JP2002252626A - Dnsサーバ - Google Patents

Dnsサーバ

Info

Publication number
JP2002252626A
JP2002252626A JP2001050293A JP2001050293A JP2002252626A JP 2002252626 A JP2002252626 A JP 2002252626A JP 2001050293 A JP2001050293 A JP 2001050293A JP 2001050293 A JP2001050293 A JP 2001050293A JP 2002252626 A JP2002252626 A JP 2002252626A
Authority
JP
Japan
Prior art keywords
dns server
host
transfer
zone
inquiry
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001050293A
Other languages
English (en)
Inventor
Koichiro Ogushi
弘一郎 大串
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yaskawa Electric Corp
Original Assignee
Yaskawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yaskawa Electric Corp filed Critical Yaskawa Electric Corp
Priority to JP2001050293A priority Critical patent/JP2002252626A/ja
Publication of JP2002252626A publication Critical patent/JP2002252626A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 DNSの登録ホスト毎にDNSのアクセス制御を行
う。 【解決手段】 許可リスト1には問い合わせを許可する
IPアドレス、ネットワークアドレス、ホスト名、ドメイ
ン名が格納されている。DNSサーバへの問い合わせがあ
ると、まず比較部3が許可リスト1を参照する。問い合
わせホストが許可リスト1で許可されていれば、応答部
4にて問い合わせに対する答えを返し、許可リスト1に
含まれていないか許可されていなければ問い合わせを拒
否する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明はDNS(Domain Name S
ystem)サーバに関し、特にDNSサーバのアクセス制御方
法に関する。
【0002】
【従来の技術】TCP/IPネットワークのネットワークイ
ンターフェースは、全て一意なIPアドレスで識別される
が、人間にとっては数値によるIPアドレスよりも入力し
やすく記憶しやすいという理由から、IPアドレスに名前
を割り当てることができるようになっている。DNSサー
バは、この名前からIPアドレス、またはIPアドレスから
名前への翻訳を行うサーバで、IPアドレスに割り当てら
れる名前は、接続しているネットワークを示すドメイン
名と、ネットワークに接続されている装置を表すホスト
名から決められる。
【0003】従来のDNSサーバでは、図5に示すよう
に、問い合わせに対応する応答部31と、登録ホストの
ドメイン毎のデータベースファイルであるゾーンファイ
ル32と、アクセスを制限するホストに対するフィルタ
リングを行うフィルタ部33から構成され、アクセスを
制限するホストからの問い合わせをフィルタ部33でフ
ィルタリングし、応答部31に問い合わせがあるとゾー
ンファイル32を参照して回答が可能であれば割り当て
られているIPアドレスまたは名前を送る。また、1つの
ドメインには1つのプライマリDNSサーバが存在し、プ
ライマリDNSサーバのゾーンファイルのコピーは、セカ
ンダリDNSサーバに対して転送される。
【0004】このDNSサーバでは、IPアドレスに対応づ
けるホスト名、それらに対する別名定義や使用するネー
ムサーバなどを1つのゾーンに設定し、ゾーン毎にドメ
イン名を対応づけている。
【0005】従来、DNSサーバのアクセス制御を行う場
合には、そのDNS全体に対して、またはゾーン毎に問い
合わせを許可するIPアドレスやネットワークアドレスを
設定することで行われている。
【0006】
【発明が解決しようとする課題】ところが、ゾーン内の
特定の登録ホストに対してアクセス制御を行う必要があ
る場合、従来の方法では、DNSサーバ全体や1つのゾー
ンに対してアクセス制御を行うため、少なくともそのホ
ストが属するドメイン全体に対してしかアクセス制御を
行うことができず、登録されている特定のホストのみに
対するアクセス制御を行うことができない。
【0007】また、前記の仕組みがあり、プライマリDN
Sサーバに関してアクセス制御を行えたとしても、プラ
イマリDNSサーバがゾーン転送を行う場合、セカンダリD
NSサーバでは通常どおりに応答を行ってしまい、アクセ
ス制御が成り立たなくなってしまう。つまり、プライマ
リDNSサーバのゾーンファイルのコピーがセカンダリDNS
サーバに転送され、プライマリDNSサーバで行うアクセ
ス制御をセカンダリDNSサーバで実現できない場合に
は、セカンダリDNSサーバにおいてはアクセス制御がか
からないことになり、システムとしてアクセス制御がか
かっていないことになってしまう。
【0008】本発明の目的は、DNSサーバの登録されて
いる特定のホストのみに対するアクセス制御が可能なDN
Sサーバを提供することにある。
【0009】本発明の他の目的は、ゾーン転送を行う場
合、転送先がアクセス制御の仕組みを持つかどうかに関
わらずアクセス制御を行うことができるDNSサーバを提
供することにある。
【0010】
【課題を解決するための手段】上記の目的を達成するた
めに、本発明のDNSサーバは許可リストと比較部と応答
部を有している。
【0011】許可リストにはDNSの登録ホスト単位で問
い合わせを許可するIPアドレス、ネットワークアドレ
ス、ホスト名、ドメイン名等を記述しておく。
【0012】DNSへの問い合わせが発生すると、まず比
較部にて問い合わせ要求元のIPアドレスやFQDN (Fully
Qualified Domain Name) を許可リストの内容と照合
し、許可リストに含まれていない、または許可リストで
許可されたいなければ問い合わせを拒否してエラーを問
い合わせ元に返す。また、許可リストに含まれている
か、許可リストで許可されていれば問い合わせを許可し
て応答部へ問い合わせる。応答部では、ゾーンファイル
やキャッシュファイルを参照し、問い合わせ対象のホス
トが登録してあればその答えを返す。これにより、DNS
の登録ホスト単位でアクセス制御を行うことが可能とな
る。
【0013】なお、キャッシュファイルは、自分に登録
されていないホストに対する問い合わせの際に他のDNS
サーバから受け取った応答を保存しておくファイルで、
次にそのホストに対する問い合わせがあった場合には、
ゾーンファイルと同様にキャッシュファイルも参照す
る。ゾーンファイルとキャッシュファイルは従来のDNS
サーバに存在するもの、ゾーン転送ファイルは本発明で
加えたものである。
【0014】また、本発明のDNSサーバは検索部と転送
部をさらに有する。
【0015】前記仕組みを持ったプライマリDNSサーバ
がセカンダリDNSサーバを使用する場合には、プライマ
リDNSサーバがセカンダリDNSサーバに対してゾーン転送
を行うが、ゾーン転送ファイルはセカンダリDNSサーバ
へ出力する前に一旦転送部に入れられる。検索部はセカ
ンダリDNSサーバがプライマリDNSサーバと同様なアクセ
ス制御の仕組みを持っているかどうか調べ、もし持って
いればゾーン転送ファイルとともに許可リストを転送し
てセカンダリDNSサーバの許可リストに追加し、セカン
ダリDNSサーバにおいてもアクセス制御を行えるように
する。もし持っていなければゾーン転送ファイルの記述
のうち、許可リストに含まれない登録ホストまたは含ま
れているが制限がかかっている登録ホストの記述を削除
したファイルをセカンダリDNSサーバへ転送する。これ
によりセカンダリDNSサーバを使用する場合において
も、登録ホスト単位のアクセス制御を行えることにな
る。
【0016】
【発明の実施の形態】次に、本発明の実施の形態につい
て図面を参照して説明する。
【0017】図1を参照すると、本発明の一実施形態の
DNSサーバは許可リスト1とゾーンファイル2と比較部
3と応答部4と検索部5と転送部6で構成されている。
【0018】許可リスト1は図2に示すように、登録ホ
スト単位で問い合わせを許可するIPアドレス、ネットワ
ークアドレス、ホスト名、ドメイン名、問い合わせの許
可/不許可等を記述している。ゾーンファイル2は本DN
Sサーバに登録されているホストのホスト名とIPアドレ
スの対応等が記述されている、DNSの正引き(名前をIP
アドレスに翻訳する)、逆引き(IPアドレスを名前に翻
訳する)用のゾーンファイルである。比較部3はDNSサ
ーバへの問い合わせに対して許可リスト1を参照して問
い合わせの可否を判断する。応答部4は、許可された問
い合わせに対してゾーンファイル2を参照して正引きま
たは逆引きを行い、問合せ対象のホストが登録されてい
れば答えを出す。検索部5はDNSがゾーン転送を行う場
合、セカンダリDNSサーバがアクセス制御の仕組みを持
つかどうかの検索を行う。セカンダリDNSサーバに同様
のアクセス制御の仕組みがある場合、セカンダリDNSサ
ーバの検索部が特定の応答を行い、プライマリDNSサー
バはゾーン転送ファイル(ゾーンファイル2と許可リス
ト1のコピー)の転送毎にアクセス制御仕組みがあるか
どうか判断する。
【0019】図3はDNSに問い合わせがあった場合の比
較部3と応答部4の処理を示すフローチャートである。
DNSサーバへの問い合わせがあると(ステップ11)、
まず比較部3が許可リスト1を参照する(ステップ1
2)。問い合わせホストが許可リスト1で許可されてい
れば応答部4にて問い合わせに対する答えを返し(ステ
ップ13、14、15)、許可リスト1に含まれていな
いか許可されていなければ問い合わせを拒否する(ステ
ップ16)。
【0020】図4はゾーン転送要求があった場合の転送
部6と検索部5の処理を示すフローチャートである。ゾ
ーン転送要求があると(ステップ21)、まず検索部5
が転送先のセカンダリDNSサーバのアクセス制御情報を
取得し、転送部6が許可リスト1を獲得し(ステップ2
2)、転送先にアクセス制御の仕組みがあるかどうか調
べる(ステップ23)。転送先にアクセス制御の仕組み
があれば、転送部6がゾーン転送ファイルに許可リスト
を追加して転送を行う(ステップ24、25)。アクセ
ス制御の仕組みがなければ、転送部6は許可リスト1に
含まれないまたは含まれている登録ホストをゾーン転送
ファイルから削除して、ゾーン転送を行う。
【0021】
【発明の効果】以上説明したように、本発明によれば、
下記の効果がある。
【0022】請求項1の発明は、DNSの登録ホスト毎に
アクセス制御を行うことができ、ホスト毎の機密性を向
上させることができる。
【0023】請求項2の発明は、ゾーン転送の際、転送
先がアクセス制御の仕組みを持つかどうかに関わらず、
前記アクセス制御を保持することができる。
【図面の簡単な説明】
【図1】本発明の一実施形態のDNSサーバの構成図であ
る。
【図2】許可リスト1の内容を示す図である。
【図3】DNSサーバに問い合わせがあった場合の比較部
3と応答部4の処理を示すフローチャートである。
【図4】ゾーン転送要求があった場合の検索部5と転送
部6の処理を示すフローチャートである。
【図5】従来のDNSサーバの構成図である。
【符号の説明】 1 許可リスト 2 ゾーンファイル 3 比較部 4 応答部 5 検索部 6 転送部 11〜16、21〜26 ステップ 31 応答部 32 ゾーンファイル 33 フィルタ部

Claims (2)

    【特許請求の範囲】
  1. 【請求項1】 DNSサーバにおいて、 問い合わせを許可するIPアドレス、ネットワークアドレ
    ス、ホスト名、ドメイン名を格納した許可リストと、 問い合わせが発生すると、問い合わせ要求元のIPアドレ
    スまたはFQDNを前記許可リストの内容と照合し、前記許
    可リストに含まれていないか、または許可されていない
    かどうか判断し、前記許可リストに含まれていないか、
    許可されていなければ問い合わせ先にエラーを返す比較
    手段と、 前記許可リストで許可されていれば、ゾーンファイルま
    たはキャッシュファイルを参照し、問い合わせ対象のホ
    ストが登録してあれば、答えを問い合わせ元に返す応答
    手段を有することを特徴とするDNSサーバ。
  2. 【請求項2】 セカンダリDNSサーバに対するゾーン転
    送要求があると、転送先のセカンダリDNSサーバに、前
    記DNSサーバと同様なアクセス制御の仕組みを持ってい
    るかどうか調べる検索手段と、 転送先のDNSサーバにアクセス制御の仕組みが存在すれ
    ば、前記許可リストをゾーンファイルとともに転送し、
    アクセス制御の仕組みがなければ前記ゾーン転送ファイ
    ル内の記述から前記許可リストに含まれない登録ホスト
    または含まれているが制限がかかっている登録ホストの
    記述を削除したものを前記セカンダリDNSサーバへ転送
    する転送手段をさらに有する、請求項1記載のDNSサー
    バ。
JP2001050293A 2001-02-26 2001-02-26 Dnsサーバ Pending JP2002252626A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001050293A JP2002252626A (ja) 2001-02-26 2001-02-26 Dnsサーバ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001050293A JP2002252626A (ja) 2001-02-26 2001-02-26 Dnsサーバ

Publications (1)

Publication Number Publication Date
JP2002252626A true JP2002252626A (ja) 2002-09-06

Family

ID=18911273

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001050293A Pending JP2002252626A (ja) 2001-02-26 2001-02-26 Dnsサーバ

Country Status (1)

Country Link
JP (1) JP2002252626A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006067951A1 (ja) * 2004-12-22 2006-06-29 Matsushita Electric Industrial Co., Ltd. アクセス制御装置およびアクセス制御方法
JP2009200729A (ja) * 2008-02-20 2009-09-03 Nippon Telegraph & Telephone West Corp 名前解決制御装置および名前解決制御方法
JP2010034901A (ja) * 2008-07-29 2010-02-12 Nippon Telegr & Teleph Corp <Ntt> 通信制御装置、通信制御方法および通信制御処理プログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006067951A1 (ja) * 2004-12-22 2006-06-29 Matsushita Electric Industrial Co., Ltd. アクセス制御装置およびアクセス制御方法
JP2009200729A (ja) * 2008-02-20 2009-09-03 Nippon Telegraph & Telephone West Corp 名前解決制御装置および名前解決制御方法
JP2010034901A (ja) * 2008-07-29 2010-02-12 Nippon Telegr & Teleph Corp <Ntt> 通信制御装置、通信制御方法および通信制御処理プログラム
JP4592789B2 (ja) * 2008-07-29 2010-12-08 日本電信電話株式会社 通信制御装置、通信制御方法および通信制御処理プログラム

Similar Documents

Publication Publication Date Title
US7676564B2 (en) Managing stored data on a computer network
JP4852938B2 (ja) データサーバ及びデータ管理方法及びプログラム
US7529810B2 (en) DDNS server, a DDNS client terminal and a DDNS system, and a web server terminal, its network system and an access control method
US7623518B2 (en) Dynamic access control lists
US7558880B2 (en) Dynamic DNS registration method, domain name solution method, DNS proxy server, and address translation device
JP4460016B2 (ja) グローバルネームゾーン
US7320074B2 (en) Apparatus and method for using a directory service for authentication and authorization to access resources outside of the directory service
JP5167225B2 (ja) 1つのファイラー上の複数の仮想ファイラーが重複するネットワークアドレスを有する複数のアドレス空間に参加することを可能にする技術
US9106712B1 (en) Domain manager for plural domains and method of use
US8055751B2 (en) IP network management based on automatically acquired network entity status information
US20010011277A1 (en) Network directory access mechanism
JPWO2006067951A1 (ja) アクセス制御装置およびアクセス制御方法
JPH1074158A (ja) ネットワークのファイルシステムのクライアントのダイナミック認証方法および装置
US20070283028A1 (en) Name Challenge Enabled Zones
KR101419436B1 (ko) Dns 서비스 제공 방법 및 장치
JP3601526B2 (ja) 代理登録装置およびネットワークシステムおよびプログラム
JP4362487B2 (ja) Dnsサーバクライアントシステム、dnsサーバ装置、キャッシュサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム
JP3876737B2 (ja) Ddnsサーバとddnsクライアント端末、及びddnsシステム
JP2002252626A (ja) Dnsサーバ
CN116938875A (zh) 域名检测方法、域名解析器、电子设备和存储介质
JPH05143435A (ja) データベースシステム
US20060031382A1 (en) System and method for translating fully qualified domain name access in a browser environment
JP2004120470A (ja) サーバ装置及び名前解決方法
JP2000267974A (ja) ウェブサーバ応答システム、応答方法及び記録媒体
JP2002026971A (ja) ドメイン接続方法及びシステム