 12, 13 et 14 ainsi que les règles permettant de sélectionner le résolveur d’identifiants de nommage à contacter. Une telle table de routage DNS indique qu’un identifiant de nommage en « .com » est résolu par le résolveur d’identifiants de nommage 12, qu’un identifiant de nommage en « .fr » est résolu par le résolveur d’identifiants de nommage 13 et que le résolveur d’identifiants de nommage 14 est le résolveur d’identifiants de nommage par défaut. Le résolveur d’identifiants de nommage 16 n’est, quant à lui, pas répertorié dans la table de routage DNS TRDNS. L’équipement 17 est un serveur autoritaire associé à au moins un identifiant de nommage à résoudre.There represents an example of the so-called “default” naming identifier resolution scenario, in which the equipment 10 always comprises a DNS routing table TRDNS comprising the identifiers such as a network address, a domain name, etc. of three naming identifier resolvers 12, 13 and 14 as well as the rules for selecting the naming identifier resolver to contact. Such a DNS routing table indicates that a naming identifier in “.com” is resolved by the naming identifier resolver 12, that a naming identifier in “.fr” is resolved by the naming identifier resolver 13 and that the naming identifier resolver 14 is the default naming identifier resolver. The naming identifier resolver 16 is not, for its part, listed in the DNS routing table TRDNS. Equipment 17 is an authoritative server associated with at least one naming identifier to be resolved.

L’équipement 10 établit une connexion avec un serveur mandataire 11 opéré par une société tierce et embarqué dans le résolveur 12. En d’autres termes, les données échangées entre l’équipement 10 et le serveur autoritaire 12 sont encapsulées conformément au protocole HTTPS transporté par les protocoles de transports sécurisés TLS ou QUIC. Cette encapsulation des données échangées est représentée par le tunnel Tun établi entre l’équipement 10 et le résolveur 12. Une telle encapsulation peut être obtenue en échangeant des messages conformes à l’extension DATAGRAM du protocole QUIC, à l’extension « capsule » ou encore les extensions « draft-ietf-masque-connect-ip » et « connect-udp »".The equipment 10 establishes a connection with a proxy server 11 operated by a third-party company and embedded in the resolver 12. In other words, the data exchanged between the equipment 10 and the authoritative server 12 are encapsulated in accordance with the HTTPS protocol transported by the secure transport protocols TLS or QUIC. This encapsulation of the exchanged data is represented by the Tun tunnel established between the equipment 10 and the resolver 12. Such encapsulation can be obtained by exchanging messages conforming to the DATAGRAM extension of the QUIC protocol, to the “capsule” extension or even the “draft-ietf-masque-connect-ip” and “connect-udp” extensions.

L’équipement 10 émet une requête de résolution d’identifiants de nommage à destination du résolveur 12 car l’identifiant de nommage à résoudre est « example.com » au travers du tunnel Tun.The device 10 sends a request for resolution of naming identifiers to the resolver 12 because the naming identifier to be resolved is “example.com” through the Tun tunnel.

Le résolveur 12 transmet ensuite un message au travers du tunnel Tun à destination de l’équipement 10, comprenant au moins un identifiant de nommage, comme par exemple une adresse IP (Internet Protocol) de type IPv4 ou IPv6 ou encore des données de redirection telles qu’un nom de domaine canonique ou DNS CNAME associé à des serveurs 15 associés à l’identifiant de nommage à résoudre, ces serveurs 15 stockant des données relatives à la mise œuvre d’un service requis par l’équipement 10 tel que des données relatives à une page web ou des données relatives à un contenu téléchargeable, etc.The resolver 12 then transmits a message through the tunnel Tun to the equipment 10, comprising at least one naming identifier, such as for example an IP ( Internet Protocol ) address of the IPv4 or IPv6 type or redirection data such as a canonical domain name or DNS CNAME associated with servers 15 associated with the naming identifier to be resolved, these servers 15 storing data relating to the implementation of a service required by the equipment 10 such as data relating to a web page or data relating to downloadable content, etc.

Dans ce scenario, les requêtes en résolution d’identifiants de nommage sont transmises à des résolveurs d’identifiants de nommage sans concertation avec le fournisseur de service internet ISP auprès duquel un utilisateur de l’équipement 10 a souscrit une offre de service, notamment une offre de service de connectivité pouvant contenir des qualités de service différenciées en fonction des offres/besoins des partenaires du fournisseur de services ISP, et sans que celui-ci ait accès à ces requêtes en résolution d’identifiants de nommage puisque ces dernières sont transmises au travers du tunnel Tun.In this scenario, the requests for resolution of naming identifiers are transmitted to naming identifier resolvers without consultation with the Internet service provider ISP with which a user of the equipment 10 has subscribed to a service offer, in particular a connectivity service offer that may contain differentiated qualities of service depending on the offers/needs of the partners of the ISP service provider, and without the latter having access to these requests for resolution of naming identifiers since the latter are transmitted through the Tun tunnel.

Cela impacte la gestion des ressources des différents équipements de communication, gérés par le fournisseur de service internet ISP auprès duquel un utilisateur de l’équipement 10 a souscrit une offre de service et impliqués dans la résolution d’identifiants de nommage qui peuvent ne pas être utilisés de manière optimale. Le fournisseur de service, par ailleurs, ne peut pas intervenir par exemple sur la requête en résolution et la réponse à cette requête, notamment pour adapter la réponse à l’architecture du fournisseur de services ou des partenaires au fournisseur de services. L’intervention peut consister en effet à enrichir la requête avec une information pouvant être utilisée pour adapter la réponse en fonction de cet enrichissement ou bien à équilibrer par exemple la charge entre plusieurs serveurs opérés pour le compte d’un ou plusieurs partenaires du fournisseur de services ISP stockant les données relatives à la mise en œuvre du service. Il existe donc un besoin d'une technique de résolution d’identifiants de nommage présentant pas tout ou partie des inconvénients précités.This impacts the management of the resources of the various communication equipment, managed by the internet service provider ISP with which a user of the equipment 10 has subscribed to a service offer and involved in the resolution of naming identifiers that may not be used optimally. The service provider, moreover, cannot intervene for example on the resolution request and the response to this request, in particular to adapt the response to the architecture of the service provider or the partners of the service provider. The intervention may indeed consist in enriching the request with information that can be used to adapt the response according to this enrichment or else in balancing for example the load between several servers operated on behalf of one or more partners of the service provider ISP storing the data relating to the implementation of the service. There is therefore a need for a technique for resolving naming identifiers that does not have all or some of the aforementioned drawbacks.

L'invention répond à ce besoin en proposant un procédé de traitement d’une requête en résolution d’au moins un identifiant de nommage émise par un équipement au travers d’un chemin établi entre ledit équipement et un serveur mandataire, ledit procédé étant mis en œuvre par ledit serveur mandataire et comprenant les étapes suivantes :
- interception de ladite requête comprenant un identifiant d’au moins une première entité implémentant une fonction de résolution d’au moins un identifiant de nommage, dite entité par défaut, à destination de laquelle elle a été émise,
- transmission de ladite requête à destination d'au moins une deuxième entité implémentant une fonction de résolution d’au moins un identifiant de nommage, ladite deuxième entité étant sélectionnée en fonction d’au moins un paramètre relatif audit équipement et/ou d’au moins un paramètre relatif à l’identifiant de nommage à résoudre,
- transmission à destination dudit équipement d’un identifiant d’au moins un serveur associé à l’identifiant de nommage à résoudre transmise par ladite deuxième entité.The invention meets this need by proposing a method for processing a request for resolution of at least one naming identifier sent by a device through a path established between said device and a proxy server, said method being implemented by said proxy server and comprising the following steps:
- interception of said request comprising an identifier of at least one first entity implementing a resolution function of at least one naming identifier, called the default entity, to which it was sent,
- transmission of said request to at least one second entity implementing a function for resolving at least one naming identifier, said second entity being selected according to at least one parameter relating to said equipment and/or at least one parameter relating to the naming identifier to be resolved,
- transmission to said equipment of an identifier of at least one server associated with the naming identifier to be resolved transmitted by said second entity.

Par serveur mandataire on entend tout équipement intermédiaire connu de l’équipement ou découvert lors des échanges protocolaires mis en œuvre lors de l’établissement du tunnel.A proxy server means any intermediate equipment known to the equipment or discovered during the protocol exchanges implemented when establishing the tunnel.

Une telle solution permet de forcer la transmission de la requête en résolution d’un identifiant de nommage émise par l’équipement à destination d’un résolveur d’identifiants de nommage par défaut vers un autre résolveur d’identifiants de nommage.Such a solution makes it possible to force the transmission of the request for resolution of a naming identifier issued by the equipment to a default naming identifier resolver to another naming identifier resolver.

L’identité de ce deuxième résolveur d’identifiants de nommage peut, par exemple résulter d’un accord entre le fournisseur de service internet auprès duquel un utilisateur de l’équipement a souscrit une offre de service et une société tierce opérant les serveurs autoritaires associés aux identifiants de nommage à résoudre.The identity of this second naming identifier resolver may, for example, result from an agreement between the internet service provider with which a user of the equipment has subscribed to a service offer and a third-party company operating the authoritative servers associated with the naming identifiers to be resolved.

Pour se faire, le serveur mandataire (ou proxy) a en sa possession des informations lui permettant, pour un identifiant de nommage à résoudre, d’identifier au moins un résolveur d’identifiants de nommage à destination duquel transmettre la requête en résolution d’identifiants de nommage.To do this, the proxy server has in its possession information allowing it, for a naming identifier to be resolved, to identify at least one naming identifier resolver to which to transmit the request for naming identifier resolution.

Ainsi, en fonction d’informations relatives à l’équipement ayant requis une résolution d’un identifiant de nommage, le serveur mandataire est capable de déterminer à destination de quel résolveur d’identifiants de nommage il doit confier le traitement de la requête en résolution d’identifiants de nommage émise par l’équipement.Thus, based on information relating to the equipment that requested a resolution of a naming identifier, the proxy server is able to determine to which naming identifier resolver it should entrust the processing of the request for resolution of naming identifiers issued by the equipment.

Une telle requête en résolution d’identifiants de nommage étant transmise à un résolveur d’identifiants de nommage choisi par le fournisseur de service internet auprès duquel un utilisateur de l’équipement a souscrit une offre de service, ce dernier a de nouveau la capacité de gérer les ressources des différents équipements de communication qu’il opère.Such a request for resolution of naming identifiers being transmitted to a naming identifier resolver chosen by the internet service provider with which a user of the equipment has subscribed to a service offer, the latter once again has the capacity to manage the resources of the different communication equipment that it operates.

Selon une autre caractéristique du procédé objet de l’invention, ce dernier comprend préalablement à l’interception de ladite requête, une étape de réception d’au moins un message comprenant ledit au moins paramètre relatif audit équipement et ledit au moins un paramètre relatif à l’identifiant de nommage à résoudre, ledit message étant émis par un serveur autoritaire associé à l’au moins un identifiant de nommage à résoudre.According to another characteristic of the method which is the subject of the invention, the latter comprises, prior to the interception of said request, a step of receiving at least one message comprising said at least one parameter relating to said equipment and said at least one parameter relating to the naming identifier to be resolved, said message being sent by an authoritative server associated with the at least one naming identifier to be resolved.

Selon une autre caractéristique du procédé objet de la présente invention, ledit message reçu est en outre signé d’un certificat dudit serveur autoritaire indiquant la propriété de l’au moins un identifiant de nommage à résoudre.According to another characteristic of the method which is the subject of the present invention, said message received is further signed with a certificate from said authoritative server indicating the ownership of the at least one naming identifier to be resolved.

Un tel certificat de propriété peut être délivré au serveur autoritaire associé à l’identifiant de nommage à résoudre par une autorité de confiance. Ainsi, le serveur mandataire sait que les informations fournies par le serveur autoritaire sont fiables.Such an ownership certificate can be issued to the authoritative server associated with the naming identifier to be resolved by a trusted authority. Thus, the proxy server knows that the information provided by the authoritative server is reliable.

Dans une implémentation du procédé objet de la présente invention, ledit au moins un paramètre relatif à l’au moins un identifiant de nommage à résoudre comprend au moins une adresse réseau d’un résolveur d’identifiants de nommage embarquant ladite deuxième entité et/ou une information de redirection de ladite requête à destination dudit résolveur d’identifiants de nommage.In an implementation of the method which is the subject of the present invention, said at least one parameter relating to the at least one naming identifier to be resolved comprises at least one network address of a naming identifier resolver embedding said second entity and/or information for redirecting said request to said naming identifier resolver.

Dans une telle implémentation, le serveur mandataire redirige la requête en résolution d’identifiants de nommage émise par l’équipement à destination d’un résolveur d’identifiants de nommage dont une adresse réseau lui a été fourni par le serveur autoritaire associé à l’identifiant de nommage à résoudre.In such an implementation, the proxy server redirects the request for resolution of naming identifiers sent by the equipment to a naming identifier resolver whose network address has been provided to it by the authoritative server associated with the naming identifier to be resolved.

Dans une autre implémentation du procédé objet de la présente invention, ladite deuxième entité étant embarquée dans ledit serveur mandataire, ledit au moins un paramètre relatif à l’au moins un identifiant de nommage à résoudre comprend au moins une autorisation d’exécution par ledit serveur mandataire d’une fonction de résolution d’au moins un identifiant de nommage.In another implementation of the method which is the subject of the present invention, said second entity being embedded in said proxy server, said at least one parameter relating to the at least one naming identifier to be resolved comprises at least one authorization for execution by said proxy server of a function for resolving at least one naming identifier.

Une telle solution permet de déléguer la résolution d’identifiants de nommage effectuée par défaut par des résolveurs d’identifiants de nommage au serveur mandataire.Such a solution allows to delegate the resolution of naming identifiers performed by default by naming identifier resolvers to the proxy server.

La délégation de la résolution d’identifiants de nommage au serveur mandataire permet de réduire les coûts liés à l’exécution de cette fonction de résolution d’identifiant de nommage. En effet, en délégant la résolution d’identifiants de nommage au serveur mandataire il est possible de réduire le nombre de connexions entre équipements de communication afin de résoudre un identifiant de nommage, notamment en réutilisant les connections existantes entre les équipements utilisateur et les serveurs mandataires. Une telle réduction du nombre de connexions entre équipements de communication entraine une réduction de la consommation énergétique de ces équipements de communication.Delegating the resolution of naming identifiers to the proxy server reduces the costs associated with performing this naming identifier resolution function. Indeed, by delegating the resolution of naming identifiers to the proxy server, it is possible to reduce the number of connections between communication equipment in order to resolve a naming identifier, in particular by reusing existing connections between user equipment and proxy servers. Such a reduction in the number of connections between communication equipment leads to a reduction in the energy consumption of these communication equipments.

De plus, une telle solution de délégation de la résolution d’identifiants de nommage présente également des performances accrues. Cela tient au fait que le nombre de connexions établies entre des équipements de communication afin de résoudre un identifiant de nommage est réduit.In addition, such a solution for delegating the resolution of naming identifiers also has increased performance. This is due to the fact that the number of connections established between communication devices in order to resolve a naming identifier is reduced.

En outre, la solution de délégation de la résolution d’identifiants de nommage proposée est fiable. En effet, dans le cadre de la présente solution, un serveur mandataire mettant en œuvre une résolution d’identifiants de nommage à la place d’un résolveur d’identifiants de nommage est doté d’une autorisation d’exécution de cette fonction de résolution d’au moins un identifiant de nommage qui peut être vérifiée le cas échéant.Furthermore, the proposed solution for delegating naming identifier resolution is reliable. Indeed, in the context of this solution, a proxy server implementing naming identifier resolution instead of a naming identifier resolver is provided with an authorization to execute this resolution function of at least one naming identifier that can be verified if necessary.

Selon une caractéristique du procédé objet de la présente invention, l’autorisation d’exécution est une empreinte numérique de l'au moins un identifiant de nommage associé audit serveur mandataire signée par une clé cryptographique associée audit serveur autoritaire associé audit au moins un identifiant de nommage à résoudre.According to a characteristic of the method which is the subject of the present invention, the execution authorization is a digital fingerprint of the at least one naming identifier associated with said proxy server signed by a cryptographic key associated with said authoritative server associated with said at least one naming identifier to be resolved.

L’autorisation d’exécution est générée par le serveur autoritaire associé à l’identifiant de nommage à résoudre et est propre à chaque serveur mandataire auprès duquel une fonction de résolution d’un identifiant de nommage est déléguée. Ainsi, seul un serveur mandataire autorisé par un serveur autoritaire associé à un identifiant de nommage se voit déléguer la résolution d’identifiant de nommage.The execution authorization is generated by the authoritative server associated with the naming identifier to be resolved and is specific to each proxy server to which a naming identifier resolution function is delegated. Thus, only a proxy server authorized by an authoritative server associated with a naming identifier is delegated naming identifier resolution.

Selon une caractéristique du procédé objet de la présente invention, le paramètre relatif à l’équipement est un paramètre de localisation de l’équipement.According to a characteristic of the method which is the subject of the present invention, the parameter relating to the equipment is a location parameter of the equipment.

En fonction de la localisation de l’équipement un résolveur d’identifiants de nommage pourra être préféré à un autre.Depending on the location of the equipment, one naming identifier resolver may be preferred over another.

L’invention a également pour objet un procédé de génération d’une autorisation d’exécution, par un serveur mandataire, d’une fonction de résolution d’au moins un identifiant de nommage, ledit serveur mandataire interceptant une requête en résolution d’au moins un identifiant de nommage émise par un équipement au travers d’un chemin établi entre ledit équipement et un serveur mandataire, ladite requête comprenant un identifiant d’au moins une première entité implémentant une fonction de résolution d’au moins un identifiant de nommage, dite entité par défaut, à destination de laquelle elle a été émise, ledit procédé étant mis en œuvre par un serveur autoritaire associé audit identifiant de nommage à résoudre et comprenant les étapes suivantes :
- détermination d’une empreinte numérique dudit au moins un identifiant de nommage à résoudre associé à un identifiant dudit serveur mandataire,
- transmission, à destination du serveur mandataire, de ladite autorisation d’exécution comprenant ladite empreinte numérique.The invention also relates to a method for generating an authorization for execution, by a proxy server, of a function for resolving at least one naming identifier, said proxy server intercepting a request for resolving at least one naming identifier sent by a device through a path established between said device and a proxy server, said request comprising an identifier of at least one first entity implementing a function for resolving at least one naming identifier, called the default entity, to which it was sent, said method being implemented by an authoritative server associated with said naming identifier to be resolved and comprising the following steps:
- determination of a digital fingerprint of said at least one naming identifier to be resolved associated with an identifier of said proxy server,
- transmission, to the proxy server, of said execution authorization including said digital fingerprint.

Selon une caractéristique du procédé de génération d’une autorisation d’exécution objet de la présente invention, ladite empreinte numérique est en outre signée par une clé cryptographique associée au serveur autoritaire.According to a characteristic of the method for generating an execution authorization which is the subject of the present invention, said digital fingerprint is further signed by a cryptographic key associated with the authoritative server.

Ainsi, l’authenticité et l’intégrité de l’empreinte numérique sont assurées et peuvent être, le cas échéant, vérifiées par le serveur mandataire.Thus, the authenticity and integrity of the digital fingerprint are ensured and can be, if necessary, verified by the proxy server.

L’invention concerne encore un serveur mandataire capable de traiter une requête en résolution d’au moins un identifiant de nommage émise par un équipement au travers d’un chemin établi entre ledit équipement et ledit serveur mandataire, ledit serveur mandataire comprenant au moins un processeur configuré pour:
- intercepter ladite requête comprenant un identifiant d’au moins une première entité implémentant une fonction de résolution d’au moins un identifiant de nommage, dite entité par défaut, à destination de laquelle elle a été émise,
- transmettre ladite requête à destination d'au moins une deuxième entité implémentant une fonction de résolution d’au moins un identifiant de nommage, ladite deuxième entité étant sélectionnée en fonction d’au moins paramètre relatif audit équipement et/ou d’au moins un paramètre relatif à l’identifiant de nommage à résoudre,
- transmettre à destination dudit équipement un identifiant d’au moins un serveur associé à l’identifiant de nommage à résoudre transmise par ladite deuxième entité.The invention also relates to a proxy server capable of processing a request for resolution of at least one naming identifier sent by a device through a path established between said device and said proxy server, said proxy server comprising at least one processor configured to:
- intercept said request comprising an identifier of at least one first entity implementing a resolution function of at least one naming identifier, called the default entity, to which it was sent,
- transmitting said request to at least one second entity implementing a function for resolving at least one naming identifier, said second entity being selected according to at least one parameter relating to said equipment and/or at least one parameter relating to the naming identifier to be resolved,
- transmit to said equipment an identifier of at least one server associated with the naming identifier to be resolved transmitted by said second entity.

L’invention a pour autre objet un serveur autoritaire associé à au moins un identifiant de nommage, ledit serveur étant capable de générer une autorisation d’exécution, par un serveur mandataire, d’une fonction de résolution dudit au moins un identifiant de nommage, ledit serveur mandataire interceptant une requête en résolution d’au moins un identifiant de nommage émise par un équipement au travers d’un chemin établi entre ledit équipement et un serveur mandataire, ladite requête comprenant un identifiant d’au moins une première entité implémentant une fonction de résolution d’au moins un identifiant de nommage, dite entité par défaut, à destination de laquelle elle a été émise, ledit serveur autoritaire comprenant au moins un processeur configuré pour :
- déterminer une empreinte numérique dudit au moins un identifiant de nommage à résoudre associé à un identifiant dudit serveur mandataire,
- transmettre, à destination du serveur mandataire, ladite autorisation d’exécution comprenant ladite empreinte numérique.Another subject of the invention is an authoritative server associated with at least one naming identifier, said server being capable of generating an authorization for execution, by a proxy server, of a function for resolving said at least one naming identifier, said proxy server intercepting a request for resolving at least one naming identifier sent by a device through a path established between said device and a proxy server, said request comprising an identifier of at least one first entity implementing a function for resolving at least one naming identifier, called the default entity, to which it was sent, said authoritative server comprising at least one processor configured to:
- determining a digital fingerprint of said at least one naming identifier to be resolved associated with an identifier of said proxy server,
- transmit, to the proxy server, said execution authorization including said digital fingerprint.

L’invention concerne enfin des produits programme d'ordinateur comprenant des instructions de code de programme pour la mise en œuvre des procédés tels que décrits précédemment, lorsqu’ils sont exécutés par un processeur.The invention finally relates to computer program products comprising program code instructions for implementing the methods as described above, when executed by a processor.

L’invention vise également un support d’enregistrement lisible par un ordinateur sur lequel sont enregistrés des programmes d’ordinateur comprenant des instructions de code de programme pour l’exécution des étapes des procédés selon l’invention tels que décrits ci-dessus.The invention also relates to a computer-readable recording medium on which are recorded computer programs comprising program code instructions for executing the steps of the methods according to the invention as described above.

Un tel support d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker les programmes. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une clé USB ou un disque dur.Such a recording medium may be any entity or device capable of storing programs. For example, the medium may comprise a storage medium, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a magnetic recording medium, for example a USB key or a hard disk.

D'autre part, un tel support d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens, de sorte que les programmes d’ordinateur qu’il contient sont exécutables à distance. Les programmes selon l'invention peuvent être en particulier téléchargés sur un réseau par exemple le réseau Internet.On the other hand, such a recording medium may be a transmissible medium such as an electrical or optical signal, which can be conveyed via an electrical or optical cable, by radio or by other means, so that the computer programs contained therein are remotely executable. The programs according to the invention may in particular be downloaded over a network, for example the Internet.

Alternativement, le support d'enregistrement peut être un circuit intégré dans lequel les programmes sont incorporés, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution des procédés objets de l’invention précités.Alternatively, the recording medium may be an integrated circuit in which the programs are incorporated, the circuit being adapted to execute or to be used in the execution of the aforementioned methods which are the subject of the invention.

List of figures

D'autres buts, caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description suivante, donnée à titre de simple exemple illustratif, et non limitatif, en relation avec les figures, parmi lesquelles :Other aims, characteristics and advantages of the invention will appear more clearly on reading the following description, given as a simple illustrative example, and not limiting, in relation to the figures, among which:

: cette figure représente un premier exemple de scenario de résolution d’identifiants de nommage, : this figure represents a first example of a scenario for resolving naming identifiers,

: cette figure représente un deuxième exemple de scenario de résolution d’identifiants de nommage, : this figure represents a second example of a naming identifier resolution scenario,

: cette figure représente un diagramme d’échanges entre différents équipements de communication impliqués dans un premier mode d’implémentation des procédés de traitement d’une requête en résolution d’au moins un identifiant de nommage et de génération d’une autorisation d’exécution, par un serveur mandataire, d’une fonction de résolution d’au moins un identifiant de nommage, : this figure represents a diagram of exchanges between different communication equipment involved in a first mode of implementation of the methods for processing a request for resolution of at least one naming identifier and for generating an authorization for execution, by a proxy server, of a function for resolution of at least one naming identifier,

: cette figure représente un diagramme d’échanges entre différents équipements de communication impliqués dans un deuxième mode d’implémentation des procédés de traitement d’une requête en résolution d’au moins un identifiant de nommage et de génération d’une autorisation d’exécution, par un serveur mandataire, d’une fonction de résolution d’au moins un identifiant de nommage, : this figure represents a diagram of exchanges between different communication equipment involved in a second mode of implementation of the methods for processing a request for resolution of at least one naming identifier and for generating an authorization for execution, by a proxy server, of a function for resolution of at least one naming identifier,

: cette figure représente un diagramme d’échanges entre différents équipements de communication impliqués dans un troisième mode d’implémentation des procédés de traitement d’une requête en résolution d’au moins un identifiant de nommage et de génération d’une autorisation d’exécution, par un serveur mandataire, d’une fonction de résolution d’au moins un identifiant de nommage, : this figure represents a diagram of exchanges between different communication equipment involved in a third mode of implementation of the methods of processing a request for resolution of at least one naming identifier and of generating an authorization for execution, by a proxy server, of a function for resolution of at least one naming identifier,

: cette figure représente un serveur mandataire apte à mettre en œuvre les différents modes de réalisation du procédé de traitement d’une requête en résolution d’au moins un identifiant de nommage selon l’invention, : this figure represents a proxy server capable of implementing the different embodiments of the method for processing a request for resolution of at least one naming identifier according to the invention,

: cette figure représente un serveur autoritaire apte à mettre en œuvre les différents modes de réalisation du procédé de génération d’une autorisation d’exécution, par un serveur mandataire, d’une fonction de résolution d’au moins un identifiant de nommage selon l’invention. : this figure represents an authoritative server capable of implementing the different embodiments of the method for generating an authorization for execution, by a proxy server, of a function for resolving at least one naming identifier according to the invention.

Description détaillée de modes de réalisation de l'inventionDetailed description of embodiments of the invention

Le principe général de l'invention repose sur la transmission d’une requête en résolution d’un identifiant de nommage destinée à être traitée par un résolveur d’identifiants de nommage défini par défaut vers un autre résolveur d’identifiants de nommage choisi par exemple à l’issue d’un accord entre un fournisseur de service internet auprès duquel un utilisateur a souscrit une offre de service et une société tierce opérant des serveurs autoritaires associés aux identifiants de nommage à résoudre.The general principle of the invention is based on the transmission of a request for resolution of a naming identifier intended to be processed by a naming identifier resolver defined by default to another naming identifier resolver chosen for example following an agreement between an internet service provider with which a user has subscribed to a service offer and a third-party company operating authoritative servers associated with the naming identifiers to be resolved.

Cela permet notamment au fournisseur de service internet auprès duquel un utilisateur de l’équipement a souscrit une offre de service d’avoir de nouveau la capacité de gérer les ressources des différents équipements de communication qu’il opère.This allows, in particular, the internet service provider with whom a user of the equipment has subscribed to a service offer to once again have the capacity to manage the resources of the different communications equipment that it operates.

On présente désormais, en relation avec la un diagramme d’échanges entre différents équipements de communication impliqués dans un premier mode d’implémentation des procédés de traitement d’une requête en résolution d’au moins un identifiant de nommage et de de génération d’une autorisation d’exécution, par un serveur mandataire, d’une fonction de résolution d’au moins un identifiant de nommage.We now present, in relation to the a diagram of exchanges between different communication equipment involved in a first mode of implementation of the methods for processing a request for resolution of at least one naming identifier and for generating an authorization for execution, by a proxy server, of a function for resolution of at least one naming identifier.

Au cours d’une étape E0, un serveur autoritaire 17 associé à un identifiant de nommage, tel que example.com, transmet un message Record comprenant au moins un paramètre relatif audit équipement 10, ou un paramètre relatif à l’identifiant de nommage à résoudre à destination du serveur mandataire 11 et un certificat indiquant que l’opérateur du serveur autoritaire 17 est propriétaire de l’identifiant de nommage considéré. Un tel certificat de propriété peut être délivré au serveur autoritaire 17 associé à l’identifiant de nommage à résoudre par une autorité de confiance. Ainsi, le serveur mandataire 11 sait que les informations fournies par le serveur autoritaire 17 sont fiables. Le paramètre relatif à l’équipement 10 est par exemple un masque d’adresses IP, une adresse IP ou plus généralement un identifiant de l’équipement 10. Ainsi, le serveur mandataire 11 peut identifier les équipements 10 pour lesquels un traitement particulier des requêtes en résolution d’identifiants de nommage doit être appliqué.During a step E0, an authoritative server 17 associated with a naming identifier, such as example.com, transmits a Record message comprising at least one parameter relating to said equipment 10, or a parameter relating to the naming identifier to be resolved to the proxy server 11 and a certificate indicating that the operator of the authoritative server 17 is the owner of the naming identifier in question. Such an ownership certificate may be issued to the authoritative server 17 associated with the naming identifier to be resolved by a trusted authority. Thus, the proxy server 11 knows that the information provided by the authoritative server 17 is reliable. The parameter relating to the equipment 10 is for example an IP address mask, an IP address or more generally an identifier of the equipment 10. Thus, the proxy server 11 can identify the equipment 10 for which a particular processing of the requests for resolution of naming identifiers must be applied.

Au cours d’une étape E1, un équipement 10, tel qu’un terminal utilisateur, émet un message de demande d’établissement d’une session de communication de type Masque à destination du serveur mandataire 11. Un tel message d’établissement d’une session de communication est par exemple un message http de type CONNECT "connect-udp" défini dans le document RFC 9298 publié par l’IETF.During a step E1, a device 10, such as a user terminal, sends a message requesting the establishment of a communication session of the Masque type to the proxy server 11. Such a message for establishing a communication session is for example an HTTP message of the CONNECT "connect-udp" type defined in the RFC 9298 document published by the IETF.

HEADERSHEADERS

:method = CONNECT:method = CONNECT

:protocol = connect-udp:protocol = connect-udp

:scheme = https:scheme = https

:path = /.well-known/masque/udp/192.0.2.6/443/:path = /.well-known/masque/udp/192.0.2.6/443/

:authority = mandataire.org:authority = mandataire.org

capsule-protocol = ?1capsule-protocol = ?1

dans lequel 192.0.2.6 est l’adresse réseau du résolveur 12.where 192.0.2.6 is the network address of resolver 12.

Les données échangées entre l’équipement 10 et le serveur mandataire 11 au cours de cette session sont donc, par exemple, encapsulées dans des messages de type DATAGRAM du protocole QUIC, ou des extensions « capsule » (dans le cas de messages http de type CONNECT "connect-ip". Cette encapsulation des données échangées est représentée sous la forme du tunnel Tun établi entre l’équipement 10 et le serveur mandataire 11.The data exchanged between the equipment 10 and the proxy server 11 during this session are therefore, for example, encapsulated in DATAGRAM type messages of the QUIC protocol, or “capsule” extensions (in the case of CONNECT type http messages “connect-ip”). This encapsulation of the exchanged data is represented in the form of the Tun tunnel established between the equipment 10 and the proxy server 11.

Une fois la session de communication établie entre l’équipement 10 et le serveur mandataire 11, l’équipement 10 émet, dans une étape E2, une requête en résolution d’identifiant de nommage RDN à destination du serveur mandataire 11 pour l’identifiant de nommage example.com. Cette requête en résolution d’identifiant de nommage RDN est par exemple un message du typeDNS over QUIC example.com. Conformément à ce qui est indiqué dans la table de routage DNS TRDNS de l’équipement 10, le résolveur d’identifiants de nommage par défaut identifié pour résoudre les identifiants de nommage ayant une extension en « .com » est le résolveur 12. Ainsi, la requête en résolution d’identifiant de nommage RDN est émise par l’équipement 10 à destination du résolveur 12.Once the communication session has been established between the equipment 10 and the proxy server 11, the equipment 10 sends, in a step E2, a request for resolution of an RDN naming identifier to the proxy server 11 for the naming identifier example.com. This request for resolution of an RDN naming identifier is for example a message of the DNS over QUIC example.com type. In accordance with what is indicated in the DNS routing table TRDNS of the equipment 10, the default naming identifier resolver identified for resolving naming identifiers having a “.com” extension is the resolver 12. Thus, the request for resolution of an RDN naming identifier is sent by the equipment 10 to the resolver 12.

Dans une étape E3, le serveur mandataire 11 intercepte la requête en résolution d’identifiant de nommage RDN. Le serveur mandataire 11 détermine, par exemple au moyen du masque d’adresses IP reçus au cours de l’étape E0, si la requête en résolution d’un identifiant de nommage RDN doit faire ou non l’objet d’un traitement particulier. Si tel est le cas, le serveur mandataire 11 met en œuvre l’étape E4.In a step E3, the proxy server 11 intercepts the request for resolution of an RDN naming identifier. The proxy server 11 determines, for example by means of the IP address mask received during the step E0, whether or not the request for resolution of an RDN naming identifier must be subject to special processing. If this is the case, the proxy server 11 implements the step E4.

Dans ce premier mode de réalisation, le message Record émis par le serveur autoritaire 17 au cours de l’étape E0 comprend en plus du paramètre relatif audit équipement 10, du paramètre relatif à l’identifiant de nommage à résoudre et du certificat de propriété du serveur autoritaire 17, un paramètre de redirection de la requête en résolution d’identifiants de nommage.Un tel paramètre de redirection est par exemple un identifiant tel qu’une adresse IP du résolveur d’identifiants de nommage 16, lequel est par exemple opéré par le fournisseur de service internet auprès duquel un utilisateur de l’équipement 10 a souscrit une offre de service.In this first embodiment, the Record message sent by the authoritative server 17 during step E0 comprises, in addition to the parameter relating to said equipment 10, the parameter relating to the naming identifier to be resolved and the certificate of ownership of the authoritative server 17, a parameter for redirecting the request for resolution of naming identifiers . Such a redirection parameter is for example an identifier such as an IP address of the naming identifier resolver 16, which is for example operated by the internet service provider with which a user of the equipment 10 has subscribed to a service offer.

Le serveur mandataire 11 émet alors la requête en résolution d’un identifiant de nommage RDN à destination du résolveur 16, au cours de l’étape E4, au lieu de la transférer au résolveur 12 comme demandé par l’équipement 10.The proxy server 11 then sends the request for resolution of an RDN naming identifier to the resolver 16, during step E4, instead of transferring it to the resolver 12 as requested by the equipment 10.

Dans une étape E5, le résolveur 16 résout l’identifiant de nommage compris dans la requête en résolution d’identifiant de nommage RDN et émet dans une étape E6 un message MSG comprenant une adresse IP ou un identifiant associé à au moins un serveur 15 associé à l’identifiant de nommage à résoudre. Un tel message MSG est un message conforme au protocole DNS.In a step E5, the resolver 16 resolves the naming identifier included in the RDN naming identifier resolution request and sends in a step E6 an MSG message comprising an IP address or an identifier associated with at least one server 15 associated with the naming identifier to be resolved. Such an MSG message is a message conforming to the DNS protocol.

Un tel serveur 15 peut être situé dans un réseau distant ou être proche de l’équipement 10 lorsque l’adresse IP du serveur 15 transmise par le résolveur 16 correspond à un sous-réseau particulier dans lequel se situe l’équipement 10 par exemple. Le choix de privilégier un serveur 15 situé dans un réseau distant ou dans un sous-réseau proche de celui dans lequel l’équipement 10 se situe relève de l’accord établi entre le fournisseur de service internet auprès duquel un utilisateur a souscrit une offre de service et la société tierce opérant les serveurs autoritaires 17 associés aux identifiants de nommage à résoudre.Such a server 15 may be located in a remote network or be close to the equipment 10 when the IP address of the server 15 transmitted by the resolver 16 corresponds to a particular subnetwork in which the equipment 10 is located for example. The choice of favoring a server 15 located in a remote network or in a subnetwork close to that in which the equipment 10 is located is subject to the agreement established between the internet service provider with which a user has subscribed to a service offer and the third-party company operating the authoritative servers 17 associated with the naming identifiers to be resolved.

Dans une étape E7, le serveur mandataire 11 intercepte le message MSG et le transmet, dans une étape E8 à destination de l’équipement 10 :In a step E7, the proxy server 11 intercepts the MSG message and transmits it, in a step E8 to the equipment 10:

Enfin dans une étape E9, l’équipement 10 établit une session de communication avec le serveur 15 dont l’identifiant, par exemple l’adresse IP, était comprise dans le message MSG afin d’obtenir par exemple le contenu associé à la requête en résolution d’identifiant de nommage qu’il a émise.Finally, in a step E9, the equipment 10 establishes a communication session with the server 15 whose identifier, for example the IP address, was included in the MSG message in order to obtain, for example, the content associated with the request for resolution of the naming identifier that it issued.

On présente désormais, en relation avec la un diagramme d’échanges entre différents équipements de communication impliqués dans un deuxième mode d’implémentation des procédés de traitement d’une requête en résolution d’au moins un identifiant de nommage et de de génération d’une autorisation d’exécution, par un serveur mandataire embarqué dans un serveur autoritaire, d’une fonction de résolution d’au moins un identifiant de nommage.We now present, in relation to the a diagram of exchanges between different communication equipment involved in a second mode of implementation of the methods for processing a request for resolution of at least one naming identifier and for generating an authorization for execution, by a proxy server embedded in an authoritative server, of a function for resolution of at least one naming identifier.

Au cours d’une étape F0, un serveur autoritaire 17 associé à un identifiant de nommage, tel que example.com, transmet un message Record comprenant au moins un paramètre relatif audit équipement 10, ou un paramètre relatif à l’identifiant de nommage à résoudre à destination du serveur mandataire 11 embarqué dans le résolveur 12 et un certificat indiquant que l’opérateur du serveur autoritaire 17 est propriétaire de l’identifiant de nommage considéré. Un tel certificat de propriété peut être délivré au serveur autoritaire 17 associé à l’identifiant de nommage à résoudre par une autorité de confiance. Ainsi, le serveur mandataire 11 sait que les informations fournies par le serveur autoritaire 17 sont fiables. Le paramètre relatif à l’équipement 10 est par exemple un masque d’adresses IP, une adresse IP ou plus généralement un identifiant de l’équipement 10. Ainsi, le serveur mandataire 11 peut identifier les équipements 10 pour lesquels un traitement particulier des requêtes en résolution d’identifiants de nommage doit être appliqué.During a step F0, an authoritative server 17 associated with a naming identifier, such as example.com, transmits a Record message comprising at least one parameter relating to said equipment 10, or a parameter relating to the naming identifier to be resolved to the proxy server 11 embedded in the resolver 12 and a certificate indicating that the operator of the authoritative server 17 is the owner of the naming identifier in question. Such an ownership certificate may be issued to the authoritative server 17 associated with the naming identifier to be resolved by a trusted authority. Thus, the proxy server 11 knows that the information provided by the authoritative server 17 is reliable. The parameter relating to the equipment 10 is for example an IP address mask, an IP address or more generally an identifier of the equipment 10. Thus, the proxy server 11 can identify the equipment 10 for which a particular processing of the requests for resolution of naming identifiers must be applied.

Au cours d’une étape F1, l’équipement 10 émet un message de demande d’établissement d’une session de communication de type Masque à destination du serveur mandataire 11 embarqué dans le résolveur 12. Un tel message d’établissement d’une session de communication est par exemple un message http de type CONNECT "connect-udp".During a step F1, the equipment 10 sends a message requesting the establishment of a communication session of the Mask type to the proxy server 11 embedded in the resolver 12. Such a message for establishing a communication session is for example an HTTP message of the CONNECT "connect-udp" type.

HEADERSHEADERS

:method = CONNECT:method = CONNECT

:protocol = connect-udp:protocol = connect-udp

:scheme = https:scheme = https

:authority = mandataire.org:authority = mandataire.org

capsule-protocol = ?1capsule-protocol = ?1

Les données échangées entre l’équipement 10 et le serveur mandataire 11 au cours de cette session sont donc, par exemple, encapsulées dans des messages de type DATAGRAM du protocole QUIC, ou des extensions « capsule » (dans le cas de messages http de type CONNECT "connect-ip". Cette encapsulation des données échangées est représentée sous la forme du tunnel Tun établi entre l’équipement 10 et le résolveur 12.The data exchanged between the equipment 10 and the proxy server 11 during this session are therefore, for example, encapsulated in DATAGRAM type messages of the QUIC protocol, or “capsule” extensions (in the case of CONNECT type http messages “connect-ip”). This encapsulation of the exchanged data is represented in the form of the Tun tunnel established between the equipment 10 and the resolver 12.

Une fois la session de communication établie entre l’équipement 10 et le serveur mandataire 11, l’équipement 10 émet, dans une étape F2, une requête en résolution d’identifiant de nommage RDN à destination du serveur mandataire 11 embarqué dans le résolveur 12 puisque, conformément à ce qui est indiqué dans la table de routage DNS TRDNS de l’équipement 10, le résolveur d’identifiants de nommage par défaut identifié pour résoudre les identifiants de nommage ayant une extension en « .com » est le résolveur 12. Cette requête en résolution d’identifiant de nommage RDN est par exemple un message du typeDNS over QUIC example.com.Once the communication session has been established between the equipment 10 and the proxy server 11, the equipment 10 sends, in a step F2, a request for resolution of an RDN naming identifier to the proxy server 11 embedded in the resolver 12 since, in accordance with what is indicated in the DNS routing table TRDNS of the equipment 10, the default naming identifier resolver identified for resolving naming identifiers having a “.com” extension is the resolver 12. This request for resolution of an RDN naming identifier is for example a message of the DNS over QUIC example.com type.

Dans une étape F3, le serveur mandataire 11 reçoit la requête en résolution d’identifiant de nommage RDN. Le serveur mandataire 11 détermine, par exemple au moyen du masque d’adresses IP reçus au cours de l’étape E0, si la requête en résolution d’un identifiant de nommage RDN doit faire ou non l’objet d’un traitement particulier. Si tel est le cas, le serveur mandataire 11 met en œuvre l’étape F4.In a step F3, the proxy server 11 receives the request for resolution of an RDN naming identifier. The proxy server 11 determines, for example by means of the IP address mask received during the step E0, whether or not the request for resolution of an RDN naming identifier must be subject to special processing. If this is the case, the proxy server 11 implements step F4.

Dans ce premier mode de réalisation, le message Record émis par le serveur autoritaire 17 au cours de l’étape F0 comprend en plus du paramètre relatif audit équipement 10, du paramètre relatif à l’identifiant de nommage à résoudre et du certificat de propriété du serveur autoritaire 17, un paramètre de redirection de la requête en résolution d’identifiants de nommage.Un tel paramètre de redirection est par exemple un identifiant tel qu’une adresse IP du résolveur d’identifiants de nommage 16 lequel est par exemple opéré par le fournisseur de service internet auprès duquel un utilisateur de l’équipement 10 a souscrit une offre de service.In this first embodiment, the Record message sent by the authoritative server 17 during step F0 comprises, in addition to the parameter relating to said equipment 10, the parameter relating to the naming identifier to be resolved and the certificate of ownership of the authoritative server 17, a parameter for redirecting the request for resolution of naming identifiers . Such a redirection parameter is for example an identifier such as an IP address of the naming identifier resolver 16 which is for example operated by the internet service provider with which a user of the equipment 10 has subscribed to a service offer.

Le résolveur 12 transmet alors la requête en résolution d’un identifiant de nommage RDN à destination du résolveur 16, au cours de l’étape F4, au lieu de la traiter lui-même comme demandé par l’équipement 10.The resolver 12 then transmits the request for resolution of an RDN naming identifier to the resolver 16, during step F4, instead of processing it itself as requested by the equipment 10.

Dans une étape F5, le résolveur 16 résout l’identifiant de nommage compris dans la requête en résolution d’identifiant de nommage RDN et émet dans une étape F6 un message MSG comprenant une adresse IP ou un identifiant associé à au moins un serveur 15 associé à l’identifiant de nommage à résoudre à destination du serveur mandataire 11. Un tel message MSG est un message conforme au protocole DNS.In a step F5, the resolver 16 resolves the naming identifier included in the request for resolution of the RDN naming identifier and sends in a step F6 an MSG message comprising an IP address or an identifier associated with at least one server 15 associated with the naming identifier to be resolved to the proxy server 11. Such an MSG message is a message conforming to the DNS protocol.

Dans une étape F7, le serveur mandataire 11 intercepte le message MSG et le transmet, dans une étape F8 à destination de l’équipement via de l’ajout de champs d’entête http propres au présent procédé tels qu’un champ d’entête DNS_ID = ‘example.com’, un champ d’entête DNS_TYPE=’A’ ou encore un champ d’entête DNS_VALUE=’ 103.168.1.1’ indiquant à l’équipement 10 qu’il doit demander le contenu identifié par l’identifiant de domaine « example.com » au serveur 15 dont l’adresse réseau est 193.168.1.1.In a step F7, the proxy server 11 intercepts the MSG message and transmits it, in a step F8, to the equipment via the addition of http header fields specific to the present method such as a header field DNS_ID = ‘example.com’, a header field DNS_TYPE=’A’ or a header field DNS_VALUE=’103.168.1.1’ indicating to the equipment 10 that it must request the content identified by the domain identifier “example.com” from the server 15 whose network address is 193.168.1.1.

Le serveur mandataire 11 embarqué dans le résolveur peut en outre indiquer dans le message MSG une modification du résolveur pour cet identifiant de domaine.The proxy server 11 embedded in the resolver can further indicate in the MSG message a change of the resolver for this domain identifier.

Pour cela, des champs d’entête propres au présent procédé sont ajoutés au message MSG tel qu’un champ d’entête DNS_ROUTE_DOMAIN et un champ d’entête DNS_ROUTE_RESOLVER indiquant à l’équipement 10 que le résolveur 16 est maintenant le résolveur par défaut pour l’identifiant de domaine example.com. Une telle procédure est définie par l’IETF dans le document suivant : https://httpwg.org/http-extensions/draft-ietf-httpbis-message-signatures.html.For this, header fields specific to the present method are added to the MSG message such as a DNS_ROUTE_DOMAIN header field and a DNS_ROUTE_RESOLVER header field indicating to the equipment 10 that the resolver 16 is now the default resolver for the domain identifier example.com. Such a procedure is defined by the IETF in the following document: https://httpwg.org/http-extensions/draft-ietf-httpbis-message-signatures.html.

A réception du message MSG, l’équipement 10 met à jour la table de routage TRFNS avec ces informations.Upon receipt of the MSG message, device 10 updates the TRFNS routing table with this information.

Enfin dans une étape F9, l’équipement 10 établit une session de communication avec le serveur 15 dont l’identifiant, par exemple l’adresse IP, était comprise dans le message MSG afin d’obtenir par exemple le contenu associé à la requête http qu’il effectue.Finally, in a step F9, the equipment 10 establishes a communication session with the server 15 whose identifier, for example the IP address, was included in the MSG message in order to obtain, for example, the content associated with the http request that it makes.

On présente désormais, en relation avec la un diagramme d’échanges entre différents équipements de communication impliqués dans un troisième mode d’implémentation des procédés de traitement d’une requête en résolution d’au moins un identifiant de nommage et de génération d’une autorisation d’exécution, par un serveur mandataire, d’une fonction de résolution d’au moins un identifiant de nommage.We now present, in relation to the a diagram of exchanges between different communication equipment involved in a third mode of implementation of the methods for processing a request for resolution of at least one naming identifier and for generating an authorization for execution, by a proxy server, of a function for resolution of at least one naming identifier.

Au cours d’étape G0, le serveur autoritaire 17 associé à l’identifiant de nommage example.com génère une autorisation d’exécution AD associé au serveur mandataire 11 pour l’identifiant de nommage example.com.In step G0, the authoritative server 17 associated with the naming identifier example.com generates an AD execution authorization associated with the proxy server 11 for the naming identifier example.com.

Ainsi, le serveur autoritaire 17 chiffre avec une clé cryptographique privée associée à une clé cryptographique publique chaque identifiant de nommage associé à un serveur mandataire 11 auquel il donne une autorisation d’exécution d’une fonction de résolution d’au moins un identifiant de nommage. Le serveur autoritaire 17 calcule ensuite une empreinte numérique de l'identifiant de nommage associé à un identifiant du serveur mandataire 11 signée au moyen de la clé cryptographique associée au serveur autoritaire 17. Une telle empreinte numérique est par exemple un hash de la clé publique du serveur autoritaire 17, de l’identifiant de nommage, example.com, et de l’identifiant du serveur mandataire 11. Le serveur autoritaire 17 détermine ainsi l’autorisation d’exécution AD du serveur mandataire 11 pour l’identifiant de nommage example.com.Thus, the authoritative server 17 encrypts with a private cryptographic key associated with a public cryptographic key each naming identifier associated with a proxy server 11 to which it gives an authorization to execute a resolution function of at least one naming identifier. The authoritative server 17 then calculates a digital fingerprint of the naming identifier associated with an identifier of the proxy server 11 signed by means of the cryptographic key associated with the authoritative server 17. Such a digital fingerprint is for example a hash of the public key of the authoritative server 17, of the naming identifier, example.com, and of the identifier of the proxy server 11. The authoritative server 17 thus determines the execution authorization AD of the proxy server 11 for the naming identifier example.com.

Dans une étape G1, le serveur autoritaire 17 transmet un message Record comprenant au moins un paramètre relatif audit équipement 10, un certificat de propriété du serveur autoritaire 17 et une autorisation d’exécution AD. Un tel certificat de propriété peut être délivré au serveur autoritaire 17 associé à l’identifiant de nommage à résoudre par une autorité de confiance. Ainsi, le serveur mandataire 11 sait que les informations fournies par le serveur autoritaire 17 sont fiables. Le paramètre relatif à l’équipement 10 est par exemple un masque d’adresses IP. Ainsi, le serveur mandataire 11 peut identifier les équipements 10 pour lesquels un traitement particulier des requêtes en résolution d’identifiants de nommage doit être appliqué.In a step G1, the authoritative server 17 transmits a Record message comprising at least one parameter relating to said equipment 10, a certificate of ownership of the authoritative server 17 and an AD execution authorization. Such a certificate of ownership can be delivered to the authoritative server 17 associated with the naming identifier to be resolved by a trusted authority. Thus, the proxy server 11 knows that the information provided by the authoritative server 17 is reliable. The parameter relating to the equipment 10 is for example an IP address mask. Thus, the proxy server 11 can identify the equipment 10 for which a particular processing of the requests for resolution of naming identifiers must be applied.

Dans une étape G2, Le résolveur d’identifiant de nommage 12 stocke des adresses IP de serveurs 15 associés aux identifiants de nommage pour lesquels il dispose d’une autorisation d’exécution AD dans une table de correspondance destinée à être utilisée lors de la résolution des identifiants de nommages.In a step G2, the naming identifier resolver 12 stores IP addresses of servers 15 associated with the naming identifiers for which it has AD execution authorization in a lookup table intended to be used when resolving the naming identifiers.

Ces étapes G0, G1 et G2 ne déclenchent pas directement les étapes G3 et suivantes, elles peuvent leur être préalables ou être postérieures à l’étape G3 afin d’assurer la bonne exécution des procédés de traitement d’une requête en résolution d’au moins un identifiant de nommage et de de génération d’une autorisation d’exécution, par un serveur mandataire, d’une fonction de résolution d’au moins un identifiant de nommage.These steps G0, G1 and G2 do not directly trigger steps G3 and following, they can be prior to them or subsequent to step G3 in order to ensure the correct execution of the methods for processing a request for resolution of at least one naming identifier and for generating an authorization for execution, by a proxy server, of a function for resolution of at least one naming identifier.

Au cours d’une étape G3, l’équipement 10 émet un message de demande d’établissement d’une session de communication HS à destination du serveur mandataire 11. Un tel message d’établissement d’une session de communication est par exemple un message http de type CONNECT "connect-udp" :During a step G3, the equipment 10 sends a message requesting the establishment of an HS communication session to the proxy server 11. Such a message for establishing a communication session is for example an HTTP message of the CONNECT "connect-udp" type:

HEADERSHEADERS

:method = CONNECT:method = CONNECT

:protocol = connect-udp:protocol = connect-udp

:scheme = https:scheme = https

:authority = mandataire.org:authority = mandataire.org

capsule-protocol = ?1capsule-protocol = ?1

où 192.0.2.6 est l’adresse réseau du résolveur 12.where 192.0.2.6 is the network address of resolver 12.

Les données échangées entre l’équipement 10 et le serveur mandataire 11 au cours de cette session sont donc encapsulées dans des paquets UDP. Cette encapsulation des données échangées est représentée sous la forme du tunnel Tun établit entre l’équipement 10 et le serveur mandataire 11.The data exchanged between the equipment 10 and the proxy server 11 during this session are therefore encapsulated in UDP packets. This encapsulation of the exchanged data is represented in the form of the tunnel Tun established between the equipment 10 and the proxy server 11.

Une fois la session de communication établie entre l’équipement 10 et le serveur mandataire 11, l’équipement 10 émet, dans une étape G4, une requête en résolution d’identifiant de nommage RDN à destination du serveur mandataire 11 pour l’identifiant de nommage example.com. Cette requête en résolution d’identifiant de nommage RDN est par exemple un message du typeDNS over QUIC example.com. Conformément à ce qui est indiqué dans la table de routage DNS TRDNS de l’équipement 10, le résolveur d’identifiants de nommage par défaut identifié pour résoudre les identifiants de nommage ayant une extension en « .com », ou un identifiant de nommage spécifique tel que « example.com », est le résolveur 12. Ainsi, la requête en résolution d’identifiant de nommage RDN est émise par l’équipement 10 à destination du résolveur 12.Once the communication session has been established between the equipment 10 and the proxy server 11, the equipment 10 sends, in a step G4, a request for resolution of an RDN naming identifier to the proxy server 11 for the naming identifier example.com. This request for resolution of an RDN naming identifier is for example a message of the DNS over QUIC example.com type. In accordance with what is indicated in the DNS routing table TRDNS of the equipment 10, the default naming identifier resolver identified for resolving naming identifiers having a “.com” extension, or a specific naming identifier such as “example.com”, is the resolver 12. Thus, the request for resolution of an RDN naming identifier is sent by the equipment 10 to the resolver 12.

Dans une étape G5, le serveur mandataire 11 intercepte la requête en résolution d’identifiant de nommage RDN. Le serveur mandataire 11 détermine au moyen du masque d’adresses IP reçus au cours de l’étape G2, si la requête en résolution d’un identifiant de nommage RDN doit faire ou non l’objet d’un traitement particulier. Si tel est le cas, le serveur mandataire 11 met en œuvre l’étape G6.In a step G5, the proxy server 11 intercepts the request for resolution of an RDN naming identifier. The proxy server 11 determines, by means of the IP address mask received during the step G2, whether or not the request for resolution of an RDN naming identifier must be subject to special processing. If this is the case, the proxy server 11 implements step G6.

Au cours de l’étape G6, le serveur mandataire 11, ayant déterminé qu’il possède d’une autorisation d’exécution AD associée à l’identifiant de nommage à résoudre, ne procède pas à la transmission de la requête en résolution d’identifiants de nommage interceptée. Au lieu de cela, il procède à la résolution de l’identifiant de nommage compris dans la requête en résolution d’identifiants de nommage au moyen de la table de correspondance obtenue à l’étape G3.During step G6, the proxy server 11, having determined that it has an AD execution authorization associated with the naming identifier to be resolved, does not proceed to transmit the intercepted naming identifier resolution request. Instead, it proceeds to resolve the naming identifier included in the naming identifier resolution request by means of the correspondence table obtained in step G3.

Une fois l’identifiant de nommage résolu, le serveur mandataire 11 émet, dans une étape G7, un message MSG1 comprenant un identifiant tel que par exemple une adresse IP, un nom de domaine, etc. associé à au moins un serveur 15 associé à l’identifiant de nommage résolu à destination de l’équipement 10.Once the naming identifier has been resolved, the proxy server 11 sends, in a step G7, a message MSG1 comprising an identifier such as for example an IP address, a domain name, etc. associated with at least one server 15 associated with the resolved naming identifier to the equipment 10.

Un tel serveur 15 peut être situé dans un réseau distant ou être proche de l’équipement 10 lorsque l’adresse IP du serveur 15 transmise par le résolveur 16 correspond à un sous-réseau particulier dans lequel se situe l’équipement 10 par exemple. Le choix de privilégier un serveur 15 situé dans un réseau distant ou dans un sous-réseau proche de celui dans lequel l’équipement 10 se situe relève de l’accord établi entre le fournisseur de service internet auprès duquel un utilisateur a souscrit une offre de service et une entité opérant les serveurs autoritaires 17 associés aux identifiants de nommage à résoudre.Such a server 15 may be located in a remote network or be close to the equipment 10 when the IP address of the server 15 transmitted by the resolver 16 corresponds to a particular subnetwork in which the equipment 10 is located for example. The choice of favoring a server 15 located in a remote network or in a subnetwork close to that in which the equipment 10 is located is subject to the agreement established between the internet service provider with which a user has subscribed to a service offer and an entity operating the authoritative servers 17 associated with the naming identifiers to be resolved.

Enfin dans une étape G8, l’équipement 10 établit une session de communication avec le serveur 15 dont l’adresse IP était comprise dans le message MSG.Finally, in a step G8, the equipment 10 establishes a communication session with the server 15 whose IP address was included in the MSG message.

La représente un serveur mandataire 11 apte à mettre en œuvre les différents modes de réalisation du procédé de traitement d’une requête en résolution d’au moins un identifiant de nommage selon les figures 2 à 4.There represents a proxy server 11 capable of implementing the different embodiments of the method for processing a request for resolution of at least one naming identifier according to FIGS. 2 to 4.

Un serveur mandataire 11 peut comprendre au moins un processeur matériel 51, une unité de stockage 52, et au moins une interface de réseau 53 qui sont connectés entre eux au travers d’un bus 54. Bien entendu, les éléments constitutifs du serveur mandataire 11 peuvent être connectés au moyen d’une connexion autre qu’un bus.A proxy server 11 may comprise at least one hardware processor 51, a storage unit 52, and at least one network interface 53 which are connected to each other through a bus 54. Of course, the constituent elements of the proxy server 11 may be connected by means of a connection other than a bus.

Le processeur 51 commande les opérations du serveur mandataire 11. L'unité de stockage 52 stocke au moins un programme pour la mise en œuvre de la méthode selon un mode de réalisation à exécuter par le processeur 51, et diverses données, telles que des paramètres utilisés pour des calculs effectués par le processeur 51, des données intermédiaires de calculs effectués par le processeur 51, etc. Le processeur 51 peut être formé par tout matériel ou logiciel connu et approprié, ou par une combinaison de matériel et de logiciel. Par exemple, le processeur 51 peut être formé par un matériel dédié tel qu'un circuit de traitement, ou par une unité de traitement programmable telle qu'une unité centrale de traitement (Central Processing Unit) qui exécute un programme stocké dans une mémoire de celui-ci.The processor 51 controls the operations of the proxy server 11. The storage unit 52 stores at least one program for implementing the method according to an embodiment to be executed by the processor 51, and various data, such as parameters used for calculations performed by the processor 51, intermediate data of calculations performed by the processor 51, etc. The processor 51 may be formed by any known and suitable hardware or software, or by a combination of hardware and software. For example, the processor 51 may be formed by dedicated hardware such as a processing circuit, or by a programmable processing unit such as a central processing unit ( Central Processing Unit ) which executes a program stored in a memory thereof.

L'unité de stockage 52 peut être formée par n'importe quel moyen approprié capable de stocker le programme ou les programmes et des données d'une manière lisible par un ordinateur. Des exemples d'unité de stockage 52 comprennent des supports de stockage non transitoires lisibles par ordinateur tels que des dispositifs de mémoire à semi-conducteurs, et des supports d'enregistrement magnétiques, optiques ou magnéto-optiques chargés dans une unité de lecture et d'écriture.The storage unit 52 may be formed by any suitable means capable of storing the program(s) and data in a computer-readable manner. Examples of the storage unit 52 include computer-readable non-transitory storage media such as semiconductor memory devices, and magnetic, optical, or magneto-optical recording media loaded into a read/write unit.

Au moins une interface réseau 53 fournit une connexion entre le serveur mandataire 11, les résolveurs 12-16, l’équipement 10 et le serveur autoritaire 17.At least one network interface 53 provides a connection between the proxy server 11, the resolvers 12-16, the equipment 10 and the authoritative server 17.

La représente un serveur autoritaire 17 apte à mettre en œuvre les différents modes de réalisation du procédé de génération d’une autorisation d’exécution, par un serveur mandataire, d’une fonction de résolution d’au moins un identifiant de nommage selon les figures 2 à 4.There represents an authoritative server 17 capable of implementing the different embodiments of the method for generating an authorization for execution, by a proxy server, of a function for resolving at least one naming identifier according to FIGS. 2 to 4.

Un serveur autoritaire 17 peut comprendre au moins un processeur matériel 61, une unité de stockage 62, et au moins une interface de réseau 63 qui sont connectés entre eux au travers d’un bus 64. Bien entendu, les éléments constitutifs du serveur hébergeant des ressources 14 peuvent être connectés au moyen d’une connexion autre qu’un bus.An authoritative server 17 may comprise at least one hardware processor 61, a storage unit 62, and at least one network interface 63 which are connected to each other through a bus 64. Of course, the constituent elements of the server hosting resources 14 may be connected by means of a connection other than a bus.

Le processeur 61 commande les opérations du serveur autoritaire 17. L'unité de stockage 62 stocke au moins un programme pour la mise en œuvre de la méthode selon un mode de réalisation à exécuter par le processeur 61, et diverses données, telles que des paramètres utilisés pour des calculs effectués par le processeur 61, des données intermédiaires de calculs effectués par le processeur 61, etc. Le processeur 61 peut être formé par tout matériel ou logiciel connu et approprié, ou par une combinaison de matériel et de logiciel. Par exemple, le processeur 61 peut être formé par un matériel dédié tel qu'un circuit de traitement, ou par une unité de traitement programmable telle qu'une unité centrale de traitement (Central Processing Unit) qui exécute un programme stocké dans une mémoire de celui-ci.The processor 61 controls the operations of the authoritative server 17. The storage unit 62 stores at least one program for implementing the method according to an embodiment to be executed by the processor 61, and various data, such as parameters used for calculations performed by the processor 61, intermediate data of calculations performed by the processor 61, etc. The processor 61 may be formed by any known and suitable hardware or software, or by a combination of hardware and software. For example, the processor 61 may be formed by dedicated hardware such as a processing circuit, or by a programmable processing unit such as a central processing unit ( Central Processing Unit ) which executes a program stored in a memory thereof.

L'unité de stockage 62 peut être formée par n'importe quel moyen approprié capable de stocker le programme ou les programmes et des données d'une manière lisible par un ordinateur. Des exemples d'unité de stockage 62 comprennent des supports de stockage non transitoires lisibles par ordinateur tels que des dispositifs de mémoire à semi-conducteurs, et des supports d'enregistrement magnétiques, optiques ou magnéto-optiques chargés dans une unité de lecture et d'écriture.The storage unit 62 may be formed by any suitable means capable of storing the program(s) and data in a computer-readable manner. Examples of the storage unit 62 include computer-readable non-transitory storage media such as semiconductor memory devices, and magnetic, optical, or magneto-optical recording media loaded into a read/write unit.

Au moins une interface réseau 63 fournit une connexion entre le serveur autoritaire 17 et le serveur mandataire 11.At least one network interface 63 provides a connection between the authoritative server 17 and the proxy server 11.

Claims

Method for processing a request for resolution of at least one naming identifier sent by a device through a path established between said device and a proxy server, said method being implemented by said proxy server and comprising the following steps:
- interception of said request comprising an identifier of at least one first entity implementing a resolution function of at least one naming identifier, called default entity, to which said request was sent,
- transmission of said request to at least one second entity implementing a function for resolving the at least one naming identifier, said second entity being selected according to at least one parameter relating to said equipment and/or at least one parameter relating to the at least one naming identifier to be resolved,
- transmission to said equipment of an identifier of at least one server associated with the at least one naming identifier to be resolved transmitted by said second entity.

Method for processing a request for resolution of at least one naming identifier according to claim 1 comprising, prior to the interception of said request, a step of receiving at least one message comprising said at least one parameter relating to said equipment and said at least one parameter relating to the naming identifier to be resolved, said message being sent by an authoritative server associated with the at least one naming identifier to be resolved.

Method for processing a request for resolution of at least one naming identifier according to claim 2 wherein said received message is further signed with a certificate of said authoritative server indicating the ownership of the at least one naming identifier to be resolved.

Method for processing a request for resolution of at least one naming identifier according to any one of claims 1 to 3, in which said at least one parameter relating to the at least one naming identifier to be resolved comprises at least one network address of a naming identifier resolver embedding said second entity and/or information for redirecting said request to said naming identifier resolver.

Method for processing a request for resolution of at least one naming identifier according to claims 2 to 3 in which, said second entity being embedded in said proxy server, said at least one parameter relating to the at least one naming identifier to be resolved comprises at least one authorization for execution by said proxy server of a function for resolution of at least one naming identifier.

Method for processing a request for resolution of at least one naming identifier according to claim 5 in which the execution authorization is a digital fingerprint of the at least one naming identifier associated with said proxy server signed by a cryptographic key associated with said authoritative server associated with said at least one naming identifier to be resolved.

Method for processing a request for resolution of at least one naming identifier according to any one of the preceding claims in which the at least one parameter relating to the equipment is a location parameter of the equipment.

Method for generating an authorization for execution, by a proxy server, of a function for resolving at least one naming identifier, said proxy server intercepting a request for resolving at least one naming identifier sent by a device through a path established between said device and a proxy server, said request comprising an identifier of at least a first entity implementing a function for resolving at least one naming identifier, called the default entity, to which it was sent, said method being implemented by an authoritative server associated with said naming identifier to be resolved and comprising the following steps:
- determination of a digital fingerprint of said at least one naming identifier to be resolved associated with an identifier of said proxy server,
- transmission, to the proxy server, of said execution authorization including said digital fingerprint.

A method of generating an execution authorization according to claim 8 wherein said digital fingerprint is further signed by a cryptographic key associated with the authoritative server.

Proxy server capable of processing a request for resolution of at least one naming identifier sent by a device through a path established between said device and said proxy server, said proxy server comprising at least one processor configured to:
- intercept said request comprising an identifier of at least one first entity implementing a resolution function of at least one naming identifier, called the default entity, to which it was sent,
- transmitting said request to at least one second entity implementing a function for resolving at least one naming identifier, said second entity being selected according to at least one parameter relating to said equipment and/or at least one parameter relating to the naming identifier to be resolved,
- transmit to said equipment an identifier of at least one server associated with the naming identifier to be resolved transmitted by said second entity.

Authoritative server associated with at least one naming identifier, said server being capable of generating an authorization for execution, by a proxy server, of a function for resolving said at least one naming identifier, said proxy server intercepting a request for resolving at least one naming identifier sent by a device through a path established between said device and a proxy server, said request comprising an identifier of at least one first entity implementing a function for resolving at least one naming identifier, called the default entity, to which it was sent, said authoritative server comprising at least one processor configured to:
- determining a digital fingerprint of said at least one naming identifier to be resolved associated with an identifier of said proxy server,
- transmit, to the proxy server, said execution authorization including said digital fingerprint.

Computer program product comprising program code instructions for implementing a method according to claims 1 to 7, when executed by a processor.

Computer program product comprising program code instructions for implementing a method according to claims 8 to 9, when executed by a processor.