JP2012199607A - Dnssec代理装置 - Google Patents
Dnssec代理装置 Download PDFInfo
- Publication number
- JP2012199607A JP2012199607A JP2011060538A JP2011060538A JP2012199607A JP 2012199607 A JP2012199607 A JP 2012199607A JP 2011060538 A JP2011060538 A JP 2011060538A JP 2011060538 A JP2011060538 A JP 2011060538A JP 2012199607 A JP2012199607 A JP 2012199607A
- Authority
- JP
- Japan
- Prior art keywords
- dnssec
- server
- dns
- cache server
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】DNSSECに非対応なDNS権威サーバを変更することなしに、DNS権威サーバにDNSSECを容易に適用させることができるDNSSEC代理装置を提供すること。
【解決手段】DNSSEC非対応のDNS権威サーバと、DNSSEC対応のDNSキャッシュサーバとの間に設けられたDNSSEC代理装置5が、DNS権威サーバからDNSキャッシュサーバに送信された情報にDNSSECに準拠した電子署名を付加する署名付加部13を備える。
【選択図】図2
【解決手段】DNSSEC非対応のDNS権威サーバと、DNSSEC対応のDNSキャッシュサーバとの間に設けられたDNSSEC代理装置5が、DNS権威サーバからDNSキャッシュサーバに送信された情報にDNSSECに準拠した電子署名を付加する署名付加部13を備える。
【選択図】図2
Description
本発明は、DNSSEC(Domain Name System Security Extension)に非対応のDNS権威サーバに対してDNSSEC機能を代理するDNSSEC代理装置に関する。
DNSは、ドメインネームとIPアドレスとの対応を表す情報を提供するために、インターネット上に構築された階層型の分散型データベースシステムである。ドメインネームとIPアドレスとの対応情報のデータベースは、インターネット上に分散して配置され、論理的にルートゾーンを頂点として階層的に構成されている。
ドメインネームは、その階層構造がそのまま反映されている。例えば、図6に示すように、ドメインネームが「www.example.com」の場合を例に説明すると、「www.example.com」とIPアドレスの対応情報を管理しているのはexample.comゾーンのデータベースであり、example.comゾーンは、comゾーンの子ゾーンの1であり、comゾーンは、階層の頂点にあるルートゾーンの子ゾーンの1つである。
DNSサーバには権威サーバとキャッシュサーバの機能がある。両者は一台のサーバ上で、同時に運用されることもあるし単一の機能で運用されることもある。各ゾーンのデータベースは、権威サーバによって管理される。各権威サーバは、少なくとも1つのゾーンのデータベースを格納している。
権威サーバは、上述したデータベースを管理するようになっている。キャッシュサーバは、個別のホストから問い合わせを受けて、この問い合わせを権威サーバ群に送り、ドメインネームとIPアドレスの対応情報を探し出す名前解決を実行するようになっている。また、キャッシュサーバは、名前解決の結果をキャッシュするようになっている。
具体的には、権威サーバは、管理対象のゾーンのドメインネームと、当該権威サーバのIPアドレスとの対応情報を親ゾーンの権威サーバに予め登録しておく。ここで、キャッシュサーバは、ホストから「www.example.com」の名前解決の要求を受けると、まず、ルートサーバに「www.example.com」のドメインネームの問い合わせを送る。
ルートサーバは、example.comゾーンの情報を持っていないが、comゾーンの権威サーバについての情報は持っているのでそれを回答とする。次に、キャッシュサーバは、comゾーンの権威サーバに問い合わせを送り、example.comゾーンの権威サーバについての情報を得る。最後に、キャッシュサーバは、example.comの権威サーバに問い合わせると、「www.example.com」のIPアドレスを得ることができるので、これをホストに回答する。
ここで、キャッシュサーバは、この回答をキャッシュし、その回答の中でTTL(Time To Live)として指定された時刻が経過するまでは、「www.example.com」の名前解決の要求に対してキャッシュの内容を答える。
DNSは、情報のやりとりを行う際にその情報の出自を確認する機能が実装されていない。このため、攻撃者によって偽の権威サーバから偽の回答をキャッシュサーバにキャッシュさせるポイズニング攻撃の可能性が以前より指摘されていた。
しかし、キャッシュサーバは、上述したように、TTLで指定された時刻が経過するまでは、新しい情報を取りに行かないため、ポイズニング攻撃は、実行できる機会が少なく、有効な攻撃とはならなかった。このため、DNSサーバを管理しているオペレータの多くは、ポイズニング攻撃に対して、あまり危機感を持っていなかった。
しかしながら、このTTLによる制約を受けないカミンスキーアタックが2008年に提案されたことをきっかけに回答の出自を検証できる機能の重要性が高まってきた。これにより、DNSサーバ間で情報のやりとりを行う際にその情報の出自を確認することができるDNSSECが注目されてきた(例えば、非特許文献1乃至3参照)。
R. Arends, et al. "DNS Security Introduction and Requirements", IETF RFC 4033, 2005.
R. Arends, et al. "Resource Records for the DNS Security Extensions", IETF RFC 4034, 2005.
R. Arends, et al. "Protocol Modifications for the DNS Security Extensions", IETF RFC 4035, 2005.
しかしながら、運用中のサーバに新たなソフトウェアを導入することによって、当該サーバのリソースが消費されることや、当該サーバの検証作業等の新たな手間が発生するため、DNS権威サーバをDNSSECに対応させることが依然として困難であるという課題があった。
本発明は、このような課題を解決するためになされたもので、DNSSECに非対応なDNS権威サーバを変更することなしに、DNS権威サーバにDNSSECを容易に適用させることができるDNSSEC代理装置を提供することを目的とする。
本発明のDNSSEC代理装置は、DNSSEC非対応のDNS権威サーバ(1c)と、DNSSEC対応のDNSキャッシュサーバ(2)との間に設けられたDNSSEC代理装置であって、前記DNS権威サーバから前記DNSキャッシュサーバに送信された情報に前記DNSSECに準拠した電子署名を付加する署名付加部(13)と、前記電子署名が付加された情報に含まれる送信元IPアドレスを変更することなく該情報を前記DNSキャッシュサーバに送信する通信部(10)とを備えた構成を有している。
この構成により、本発明のDNSSEC代理装置は、DNSSEC非対応のDNS権威サーバと、DNSSEC対応のDNSキャッシュサーバとの間に接続するだけで、DNSキャッシュサーバに対して、DNS権威サーバがDNSSECに対応しているように動作するため、DNS権威サーバを変更することなしに、DNS権威サーバにDNSSECを容易に適用させることができる。
なお、本発明のDNSSEC代理装置は、前記DNSキャッシュサーバから名前解決の要求を受けて、前記DNS権威サーバが該要求に応じられなかった場合に、前記DNSキャッシュサーバに応答するための不在証明を生成する不在証明生成部(14)を備えるようにしてもよい。
この構成により、本発明のDNSSEC代理装置は、DNSキャッシュサーバから受けた名前解決の要求にDNS権威サーバが応じられなかった場合に、DNSキャッシュサーバに不在証明を送信することができるため、DNSキャッシュサーバに名前解決ができなかったことを知らせることができる。
また、前記署名付加部は、前記DNSSECに準拠した電子署名を前記不在証明に付加するようにしてもよい。
この構成により、本発明のDNSSEC代理装置は、DNSキャッシュサーバに不在証明を検証させることができる。
また、本発明のDNSSEC代理装置は、前記電子署名を生成するための秘密鍵を少なくとも格納する鍵情報格納部(11)を備えるようにしてもよい。
この構成により、本発明のDNSSEC代理装置は、DNS権威サーバから送信された情報をDNSキャッシュサーバに検証させることができる。
本発明のDNSSEC代理方法は、DNSSEC非対応のDNS権威サーバ(1c)と、DNSSEC対応のDNSキャッシュサーバ(2)との間に設けられたDNSSEC代理装置(5)を用いたDNSSEC代理方法であって、前記DNS権威サーバから前記DNSキャッシュサーバに送信された情報に前記DNSSECに準拠した電子署名を付加する署名付加ステップと、前記電子署名が付加された情報に含まれる送信元IPアドレスを変更することなく該情報を前記DNSキャッシュサーバに送信するトランスペアレント送信ステップとを有する。
この方法により、本発明のDNSSEC代理方法は、DNSSEC非対応のDNS権威サーバと、DNSSEC対応のDNSキャッシュサーバとの間に接続するだけで、DNSキャッシュサーバに対して、DNS権威サーバがDNSSECに対応しているように動作するため、DNS権威サーバを変更することなしに、DNS権威サーバにDNSSECを容易に適用させることができる。
なお、本発明のDNSSEC代理方法は、前記DNSキャッシュサーバから名前解決の要求を受けて、前記DNS権威サーバが該要求に応じられなかった場合に、前記DNSキャッシュサーバに応答するための不在証明を生成する不在証明生成ステップを有してもよい。
この方法により、本発明のDNSSEC代理装置は、DNSキャッシュサーバから受けた名前解決の要求にDNS権威サーバが応じられなかった場合に、DNSキャッシュサーバに不在証明を送信することができるため、DNSキャッシュサーバに名前解決ができなかったことを知らせることができる。
また、前記署名付加ステップでは、前記DNSSECに準拠した電子署名を前記不在証明に付加してもよい。
この方法により、本発明のDNSSEC代理装置は、DNSキャッシュサーバに不在証明を検証させることができる。
また、本発明のDNSSEC代理方法は、前記署名付加ステップで前記電子署名を生成するための秘密鍵を記憶媒体から取得する鍵取得ステップを有してもよい。
この方法により、本発明のDNSSEC代理装置は、DNS権威サーバから送信された情報をDNSキャッシュサーバに検証させることができる。
本発明は、DNSSECに非対応なDNS権威サーバを変更することなしに、DNS権威サーバにDNSSECを容易に適用させることができるDNSSEC代理装置を提供することができる。
以下、本発明の実施の形態について、図面を参照して説明する。
図1に示すように、本発明の実施の形態に係るDNSSEC代理装置を備えたシステムは、権威サーバ1a〜1cと、キャッシュサーバ2とを備えている。権威サーバ1a、1bおよびキャッシュサーバ2は、インターネット3に接続可能に設けられている。
権威サーバ1cは、ゾーン4内に設けられ、ゾーン4内には、権威サーバ1cとインターネット3との間に設けられたDNSSEC代理装置5と、サーバ6とがインターネット3に接続可能に設けられている。
キャッシュサーバ2は、ISP(Internet Service Provider)網7内でインターネット3に接続可能に設けられ、ISP網7内には、ホスト8がインターネット3に接続可能に設けられている。
本実施の形態において、権威サーバ1a、1bおよびキャッシュサーバ2は、DNSSECに対応し、権威サーバ1cは、DNSSECに対応していないものとする。また、権威サーバ1aは、ルートゾーンの権威サーバを構成し、権威サーバ1bは、comゾーンの権威サーバを構成し、権威サーバ1cは、example.comゾーンの権威サーバを構成するものとする。また、サーバ6には、「www.example.com」のドメインネームが割り当てられているものとする。
なお、図1に示すネットワーク構成は、本発明を限定するものではなく、本発明においては、DNSにおいてDNSSECに対応していない権威サーバがDNSSEC代理装置を介してインターネットに接続されていればよい。
権威サーバ1a〜1c、キャッシュサーバ2、サーバ6およびホスト8は、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)、ハードディスク装置およびネットワークモジュール等を有する一般的なコンピュータ装置によって構成される。
図2に示すように、DNSSEC代理装置5は、権威サーバ1cおよびキャッシュサーバ2と通信するための通信部10と、電子署名等に用いる鍵情報を格納する鍵情報格納部11と、キャッシュサーバ2に送信する情報を生成する情報生成部12と、キャッシュサーバ2に送信する情報に電子署名を付加する署名付加部13とを備えている。
本実施の形態において、DNSSEC代理装置5は、CPU、ROM、RAM、フラッシュメモリおよびネットワークモジュール等を有するアプライアンスによって構成されているものとする。
ROMおよびフラッシュメモリには、当該アプライアンスをDNSSEC代理装置5として機能させるためのプログラムが記憶されている。すなわち、CPUがRAMを作業領域としてROMに記憶されたプログラムを実行することにより、当該アプライアンスは、DNSSEC代理装置5として機能する。
通信部10は、CPUおよびネットワークモジュールによって構成され、鍵情報格納部11は、フラッシュメモリによって構成され、情報生成部12および署名付加部13は、CPUによって構成される。
なお、DNSSEC代理装置5は、LSI(Large Scale Integration)やIC(Integrated Circuit)等を用いたハードウェアによって構成してもよく、協働するソフトウェアとハードウェアとによって構成してもよい。
通信部10は、キャッシュサーバ2から情報を受信し、受信した情報の種別に応じて、当該情報を情報生成部12に出力したり、権威サーバ1cに送信したりするようになっている。また、通信部10は、権威サーバ1cから情報を受信し、受信した情報を情報生成部12に出力するようになっている。
例えば、通信部10は、キャッシュサーバ2から受信した情報が名前解決の要求を表す場合には、当該情報をそのまま権威サーバ1cに送信するようになっている。また、通信部10は、キャッシュサーバ2から受信した情報が鍵情報の要求を表す場合には、当該情報を情報生成部12に出力するようになっている。
鍵情報格納部11には、電子署名用の第1の鍵ペアと、第1の鍵ペアの公開鍵に署名するための第2の鍵ペアが格納されている。第1の鍵ペアは、ZSK(Zone Signing Key)と呼ばれ、数ヶ月程度の間隔で更新される。第2の鍵ペアは、KSK(Key Signing Key)と呼ばれ、ZSKの更新間隔より長い1年程度の間隔で更新される。
なお、権威サーバ1bが管理するゾーン名と、権威サーバ1bのKSKの公開鍵のダイジェスト(以下、単に「公開鍵ダイジェスト」という)とは、権威サーバ1aにアウトバンドで事前に登録され、権威サーバ1cが管理するゾーン名と、DNSSEC代理装置5の公開鍵ダイジェストとは、権威サーバ1bにアウトバンドで事前に登録される。また、権威サーバ1aのKSKの公開鍵と、権威サーバ1aのIPアドレスは、キャッシュサーバ2にアウトバンドで事前に登録される。
情報生成部12は、通信部10から鍵情報の要求を表す情報を受信した場合には、鍵情報格納部11に格納されたKSKの公開鍵およびZSKの公開鍵を含む情報(以下、単に「公開鍵情報」という)を生成し、生成した公開鍵情報を署名付加部13に出力するようになっている。
また、情報生成部12は、通信部10から出力された情報が名前解決の回答を表し、この回答にサーバ6のIPアドレスが含まれている場合には、当該情報(以下、単に「アドレス情報」という)をそのまま署名付加部13に出力するようになっている。
また、情報生成部12は、権威サーバ1cが名前解決の要求に応じられなかった場合に、不在証明を生成する不在証明生成部14を有している。不在証明生成部14は、通信部10から出力された情報が名前解決の回答を表し、この回答にサーバ6のIPアドレスが含まれていない場合、すなわち、問い合わされたサーバが存在しなかった旨を当該回答が表す場合には、問い合わされたサーバが存在しない旨を表す所定の内容を含む不在証明を生成するようになっている。情報生成部12は、不在証明生成部14によって生成された不在証明を署名付加部13に出力するようになっている。
署名付加部13は、鍵情報格納部11に格納されたKSKの秘密鍵を用いて、情報生成部12から出力された公開鍵情報の電子署名を生成し、生成した電子署名を公開鍵情報に付加するようになっている。
また、署名付加部13は、鍵情報格納部11に格納されたZSKの秘密鍵を用いて、情報生成部12から出力されたアドレス情報の電子署名を生成し、生成した電子署名をアドレス情報に付加するようになっている。
また、署名付加部13は、鍵情報格納部11に格納されたZSKの秘密鍵を用いて、情報生成部12から出力された不在証明の電子署名を生成し、生成した電子署名を不在証明に付加するようになっている。
このように、署名付加部13によって電子署名が付加された各情報は、通信部10によってキャッシュサーバ2に送信される。
なお、一般的なパケット中継装置には、ユニークなIPアドレスが付与されているが、DNSSEC代理装置5には、IPアドレスが付与されていない。そのため、一般的なパケット中継装置は、受信したパケットを別の装置に対して送信する前に一度IPヘッダ等を除去してから自分自身のIPアドレスを含むIPヘッダ等を付加するが、通信部10は、受信したパケットに含まれるIPアドレスを変更することなくそのまま転送するようになっている。
従って、キャッシュサーバ2にとってみれば、パケットがDNSSEC代理装置5から送信されているにもかかわらず、権威サーバ1cから送信されたように見える(トランスペアレント)。このため、DNSSEC代理装置5を導入する際に、親ゾーンの権威サーバ1bに登録してある権威サーバ1cのIPアドレスの情報や、権威サーバ1c自身の設定等を変更する必要はない。
ここで、図3を用いて、DNSSEC代理装置5のトランスペアレントについて説明する。図3(a)は、通信部10が権威サーバ1cから受信した、IPアドレスの回答を含むパケット20の模式図である。
このパケット20は、IPヘッダ21、UDP(User Datagram Protocol)ヘッダ22およびDNSデータ23から構成されている。IPヘッダ21は、IPパケット長フィールド211およびチェックサムフィールド212を含んでいる。
UDPヘッダ22は、UDPパケット長フィールド221およびチェックサムフィールド222を含んでいる。DNSデータ23は、レコード数231と、1つ以上の回答レコード232と、EDNS0拡張リソースレコード234とを含んでいる。
図3(b)は、パケット20を受信した通信部10がキャッシュサーバ2に対して送信しようとする、IPアドレスの回答を含むパケット20bの模式図である。
まず、通信部10は、署名付加部13が付加した署名レコード233を回答レコード232に付加する。その後、通信部10は、レコード数231を新たなレコード数231bに更新し、EDNS0拡張リソースレコード234中のDNSSEC対応を表すフラグをたてて新たなEDNS0拡張リソースレコード234bに更新し、新たなDNSデータ23bを作成する。
次に、通信部10は、付加された署名レコード233の分だけ増加した新たなUDPパケット長を計算してUDPパケット長フィールド221とチェックサムフィールド222とを新たなUDPパケット長フィールド221bとチェックサムフィールド222bとにそれぞれ更新し、新たなUDPヘッダ22bをDNSデータ23bに付加する。
更に、通信部10は、IPパケット長フィールド211とチェックサムフィールド212とを新たなIPパケット長フィールド211bとチェックサムフィールド212bとにそれぞれ更新し、新たなIPヘッダ21bをUDPヘッダ22bに付加する。
ここで、通信部10は、IPヘッダ21に含まれていた送信元IPアドレスフィールド(不図示)の値を変更しないでそのままIPヘッダ21bに転記する。このように作成された新たなパケット20bは、通信部10からキャッシュサーバ2に送信される。
以上のように構成されたシステムについて図4を用いてその動作例を説明する。なお、以下に説明する動作例は、ドメインネームが「www.example.com」であるサーバ6の名前解決がホスト8によって要求されたときに開始される。
まず、ホスト8からキャッシュサーバ2にサーバ6の名前解決が要求されると、この要求がキャッシュサーバ2から権威サーバ1aに送信される(ステップS1)。なお、ここでサーバ6のIPアドレスがキャッシュサーバ2にキャッシュされている場合には、キャッシュサーバ2がサーバ6のIPアドレスをホスト8に送信することにより本動作は終了するが、本動作例においては、サーバ6のIPアドレスがキャッシュサーバ2にキャッシュされていないものとする。
次に、名前解決の要求を受けた権威サーバ1aからキャッシュサーバ2にcomゾーンの権威サーバ1bのドメインネームとIPアドレスとが送信される(ステップS2)。なお、図4において、ドメインネームは、「NS」と表記され、IPアドレスは、「IP」と表記されている。
次に、名前解決の要求は、ステップS2で得られたIPアドレスに基づいて、キャッシュサーバ2から権威サーバ1bに送信され(ステップS3)、この要求を受けた権威サーバ1bからキャッシュサーバ2にexample.comゾーンの権威サーバ1cのドメインネームとIPアドレスとが送信される(ステップS4)。
次に、名前解決の要求は、ステップS4で得られたIPアドレスに基づいて、キャッシュサーバ2から権威サーバ1cにDNSSEC代理装置5を経由して送信される(ステップS5)。この要求を受けた権威サーバ1cからキャッシュサーバ2に向けてサーバ6のIPアドレスが回答されるが(ステップS6)、この回答は、DNSSEC代理装置5を経由して、DNSSEC代理装置5のZSKを用いて生成された電子署名が付加されてキャッシュサーバ2に送信される(ステップS7)。
なお、ステップS6において、サーバ6が存在しなかった旨の回答がDNSSEC代理装置5に受信された場合には、DNSSEC代理装置5の不在証明生成部14によって不在証明が生成され、生成された不在証明が署名付加部13によって電子署名が付加され、電子署名が付加された不在証明がキャッシュサーバ2に送信され、本動作は終了するが、本動作例においては、権威サーバ1cからサーバ6のIPアドレスがDNSSEC代理装置5に回答されるものとする。
次に、キャッシュサーバ2から権威サーバ1cに向けて鍵情報が要求される(ステップS8)。この要求は、DNSSEC代理装置5によって受信され、この要求を受けたDNSSEC代理装置5によって、DNSSEC代理装置5のKSKおよびZSKの秘密鍵を用いてそれぞれ生成された電子署名が付加されたDNSSEC代理装置5の公開鍵情報がキャッシュサーバ2に送信される(ステップS9)。
次に、キャッシュサーバ2から権威サーバ1bに権威サーバ1cの公開鍵ダイジェストが要求され(ステップS10)、権威サーバ1bのZSKの秘密鍵を用いて生成された電子署名が付加された権威サーバ1cの公開鍵ダイジェストが権威サーバ1bからキャッシュサーバ2に送信される(ステップS11)。
次に、キャッシュサーバ2から権威サーバ1bに鍵情報が要求され(ステップS12)、権威サーバ1bのKSKおよびZSKの秘密鍵を用いてそれぞれ生成された電子署名が付加された権威サーバ1bの公開鍵情報がキャッシュサーバ2に送信される(ステップS13)。
次に、キャッシュサーバ2から権威サーバ1aに権威サーバ1bの公開鍵ダイジェストが要求され(ステップS14)、権威サーバ1aのZSKの秘密鍵を用いて生成された電子署名が付加された権威サーバ1bの公開鍵ダイジェストが権威サーバ1aからキャッシュサーバ2に送信される(ステップS15)。
次に、キャッシュサーバ2から権威サーバ1aに鍵情報が要求され(ステップS16)、権威サーバ1aのKSKおよびZSKの秘密鍵を用いてそれぞれ生成された電子署名が付加された権威サーバ1aの公開鍵情報がキャッシュサーバ2に送信される(ステップS17)。なお、ステップS9、ステップS13、およびステップS17においては、ZSKの秘密鍵を用いて生成された電子署名は必ずしも必要ではなく、これらの電子署名が付加されていなくとも後述の検証は可能である。
ここで、キャッシュサーバ2は、公知のDNSSECの手順に準拠して、予め登録された権威サーバ1aのKSKの公開鍵に基づいて、権威サーバ1aのZSK公開鍵を検証し、そのZSK公開鍵によって権威サーバ1bの公開鍵ダイジェストを検証し、その公開鍵ダイジェストによって権威サーバ1bのKSK公開鍵を検証し、そのKSK公開鍵によって権威サーバ1bのZSK公開鍵を検証する。
さらに、キャッシュサーバ2は、権威サーバ1bのZSK公開鍵によってDNSSEC代理装置5の公開鍵ダイジェストを検証し、その公開鍵ダイジェストによってDNSSEC代理装置5のKSK公開鍵を検証し、そのKSK公開鍵によってDNSSEC代理装置5のZSK公開鍵を検証する。
このように、キャッシュサーバ2は、権威サーバ1aと1b、およびDNSSEC代理装置5から受け取った公開鍵が信頼できるものであることを確認し、検証されたDNSSEC代理装置5のZSK公開鍵を用いて、ステップS7でDNSSEC代理装置5によって送信されたサーバ6のIPアドレスを検証する。
キャッシュサーバ2は、DNSSEC代理装置5によって送信されたサーバ6のIPアドレスが信頼できるものと検証された場合には、サーバ6のIPアドレスをホスト8に送信すると共に、キャッシュする。
以上に説明したように、本発明の実施の形態のDNSSEC代理装置5は、DNSSEC非対応の権威サーバ1cと、キャッシュサーバ2との間に接続するだけで、キャッシュサーバ2に対して、権威サーバ1cがDNSSECに対応しているように動作するため、権威サーバ1cを変更することなしに、権威サーバ1cにDNSSECを容易に適用させることができる。
なお、本実施の形態においては、DNSSEC代理装置5が1つのDNS権威サーバ1cに対してDNSSEC機能を代理する例について示したが、本発明においては、図5に示すように、DNSSEC代理装置5がDNSSECに非対応で異なるゾーンを持つ複数のDNS権威サーバ30a〜30cに対してDNSSEC機能を代理するようにしてもよい。
この場合には、DNSSEC代理装置5は、それぞれのゾーンに対応した複数の鍵を鍵情報格納部11に格納しておき、署名付加部13にてどのゾーンからの回答かを判定して、対応する鍵を鍵情報格納部11から呼び出して署名に利用する事もできる。
1a〜1c、30a〜30c 権威サーバ
2 キャッシュサーバ
3 インターネット
4 ゾーン
5 DNSSEC代理装置
6 サーバ
7 ISP網
8 ホスト
10 通信部
11 鍵情報格納部
12 情報生成部
13 署名付加部
14 不在証明生成部
2 キャッシュサーバ
3 インターネット
4 ゾーン
5 DNSSEC代理装置
6 サーバ
7 ISP網
8 ホスト
10 通信部
11 鍵情報格納部
12 情報生成部
13 署名付加部
14 不在証明生成部
Claims (8)
- DNSSEC非対応のDNS権威サーバ(1c)と、DNSSEC対応のDNSキャッシュサーバ(2)との間に設けられたDNSSEC代理装置であって、
前記DNS権威サーバから前記DNSキャッシュサーバに送信された情報に前記DNSSECに準拠した電子署名を付加する署名付加部(13)と、
前記電子署名が付加された情報に含まれる送信元IPアドレスを変更することなく該情報を前記DNSキャッシュサーバに送信する通信部(10)と
を備えたDNSSEC代理装置。 - 前記DNSキャッシュサーバから名前解決の要求を受けて、前記DNS権威サーバが該要求に応じられなかった場合に、前記DNSキャッシュサーバに応答するための不在証明を生成する不在証明生成部(14)を備えたことを特徴とする請求項1に記載のDNSSEC代理装置。
- 前記署名付加部は、前記DNSSECに準拠した電子署名を前記不在証明に付加することを特徴とする請求項2に記載のDNSSEC代理装置。
- 前記電子署名を生成するための秘密鍵を少なくとも格納する鍵情報格納部(11)を備えたことを特徴とする請求項1乃至請求項3の何れかに記載のDNSSEC代理装置。
- DNSSEC非対応のDNS権威サーバ(1c)と、DNSSEC対応のDNSキャッシュサーバ(2)との間に設けられたDNSSEC代理装置(5)を用いたDNSSEC代理方法であって、
前記DNS権威サーバから前記DNSキャッシュサーバに送信された情報に前記DNSSECに準拠した電子署名を付加する署名付加ステップと、
前記電子署名が付加された情報に含まれる送信元IPアドレスを変更することなく該情報を前記DNSキャッシュサーバに送信するトランスペアレント送信ステップと
を有するDNSSEC代理方法。 - 前記DNSキャッシュサーバから名前解決の要求を受けて、前記DNS権威サーバが該要求に応じられなかった場合に、前記DNSキャッシュサーバに応答するための不在証明を生成する不在証明生成ステップを有することを特徴とする請求項5に記載のDNSSEC代理方法。
- 前記署名付加ステップでは、前記DNSSECに準拠した電子署名を前記不在証明に付加することを特徴とする請求項6に記載のDNSSEC代理方法。
- 前記署名付加ステップで前記電子署名を生成するための秘密鍵を記憶媒体から取得する鍵取得ステップを有することを特徴とする請求項5乃至請求項7の何れかに記載のDNSSEC代理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011060538A JP2012199607A (ja) | 2011-03-18 | 2011-03-18 | Dnssec代理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011060538A JP2012199607A (ja) | 2011-03-18 | 2011-03-18 | Dnssec代理装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012199607A true JP2012199607A (ja) | 2012-10-18 |
Family
ID=47181440
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011060538A Pending JP2012199607A (ja) | 2011-03-18 | 2011-03-18 | Dnssec代理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012199607A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018506939A (ja) * | 2015-02-14 | 2018-03-08 | ヴァリメール インコーポレイテッド | ドメインネームサービスを介するプライベートキーの安全な委任された配信 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002024147A (ja) * | 2000-07-05 | 2002-01-25 | Nec Corp | セキュアメールプロキシシステム及び方法並びに記録媒体 |
| JP2002164884A (ja) * | 2000-11-02 | 2002-06-07 | Internatl Business Mach Corp <Ibm> | プロキシサーバ、電子署名システム、電子署名検証システム、ネットワークシステム、電子署名方法、電子署名検証方法、記憶媒体及びプログラム伝送装置 |
| JP2006195688A (ja) * | 2005-01-13 | 2006-07-27 | Hitachi Ltd | 電子申請システム及び装置 |
-
2011
- 2011-03-18 JP JP2011060538A patent/JP2012199607A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002024147A (ja) * | 2000-07-05 | 2002-01-25 | Nec Corp | セキュアメールプロキシシステム及び方法並びに記録媒体 |
| JP2002164884A (ja) * | 2000-11-02 | 2002-06-07 | Internatl Business Mach Corp <Ibm> | プロキシサーバ、電子署名システム、電子署名検証システム、ネットワークシステム、電子署名方法、電子署名検証方法、記憶媒体及びプログラム伝送装置 |
| JP2006195688A (ja) * | 2005-01-13 | 2006-07-27 | Hitachi Ltd | 電子申請システム及び装置 |
Non-Patent Citations (2)
| Title |
|---|
| CSNJ201110035565; 龍 浩一、佐藤 直: 'DNS権威サーバをDNSSECに対応させるネットワーク機器の提案' 電子情報通信学会2011年総合大会講演論文集 通信2 , 20110228, p.565 * |
| JPN6014045029; 龍 浩一、佐藤 直: 'DNS権威サーバをDNSSECに対応させるネットワーク機器の提案' 電子情報通信学会2011年総合大会講演論文集 通信2 , 20110228, p.565 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018506939A (ja) * | 2015-02-14 | 2018-03-08 | ヴァリメール インコーポレイテッド | ドメインネームサービスを介するプライベートキーの安全な委任された配信 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Afanasyev et al. | NDNS: A DNS-like name service for NDN | |
| US20220255910A1 (en) | Registering, managing, and communicating with iot devices using domain name system processes | |
| US9935950B2 (en) | Systems and methods for establishing ownership and delegation ownership of IOT devices using domain name system services | |
| US11128476B2 (en) | DNS provider configuring a registry DNSSEC record | |
| JP4730118B2 (ja) | ドメインネームシステム | |
| EP2518970B1 (en) | Dnssec inline signing | |
| US8681995B2 (en) | Supporting DNS security in a multi-master environment | |
| AU2012202493B2 (en) | DNSSEC signing server | |
| KR101085638B1 (ko) | 피어 투 피어 네트워크에서의 안전한 계층적 이름 공간 | |
| WO2012135492A1 (en) | Transfer of dnssec domains | |
| CN106790296B (zh) | 域名记录验证方法及装置 | |
| US20150032869A1 (en) | Methods and systems for dynamic domain name system (ddns) | |
| US11218326B1 (en) | System and method for generating current live and test versions of DNS data for rollover | |
| US11297033B2 (en) | System and method for generating current live and test versions of DNS data for HSM changes | |
| JP2012199607A (ja) | Dnssec代理装置 | |
| US11233767B1 (en) | System and method for publishing DNS records of a domain including either signed or unsigned records | |
| US20240154805A1 (en) | Systems and methods for blockchain-based domain registration and device authentication | |
| US11405353B2 (en) | System and method for generating concurrently live and test versions of DNS data | |
| Rafiee et al. | Challenges and Solutions for DNS Security in IPv6 | |
| ROSTAMPOUR | Deploying DNS Security Extensions | |
| Andreeva | DNSSEC key management and exchange | |
| Martinez et al. | Building an Infrastructure for DNSSECbis in Mexico | |
| KR20120124044A (ko) | Dnssec 서명 서버 | |
| KR20120122979A (ko) | Dnssec 인라인 서명 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140206 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20141020 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20141028 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141217 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150120 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150318 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20150414 |