JP2000349747A - 公開鍵管理方法 - Google Patents

公開鍵管理方法

Info

Publication number
JP2000349747A
JP2000349747A JP15532299A JP15532299A JP2000349747A JP 2000349747 A JP2000349747 A JP 2000349747A JP 15532299 A JP15532299 A JP 15532299A JP 15532299 A JP15532299 A JP 15532299A JP 2000349747 A JP2000349747 A JP 2000349747A
Authority
JP
Japan
Prior art keywords
public key
host
domain name
kms
dns
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP15532299A
Other languages
English (en)
Inventor
Atsushi Maeda
篤志 前田
Ken Watabe
謙 渡部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP15532299A priority Critical patent/JP2000349747A/ja
Priority to US09/585,358 priority patent/US6928167B1/en
Publication of JP2000349747A publication Critical patent/JP2000349747A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】 セキュリティ通信を行おうとする2つのホス
トが通信開始前にお互いの公開鍵を自動的かつ安全に得
ることを可能にした公開鍵管理方法。 【解決手段】 階層構造のドメイン名の構成を持ち、そ
のドメイン名とアドレスとの対応を管理するDNSサー
バが階層毎にあるネットワークにおいて、公開鍵を管理
するモジュールとネットワークに属するホストの公開鍵
とドメイン名との対応を示すデータベースを各DNSサ
ーバに設ける。2つのホストがセキュリティ通信を開始
するとき、一方のホストが前述の機能拡張したDNSか
ら通信相手のホストの公開鍵を自動的に取得する。この
とき、公開鍵問い合わせパケットの中にホストが信用す
るDNSサーバの名前を入れさせ、このホストが指定す
るDNSサーバが、公開鍵応答パケットに電子署名を付
ける。ホストは、この電子署名により公開鍵応答パケッ
トにある公開鍵が信用できるかどうかを判定することが
でき、不正なホストが通信相手になりすますのを防止す
る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、公開鍵の管理方法
に係り、特に、ネットワークにおけるセキュリティ技術
に使用される公開鍵暗号システムに使用して好適な公開
鍵の管理方法に関する。
【0002】
【従来の技術】インターネットを使用してセキュリティ
通信を実現する方法として、例えば、IPレイヤのセキ
ュリティプロトコルであるIPSEC(IP SECurity)が
知られており、IPSECに関する技術文献として、例
えば、“[RFC1825] SecurityArchitecture for the I
nternet Protocol. 著者:R.Atkinson 発行:IETF”等
が知られている。
【0003】IPSECに付随する鍵管理プロトコル
は、公開鍵暗号システムを利用するものであり、鍵管理
プロトコルに関する従来技術として、例えば“Simple K
ey-Management For Internet Protocol. 著者:Ashar A
ziz, Tom Markson, Hemma Prafullchandra 発行:IET
F”等に記載されたSKIPと呼ばれる技術が知られて
いる。以下、この鍵管理プロトコルについて説明する。
【0004】いま、ネットワーク内にセキュリティ通信
を行う2つのホストA、Bがあり、これらのホストA、
Bは、IPSECに基づいた共通鍵暗号システムによっ
て暗号通信を行うものとし、ホストAは、ホストBの公
開鍵を、ホストBは、ホストAの公開鍵を知っているも
のとする。
【0005】ホストAとBとは、通信を行うに際して、
既知のアルゴリズムを用いて、それぞれ自らの秘密鍵と
相手の公開鍵とを組み合わせて共通鍵を暗号化するため
の鍵K(A)、K(B)を生成する。ここで、例えば、ホス
トAがホストBにデータを送信するとき、ホストAは、
共通鍵Tを生成し、それを用いてデータを暗号化し、鍵
K(A)を用いて共通鍵Tを暗号化する。ホストAは、暗
号化された共通鍵Tの情報を含む新たなヘッダをIPヘ
ッダの後に挿入する。受信側のホストBは、自らが持つ
秘密鍵によって、パケットの中にある暗号化された共通
鍵Tを解読し、解読した共通鍵Tによって暗号化された
パケットのデータを解読する。そして、このようなホス
トA、B間のセキュリティ通信において、データを暗号
化するための共通鍵は、定期的に更新される。
【0006】前述したようなIPSECに付随する従来
技術による鍵管理プロトコルは、セキュリティ通信を行
う2つのホストが通信開始前に互いに相手の公開鍵を知
っていることが前提とされている。
【0007】
【発明が解決しようとする課題】前述した従来技術によ
る方法は、セキュリティ通信を行おうとする2つのホス
トが、通信開始前にお互いの公開鍵を自動的かつ安全に
交換する方法がなく、その結果、手渡しによる公開鍵の
交換等の方法に頼ることになり、公開鍵の管理が複雑に
なっているという問題点を有している。また、この結
果、前述の従来技術は、ネットワークの規模が大きい場
合、ネットワークの管理者に対する負担が大きくなると
いう問題点を生じさせている。
【0008】さらに、前述の従来技術は、ネットワーク
上の認証を伴わない公開鍵の配布を行った場合、不正な
ホストがセキュリティ通信の相手になりすますことを防
ぐことができないという問題点をも有している。
【0009】本発明の目的は、前述した従来技術の問題
点を解決し、セキュリティ通信を行おうとする2つのホ
ストが通信開始前にお互いの公開鍵を自動的かつ安全に
交換することを可能にした公開鍵の管理方法を提供する
ことにある。
【0010】
【課題を解決するための手段】本発明によれば前記目的
は、階層構造を持ち、各階層毎にドメイン名を持つネッ
トワークと、そのドメイン名とアドレスとの対応を管理
する前記各階層毎に設けられるDNSサーバと、ネット
ワークに収容されるホストとを備え、前記DNSサーバ
が、ネットワークに属するホストに対して他のホストが
持つ公開鍵を配布する公開鍵管理方法において、前記D
NSサーバが、公開鍵を管理する手段と、前記ネットワ
ークに属するホストの公開鍵とドメイン名とを対応付け
て格納したデータベースとを持ち、第1のホストからの
ドメイン名の情報による第2のホストの公開鍵の問い合
わせを受けたとき、前記公開鍵管理手段が前記データベ
ースを参照することにより、前記ドメイン名に対応する
第2のホストの公開鍵の情報を前記第1のホストに応答
することにより達成される。
【0011】また、前記目的は、前記DNSサーバが、
第1のホストから第2のホストの公開鍵の問い合わせを
受けたとき、自サーバ内の前記データベースの中に問い
合わせのドメイン名に対応するエントリがない場合、他
の公開鍵管理手段とデータベースとを備えた他のDNS
サーバに公開鍵の解決をドメイン名の階層に沿って再帰
的に委託することにより達成される。
【0012】さらに、前記目的は、前記ホストが、前記
DNSサーバに他のホストの公開鍵を問い合わせる手段
を備え、セキュリティ通信開始時、前記公開鍵問い合わ
せ手段に通信相手となるホストのドメイン名に対応する
公開鍵を前記DNSサーバに問い合わせることにより達
成される。
【0013】本発明の目的は、前述の手段を持つ構成以
外に、さらに、次に示すような手段を備えることによっ
ても達成することができる。
【0014】すなわち、前記目的は、ネットワークの構
成に変更が生じた場合、構成の変化に関係する一部のD
NSサーバが、ホストの公開鍵とドメイン名のと対応を
格納しているデータベースを更新し、前記以外のDNS
サーバがデータベースの更新を行わないようにすること
により達成される。
【0015】また、前記目的は、前記公開鍵管理手段と
データベースとを備えたDNSサーバと、前記公開鍵を
問い合わせる手段を備えたホストとに電子署名を処理す
る手段を設け、公開鍵問い合わせ及び応答のために出力
するパケットに電子署名を付け、電子署名の付いた入力
パケットについて、その電子署名を確認し、改竄されて
いる入力パケットを廃棄することにより、パケットの内
容が改竄されるのを防止するようにすることにより達成
される。
【0016】また、前記目的は、公開鍵問い合わせ及び
応答のために上記公開鍵管理手段とデータベースとを備
えたDNSサーバと、前記公開鍵を問い合わせる手段を
備えたホストとが、入出力するパケットとして、従来の
DNSパケットと同じフォーマットのパケットを用いる
ことにより達成される。
【0017】また、前記目的は、前記DNSサーバに対
してホストが送信する公開鍵問い合わせパケットの中に
ホストが信用するDNSサーバのドメイン名の情報を含
め、公開鍵の情報を応答する前に、前記DNSサーバの
公開鍵管理手段に、公開鍵問い合わせパケットの中で示
されるホストが信用するDNSサーバに対して電子署名
を要求させ、電子署名の要求を受けたDNSサーバの公
開鍵管理手段に、公開鍵応答パケットに電子署名を付け
させ、その電子署名により公開鍵応答パケットに含まれ
る公開鍵の情報が信用できるか否かを前記ホストの電子
署名を処理する手段に判定させ、これにより、不正なホ
ストが自分の公開鍵とアドレスとを公開鍵問い合わせパ
ケットの中にある問い合わせドメイン名に対応している
ように見せかけることを防止するようにしたことにより
達成される。
【0018】また、前記目的は、電子署名の要求を受け
たDNSサーバが公開鍵問い合わせパケットの中で示さ
れるホストが信用するDNSサーバと異なるとき該DN
Sサーバの公開鍵管理手段は、ドメイン名の階層構造に
沿って、上位のDNSサーバに公開鍵応答パケットに対
する電子署名を要求し、最終的には公開鍵問い合わせパ
ケットの中で示されるホストが信用するDNSサーバに
公開鍵応答パケットに電子署名を付けさせることにより
達成される。
【0019】また、前記目的は、前記ホストの公開鍵問
い合わせ手段に、問い合わせるドメイン名に従って信用
するDNSサーバを選択させ、公開鍵問い合わせパケッ
トの中に該DNSサーバのドメイン名の情報を含め、公
開鍵応答パケットに電子署名を付ける処理を行うDNS
サーバの数を減らすことにより公開鍵の取得を効率的な
ものとすることにより達成される。
【0020】また、前記目的は、電子署名付きの公開鍵
の応答を受けたDNSサーバの公開鍵管理手段に、電子
署名付きの公開鍵の応答パケットに含まれる公開鍵、電
子署名及び電子署名をしたサーバのドメイン名の情報を
キャッシングさせ、ネットワーク及びサーバに無駄な負
荷がかかることを防止し、公開鍵の取得を効率化するよ
うにしたことにより達成される。
【0021】前述において、ネットワークのドメイン名
とアドレスとの対応を解決する手段であるDNSは、D
NSを実現するための装置であるDNSサーバの機能を
拡張し、ドメイン名と公開鍵との対応を解決する手段を
提供する。DNSの実現方法は、例えば、“文献:[RF
C1035] Domain Names - Implementation and Specific
ations 著者:P. Mockapetris 発行:IETF”等に説明さ
れている。
【0022】本発明により公開鍵を管理する手段と、ネ
ットワークに属するホストの公開鍵とドメイン名とを対
応付けて格納されたデータベースとを有する機能拡張さ
れたDNSサーバは、ホストからドメイン名の情報によ
って公開鍵の問い合わせを受けたとき、前記の公開鍵を
管理する手段が前記データベースを参照することによ
り、問い合わせのドメイン名に対応する公開鍵をホスト
に応答することができる。これにより、本発明は、ネッ
トワーク上の2つのホストがセキュリティ通信を開始す
るとき、通信相手のホストのドメイン名に対応する公開
鍵を自動的に取得させ、ネットワークにおける公開鍵の
管理を容易とすることができる。
【0023】また、本発明は、公開鍵問い合わせパケッ
トの中にホストが信用するDNSサーバの名前を入れさ
せ、このホストが信用するDNSサーバによって公開鍵
応答パケットに電子署名を付けさせているので、公開鍵
応答パケットにある公開鍵が信用できるか否かをホスト
が判定することができ、不正なホストが自分の公開鍵と
アドレスが問い合わせのあったドメイン名に対応してい
るように見せかけることでセキュリティ通信の相手にな
りすますことを防止することができる。このとき、公開
鍵を取得するためにやり取りする全てのパケットに対し
て、前述した機能拡張したDNSサーバに電子署名を付
けさせることにより、パケットの内容の改竄を防止する
ことができる。
【0024】
【発明の実施の形態】以下、本発明による公開鍵の管理
方法の実施形態を図面により説明する。
【0025】図1はDNSサーバを機能拡張したサーバ
であるKMS(Key Management Server)の構成を示す
ブロック図、図2は拡張したDNSクライアントの機能
を持つホストの構成を示すブロック図、図3は公開鍵と
ドメイン名との対応を説明するテーブルの構成を示す
図、図4はDNSサーバが公開鍵の問い合わせを受けた
ときに公開鍵を応答する手順を説明するフローチャー
ト、図5はDNSサーバが電子署名の要求を受けたとき
に公開鍵応答パケットに電子署名を付与する手順を説明
するフローチャート、図6はDNSクライアントの機能
を持つホストが通信相手の公開鍵を取得する手順を説明
するフローチャート、図7は本発明を階層的なドメイン
名の構造を持つネットワークに適用した場合の実施形態
を示すブロック図、図8はホストが通信相手の公開鍵の
取得ために行う手順の中で、ホスト・KMS間及びKM
S・KMS間でやり取りするパケットの種類とそれらに
付与される電子署名を説明する図、図9はDNSパケッ
トのフォーマットの構成を説明する図、図10はDNS
パケットに含まれる資源レコードのフォーマットの構成
を説明する図である。図1、図2、図7、図8におい
て、10はKMS、11、21はネットワーク制御部、
12、22はIP処理部、13、23はTCP/UDP
処理部、14は拡張DNS処理部、15はドメイン名/
IPアドレステーブル、16、25はドメイン名・公開
鍵・電子署名テーブル、17、26は初期保持データ、
24は拡張DNSクライアント、27はセキュリティ通
信処理部、101はネットワーク、141、241はD
NSパケット振り分け部、142はDNS処理部、14
3は公開鍵問い合わせ/応答処理部、144は電子署名
処理部、242はドメイン名リゾルバ、243は公開鍵
問い合わせ処理部、244は電子署名処理部、71、7
5はホストA、B、72〜74、76はKMSである。
【0026】まず最初に、本発明が適用されるネットワ
ークシステム全体の構成及び処理の流れについて図7を
参照して説明する。
【0027】図7に示すネットワークシステムは、ネッ
トワークが階層構造を持ち、各階層毎にドメイン名が与
えられており、ドメインを持つネットワークの各階層が
1つのKMSを持つように構成されている。ここで、ホ
ストA71がホストB75の公開鍵を取得する場合につ
いて考える。この場合、ホストA71は、同一のドメイ
ンの階層にあるKMS“1”72に対してホストB75
の公開鍵を問い合わせる。このとき、単にホストB75
の公開鍵のデータを受け取るのみでは不正な他のホスト
がホストB75に成りすますのを防ぐことができないの
で、ホストA71は、信用することができるKMSの電
子署名も要求する。今の場合、ホストA71が信用する
KMSはKMS“00”74であるとする。また、KM
S“00”74の公開鍵は、ホストA71のみならず一
般に広く知られ、認証されているものとする。
【0028】KMS“1”72は、ホストA71からの
ホストB75の公開鍵のデータの要求に対して、ホスト
B75の公開鍵のデータを持ってない場合、上位のKM
S“0”73に問い合わせるが、持っている場合、ホス
トA71が信用しているKMS“00”74にホストB
75の公開鍵のデータに電子署名を付けるように要求す
る。また、KMS“1”72は、ホストB75の公開鍵
のデータを持ってない場合、ホストB75の公開鍵のデ
ータを持っているKMSに行き会うまで再帰的に上位の
KMSに問い合わせを続ける。KMS“1”72からの
問い合わせを受けたホストB75の公開鍵のデータを持
っているKMSは、KMS“00”74に電子署名を要
求する。
【0029】電子署名を付けるように要求されたKMS
“00”74は、自らの電子署名を付けたホストB75
の公開鍵のデータをKMS“1”72に返す。KMS
“1”72は、ホストB75の公開鍵のデータをホスト
A71に返す。この場合、ホストA71は、元々KMS
“00”74の公開鍵を知っているためそれが信用でき
るデータか否かを判断することができる。
【0030】前述した一連の処理によりホストA71
は、ホストB75の公開鍵を安全に取得することがで
き、これを使用して、ホストB75との間でセキュリテ
ィ通信を行うことができる。
【0031】次に、図9、図10を参照して、DNSパ
ケットのフォーマットの構成と、DNSパケットに含ま
れる資源レコードのフォーマットの構成とを説明する。
【0032】DNSパケットは、図9に示すように、D
NSヘッダ91、問い合わせ部92、回答部93、権限
付きネームサーバの名前を表す権威部94、複数の資源
レコードを含む付加情報部95から成る。また、図10
に示すように、DNSパケットに含まれる資源レコード
の1つであるTXTレコードは、名前フィールド10
1、TYPEフィールド102、CLASSフィールド
103、この資源レコードが捨てられずにキャッシュさ
れている時間間隔を示すTTLフィールド104、デー
タ長フィールド105、データフィールド106からな
る。
【0033】複数の資源レコードとしては、TYPEに
より識別される複数のものがあり、本発明の実施形態
は、複数あるDNS資源レコードの内TXTレコードと
呼ばれるTYPE=16の資源レコードに、公開鍵問い
合わせ情報及び公開鍵応答情報を入れることとする。ま
た、本発明の実施形態は、公開鍵問い合わせ情報及び公
開鍵応答情報を入れる資源レコードのデータフィールド
106の先頭に公開鍵問い合わせ/応答、電子署名要
求、または、通常のTXTレコードの区別がつくような
識別子1061のフィールドを設けている。
【0034】なお、TXTレコードについては、前掲の
DNSに関する文献の中に説明がある。また、資源レコ
ードとして、前述したTXTレコードの他に、アドレス
とドメイン名との対応を示すAレコード(TYPE=
1)、メール・エクスチェンジャのドメイン名を示すM
Xレコード(TYPE=15)等がある。
【0035】次に、図1を参照して、本発明の実施形態
によるサーバであるKMSの構成を説明する。図1にお
いて、各ブロックを結ぶ実線はパケットの受け渡しを行
う関係を示し、破線はデータの参照を行うことを示す。
【0036】KMS10は、ネットワーク制御部11
と、IP処理部12と、TCP/UDP処理部13と、
拡張DNS処理部14と、ドメイン名/IPアドレステ
ーブル15と、ドメイン名・公開鍵・電子署名テーブル
16と、初期保持データ17とを備えて構成され、ネッ
トワーク制御部11を介してネットワーク101に接続
されている。また、拡張DNS処理部14は、DNSパ
ケット振り分け部141と、DNS処理部142と、公
開鍵問い合わせ/応答処理部143と、電子署名処理部
144とを備えて構成されている。
【0037】前述において、ネットワーク制御部11
は、KMS10とIPネットワーク101とを接続して
いる。IP処理部12は、ネットワーク制御部11の上
位にあって、IP(Internet Protocol) によってやり取
りされるパケットの送受信処理を行う。TCP/UDP
処理部13は、IP処理部12の上位にあって、TCP
/UDP(Transmission Control Protocol/User Datag
ram Protocol) によってやり取りされるパケットの送受
信処理を行う。ここで、特に、TCP/UDP処理部1
3は、DNSに割り当てられたソケット番号を持つパケ
ットを受信したとき、そのパケットを拡張DNS処理部
14に送る。逆に、拡張DNS処理部14は、自ら生成
したパケットを送信するとき、その送信すべきパケット
をTCP/UDP処理部13に送る。
【0038】拡張DNS処理部14におけるDNSパケ
ット振り分け部141は、TCP/UDP処理部13か
らDNSパケットを受け取り、図10に示す識別子10
61を見てDNS処理部142、公開鍵問い合わせ/応
答処理部143、電子署名処理部144の3つの内のど
れかにDNSパケットを振り分ける。DNS処理部14
2は、TCP/UDP処理部13からの従来のDNSパ
ケットを受け取り、ドメイン名とIPアドレスとが対応
づけて格納さているデータベースであるドメイン名・I
Pアドレステーブル15の検索またはエントリの追加を
行う。公開鍵問い合わせ/応答処理部143は、他のK
MSからの公開鍵の問い合わせを拡張DNSパケットの
形でTCP/UDP処理部13から受け取ったとき、問
い合わせのあったドメイン名の公開鍵を取得するために
ドメイン名と公開鍵とが対応づけて格納されたドメイン
名・公開鍵・電子署名テーブル16を検索する。
【0039】ドメイン名・公開鍵・電子署名テーブル1
6は、図3に示すように、ドメイン名31、公開鍵3
2、ホストが信用するKMSが付けた電子署名33、電
子署名を付けたKMS名34、エントリの生成時点を示
すタイムスタンプ35の5つの項目から成る。公開鍵問
い合わせ/応答処理部143は、もし、ドメイン名・公
開鍵・電子署名テーブル16にエントリがあれば、問い
合わせの要求に従って他のKMSへ電子署名の要求を出
すか、または、電子署名処理部144によって公開鍵の
応答パケットに電子署名を付ける処理を行う。また、公
開鍵問い合わせ/応答処理部143は、ドメイン名・公
開鍵・電子署名テーブル16にエントリがないとき、他
のKMSに対して、問い合わせのあったドメイン名の公
開鍵を問い合わせるパケットをTCP/UDP処理部1
3を通して送信する。電子署名処理部144は、他のK
MSからの電子署名要求を拡張DNSパケットの形でT
CP/UDP処理部13から受け取ったとき、問い合わ
せの要求に従って他のKMSへ電子署名の要求を出す
か、または、公開鍵応答パケットに電子署名を付ける処
理を行う。
【0040】また、KMS10は、初期保持データ17
を持つ。初期保持データ17は、自分のドメイン名・公
開鍵171、DNSの親子関係において上位のKMSの
ドメイン名172、DNSの親子関係において下位にあ
るものの中で信用するKMSのドメイン名・公開鍵17
3から成る。KMS10は、他のKMSに公開鍵を問い
合わせに行くときにこれらのデータを利用する。
【0041】次に、図2を参照して本発明により拡張し
たDNSクライアントの機能を持つホストの構成を説明
する。
【0042】ホスト20は、ネットワーク制御部21
と、IP処理部22と、TCP/UDP処理部23と、
拡張DNSクライアント24と、ドメイン名・公開鍵・
電子署名テーブル25と、初期保持データ26と、セキ
ュリティ通信処理部27とを備えて構成され、ネットワ
ーク制御部11を介してIPネットワーク101に接続
されている。また、拡張DNSクライアント24は、D
NSパケット振り分け部241と、ドメイン名リゾルバ
242と、公開鍵問い合わせ処理部243と、電子署名
確認部244とを備えて構成されている。
【0043】前述において、ホスト20は、KMSと同
様に、ネットワーク制御部21、IP処理部22、TC
P/UDP処理部23を持ち、IPネットワーク201
に接続されている。TCP/UDP処理部23は、DN
Sに割り当てられたソケット番号を持つパケットを受信
したとき、そのパケットを拡張DNSクライアント24
に送る。逆に、拡張DNSクライアント24は、自ら生
成したパケットを送信するとき、そのパケットをTCP
/UDP処理部23に送る。
【0044】拡張DNSクライアント24内のDNSパ
ケット振り分け部241は、TCP/UDP処理部23
からDNSパケットを受け取り、DNSヘッダの中身を
見てドメイン名リゾルバ242、公開鍵問い合わせ処理
部243のいずれかに処理を振り分ける。ドメイン名リ
ゾルバ242は、従来のDNSクライアントと同様に、
ドメイン名に対応するIPアドレスを解決する処理を行
う。そして、ドメイン名に対応するIPアドレスを問い
合わせる際、ドメイン名リゾルバ242は、TCP/U
DP処理部23を通して問い合わせパケットを送信す
る。ドメイン名リゾルバ242は、問い合わせに対する
応答もTCP/UDP処理部23を通して受信する。
【0045】本発明により新たに付加したモジュールで
ある公開鍵問い合わせ処理部243は、ドメイン名に対
応する公開鍵を解決する処理を行う。公開鍵問い合わせ
処理部243は、新規に得た公開鍵の情報をドメイン名
・公開鍵・電子署名テーブル25に保存し、次回に公開
鍵を問い合わせに行く前に参照する。電子署名確認部2
44は、公開鍵問い合わせ処理部243が受け取った公
開鍵の情報について、初期保持データ26内の信用する
KMSのドメイン名・公開鍵263を参照して、公開鍵
の情報に付いている電子署名が信用するKMSのものか
否かを判定し、公開鍵の情報が信用できるか否かを確認
する。
【0046】公開鍵問い合わせ処理部243は、信用す
るKMSのドメイン名・公開鍵263が複数ある場合
に、公開鍵を問い合わせるドメイン名に応じて信用する
KMSのドメイン名・公開鍵263の中から最適な信用
するKMSを選択する。ホスト20は、初期保持データ
26内に自分のドメイン名・公開鍵261と上位のKM
Sのドメイン名262とを持ち、公開鍵問い合わせ処理
部243は、公開鍵を問い合わせに行く際に自分のドメ
イン名・公開鍵261と上位のKMSのドメイン名26
2とを参照する。セキュリティ通信処理部27は、公開
鍵問い合わせ処理部243が取得した通信相手の公開鍵
に基づいて、従来の方法に従ってセキュリティ通信を行
う。
【0047】次に、図4に示すフロー、及び、ホスト・
KMS間及びKMS・KMS間でやり取りするパケット
の種類とそれらに付与される電子署名を示す図8を参照
して、本発明を階層的なドメイン名の構造を持つネット
ワークに適用した場合の図7に示すネットワークにおい
て、ホストが通信相手の公開鍵の取得ために行う手順に
ついて説明する。
【0048】図7において、KMS“0”73、KMS
“1”72、KMS“2”76、KMS“00”74
は、図1により説明した構成を持つKMSであり、ま
た、ホストA71、B75は、図2により説明した構成
の拡張したDNSクライアントの機能を持つホストであ
る。そして、KMS“00”74は、ドメイン名xxを
持つネットワーク701に接続され、KMS“0”73
は、ドメイン名a.xxを持つネットワーク702に接
続されている。また、ホストA71とKMS“1”72
とは、ドメイン名b.a.xxを持つネットワーク70
3に接続され、ホストB75とKMS“2”76とは、
ドメイン名c.a.xxを持つネットワーク704に接
続されている。
【0049】ドメイン名は、階層構造を成しており、各
KMSは、従来のDNSサーバの役割をも果たしてい
る。また、図8に示す例は、ホストB75の公開鍵の情
報をKMS“2”76のみが持っている場合の各KMS
の動作を示しており、また、図8に示す各矢印は、ホス
トA71がホストB75の公開鍵を取得する際に、ホス
トとKMSとの間やKMSとKMSとの間でやり取りす
るパケットやパケットに付加する電子署名の形態を示し
ている。パケットの種類は、公開鍵問い合わせ、電子署
名要求、公開鍵応答の3通りあり、電子署名の具体的な
内容は、図8の枠内の記号を用いて表しているように、
次のように定義されているものとする。
【0050】S(K,[a,b,c]):鍵Kによりメ
ッセージ[a,b,c]に電子署名を付与したもの D(X):Xのドメイン名 S(X):Xの公開鍵 T(X):Xの秘密鍵 IP(X):XのIPアドレス KMS(X):Xが電子署名を要求するKMS
【0051】以下、ホストA71が電子署名を要求する
KMSがKMS“00”74であるとして図4に示すフ
ローを説明する。
【0052】(1)まず、ホストAは、ホストB75の
公開鍵を問い合わせるパケットをKMS“1”72に送
信する。この公開鍵を問い合わせるパケットは、図8に
矢印81により示しているように、 S(T(A),[D(B),KMS(A),IP
(A),D(A)]) であり、これは、前述の定義から理解できるように、ホ
ストBのドメイン名、ホストAが電子署名を要求するK
MS、ホストAのIPアドレス、ホストAのドメイン名
よりなるメッセージに、ホストAの秘密鍵により電子署
名を行ったものである。KMS“1”72がホストA7
1からホストB75の公開鍵を問い合わせるパケットを
受けたとき、図1に示す電子署名処理部144は、パケ
ットに付いている電子署名を見る。電子署名処理部14
4は、ドメイン名・公開鍵・電子署名テーブル16から
ホストA71の公開鍵を取り出し、パケットの内容が改
竄されてないか否かをその公開鍵を使って判定する(ス
テップ41)。
【0053】(2)KMS“1”72は、ステップ41
の判定で、問い合わせパケットが改竄されていた場合、
そのパケットを廃棄して処理を終了し、問い合わせパケ
ットが改竄されていない場合、図1に示す公開鍵問い合
わせ/応答処理部143を動作させ、問い合わせのドメ
イン名についてドメイン名・公開鍵・電子署名テーブル
16にエントリがあるか否か検索する。ここで、タイム
スタンプも参照し、一定時間以上過ぎている場合、無効
なエントリと見做す(ステップ43、42)。
【0054】(3)ステップ42の判定で、ドメイン名
・公開鍵・電子署名テーブル16にエントリがなかった
とき、図7に示すKMS“1”72の公開鍵問い合わせ
/応答処理部143は、問い合わせのあったホストのド
メイン名と自分のドメイン名とについてそれぞれが属す
るネットワークの名前が一致するか否か判定する。例え
ば、図7において、問い合わせのホストがB75である
場合、B75の属するネットワークのドメイン名c.
a.xxとKMS“1”72の属するネットワークのド
メイン名b.a.xxは一致しない(ステップ44)。
【0055】(4)ステップ44の判定においてネット
ワークの名前が一致したとき、図7のKMS“1”72
は、ホストA71に対してホストBに対する公開鍵が未
解決であることを通知する(ステップ45)。
【0056】(5)ステップ44の判定においてネット
ワークの名前が一致しなかったとき、KMS“1”72
は、図1にける初期保持データ17内の上位のKMSの
ドメイン名172を参照して問い合わせ先を調べ、KM
S“0”73にホストB75の公開鍵を問い合わせる。
この場合の問い合わせパケットは、図8に矢印82によ
り示すように、 S(T(KMS1),[D(B),KMS(A),IP(KMS
1),D(KMS1)]) であり、ホストB75のドメイン名、ホストA71が電
子署名を要求するKMSのドメイン名、KMS“1”7
2のIPアドレス及びKMS“1”72のドメイン名を
メッセージとし、KMS“1”72の秘密鍵を電子署名
の鍵とする電子署名を付加して構成される。このよう
に、電子署名を付加することによって問い合わせパケッ
トの不正な改竄を防止することができる(ステップ4
6)。
【0057】(6)次に、KMS“1”72は、自KM
Sに公開鍵を問い合わせた者がホストかKMSかを公開
鍵問い合わせパケットの始点IPアドレスから判定し、
公開鍵を問い合わせたのがKMSである場合、処理を終
了する(ステップ461)。
【0058】(7)ステップ461で、自KMSに公開
鍵を問い合わせた者がホストである場合、公開鍵問い合
わせ/応答処理部143は、上位のKMSから公開鍵の
応答があるまで一定時間待ち、一定時間内に公開鍵の応
答がなく、電子署名付きの公開鍵を取得できなかった場
合、処理を終了する(ステップ462、463)。
【0059】(8)公開鍵問い合わせ/応答処理部14
3は、電子署名付きの公開鍵の応答が一定時間内にあっ
た場合、その公開鍵を図1に示すドメイン名・公開鍵・
電子署名テーブル16にキャッシングする。このように
キャッシングを行うことにより、別のホストから同じド
メイン名について公開鍵の問い合わせがあったときに、
公開鍵問い合わせ/応答処理部143は、再度別のKM
Sに公開鍵の問い合わせに行かずに済み、公開鍵を解決
する処理を効率的に行うことができる(ステップ46
4)。
【0060】(9)次に、公開鍵問い合わせ/応答処理
部143は、図8の矢印87に示すように自らの電子署
名をつけた公開鍵応答パケットを公開鍵の問い合わせを
受けたホストに返す。この電子署名付きの公開鍵応答パ
ケットは、D(KMS1)、D(B)、S(B)、S(T(KM
S00)),[D(B),S(B),D(KMS00)]をメッ
セージとし、秘密鍵T(KMS1)を署名の鍵とするもの
である(ステップ465)。
【0061】(10)ステップ42のデータベースの検索
で、問い合わせのドメイン名について、ドメイン名・公
開鍵・電子署名テーブル16にエントリがあった場合、
図1に示す公開鍵問い合わせ/応答処理部143は、そ
のエントリに指定されたKMSの電子署名が付いている
か否かを見る(ステップ47)。
【0062】(11)ステップ47のチェックで、指定さ
れたKMSの電子署名がエントリに付いていた場合、公
開鍵問い合わせ/応答処理部143は、そのエントリに
ある電子署名付きの公開鍵をホストA71に返す(ステ
ップ48)。
【0063】(12)一方、ステップ47で指定されたK
MSの電子署名がエントリに付いていなかった場合、公
開鍵問い合わせ/応答処理部143は、パケットに付い
ているホストA71が信用するKMSと図1の初期保持
データの上位のKMSのドメイン名172を見て、図7
に示すKMS“0”73に電子署名の要求を出す。図7
に示すKMS“2”76がホストB75の公開鍵の情報
を持っていて、KMS“0”73に電子署名の要求を出
す場合、図8の矢印84に示すように、[D(B)、K
MS(A)、IP(KMS1)、S(B)及びD(KM
S2)]をメッセージとして、KMS“2”76の秘密
鍵を鍵とする電子署名を付けて要求を行う(ステップ4
9)。
【0064】前述では、図7におけるKMS“1”72
の動作について説明したが、他のKMS“0”73、K
MS“2”76も、前述したKMS“1”72の場合と
同様な動作を行う。
【0065】次に、図5に示すフローと図7及び図8と
を参照して、図1に示すKMSの各部の動作の中での電
子署名の要求と応答とについて説明する。
【0066】(1)いま、図7に示すKMS“0”73
が、KMS“1”72から電子署名の要求を受けたとす
る。この場合、KMS“0”73は、図1に示ような構
成を持つ自装置内の電子署名処理部144を動作させ、
パケットに付いている電子署名を見る。電子署名処理部
144は、ドメイン名・公開鍵・電子署名テーブル16
からKMS172の公開鍵を取り出し、パケットの内容
が改竄されていないか否かを判定する(ステップ5
1)。
【0067】(2)ステップ51の判定で、パケットの
内容が改竄されていた場合、電子署名処理部144はパ
ケットを廃棄し、KMS“0”73は処理を終了する
(ステップ53)。
【0068】(3)ステップ51の判定で、パケットの
内容が改竄されていなかった場合、電子署名処理部14
4は、パケットの内容を見て電子署名の要求先が自分自
身か否かを判定する(ステップ52)。
【0069】(4)ステップ52の判定で、電子署名の
要求先が自分自身でない場合、電子署名処理部144
は、初期保持データの上位のKMSのドメイン名172
を参照し、電子署名の要求を上位のKMSに対して出
す。図7において、ホストA71が電子署名を要求する
KMSがKMS“00”74である場合、図8の矢印8
5に示すように、KMS“0”73からKMS“00”
74への電子署名要求パケットは、[D(B)、KMS
(A)、IP(KMS1)、S(B)及びD(KMS
0)]をメッセージとしKMS“0”73の秘密鍵を鍵
とする電子署名を付けたものとなる(ステップ54)。
【0070】(5)一方、ステップ52の判定で、電子
署名の要求先が自分自身であった場合、電子署名処理部
144は、要求されたパケットに対して自分の秘密鍵に
よって電子署名を付け、要求元のKMSに電子署名付き
のパケットを返す。説明している例で、例えば、署名要
求に対してKMS“00”74がKMA“1”72へ公
開鍵を応答するものとすると、その場合の応答パケット
は、図8の矢印86に示すように、[D(B)、S
(B)及びD(KMS00)]をメッセージとしKMS
“00”74の秘密鍵を鍵とする電子署名を付けたもの
となる(ステップ55)。
【0071】次に、図6に示すフローと図7及び図8と
を参照して、図2に示す構成のホストの動作を説明す
る。
【0072】(1)図7において、ホストA71がホス
トB75の公開鍵を取得しようとするものとする。この
とき、図2に示す構成を持つホストA71の公開鍵問い
合わせ処理部243は、ドメイン名・公開鍵・電子署名
テーブル25を検索しホストB75のエントリがあるか
否かを調べる(ステップ61)。
【0073】(2)ステップ61で、ドメイン名・公開
鍵・電子署名テーブル25にホストB75のエントリが
なかったとき、公開鍵問い合わせ処理部243は、初期
保持データ26の信用するKMSのドメイン名・公開鍵
263を参照して信用するKMSを選択し、信用するK
MSのドメイン名・公開鍵263が複数ある場合、問い
合わせるドメイン名より上位にあってそれに最も近いK
MSを選択する(ステップ62)。
【0074】(3)次に、公開鍵問い合わせ処理部24
3は、初期保持データ26内の公開鍵を問い合わせに行
くKMSのドメイン名262を参照して、そのKMSに
ホストB75の公開鍵を問い合わせる。この場合の公開
鍵問い合わせパケットは、図8の矢印81に示すよう
に、[D(B)、KMS(A)、IP(A)及びD
(A)]をメッセージとし、ホストAの秘密鍵T(A)
を鍵とする電子署名を付加したものとなる(ステップ6
3)。
【0075】(4)ホストA71は、ステップ63での
問合せに対して、公開鍵応答パケットが返ってきたと
き、図2の電子署名確認部244を動作させ、公開鍵応
答パケットに付いている電子署名が要求したKMSのも
のであって、かつパケットの内容が改竄されていないか
を確認する(ステップ64)。
【0076】(5)一定時間以内に公開鍵応答パケット
が返ってこないとき、あるいは、ステップ64で、公開
鍵応答パケットに付いている電子署名が要求したKMS
のものでないか、パケットの内容が改竄されていると判
定された場合、ホストA71は、何もせずに処理を終了
する。これにより、ネットワーク上にある不正なホスト
が自らの公開鍵とアドレスが問い合わせのあったドメイ
ン名に対応しているように見せかけることでセキュリテ
ィ通信の相手になりすますことを防止することができ
る。
【0077】(6)ステップ64で、公開鍵応答パケッ
トに付いている電子署名が要求したKMSのものであっ
て、かつパケットの内容が改竄されていないと判定され
た場合、公開鍵問い合わせ処理部243は、その公開鍵
応答パケットの内容を見て、ドメイン名・公開鍵・電子
署名・署名したKMSのドメイン名の4つの組でドメイ
ン名・公開鍵・電子署名テーブル25にキャッシングす
る(ステップ65)。
【0078】(7)ホストA71のセキュリティ通信処
理部27は、前述までの処理で取得した公開鍵、あるい
は、ステップ61で見つかった公開鍵を用い、セキュリ
ティ通信を行うための処理を開始する(ステップ6
6)。
【0079】ホストは、前述した処理を実行することに
より、公開鍵を解決する処理を効率化することができ
る。
【0080】前述した本発明の実施形態によれば、ネッ
トワークの2つのホストがセキュリティ通信を開始する
前に機能拡張したDNSサーバによって通信相手のホス
トのドメイン名に対応する公開鍵を自動的に取得させる
ことが可能となり、公開鍵の管理の容易化を図ることが
できる。
【0081】また、本発明の実施形態によれば、ホスト
が指定したDNSサーバによって公開鍵の応答パケット
に電子署名を付けさせることができるので、ネットワー
ク上にある不正なホストが自らの公開鍵とアドレスとが
問い合わせのあったドメイン名に対応しているように見
せかけることによりセキュリティ通信の相手になりすま
すことを防止することができる。
【0082】前述したような本発明は、FDやCD−R
OM等の記憶媒体に本発明を実現するプログラムを格納
しておき、このプログラムをDNSサーバ及びホストに
インストールして実現することができる。また、本発明
は、ネットワークに接続された情報処理装置の記憶媒体
に本発明を実現するプログラムを格納しておき、ネット
ワークを通してDNSサーバ及びホストのハードディス
ク等の記憶媒体に前述のプログラムをコピーして実現す
ることができる。
【0083】
【発明の効果】以上説明したように本発明によれば、ネ
ットワークの2つのホストがセキュリティ通信を開始す
る前に通信相手のホストのドメイン名に対応する公開鍵
を安全に自動的に取得することができるため、公開鍵の
管理が容易となる。
【0084】また、本発明によれば、ネットワーク上に
ある不正なホストが自らの公開鍵とアドレスとが問い合
わせのあったドメイン名に対応しているように見せかけ
ることによりセキュリティ通信の相手になりすますこと
を防止することができる。
【図面の簡単な説明】
【図1】DNSサーバを機能拡張したサーバであるKM
S(Key Management Server)の構成を示すブロック図
である。
【図2】拡張したDNSクライアントの機能を持つホス
トの構成を示すブロック図である。
【図3】公開鍵とドメイン名との対応を説明するテーブ
ルの構成を示す図である。
【図4】DNSサーバが公開鍵の問い合わせを受けたと
きに公開鍵を応答する手順を説明するフローチャートで
ある。
【図5】DNSサーバが電子署名の要求を受けたときに
公開鍵応答パケットに電子署名を付与する手順を説明す
るフローチャートである。
【図6】DNSクライアントの機能を持つホストが通信
相手の公開鍵を取得する手順を説明するフローチャート
である。
【図7】本発明を階層的なドメイン名の構造を持つネッ
トワークに適用した場合の実施形態を示すブロック図で
ある。
【図8】ホストが通信相手の公開鍵の取得ために行う手
順の中で、ホスト・KMS間及びKMS・KMS間でや
り取りするパケットの種類とそれらに付与される電子署
名を説明する図である。
【図9】DNSパケットのフォーマットの構成を説明す
る図である。
【図10】DNSパケットに含まれる資源レコードのフ
ォーマットの構成を説明する図である。
【符号の説明】
10 KMS 11、21 ネットワーク制御部 12、22 IP処理部 13、23 TCP/UDP処理部 14 拡張DNS処理部 15 ドメイン名/IPアドレステーブル 16、25 ドメイン名・公開鍵・電子署名テーブル 17、26 初期保持データ 24 拡張DNSクライアント 27 セキュリティ通信処理部 101 ネットワーク 141、241 DNSパケット振り分け部 142 DNS処理部 143 公開鍵問い合わせ/応答処理部 144 電子署名処理部 242 ドメイン名リゾルバ 243 公開鍵問い合わせ処理部 244 電子署名確認部 71、75 ホストA、B 72〜74、76 KMS
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 12/56 H04L 11/00 310Z 11/20 102Z Fターム(参考) 5B089 GA11 GB03 HA10 HB02 KA17 KB13 KC58 KH30 5J104 AA07 AA16 EA02 KA02 KA05 NA02 NA37 PA07 5K030 GA15 HC01 HC14 HD06 HD09 JT06 KA05 KA07 LD19 5K033 AA08 CB09 CB11 DA05 DB12 DB14 EC04 9A001 CC07 EZ03 JZ01 JZ25 JZ27 LL03

Claims (4)

    【特許請求の範囲】
  1. 【請求項1】 階層構造を持ち、各階層毎にドメイン名
    を持つネットワークと、そのドメイン名とアドレスとの
    対応を管理する前記各階層毎に設けられるDNSサーバ
    と、ネットワークに収容されるホストとを備え、前記D
    NSサーバが、ネットワークに属するホストに対して他
    のホストが持つ公開鍵を配布する公開鍵管理方法におい
    て、前記DNSサーバは、公開鍵を管理する手段と、前
    記ネットワークに属するホストの公開鍵とドメイン名と
    を対応付けて格納したデータベースとを持ち、第1のホ
    ストからのドメイン名の情報による第2のホストの公開
    鍵の問い合わせを受けたとき、前記公開鍵管理手段が前
    記データベースを参照することにより、前記ドメイン名
    に対応する第2のホストの公開鍵の情報を前記第1のホ
    ストに応答することを特徴とする公開鍵管理方法。
  2. 【請求項2】 前記DNSサーバは、第1のホストから
    第2のホストの公開鍵の問い合わせを受けたとき、自サ
    ーバ内の前記データベースの中に問い合わせのドメイン
    名に対応するエントリがない場合、他の公開鍵管理手段
    とデータベースとを備えた他のDNSサーバに公開鍵の
    解決をドメイン名の階層に沿って再帰的に委託すること
    を特徴とする請求項1記載の公開鍵管理方法。
  3. 【請求項3】 前記ホストは、前記DNSサーバに他の
    ホストの公開鍵を問い合わせる手段を備え、セキュリテ
    ィ通信開始時、前記公開鍵問い合わせ手段に通信相手と
    なるホストのドメイン名に対応する公開鍵を前記DNS
    サーバに問い合わせることを特徴とする請求項1記載の
    公開鍵管理方法。
  4. 【請求項4】 請求項1、2または3記載の公開鍵管理
    方法を実現するための、DNSサーバに設けられる公開
    鍵を管理する手段の機能を実行するプログラムと、ネッ
    トワークに属するホストの公開鍵とドメイン名とを対応
    付けて格納するデータベースと、ホストからドメイン名
    の情報によって公開鍵の問い合わせを受けたとき該公開
    鍵管理手段が前記データベースを参照することによりド
    メイン名に対応する公開鍵をホストに応答する処理を実
    行するプログラムとを格納したことを特徴とする記憶媒
    体。
JP15532299A 1999-06-02 1999-06-02 公開鍵管理方法 Pending JP2000349747A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP15532299A JP2000349747A (ja) 1999-06-02 1999-06-02 公開鍵管理方法
US09/585,358 US6928167B1 (en) 1999-06-02 2000-06-02 Method for managing public key

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP15532299A JP2000349747A (ja) 1999-06-02 1999-06-02 公開鍵管理方法

Publications (1)

Publication Number Publication Date
JP2000349747A true JP2000349747A (ja) 2000-12-15

Family

ID=15603367

Family Applications (1)

Application Number Title Priority Date Filing Date
JP15532299A Pending JP2000349747A (ja) 1999-06-02 1999-06-02 公開鍵管理方法

Country Status (2)

Country Link
US (1) US6928167B1 (ja)
JP (1) JP2000349747A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001103046A (ja) * 1999-09-30 2001-04-13 Sony Corp 通信装置、通信システム及び通信方法並びに認証装置
WO2003009546A1 (es) * 2001-07-16 2003-01-30 Vodafone Group Plc. Sistema de nombramientos de dominios (dns) para acceso a bases de datos
US7436833B2 (en) 2004-07-15 2008-10-14 Kabushiki Kaisha Toshiba Communication system, router, method of communication, method of routing, and computer program product
US10362031B2 (en) 2014-09-17 2019-07-23 Microsoft Technology Licensing, Llc Establishing trust between two devices
JP2020530734A (ja) * 2017-07-31 2020-10-22 スレットストップ・インコーポレーテッド ネットワークノードによる情報の伝搬

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7088720B1 (en) * 2000-08-07 2006-08-08 Sbc Technology Resources, Inc. Multiservice use of network connection capability under user-to-network interface signaling
US7136386B2 (en) * 2001-07-19 2006-11-14 Sbc Technology Resources, Inc. Virtual private network over asynchronous transfer mode
US7187678B2 (en) * 2001-08-13 2007-03-06 At&T Labs, Inc. Authentication for use of high speed network resources
US20030163567A1 (en) * 2002-02-28 2003-08-28 Mcmorris Patrick Domain name validation using mapping table
US7382785B2 (en) * 2003-02-21 2008-06-03 At&T Knowledge Ventures, L.P. Extended virtual user-to-network interface with ATM network
EP1779216A1 (en) * 2004-08-20 2007-05-02 Rhoderick John Kennedy Pugh Server authentication
US20070118750A1 (en) * 2005-10-27 2007-05-24 The Go Daddy Group, Inc. Authenticating a caller initiating a communication session
US20070101144A1 (en) * 2005-10-27 2007-05-03 The Go Daddy Group, Inc. Authenticating a caller initiating a communication session
US7876902B2 (en) * 2006-08-31 2011-01-25 Microsoft Corporation Distribution of encrypted software update to reduce attack window
US8538028B2 (en) * 2006-11-20 2013-09-17 Toposis Corporation System and method for secure electronic communication services
CA2705903A1 (en) * 2006-11-20 2008-05-29 Toposis Corporation System and method for secure electronic communication services
US9998423B1 (en) 2006-12-05 2018-06-12 Oath Inc. IP address management of multiple DHCP services
US8494168B1 (en) 2008-04-28 2013-07-23 Netapp, Inc. Locating cryptographic keys stored in a cache
WO2009132446A1 (en) * 2008-05-02 2009-11-05 Toposis Corporation Systems and methods for secure management of presence information for communications services
US9521138B2 (en) 2013-06-14 2016-12-13 Go Daddy Operating Company, LLC System for domain control validation
US9178888B2 (en) 2013-06-14 2015-11-03 Go Daddy Operating Company, LLC Method for domain control validation
US9633128B2 (en) 2014-03-13 2017-04-25 Go Daddy Operating Company, LLC Lightweight web page generation
US10659423B2 (en) 2014-12-19 2020-05-19 Go Daddy Operating Company, LLC System and method for modifying a domain name system template
US10164933B2 (en) 2014-12-19 2018-12-25 Go Daddy Operating Company, LLC System and method for domain name system restore points
US9935950B2 (en) * 2015-01-12 2018-04-03 Verisign, Inc. Systems and methods for establishing ownership and delegation ownership of IOT devices using domain name system services
US20160205106A1 (en) * 2015-01-12 2016-07-14 Verisign, Inc. Systems and methods for providing iot services
US9973337B2 (en) * 2015-11-18 2018-05-15 International Business Machines Corporation Domain-server public-key reference

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5109384A (en) * 1988-11-02 1992-04-28 Tseung Lawrence C N Guaranteed reliable broadcast network
US5175765A (en) * 1989-05-09 1992-12-29 Digital Equipment Corporation Robust data broadcast over a distributed network with malicious failures
US5455865A (en) * 1989-05-09 1995-10-03 Digital Equipment Corporation Robust packet routing over a distributed network containing malicious failures
US5422953A (en) * 1993-05-05 1995-06-06 Fischer; Addison M. Personal date/time notary device
US5870475A (en) * 1996-01-19 1999-02-09 Northern Telecom Limited Facilitating secure communications in a distribution network
US5790548A (en) * 1996-04-18 1998-08-04 Bell Atlantic Network Services, Inc. Universal access multimedia data network
US5825884A (en) * 1996-07-01 1998-10-20 Thomson Consumer Electronics Method and apparatus for operating a transactional server in a proprietary database environment
US6111883A (en) * 1996-07-12 2000-08-29 Hitachi, Ltd. Repeater and network system utilizing the same
US6023507A (en) * 1997-03-17 2000-02-08 Sun Microsystems, Inc. Automatic remote computer monitoring system
US5883810A (en) * 1997-09-24 1999-03-16 Microsoft Corporation Electronic online commerce card with transactionproxy number for online transactions

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001103046A (ja) * 1999-09-30 2001-04-13 Sony Corp 通信装置、通信システム及び通信方法並びに認証装置
WO2003009546A1 (es) * 2001-07-16 2003-01-30 Vodafone Group Plc. Sistema de nombramientos de dominios (dns) para acceso a bases de datos
ES2183728A1 (es) * 2001-07-16 2003-03-16 Airtel Movil S A Sistema de nombramientos de dominios (dns) para acceso a bases de datos.
AU2002319319B2 (en) * 2001-07-16 2007-08-30 Vodafone Group Plc. System of assigning domain names (DNS) providing access to databases
US7436833B2 (en) 2004-07-15 2008-10-14 Kabushiki Kaisha Toshiba Communication system, router, method of communication, method of routing, and computer program product
US10362031B2 (en) 2014-09-17 2019-07-23 Microsoft Technology Licensing, Llc Establishing trust between two devices
US10581848B2 (en) 2014-09-17 2020-03-03 Microsoft Technology Licensing, Llc Establishing trust between two devices
JP2020530734A (ja) * 2017-07-31 2020-10-22 スレットストップ・インコーポレーテッド ネットワークノードによる情報の伝搬
JP7280260B2 (ja) 2017-07-31 2023-05-23 スレットストップ・インコーポレーテッド ネットワークノードによる情報の伝搬

Also Published As

Publication number Publication date
US6928167B1 (en) 2005-08-09

Similar Documents

Publication Publication Date Title
JP2000349747A (ja) 公開鍵管理方法
US7461250B1 (en) System and method for certificate exchange
Kohl et al. The evolution of the Kerberos authentication service
Czerwinski et al. An architecture for a secure service discovery service
US5822434A (en) Scheme to allow two computers on a network to upgrade from a non-secured to a secured session
US6557037B1 (en) System and method for easing communications between devices connected respectively to public networks such as the internet and to private networks by facilitating resolution of human-readable addresses
JP3263878B2 (ja) 暗号通信システム
US6823454B1 (en) Using device certificates to authenticate servers before automatic address assignment
KR101085638B1 (ko) 피어 투 피어 네트워크에서의 안전한 계층적 이름 공간
US8301753B1 (en) Endpoint activity logging
JPH11167536A (ja) コンピュータ・ネットワークを利用したクライアント/ホスト間の通信方法と装置
GB2359969A (en) Automated authentication of communication devices with certificates bound to the device identifier
WO2002039637A1 (en) A method and system for secure wireless database management
WO2008116416A1 (fr) Procédé, dispositif et système pour qu'un système de nom de domaine se mette à jour de façon dynamique
CN101242426B (zh) 建立传输层安全连接的方法、系统及装置
US20020035686A1 (en) Systems and methods for secured electronic transactions
EP4203377A1 (en) Service registration method and device
CN112132581B (zh) 基于iota的pki身份认证系统及方法
WO2009143739A1 (zh) 管理和查询映射信息的方法、设备及通信系统
Lioy et al. DNS security
CN115580498B (zh) 融合网络中的跨网通信方法及融合网络系统
Chetioui et al. New Protocol E-DNSSEC to Enhance DNSSEC Security.
JP2012527794A (ja) ホストアイデンティティタグ取得のための方法およびシステム
Cisco Configuring Certification Authority Interoperability
EP1615402B1 (en) Identification and authentication system and method for a secure data exchange

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060525

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090414

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090818