DNSおよびDNSアクセス制御方法
【課題】DNSキャッシュサーバとDNS権威サーバと連携して、SIG(0)に対応したアクセス制御を実現する。
【解決手段】ユーザ端末がSIG(0)リソースレコード付きの問い合わせを行ったときに、DNSキャッシュサーバを介して該当ドメインネームの情報を保持するDNS権威サーバがSIG(0)リソースレコ−ドを検証し、その結果である該当ドメインネームの情報とSIG(0)の検証に用いた鍵情報をDNSキャッシュサーバに保持させ、以降にユーザ端末から該当ドメインネームの情報およびSIG(0)リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する。
【解決手段】ユーザ端末がSIG(0)リソースレコード付きの問い合わせを行ったときに、DNSキャッシュサーバを介して該当ドメインネームの情報を保持するDNS権威サーバがSIG(0)リソースレコ−ドを検証し、その結果である該当ドメインネームの情報とSIG(0)の検証に用いた鍵情報をDNSキャッシュサーバに保持させ、以降にユーザ端末から該当ドメインネームの情報およびSIG(0)リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IP網上で装置のドメインネームを管理するドメインネームシステム(DNS)のセキュリティ機能をDNSキャッシュサーバとDNS権威サーバが連携して実現するDNSおよびDNSアクセス制御方法に関する。
【背景技術】
【0002】
従来のDNSのアクセス制御として、最も有名なDNSソフトウェアであるBIND(Berkley Internet Name Domain) は、IPアドレス単位のアクセス制御を実現している。さらに、公開鍵署名を利用するSIG(0) を用いたアクセス制御により、IPなりすまし対応や、DHCPを実現する方法が広く知られている(例えば、非特許文献1)。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】馬場達也、日下貴義、山岡正輝、松田栄之、「DNSにおけるアクセス制御プロトコルの検討」、情報処理学会研究報告. CSEC,[コンピュータセキュリティ] 2003(18), 173-178, 2003-02-27 http://ci.nii.ac.jp/naid/110004028896
【発明の概要】
【発明が解決しようとする課題】
【0004】
一般的にDNSは、図1に示すように、ドメインネーム等の原本データを保持するDNS権威サーバ13−1〜13−3と、DNS権威サーバの原本データのキャッシュを保持するDNSキャッシュサーバ12から構成される。通常、ユーザ端末11はDNSキャッシュサーバ12にドメインネームの情報の問い合わせを行い、この問い合わせを受信したDNSキャッシュサーバ12は、内部にドメインネームの情報を保持する場合は、その保持情報を用いてユーザ端末11に応答する。一方、内部にドメインネームの情報を保持しない場合は、DNSキャッシュサーバ12のフルサービスリゾルバ機能によりDNS権威サーバ13−1〜13−3に再帰問い合わせを実施し、該当するドメインネームの情報を保持するDNS権威サーバから問い合わせ内容に対応したドメインネームの情報を取得し、保持する。その後、DNSキャッシュサーバ12は取得したドメインネームの情報をユーザ端末11に応答することでDNS問い合わせの処理を完了する。
【0005】
しかし、SIG(0) を用いたアクセス制御の場合、DNSキャッシュサーバ12がSIG(0) リソースレコード付きの問い合わせを受信すると、DNSキャッシュサーバ12のフルサービスリゾルバ機能によりSIG(0) リソースレコード無しの再帰問い合わせが実施され、SIG(0) を用いたアクセス制御が実施できない課題がある。また、直接DNS権威サーバにSIG(0) リソースレコード付きの問い合わせをし、SIG(0) リソースレコードを用いた検証を実施する方法があるが、DNS権威サーバの負荷が高くなる課題がある。
【0006】
本発明は、DNS権威サーバの負荷の軽減を図りながら、DNSキャッシュサーバとDNS権威サーバと連携してSIG(0) に対応したアクセス制御を実現することができるDNSおよびDNSアクセス制御方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
第1の発明は、ユーザ端末からドメインネームの情報の問い合わせを受けたDNSキャッシュサーバが、該当ドメインネームの情報を保持する場合はその保持情報をユーザ端末に応答し、該当ドメインネームの情報を保持しない場合はDNS権威サーバに再帰問い合わせを実施し、該当ドメインネームの情報を保持するDNS権威サーバから該当ドメインネームの情報を取得したときに保持するとともに該当ドメインネームの情報をユーザ端末に応答するDNSにおいて、ユーザ端末がSIG(0) リソースレコード付きの問い合わせを行ったときに、DNSキャッシュサーバを介して該当ドメインネームの情報を保持するDNS権威サーバがSIG(0) リソースレコ−ドを検証し、その結果である該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報をDNSキャッシュサーバに保持させ、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する構成である。
【0008】
第1の発明のDNSにおいて、DNS権威サーバは、DNSキャッシュサーバの公開鍵署名を用いることでDNSキャッシュサーバの正当性を検証する構成である。
【0009】
第2の発明は、ユーザ端末からドメインネームの情報の問い合わせを受けたDNSキャッシュサーバが、該当ドメインネームの情報を保持する場合はその保持情報をユーザ端末に応答し、該当ドメインネームの情報を保持しない場合はDNS権威サーバに再帰問い合わせを実施し、該当ドメインネームの情報を保持するDNS権威サーバから該当ドメインネームの情報を取得したときに保持するとともに該当ドメインネームの情報をユーザ端末に応答するDNSアクセス制御方法において、ユーザ端末がSIG(0) リソースレコード付きの問い合わせを行ったときに、DNSキャッシュサーバを介して該当ドメインネームの情報を保持するDNS権威サーバがSIG(0) リソースレコ−ドを検証し、その結果である該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報をDNSキャッシュサーバに保持させ、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する。
【0010】
第2の発明のDNSアクセス制御方法において、DNSキャッシュサーバは、ユーザ端末からSIG(0) リソースレコード付きの問い合わせを受けたときに、DNS権威サーバにSIG(0) リソースレコード無しの再帰問い合わせを行い、該当するドメインネームの情報を保持するDNS権威サーバからSIG(0) リソースレコード無しによるエラーメッセージを受けたときに、ユーザ端末から送付されたドメインネームの情報の問い合わせとSIG(0) リソースレコードを載せたメッセージを当該DNS権威サーバへ送信し、メッセージを受信したDNS権威サーバは、SIG(0) リソースレコ−ドを用いて当該メッセージの正当性を検証し、検証の結果問題がなければ、DNSキャッシュサーバに対して該当ドメインネームの情報と、SIG(0) の検証に用いた鍵情報を送信し、検証の結果問題があればエラーメッセージを送信し、DNSキャッシュサーバは、受信した該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報を保持するとともに、ユーザ端末に該当ドメインネームの情報を応答し、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する。
【0011】
第2の発明のDNSアクセス制御方法において、DNS権威サーバは、DNSキャッシュサーバの公開鍵署名を用いることでDNSキャッシュサーバの正当性を検証する。
【発明の効果】
【0012】
本発明は、DNSキャッシュサーバとDNS権威サーバが連携し、DNS権威サーバでSIG(0) の検証に用いた鍵情報をDNSキャッシュサーバが保持することにより、SIG(0) 利用時に直接DNS権威サーバに問い合わせすることなく検証が可能となり、DNS権威サーバの負荷の軽減を図りながら、SIG(0) に対応したアクセス制御を実現することができる。
【図面の簡単な説明】
【0013】
【図1】本発明のDNSの構成例を示す図である。
【図2】本発明のDNSアクセス制御方法の処理フローを示す図である。
【発明を実施するための形態】
【0014】
図1は、本発明のDNSの構成例を示す。
図1において、ユーザ端末11は、インターネットを介してDNSキャッシュサーバ12へアクセスし、ドメインネームの情報(リソースレコード)の問い合わせを実施する機能を有する。DNSキャッシュサーバ12は、ユーザ端末11からの問い合わせ先となり、ドメインネームの情報が見つかるまでDNS権威サーバ13−1〜13−3に反復して問い合わせ(再帰問い合わせ)を行うフルサービスリゾルバ機能を有する。DNS権威サーバ13−1〜13−3は、ドメインネームの情報の原本を保持し、DNSキャッシュサーバ12からの問い合わせに対する応答機能を有する。DNSキャッシュサーバ12とDNS権威サーバ13−1〜13−3が連携し、SIG(0) に対応したアクセス制御を実現する機能については以下に説明する。
【0015】
図2は、本発明のDNSアクセス制御方法の処理フローを示す。
まず、ユーザ端末11はDNSキャッシュサーバ12に対し、SIG(0) リソースレコード付きの問い合わせを実施する。本問い合わせを受信したDNSキャッシュサーバ12は、該当するドメインネームの情報を保持するDNS権威サーバを探すため、DNS権威サーバ13−1〜13−3に再帰問い合わせを実施する。この問い合わせの際はSIG(0) リソースレコードを付けないものとする。再帰問い合わせの結果、該当ドメインネームの情報を保持するDNS権威サーバ(.hoge.co.jp) 13−3が判明する。しかし、DNS権威サーバ13−3への問い合わせはSIG(0) リソースレコード無しのため、エラーメッセージがDNS権威サーバ13−3からDNSキャッシュサーバ12に対して送付される。
【0016】
本エラーメッセージを取得したDNSキャッシュサーバ12は、SIG(0) の署名を有効にするために、ユーザ端末11から送付されたドメインネームの情報(リソースレコードの問い合わせおよびSIG(0) リソースレコードに手を加えずに、DNS権威サーバ13−3への問い合わせメッセージの中に入れ、DNS権威サーバ13−3に対して問い合わせを実施する。
【0017】
本問い合わせを受信したDNS権威サーバ13−3は、SIG(0) リソースレコードの検証を実施し、検証の結果問題がなければ、DNSキャッシュサーバ12に問い合わせに対応したリソースレコード(ドメインネームの情報)、およびSIG(0) の検証に用いた公開鍵をDNSキャッシュサーバ12に応答する。一方、検証の結果問題があれば、DNSキャッシュサーバ12にエラーメッセージを応答する。
【0018】
前記リソースレコードおよび公開鍵を受信したDNSキャッシュサーバ12は、受信したドメインネームの情報および公開鍵をキャッシュするとともに、ドメインネームの情報をユーザ端末11に応答し、問い合わせ処理を完了する。
【0019】
以降、DNSキャッシュサーバ12は、ユーザ端末11からSIG(0) リソースレコード付きの問い合わせが来た際は、保持している公開鍵を用いて検証を実施し、DNS権威サーバ13−1〜13−3への問い合わせを実施しない形で問い合わせの検証が可能となる。
【0020】
ここで、DNS権威サーバ13−3から公開鍵を渡されるDNSキャッシュサーバ12の正当性の保証は、以下のようにDNSキャッシュサーバ12の公開鍵署名を用いる方法で対処する。まず、DNSキャッシュサーバ12はDNS権威サーバ13−1〜13−3に対し、事前にDNSキャッシュサーバ12の公開鍵を登録しておく。次に、DNSキャッシュサーバ12から上記の例ではDNS権威サーバ13−3へのドメイン情報問い合わせ時に、DNSキャッシュサーバ12の秘密鍵を用いて問い合わせメッセージの署名を生成し、問い合わせメッセージと一緒に署名をDNS権威サーバ13−3に送付することで問い合わせ元のDNSキャッシュサーバ12の正当性を検証可能となる。
【符号の説明】
【0021】
11 ユーザ端末
12 DNSキャッシュサーバ
13−1〜13−3 DNS権威サーバ
【技術分野】
【0001】
本発明は、IP網上で装置のドメインネームを管理するドメインネームシステム(DNS)のセキュリティ機能をDNSキャッシュサーバとDNS権威サーバが連携して実現するDNSおよびDNSアクセス制御方法に関する。
【背景技術】
【0002】
従来のDNSのアクセス制御として、最も有名なDNSソフトウェアであるBIND(Berkley Internet Name Domain) は、IPアドレス単位のアクセス制御を実現している。さらに、公開鍵署名を利用するSIG(0) を用いたアクセス制御により、IPなりすまし対応や、DHCPを実現する方法が広く知られている(例えば、非特許文献1)。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】馬場達也、日下貴義、山岡正輝、松田栄之、「DNSにおけるアクセス制御プロトコルの検討」、情報処理学会研究報告. CSEC,[コンピュータセキュリティ] 2003(18), 173-178, 2003-02-27 http://ci.nii.ac.jp/naid/110004028896
【発明の概要】
【発明が解決しようとする課題】
【0004】
一般的にDNSは、図1に示すように、ドメインネーム等の原本データを保持するDNS権威サーバ13−1〜13−3と、DNS権威サーバの原本データのキャッシュを保持するDNSキャッシュサーバ12から構成される。通常、ユーザ端末11はDNSキャッシュサーバ12にドメインネームの情報の問い合わせを行い、この問い合わせを受信したDNSキャッシュサーバ12は、内部にドメインネームの情報を保持する場合は、その保持情報を用いてユーザ端末11に応答する。一方、内部にドメインネームの情報を保持しない場合は、DNSキャッシュサーバ12のフルサービスリゾルバ機能によりDNS権威サーバ13−1〜13−3に再帰問い合わせを実施し、該当するドメインネームの情報を保持するDNS権威サーバから問い合わせ内容に対応したドメインネームの情報を取得し、保持する。その後、DNSキャッシュサーバ12は取得したドメインネームの情報をユーザ端末11に応答することでDNS問い合わせの処理を完了する。
【0005】
しかし、SIG(0) を用いたアクセス制御の場合、DNSキャッシュサーバ12がSIG(0) リソースレコード付きの問い合わせを受信すると、DNSキャッシュサーバ12のフルサービスリゾルバ機能によりSIG(0) リソースレコード無しの再帰問い合わせが実施され、SIG(0) を用いたアクセス制御が実施できない課題がある。また、直接DNS権威サーバにSIG(0) リソースレコード付きの問い合わせをし、SIG(0) リソースレコードを用いた検証を実施する方法があるが、DNS権威サーバの負荷が高くなる課題がある。
【0006】
本発明は、DNS権威サーバの負荷の軽減を図りながら、DNSキャッシュサーバとDNS権威サーバと連携してSIG(0) に対応したアクセス制御を実現することができるDNSおよびDNSアクセス制御方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
第1の発明は、ユーザ端末からドメインネームの情報の問い合わせを受けたDNSキャッシュサーバが、該当ドメインネームの情報を保持する場合はその保持情報をユーザ端末に応答し、該当ドメインネームの情報を保持しない場合はDNS権威サーバに再帰問い合わせを実施し、該当ドメインネームの情報を保持するDNS権威サーバから該当ドメインネームの情報を取得したときに保持するとともに該当ドメインネームの情報をユーザ端末に応答するDNSにおいて、ユーザ端末がSIG(0) リソースレコード付きの問い合わせを行ったときに、DNSキャッシュサーバを介して該当ドメインネームの情報を保持するDNS権威サーバがSIG(0) リソースレコ−ドを検証し、その結果である該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報をDNSキャッシュサーバに保持させ、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する構成である。
【0008】
第1の発明のDNSにおいて、DNS権威サーバは、DNSキャッシュサーバの公開鍵署名を用いることでDNSキャッシュサーバの正当性を検証する構成である。
【0009】
第2の発明は、ユーザ端末からドメインネームの情報の問い合わせを受けたDNSキャッシュサーバが、該当ドメインネームの情報を保持する場合はその保持情報をユーザ端末に応答し、該当ドメインネームの情報を保持しない場合はDNS権威サーバに再帰問い合わせを実施し、該当ドメインネームの情報を保持するDNS権威サーバから該当ドメインネームの情報を取得したときに保持するとともに該当ドメインネームの情報をユーザ端末に応答するDNSアクセス制御方法において、ユーザ端末がSIG(0) リソースレコード付きの問い合わせを行ったときに、DNSキャッシュサーバを介して該当ドメインネームの情報を保持するDNS権威サーバがSIG(0) リソースレコ−ドを検証し、その結果である該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報をDNSキャッシュサーバに保持させ、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する。
【0010】
第2の発明のDNSアクセス制御方法において、DNSキャッシュサーバは、ユーザ端末からSIG(0) リソースレコード付きの問い合わせを受けたときに、DNS権威サーバにSIG(0) リソースレコード無しの再帰問い合わせを行い、該当するドメインネームの情報を保持するDNS権威サーバからSIG(0) リソースレコード無しによるエラーメッセージを受けたときに、ユーザ端末から送付されたドメインネームの情報の問い合わせとSIG(0) リソースレコードを載せたメッセージを当該DNS権威サーバへ送信し、メッセージを受信したDNS権威サーバは、SIG(0) リソースレコ−ドを用いて当該メッセージの正当性を検証し、検証の結果問題がなければ、DNSキャッシュサーバに対して該当ドメインネームの情報と、SIG(0) の検証に用いた鍵情報を送信し、検証の結果問題があればエラーメッセージを送信し、DNSキャッシュサーバは、受信した該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報を保持するとともに、ユーザ端末に該当ドメインネームの情報を応答し、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する。
【0011】
第2の発明のDNSアクセス制御方法において、DNS権威サーバは、DNSキャッシュサーバの公開鍵署名を用いることでDNSキャッシュサーバの正当性を検証する。
【発明の効果】
【0012】
本発明は、DNSキャッシュサーバとDNS権威サーバが連携し、DNS権威サーバでSIG(0) の検証に用いた鍵情報をDNSキャッシュサーバが保持することにより、SIG(0) 利用時に直接DNS権威サーバに問い合わせすることなく検証が可能となり、DNS権威サーバの負荷の軽減を図りながら、SIG(0) に対応したアクセス制御を実現することができる。
【図面の簡単な説明】
【0013】
【図1】本発明のDNSの構成例を示す図である。
【図2】本発明のDNSアクセス制御方法の処理フローを示す図である。
【発明を実施するための形態】
【0014】
図1は、本発明のDNSの構成例を示す。
図1において、ユーザ端末11は、インターネットを介してDNSキャッシュサーバ12へアクセスし、ドメインネームの情報(リソースレコード)の問い合わせを実施する機能を有する。DNSキャッシュサーバ12は、ユーザ端末11からの問い合わせ先となり、ドメインネームの情報が見つかるまでDNS権威サーバ13−1〜13−3に反復して問い合わせ(再帰問い合わせ)を行うフルサービスリゾルバ機能を有する。DNS権威サーバ13−1〜13−3は、ドメインネームの情報の原本を保持し、DNSキャッシュサーバ12からの問い合わせに対する応答機能を有する。DNSキャッシュサーバ12とDNS権威サーバ13−1〜13−3が連携し、SIG(0) に対応したアクセス制御を実現する機能については以下に説明する。
【0015】
図2は、本発明のDNSアクセス制御方法の処理フローを示す。
まず、ユーザ端末11はDNSキャッシュサーバ12に対し、SIG(0) リソースレコード付きの問い合わせを実施する。本問い合わせを受信したDNSキャッシュサーバ12は、該当するドメインネームの情報を保持するDNS権威サーバを探すため、DNS権威サーバ13−1〜13−3に再帰問い合わせを実施する。この問い合わせの際はSIG(0) リソースレコードを付けないものとする。再帰問い合わせの結果、該当ドメインネームの情報を保持するDNS権威サーバ(.hoge.co.jp) 13−3が判明する。しかし、DNS権威サーバ13−3への問い合わせはSIG(0) リソースレコード無しのため、エラーメッセージがDNS権威サーバ13−3からDNSキャッシュサーバ12に対して送付される。
【0016】
本エラーメッセージを取得したDNSキャッシュサーバ12は、SIG(0) の署名を有効にするために、ユーザ端末11から送付されたドメインネームの情報(リソースレコードの問い合わせおよびSIG(0) リソースレコードに手を加えずに、DNS権威サーバ13−3への問い合わせメッセージの中に入れ、DNS権威サーバ13−3に対して問い合わせを実施する。
【0017】
本問い合わせを受信したDNS権威サーバ13−3は、SIG(0) リソースレコードの検証を実施し、検証の結果問題がなければ、DNSキャッシュサーバ12に問い合わせに対応したリソースレコード(ドメインネームの情報)、およびSIG(0) の検証に用いた公開鍵をDNSキャッシュサーバ12に応答する。一方、検証の結果問題があれば、DNSキャッシュサーバ12にエラーメッセージを応答する。
【0018】
前記リソースレコードおよび公開鍵を受信したDNSキャッシュサーバ12は、受信したドメインネームの情報および公開鍵をキャッシュするとともに、ドメインネームの情報をユーザ端末11に応答し、問い合わせ処理を完了する。
【0019】
以降、DNSキャッシュサーバ12は、ユーザ端末11からSIG(0) リソースレコード付きの問い合わせが来た際は、保持している公開鍵を用いて検証を実施し、DNS権威サーバ13−1〜13−3への問い合わせを実施しない形で問い合わせの検証が可能となる。
【0020】
ここで、DNS権威サーバ13−3から公開鍵を渡されるDNSキャッシュサーバ12の正当性の保証は、以下のようにDNSキャッシュサーバ12の公開鍵署名を用いる方法で対処する。まず、DNSキャッシュサーバ12はDNS権威サーバ13−1〜13−3に対し、事前にDNSキャッシュサーバ12の公開鍵を登録しておく。次に、DNSキャッシュサーバ12から上記の例ではDNS権威サーバ13−3へのドメイン情報問い合わせ時に、DNSキャッシュサーバ12の秘密鍵を用いて問い合わせメッセージの署名を生成し、問い合わせメッセージと一緒に署名をDNS権威サーバ13−3に送付することで問い合わせ元のDNSキャッシュサーバ12の正当性を検証可能となる。
【符号の説明】
【0021】
11 ユーザ端末
12 DNSキャッシュサーバ
13−1〜13−3 DNS権威サーバ
【特許請求の範囲】
【請求項1】
ユーザ端末からドメインネームの情報の問い合わせを受けたDNSキャッシュサーバが、該当ドメインネームの情報を保持する場合はその保持情報をユーザ端末に応答し、該当ドメインネームの情報を保持しない場合はDNS権威サーバに再帰問い合わせを実施し、該当ドメインネームの情報を保持するDNS権威サーバから該当ドメインネームの情報を取得したときに保持するとともに該当ドメインネームの情報をユーザ端末に応答するDNSにおいて、
前記ユーザ端末がSIG(0) リソースレコード付きの問い合わせを行ったときに、前記DNSキャッシュサーバを介して該当ドメインネームの情報を保持するDNS権威サーバが前記SIG(0) リソースレコ−ドを検証し、その結果である該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報を前記DNSキャッシュサーバに保持させ、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する構成である
ことを特徴とするDNS。
【請求項2】
請求項1に記載のDNSにおいて、
前記DNS権威サーバは、前記DNSキャッシュサーバの公開鍵署名を用いることで前記DNSキャッシュサーバの正当性を検証する構成である
ことを特徴とするDNS。
【請求項3】
ユーザ端末からドメインネームの情報の問い合わせを受けたDNSキャッシュサーバが、該当ドメインネームの情報を保持する場合はその保持情報をユーザ端末に応答し、該当ドメインネームの情報を保持しない場合はDNS権威サーバに再帰問い合わせを実施し、該当ドメインネームの情報を保持するDNS権威サーバから該当ドメインネームの情報を取得したときに保持するとともに該当ドメインネームの情報をユーザ端末に応答するDNSアクセス制御方法において、
前記ユーザ端末がSIG(0) リソースレコード付きの問い合わせを行ったときに、前記DNSキャッシュサーバを介して該当ドメインネームの情報を保持するDNS権威サーバが前記SIG(0) リソースレコ−ドを検証し、その結果である該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報を前記DNSキャッシュサーバに保持させ、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する
ことを特徴とするDNSアクセス制御方法。
【請求項4】
請求項3に記載のDNSアクセス制御方法において、
前記DNSキャッシュサーバは、前記ユーザ端末からSIG(0) リソースレコード付きの問い合わせを受けたときに、前記DNS権威サーバにSIG(0) リソースレコード無しの再帰問い合わせを行い、該当するドメインネームの情報を保持するDNS権威サーバからSIG(0) リソースレコード無しによるエラーメッセージを受けたときに、前記ユーザ端末から送付されたドメインネームの情報の問い合わせとSIG(0) リソースレコードを載せたメッセージを当該DNS権威サーバへ送信し、
前記メッセージを受信したDNS権威サーバは、前記SIG(0) リソースレコ−ドを用いて当該メッセージの正当性を検証し、検証の結果問題がなければ、前記DNSキャッシュサーバに対して該当ドメインネームの情報と、SIG(0) の検証に用いた鍵情報を送信し、検証の結果問題があればエラーメッセージを送信し、
前記DNSキャッシュサーバは、受信した該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報を保持するとともに、前記ユーザ端末に該当ドメインネームの情報を応答し、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する
ことを特徴とするDNSアクセス制御方法。
【請求項5】
請求項3に記載のDNSアクセス制御方法において、
前記DNS権威サーバは、前記DNSキャッシュサーバの公開鍵署名を用いることで前記DNSキャッシュサーバの正当性を検証する
ことを特徴とするDNSアクセス制御方法。
【請求項1】
ユーザ端末からドメインネームの情報の問い合わせを受けたDNSキャッシュサーバが、該当ドメインネームの情報を保持する場合はその保持情報をユーザ端末に応答し、該当ドメインネームの情報を保持しない場合はDNS権威サーバに再帰問い合わせを実施し、該当ドメインネームの情報を保持するDNS権威サーバから該当ドメインネームの情報を取得したときに保持するとともに該当ドメインネームの情報をユーザ端末に応答するDNSにおいて、
前記ユーザ端末がSIG(0) リソースレコード付きの問い合わせを行ったときに、前記DNSキャッシュサーバを介して該当ドメインネームの情報を保持するDNS権威サーバが前記SIG(0) リソースレコ−ドを検証し、その結果である該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報を前記DNSキャッシュサーバに保持させ、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する構成である
ことを特徴とするDNS。
【請求項2】
請求項1に記載のDNSにおいて、
前記DNS権威サーバは、前記DNSキャッシュサーバの公開鍵署名を用いることで前記DNSキャッシュサーバの正当性を検証する構成である
ことを特徴とするDNS。
【請求項3】
ユーザ端末からドメインネームの情報の問い合わせを受けたDNSキャッシュサーバが、該当ドメインネームの情報を保持する場合はその保持情報をユーザ端末に応答し、該当ドメインネームの情報を保持しない場合はDNS権威サーバに再帰問い合わせを実施し、該当ドメインネームの情報を保持するDNS権威サーバから該当ドメインネームの情報を取得したときに保持するとともに該当ドメインネームの情報をユーザ端末に応答するDNSアクセス制御方法において、
前記ユーザ端末がSIG(0) リソースレコード付きの問い合わせを行ったときに、前記DNSキャッシュサーバを介して該当ドメインネームの情報を保持するDNS権威サーバが前記SIG(0) リソースレコ−ドを検証し、その結果である該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報を前記DNSキャッシュサーバに保持させ、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する
ことを特徴とするDNSアクセス制御方法。
【請求項4】
請求項3に記載のDNSアクセス制御方法において、
前記DNSキャッシュサーバは、前記ユーザ端末からSIG(0) リソースレコード付きの問い合わせを受けたときに、前記DNS権威サーバにSIG(0) リソースレコード無しの再帰問い合わせを行い、該当するドメインネームの情報を保持するDNS権威サーバからSIG(0) リソースレコード無しによるエラーメッセージを受けたときに、前記ユーザ端末から送付されたドメインネームの情報の問い合わせとSIG(0) リソースレコードを載せたメッセージを当該DNS権威サーバへ送信し、
前記メッセージを受信したDNS権威サーバは、前記SIG(0) リソースレコ−ドを用いて当該メッセージの正当性を検証し、検証の結果問題がなければ、前記DNSキャッシュサーバに対して該当ドメインネームの情報と、SIG(0) の検証に用いた鍵情報を送信し、検証の結果問題があればエラーメッセージを送信し、
前記DNSキャッシュサーバは、受信した該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報を保持するとともに、前記ユーザ端末に該当ドメインネームの情報を応答し、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する
ことを特徴とするDNSアクセス制御方法。
【請求項5】
請求項3に記載のDNSアクセス制御方法において、
前記DNS権威サーバは、前記DNSキャッシュサーバの公開鍵署名を用いることで前記DNSキャッシュサーバの正当性を検証する
ことを特徴とするDNSアクセス制御方法。
【図1】
【図2】
【図2】
【公開番号】特開2012−231284(P2012−231284A)
【公開日】平成24年11月22日(2012.11.22)
【国際特許分類】
【出願番号】特願2011−98130(P2011−98130)
【出願日】平成23年4月26日(2011.4.26)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り 平成22年11月11日 社団法人電子情報通信学会発行の「電子情報通信学会技術研究報告 信学技報 Vol.110 No.289」に発表
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成24年11月22日(2012.11.22)
【国際特許分類】
【出願日】平成23年4月26日(2011.4.26)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り 平成22年11月11日 社団法人電子情報通信学会発行の「電子情報通信学会技術研究報告 信学技報 Vol.110 No.289」に発表
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]