一種用于安全地連接到遠程服務器的方法，其提供改進的因特網安全性。在所述方法中，客戶端接收連接到與域名相關聯的遠程服務器的請求。所述客戶端當解析所述域名時確定所述遠程服務器是否支持至少一個預定IP層安全協議。所述客戶端響應于確定所述遠程服務器支持所述至少一個預定IP層安全協議而執行與所述遠程服務器的密匙交換協議以產生至少一個共享秘密。所述客戶端使用所述IP層安全協議中的所述至少一個共享秘密連接到所述遠程服務器。

相關申請案的交叉參考

本申請案要求2016年2月24日在美國專利商標局申請的第15/052,736號非臨時申請案的優先權及權益，所述非臨時申請案的全部內容以引用的方式并入本文中。

技術領域

本發明大體上涉及因特網安全性，且更具體地說涉及基于域名解析安全地連接到遠程服務器。

背景技術

大多數網頁瀏覽器基于裝置連接到的url而指示用于網頁連接的http或https。用戶可基于查看url中的‘https://’和指示正使用的https的圖標而確定應用層連接是否安全。當使用例如端到端IPsec等其它安全協議與服務器通信時，不存在瀏覽器的此指示。迫使服務器強加關于如何保護和處理用戶的數據和敏感信息的安全性策略也是困難的。此外，虛擬專用網絡(VPN)通常需要用戶在使用之前首先起始客戶端軟件。

因此需要用于在IP層安全地連接到遠程服務器的改進的技術。

發明內容

本發明的一方面可存在于一種用于安全地連接到遠程服務器的方法中，所述方法包括：由客戶端接收連接到與域名相關聯的遠程服務器的請求；由所述客戶端當解析所述域名時確定所述遠程服務器是否支持至少一個預定IP層安全協議；由所述客戶端響應于確定所述遠程服務器支持所述至少一個預定IP層安全協議而執行與所述遠程服務器的密匙交換協議以產生至少一個共享秘密；以及由所述客戶端使用所述至少一個預定IP層安全協議中的所述至少一個共享秘密連接到所述遠程服務器。

在本發明的更詳細方面中，客戶端可基于域名的最高層級域而確定遠程服務器支持所述至少一個預定IP層安全協議。替代地，客戶端可基于使用與域名系統(DNS)服務器的通信對域名的驗證而確定遠程服務器支持所述至少一個預定IP層安全協議。與DNS服務器的通信可使用安全DNS協議。客戶端可從DNS服務器接收用于經驗證域名的DNS服務記錄，其包含指示遠程服務器支持所述至少一個預定IP層安全協議的至少一個參數。

在本發明的其它更詳細方面中，客戶端可基于客戶端確定域名在支持所述至少一個預定IP層安全協議的受信任域名的列表中而確定遠程服務器支持所述至少一個預定IP層安全協議。另外，域名可解析到IP地址。

本發明的另一方面可存在于一種用于安全地連接到遠程服務器的設備，所述設備包括：用于接收連接到與域名相關聯的遠程服務器的請求的裝置；用于當解析所述域名時確定所述遠程服務器是否支持至少一個預定IP層安全協議的裝置；用于響應于確定所述遠程服務器支持所述至少一個預定IP層安全協議而執行與所述遠程服務器的密匙交換協議以產生至少一個共享秘密的裝置；以及用于使用所述至少一個預定IP層安全協議中的所述至少一個共享秘密連接到所述遠程服務器的裝置。

本發明的另一方面可存在于一種設備中，所述設備包括處理器，所述處理器經配置以：接收連接到與域名相關聯的遠程服務器的請求；當解析域名時確定遠程服務器是否支持至少一個預定IP層安全協議；響應于確定遠程服務器支持所述至少一個預定IP層安全協議而執行與遠程服務器的密匙交換協議以產生至少一個共享秘密；以及使用所述至少一個預定IP層安全協議中的所述至少一個共享秘密連接到遠程服務器。