JP2005210513A - View access control method classified by domain name, dns server system device, view access control program classified by domain name, and storage medium storing view access control program classified by domain name - Google Patents

View access control method classified by domain name, dns server system device, view access control program classified by domain name, and storage medium storing view access control program classified by domain name Download PDF

Info

Publication number
JP2005210513A
JP2005210513A JP2004016117A JP2004016117A JP2005210513A JP 2005210513 A JP2005210513 A JP 2005210513A JP 2004016117 A JP2004016117 A JP 2004016117A JP 2004016117 A JP2004016117 A JP 2004016117A JP 2005210513 A JP2005210513 A JP 2005210513A
Authority
JP
Japan
Prior art keywords
access control
domain name
view
pointer
dns
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004016117A
Other languages
Japanese (ja)
Other versions
JP3873975B2 (en
Inventor
Yuichi Shimamura
祐一 島村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004016117A priority Critical patent/JP3873975B2/en
Publication of JP2005210513A publication Critical patent/JP2005210513A/en
Application granted granted Critical
Publication of JP3873975B2 publication Critical patent/JP3873975B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To realize a view access control classified by domain names which can establish an access control policy for each domain name. <P>SOLUTION: The device comprises a DNS (Domain Name System) database which manages resources records; a DNS query tranceiver processing means for transceiving of DNS query request and DNS query answer between DNS client devices through a network; and a database search processing means to perform search processing for the DNS database. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、ドメイン名別ビューアクセス制御方法及びDNSサーバシステム装置及びドメイン名別ビューアクセス制御プログラム及びドメイン名別ビューアクセス制御プログラムを格納した記憶媒体に係り、特に、DNS(Domain Name System)サーバシステムにおける、ドメイン名別ビューアクセス制御方法及びDNSサーバシステム装置及びドメイン名別ビューアクセス制御プログラム及びドメイン名別ビューアクセス制御プログラムを格納した記憶媒体に関する。   The present invention relates to a view access control method by domain name, a DNS server system apparatus, a view access control program by domain name, and a view access control program by domain name, and in particular, a DNS (Domain Name System) server system. The domain name view access control method, DNS server system apparatus, domain name view access control program, and domain name view access control program.

従来、DNSサーバシステムにおいて、ゾーン毎のビュー(View)によるアクセス制御方法が知られている(例えば、非特許文献1参照)。   Conventionally, an access control method using a view (View) for each zone is known in a DNS server system (see, for example, Non-Patent Document 1).

通常は、DNSサーバシステムは、DNSクライアントシステムからクエリ要求のあったドメイン名に対して一意に定まるように登録されているリソースレコード群を検索して応答するが、ビューが設定されている場合には、DNSクライアントシステムのIPアドレスに応じてドメイン名に対するリソースレコードを検索するゾーンデータを切り替えることにより、DNSクライアントシステムのIPアドレスに応じてDNSクライアントシステムに応答するリソースレコードの内容を切り替えることが可能になる。   Normally, the DNS server system searches and responds to the resource record group registered so as to be uniquely determined for the domain name requested by the DNS client system, but when the view is set. Can switch the contents of the resource record that responds to the DNS client system according to the IP address of the DNS client system by switching the zone data for searching the resource record for the domain name according to the IP address of the DNS client system become.

ビューはゾーンごとに設定可能であり、DNSサーバシステムではビュー単位に切り替えるためのゾーンデータを登録することになる。   A view can be set for each zone, and in the DNS server system, zone data for switching to a view unit is registered.

また、複数あるビューのうちのどのビューのゾーンデータ(リソースデータ)を応答するかは、各ビュー毎のアクセス制御リストに記述されたIPアドレス及びIPネットワークアドレスと、DNSクライアントのIPアドレスとの比較により行われ、一致した場合に、該当のビューのゾーンデータに含まれるリソースレコードが応答される。   Further, which zone data (resource data) of a plurality of views is to be responded is determined by comparing the IP address and IP network address described in the access control list for each view with the IP address of the DNS client. If there is a match, the resource record included in the zone data of the corresponding view is returned.

ここで、ゾーンデータはドメイン名とそれに対応するリソースレコードの組のデータのことである。   Here, the zone data is data of a set of a domain name and a corresponding resource record.

ビューによるアクセス制御により、ENUM(RFC2916)の論理アドレスサービス起動方法が実現される。
Paul Albitz, Cricket Liu著、小館光正訳、“DNS&BIND第4版”、p.323−p.326,オイラリージャパン By the access control by the view, the logical address service activation method of ENUM (RFC2916) is realized.
Paul Albitz, Cricket Liu, Mitsumasa Kodate, “DNS & BIND 4th Edition”, p. 323-p. 326, Oily Japan

しかしながら、上記従来のゾーン毎のビューによるアクセス制御方法では、ゾーン毎にしか応答するリソースレコードの内容を切り替えできないことから、同一ゾーンに含まれるドメイン名同士は、同一のアクセス制御リストを使用しなければならないことになる。   However, in the conventional access control method based on the view for each zone, the contents of the resource record that responds only for each zone cannot be switched. Therefore, domain names included in the same zone must use the same access control list. It will be necessary.

このため、ドメイン名毎にアクセス制御したいDNSクライアントシステムが異なる場合には、ゾーンを分割するか、各ドメイン名毎に設定したいアクセス制御リスト毎にビューを設定する必要がある。   For this reason, when the DNS client system to be subjected to access control differs for each domain name, it is necessary to divide the zone or set a view for each access control list to be set for each domain name.

しかし、ENUMのように個々の電話番号(E.164番号)がドメイン名に対応している場合には、個々の電話番号を所有する個人のアクセス制御ポリシがドメイン名のアクセス制御ポリシとなり、全てのドメイン名毎にアクセス制御リストが異なる場合も想定されるため、各ドメイン名毎に必要なアクセス制御リスト毎にビューを設定するのはゾーン毎のビュー面数が大きくなるため現実的でない。   However, if each telephone number (E.164 number) corresponds to a domain name as in ENUM, the access control policy of the individual who owns the individual telephone number becomes the access control policy for the domain name. Since the access control list may be different for each domain name, setting a view for each access control list required for each domain name is not practical because the number of view planes for each zone increases.

このように、従来の技術では、アクセス制御ポリシがドメイン名毎に異なる場合にはビューの設定が難しく、ドメイン名毎に細かいアクセス制御が実現しにくいという問題がある。   As described above, in the conventional technique, when the access control policy is different for each domain name, it is difficult to set a view, and it is difficult to realize fine access control for each domain name.

本発明は、上記の点に鑑みなされたもので、ドメイン名毎にアクセス制御ポリシが設定可能なドメイン名別ビューアクセス制御方法及びDNSサーバシステム装置及びドメイン名別ビューアクセス制御プログラム及びドメイン名別ビューアクセス制御プログラムを格納した記憶媒体を提供することを目的とする。   The present invention has been made in view of the above points. A domain name view access control method, a DNS server system apparatus, a domain name view access control program, and a domain name view that can set an access control policy for each domain name. It is an object to provide a storage medium storing an access control program.

図1は、本発明の原理を説明するためのフローチャートである。   FIG. 1 is a flowchart for explaining the principle of the present invention.

本発明は、ドメイン名毎にアクセス制御ポリシが設定可能な、ドメイン名別ビューアクセス制御方法において、
ドメイン名毎に複数のビューを持ち、該ビュー毎にアクセス制御リスト及びリソースレコードを、データベース上に保持する。 The present invention provides a domain name view access control method in which an access control policy can be set for each domain name.
Each domain name has a plurality of views, and an access control list and resource records are held on the database for each view.

また、本発明は、データベースに、
ゾーンデータ及びアクセス制御リストを、ゾーンデータ表、ドメイン名別情報表、アクセス制御表、及び、リソースレコード格納表に分割して格納し、
ゾーンデータ表には、ドメイン名と、該ドメイン名に対応するドメイン名別情報表へのポインタを格納し、
ドメイン名別情報表には、ドメイン名に対応するアクセス制御表へのポインタと、該ドメイン名毎に設定する複数のビューに対応するリソースレコード格納表へのポインタを格納し、
アクセス制御表には、ビューを識別するビューIDと、ドメイン名毎に設定する各ビューに対応するアクセス制御用の複数のIPアドレス及びIPネットワークアドレスをアクセス制御リストとして格納し、
リソースレコード格納表には、ドメイン名毎に設定する各ビューに対応するリソースレコードを格納する。 The present invention also provides a database with
The zone data and access control list are divided and stored in a zone data table, a domain name information table, an access control table, and a resource record storage table.
In the zone data table, a domain name and a pointer to the domain name information table corresponding to the domain name are stored.
In the information table by domain name, a pointer to an access control table corresponding to the domain name and a pointer to a resource record storage table corresponding to a plurality of views set for each domain name are stored.
In the access control table, a view ID for identifying a view and a plurality of IP addresses and IP network addresses for access control corresponding to each view set for each domain name are stored as an access control list.
The resource record storage table stores a resource record corresponding to each view set for each domain name.

また、本発明は、DNS(Domain Name System)サーバシステム装置において、
DNSクライアント装置からのDNSクエリ要求を受信し(ステップ1)、
DNSクエリ要求に基づいて、データベース上のゾーンデータ表を検索し、対応するドメイン名別情報表へのポインタを取得し(ステップ2)、
ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表にアクセスして、アクセス制御表へのポインタを取得し(ステップ3)、
アクセス制御表へのポインタに基づいて、該アクセス制御表にアクセスし、アクセス制御表の各ビューのアクセス制御リストとDNSクライアント装置のIPアドレスとを比較し、一致するビューIDを決定し(ステップ4)、
ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表にアクセスして、決定したビューIDに対応するリソースレコード格納表へのポインタを取得し(ステップ5)、
リソースレコード格納表へのポインタに基づいて、該リソースレコード格納表にアクセスして、リソースレコード群を取得し(ステップ6)、
DNSクライアント装置へのDNSクエリ応答を送信する(ステップ7)。 Further, the present invention provides a DNS (Domain Name System) server system device,
Receiving a DNS query request from a DNS client device (step 1);
Based on the DNS query request, the zone data table on the database is searched, and a pointer to the corresponding domain name information table is obtained (step 2).
Based on the pointer to the domain name information table, the domain name information table is accessed to obtain a pointer to the access control table (step 3).
Based on the pointer to the access control table, the access control table is accessed, the access control list of each view of the access control table is compared with the IP address of the DNS client device, and a matching view ID is determined (step 4). ),
Based on the pointer to the domain name information table, the domain name information table is accessed to obtain a pointer to the resource record storage table corresponding to the determined view ID (step 5),
Based on the pointer to the resource record storage table, the resource record storage table is accessed to obtain a resource record group (step 6).
A DNS query response to the DNS client device is transmitted (step 7).

また、本発明は、ビューを数値もしくは、文字列によるビューIDにより識別し、
ビューIDには一定のルールに基づく順序性を持たせる。 In the present invention, a view is identified by a view ID by a numerical value or a character string,
The view ID has order based on a certain rule.

また、本発明は、アクセス制御表の各ビューのアクセス制御リストと、DNSクライアント装置のIPアドレスの比較を行う際に、
最も大きなビューIDに対応するアクセス制御リストとの比較から始め、順次、小さなビューIDに対応するアクセス制御リストとの比較を行う。 In addition, the present invention, when comparing the access control list of each view of the access control table and the IP address of the DNS client device,
Starting with a comparison with the access control list corresponding to the largest view ID, the comparison is sequentially made with the access control list corresponding to the small view ID.

また、本発明は、最も小さなビューIDのビューに対応するアクセス制御リストは設定せず、全てのIPアドレスに一致するものとすることにより、DNSクライアント装置のIPアドレスと、最も大きなビューIDに対応するアクセス制御リストとの比較を行った際に、必ず複数あるビューのどこかには一致させる。   In addition, the present invention does not set an access control list corresponding to the view with the smallest view ID, and matches all IP addresses, thereby corresponding to the IP address of the DNS client device and the largest view ID. When comparing with the access control list to be used, it must match somewhere in the multiple views.

図2は、本発明の原理構成図である。   FIG. 2 is a principle configuration diagram of the present invention.

本発明は、ドメイン名毎にアクセス制御ポリシが設定可能な、ドメイン名別ビューアクセス制御を行うための、DNSサーバシステム装置1であって、
リソースレコードを管理するDNSデータベース13と、
ネットワーク3を介してDNSクライアント装置2との間でDNSクエリ要求及びDNSクエリ応答の送受信を行うためのDNSクエリ送受信処理手段11と、
DNSデータベース13に対して検索処理を行うDNSデータベース検索処理手段12と、を有する。 The present invention is a DNS server system apparatus 1 for performing view access control by domain name, in which an access control policy can be set for each domain name,
DNS database 13 for managing resource records;
DNS query transmission / reception processing means 11 for transmitting / receiving a DNS query request and a DNS query response to / from the DNS client device 2 via the network 3;
DNS database search processing means 12 for performing a search process on the DNS database 13.

また、本発明のDNSデータベース13は、
ゾーンデータ及びアクセス制御リストを分割して格納する、ゾーンデータ表131、ドメイン名別情報表132、アクセス制御表133、及び、リソースレコード格納表134を有し、
ゾーンデータ表131は、ドメイン名と、該ドメイン名に対応するドメイン名別情報表へのポインタを格納し、
ドメイン名別情報表132は、ドメイン名に対応するアクセス制御表へのポインタと、該ドメイン名毎に設定する複数のビューに対応するリソースレコード格納表へのポインタを格納し、
アクセス制御表133は、ビューを識別するビューIDと、ドメイン名毎に設定する各ビューに対応するアクセス制御用の複数のIPアドレス及びIPネットワークアドレスをアクセス制御リストとして格納し、
リソースレコード格納表134には、ドメイン名毎に設定する各ビューに対応するリソースレコードを格納する。 The DNS database 13 of the present invention is
A zone data table 131, a domain name information table 132, an access control table 133, and a resource record storage table 134, which divide and store zone data and access control lists;
The zone data table 131 stores a domain name and a pointer to a domain name information table corresponding to the domain name,
The domain name-specific information table 132 stores a pointer to an access control table corresponding to a domain name and a pointer to a resource record storage table corresponding to a plurality of views set for each domain name.
The access control table 133 stores a view ID for identifying a view and a plurality of IP addresses and IP network addresses for access control corresponding to each view set for each domain name as an access control list.
The resource record storage table 134 stores resource records corresponding to each view set for each domain name.

また、本発明のDNSデータベース検索処理手段12は、
DNSクエリ要求に基づいて、データベース13上のゾーンデータ表131を検索し、対応するドメイン名別情報表132へのポインタを取得する第1の手段と、
ドメイン名別情報表132へのポインタに基づいて、該ドメイン名別情報表132にアクセスして、アクセス制御表133へのポインタを取得する第2の手段と、
アクセス制御表133へのポインタに基づいて、該アクセス制御表133へアクセスし、該アクセス制御表133の各ビューのアクセス制御リストとDNSクライアント装置2のIPアドレスとを比較し、一致するビューIDを決定する第3の手段と、
ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表132にアクセスして、決定したビューIDに対応するリソースレコード格納表134へのポインタを取得する第4の手段と、
リソースレコード格納表134へのポインタに基づいて、該リソースレコード格納表134にアクセスして、リソースレコード群を取得する第5の手段と、を含む。 The DNS database search processing means 12 of the present invention
A first means for searching the zone data table 131 on the database 13 based on the DNS query request and obtaining a pointer to the corresponding domain name-specific information table 132;
A second means for accessing the domain name information table 132 based on the pointer to the domain name information table 132 and obtaining a pointer to the access control table 133;
Based on the pointer to the access control table 133, the access control table 133 is accessed, the access control list of each view of the access control table 133 is compared with the IP address of the DNS client device 2, and the matching view ID is determined. A third means for determining;
A fourth means for accessing the domain name information table 132 based on the pointer to the domain name information table and obtaining a pointer to the resource record storage table 134 corresponding to the determined view ID;
And a fifth means for accessing the resource record storage table 134 based on a pointer to the resource record storage table 134 and acquiring a resource record group.

また、本発明のDNSデータベース検索処理手段12の第3の手段は、
アクセス制御表133の各ビューのアクセス制御リストと、DNSクライアント装置のIPアドレスとの比較を行う際に、最も大きなビューIDに対応するアクセス制御リストとの比較から始め、順次、小さなビューIDに対応するアクセス制御リストとの比較を行う比較手段を含む。 The third means of the DNS database search processing means 12 of the present invention is:
When comparing the access control list for each view in the access control table 133 with the IP address of the DNS client device, start with a comparison with the access control list corresponding to the largest view ID, and sequentially correspond to the smaller view IDs. Comparing means for comparing with the access control list to be included.

また、上記の比較手段は、
最も小さなビューIDのビューに対応するアクセス制御リストは設定せず、全てのIPアドレスに一致するものとすることにより、前記DNSクライアント装置のIPアドレスと、最も大きなビューIDに対応するアクセス制御リストとの比較を行った際に、必ず複数あるビューのどこかには一致させる手段を含む。 Also, the above comparison means is
The access control list corresponding to the view with the smallest view ID is not set, and the IP address of the DNS client device, the access control list corresponding to the largest view ID, When the comparison is performed, means for matching is always included somewhere in the plurality of views.

本発明は、ドメイン名毎にアクセス制御ポリシが設定可能な、ドメイン名別ビューアクセス制御プログラムであって、
データベース上に、
ドメイン名と、該ドメイン名に対応するドメイン名別情報表へのポインタを格納したゾーンデータ表と、
ドメイン名に対応するアクセス制御表へのポインタと、該ドメイン名毎に設定する複数のビューに対応するリソースレコード格納表へのポインタを格納したドメイン名別情報表と、
ビューを識別するビューIDと、ドメイン名毎に設定する各ビューに対応するアクセス制御用の複数のIPアドレス及びIPネットワークアドレスをアクセス制御リストとして格納したアクセス制御表と、
ドメイン名毎に設定する各ビューに対応するリソースレコードを格納したソースレコード格納表と、が格納されていることを前提とし、
コンピュータに、
DNSクライアント装置からのDNSクエリ要求を受信する要求受信ステップと、
データベースのゾーンデータ表を検索して対応するドメイン名別情報表へのポインタを取得する第1の検索ステップと、
ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表にアクセスして、アクセス制御表へのポインタを取得する第2の検索ステップと、
アクセス制御表へのポインタに基づいて、該アクセス制御表にアクセスし、該アクセス制御表の各ビューのアクセス制御リストとDNSクライアント装置のIPアドレスとを比較し、一致するビューIDを決定する第3の検索ステップと、
ドメイン名別情報表へのポインタに基づいて、ドメイン名別情報表にアクセスして、第3の検索ステップで決定したビューIDに対応するリソースレコード格納表へのポインタを取得する第4の検索ステップと、
リソースレコード格納表へのポインタに基づいて、リソースレコード格納表にアクセスし、リソースレコード群を取得する第5の検索ステップと、
DNSクライアントへのDNSクエリ応答を送信する応答送信ステップと、を実行させる。 The present invention is a domain name view access control program in which an access control policy can be set for each domain name,
On the database,
A zone data table storing a domain name and a pointer to a domain name information table corresponding to the domain name;
A domain name information table storing a pointer to an access control table corresponding to a domain name and pointers to resource record storage tables corresponding to a plurality of views set for each domain name;
A view ID for identifying a view, an access control table storing a plurality of IP addresses and IP network addresses for access control corresponding to each view set for each domain name, as an access control list;
Assuming that the source record storage table storing the resource records corresponding to each view set for each domain name is stored,
On the computer,
A request receiving step of receiving a DNS query request from a DNS client device;
A first search step of searching a zone data table of a database and obtaining a pointer to a corresponding domain name information table;
A second search step of accessing the domain name information table based on the pointer to the domain name information table and obtaining a pointer to the access control table;
The access control table is accessed based on the pointer to the access control table, the access control list of each view of the access control table is compared with the IP address of the DNS client device, and a matching view ID is determined. And the search step
A fourth search step of accessing the domain name information table based on the pointer to the domain name information table and obtaining a pointer to the resource record storage table corresponding to the view ID determined in the third search step When,
A fifth search step of accessing the resource record storage table and obtaining a resource record group based on the pointer to the resource record storage table;
A response transmission step of transmitting a DNS query response to the DNS client.

また、本発明の第3の検索ステップにおいて、
アクセス制御表の各ビューのアクセス制御リストと、DNSクライアント装置のIPアドレスとの比較を行う際に、最も大きなビューIDに対応するアクセス制御リストとの比較から始め、順次、小さなビューIDに対応するアクセス制御リストとの比較を行うステップを実行させる。 In the third search step of the present invention,
When comparing the access control list of each view of the access control table with the IP address of the DNS client device, start with a comparison with the access control list corresponding to the largest view ID, and sequentially correspond to the smaller view IDs. A step of performing comparison with the access control list is executed.

本発明は、ドメイン名毎にアクセス制御ポリシが設定可能な、ドメイン名別ビューアクセス制御プログラムを格納した記憶媒体であって、
データベース上に、
ドメイン名と、該ドメイン名に対応するドメイン名別情報表へのポインタを格納したゾーンデータ表と、
ドメイン名に対応するアクセス制御表へのポインタと、該ドメイン名毎に設定する複数のビューに対応するリソースレコード格納表へのポインタを格納したドメイン名別情報表と、
ビューを識別するビューIDと、ドメイン名毎に設定する各ビューに対応するアクセス制御用の複数のIPアドレス及びIPネットワークアドレスをアクセス制御リストとして格納したアクセス制御表と、
ドメイン名毎に設定する各ビューに対応するリソースレコードを格納したソースレコード格納表と、が格納されていることを前提とし、
コンピュータに、
DNSクライアント装置からのDNSクエリ要求を受信する要求受信ステップと、
データベースのゾーンデータ表を検索して対応するドメイン名別情報表へのポインタを取得する第1の検索ステップと、
ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表にアクセスして、アクセス制御表へのポインタを取得する第2の検索ステップと、
アクセス制御表へのポインタに基づいて、該アクセス制御表にアクセスし、該アクセス制御表の各ビューのアクセス制御リストとDNSクライアント装置のIPアドレスとを比較し、一致するビューIDを決定する第3の検索ステップと、
ドメイン名別情報表へのポインタに基づいて、ドメイン名別情報表にアクセスして、第3の検索ステップで決定したビューIDに対応するリソースレコード格納表へのポインタを取得する第4の検索ステップと、
リソースレコード格納表へのポインタに基づいて、リソースレコード格納表にアクセスし、リソースレコード群を取得する第5の検索ステップと、
DNSクライアントへのDNSクエリ応答を送信する応答送信ステップと、を実行させるプログラムを格納する。 The present invention is a storage medium storing a view access control program for each domain name in which an access control policy can be set for each domain name,
On the database,
A zone data table storing a domain name and a pointer to a domain name information table corresponding to the domain name;
A domain name information table storing a pointer to an access control table corresponding to a domain name and pointers to resource record storage tables corresponding to a plurality of views set for each domain name;
A view ID for identifying a view, an access control table storing a plurality of IP addresses and IP network addresses for access control corresponding to each view set for each domain name, as an access control list;
Assuming that the source record storage table storing the resource records corresponding to each view set for each domain name is stored,
On the computer,
A request receiving step of receiving a DNS query request from a DNS client device;
A first search step of searching a zone data table of a database and obtaining a pointer to a corresponding domain name information table;
A second search step of accessing the domain name information table based on the pointer to the domain name information table and obtaining a pointer to the access control table;
The access control table is accessed based on the pointer to the access control table, the access control list of each view of the access control table is compared with the IP address of the DNS client device, and a matching view ID is determined. And the search step
A fourth search step of accessing the domain name information table based on the pointer to the domain name information table and obtaining a pointer to the resource record storage table corresponding to the view ID determined in the third search step When,
A fifth search step of accessing the resource record storage table and obtaining a resource record group based on the pointer to the resource record storage table;
A response transmission step of transmitting a DNS query response to the DNS client is stored.

また、本発明の第3の検索ステップにおいて、
アクセス制御表の各ビューのアクセス制御リストと、DNSクライアント装置のIPアドレスとの比較を行う際に、最も大きなビューIDに対応するアクセス制御リストとの比較から始め、順次、小さなビューIDに対応するアクセス制御リストとの比較を行うステップを実行させる。 In the third search step of the present invention,
When comparing the access control list of each view of the access control table with the IP address of the DNS client device, start with a comparison with the access control list corresponding to the largest view ID and sequentially correspond to the smaller view IDs. A step of performing comparison with the access control list is executed.

上記のように、本発明では、ゾーンデータ及びアクセス制御リストをゾーンデータ表、ドメイン名別情報表、アクセス制御表、及び、リソースレコード格納表に分割して格納することにより、ドメイン名毎に複数のビューを持ち、そのビュー毎にアクセス制御リスト及びリソースレコードを保持することが可能になる。従って、ドメイン名毎にアクセス制御ポリシの設定が可能になる。   As described above, in the present invention, the zone data and the access control list are divided into the zone data table, the domain name-specific information table, the access control table, and the resource record storage table. It is possible to hold an access control list and a resource record for each view. Therefore, an access control policy can be set for each domain name.

また、本発明では、ビューの識別にビューIDを用い、最も大きなビューIDに対応するアクセス制御リストとの比較から始め、順次、小さなビューIDに対応するアクセス制御リストとの比較を行い、最も小さなビューIDのビューに対応するアクセス制御リストは設定せず、全てのIPアドレスに一致するものとすることにより、DNSクライアント装置のIPアドレスと、ビューIDに対応するアクセス制御リストとの比較を行っていった際に、必ずどこかのビューに一致させることが可能になる。   Also, in the present invention, the view ID is used for view identification, starting with a comparison with the access control list corresponding to the largest view ID, and sequentially comparing with the access control list corresponding to the small view ID to obtain the smallest The access control list corresponding to the view with the view ID is not set, and the IP address of the DNS client device is compared with the access control list corresponding to the view ID by matching all IP addresses. It is always possible to match some view.

以下、図面と共に、本発明の一実施の形態について説明する。   Hereinafter, an embodiment of the present invention will be described with reference to the drawings.

図3は、本発明の一実施の形態におけるシステム構成を示しており、DNSクライアントサーバシステムを示す。   FIG. 3 shows a system configuration in an embodiment of the present invention, and shows a DNS client server system.

同図に示すサーバシステムは、DNSサーバ装置1、DNSクライアント装置2、及びこれらの装置を接続するネットワーク3から構成される。   The server system shown in FIG. 1 includes a DNS server device 1, a DNS client device 2, and a network 3 that connects these devices.

DNSサーバシステム装置1は、DNSクエリ送受信処理部11とDNSデータベース検索処理部12とDNSデータベース13から構成される。   The DNS server system device 1 includes a DNS query transmission / reception processing unit 11, a DNS database search processing unit 12, and a DNS database 13.

DNSクエリ送受信処理部11は、ネットワーク3を介してDNSクライアント装置2との間でDNSクエリ要求の受信及びDNSクエリ応答の送信を行う。   The DNS query transmission / reception processing unit 11 receives a DNS query request and transmits a DNS query response with the DNS client device 2 via the network 3.

DNSデータベース検索処理部12は、ゾーンデータを管理しているDNSデータベース13の複数の表に対して検索処理を行う。   The DNS database search processing unit 12 performs a search process on a plurality of tables in the DNS database 13 that manages zone data.

DNSデータベース13は、ゾーンデータ表131、ドメイン名別情報表132、アクセス制御表133、及びリソースレコード格納表134から構成される。   The DNS database 13 includes a zone data table 131, a domain name information table 132, an access control table 133, and a resource record storage table 134.

ゾーンデータ表131には、ドメイン名と、ドメイン名に対応するドメイン名別情報表132へのポインタを格納する。ポインタは、メモリ空間のアドレスであってもよいし、データベース上のオブジェクトとしての表の名前でもよい。   The zone data table 131 stores a domain name and a pointer to the domain name information table 132 corresponding to the domain name. The pointer may be an address in a memory space or a table name as an object on the database.

ドメイン名別情報表132には、ドメイン名に対応するアクセス制御表133へのポインタと、ドメイン名毎に設定する複数のビューに対応するリソースレコード格納表134へのポインタを格納する。ドメイン名別情報表132は、ドメイン名毎に1個の表が作成される。   The domain name-specific information table 132 stores a pointer to the access control table 133 corresponding to the domain name and a pointer to the resource record storage table 134 corresponding to a plurality of views set for each domain name. In the domain name information table 132, one table is created for each domain name.

アクセス制御表133には、ビューを識別するビューIDと、ドメイン名毎に設定する各ビューに対応するアクセス制御リストとして格納する。   The access control table 133 stores a view ID for identifying a view and an access control list corresponding to each view set for each domain name.

アクセス制御表133は、ドメイン名毎に1個の表が作成される。   In the access control table 133, one table is created for each domain name.

ビューIDは、数値でもよいし文字列でもよいが、ビューIDによりビューの順序性が一意に定まるようにする。   The view ID may be a numerical value or a character string, but the view ID is uniquely determined by the view ID.

アクセス制御リストは、複数のIPアドレス及びIPネットワークアドレスをリストとして保持する。あるIPアドレスが、アクセス制御リストに含まれるIPアドレスもしくは、IPネットワークアドレスに一致する時、あるIPアドレスはその一致したビューに対応するデータを参照することになる。   The access control list holds a plurality of IP addresses and IP network addresses as a list. When an IP address matches an IP address included in the access control list or an IP network address, the IP address refers to data corresponding to the matched view.

また、ドメイン名別情報表132とアクセス制御法133は、統合した表とすることも可能である。   Further, the domain name information table 132 and the access control method 133 may be integrated.

リソースレコード格納表134は、ドメイン名毎に設定する各ビューに対応するリソースレコードを格納する。リソースレコード格納表134は、ドメイン名毎に1個の表が作成される。ドメイン名に対応するリソースレコードは複数存在する。   The resource record storage table 134 stores resource records corresponding to each view set for each domain name. In the resource record storage table 134, one table is created for each domain name. There are multiple resource records corresponding to the domain name.

DNSクライアント装置2は、DNSクライアント機能を搭載している装置であり、例えば、DNSキャッシュサーバ、DNSフルサービスリゾルバ、ユーザ端末である。   The DNS client device 2 is a device equipped with a DNS client function, and is, for example, a DNS cache server, a DNS full service resolver, or a user terminal.

ネットワーク3は、DNSサーバシステム装置1、及びDNSクライアント装置2が接続される通信ネットワークであり、例えば、インターネットである。   The network 3 is a communication network to which the DNS server system device 1 and the DNS client device 2 are connected, for example, the Internet.

次に、上記の構成における動作について説明する。   Next, the operation in the above configuration will be described.

図4は、本発明の一実施の形態におけるシステム全体の動作のシーケンス図である。   FIG. 4 is a sequence diagram of the operation of the entire system in one embodiment of the present invention.

以下、図3、図4を用いて説明する。   This will be described below with reference to FIGS.

DNSサーバシステム装置1は、DNSクライアント装置2からのDNSクエリ要求を受信する(ステップ101)。   The DNS server system device 1 receives a DNS query request from the DNS client device 2 (step 101).

次に、DNSデータベース検索処理部12は、DNSデータベース13のゾーンデータ表131を検索して対応するドメイン名別情報表132へのポインタを取得する(ステップ102)。   Next, the DNS database search processing unit 12 searches the zone data table 131 of the DNS database 13 and acquires a pointer to the corresponding domain name information table 132 (step 102).

次に、DNSデータベース検索処理部12は、ステップ102で取得したポインタに対応するドメイン名別情報表132にアクセスして、アクセス制御表133へのポインタを取得する(ステップ103)。   Next, the DNS database search processing unit 12 accesses the domain name information table 132 corresponding to the pointer acquired in Step 102 and acquires a pointer to the access control table 133 (Step 103).

次に、DNSデータベース検索処理部12は、ステップ103で取得したポインタに対応するアクセス制御表133にアクセスし、当該アクセス制御表133の最も大きなビューIDのアクセス制御リストとDNSクライアント装置2のIPアドレスとを比較し、一致するかどうか判定する。一致した場合は、そのビューIDに決定する。一致しなかった場合は、次に大きなビューIDのアクセス制御リストとの比較を行い、一致するまでアクセス制御リストとの比較を繰り返し、ビューIDを決定する(ステップ104)。   Next, the DNS database search processing unit 12 accesses the access control table 133 corresponding to the pointer acquired in Step 103, the access control list of the largest view ID in the access control table 133 and the IP address of the DNS client device 2. Are compared to determine whether they match. If they match, the view ID is determined. If they do not match, a comparison is made with the access control list of the next largest view ID, and the comparison with the access control list is repeated until they match to determine the view ID (step 104).

次に、DNSデータベース検索処理部12は、DNSデータベース13のドメイン名別情報表132にアクセスして、ステップ104で決定したビューIDに対応するリソースレコード格納表134へのポインタを取得する(ステップ105)。   Next, the DNS database search processing unit 12 accesses the domain name information table 132 of the DNS database 13 and acquires a pointer to the resource record storage table 134 corresponding to the view ID determined in Step 104 (Step 105). ).

次に、DNSデータベース検索処理部12は、ステップ105で取得したポインタに対応するリソースレコード格納表134にアクセスして、リソースレコード群を取得する(ステップ106)。   Next, the DNS database search processing unit 12 accesses the resource record storage table 134 corresponding to the pointer acquired in Step 105, and acquires a resource record group (Step 106).

最後に、DNSクエリ送受信処理部11において、DNSクライアント装置2へDNSクエリ応答を送信する(ステップ107)。   Finally, the DNS query transmission / reception processing unit 11 transmits a DNS query response to the DNS client device 2 (step 107).

なお、DNSサーバシステム装置1は、専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを構築し、コンピュータシステム読み取り可能な記憶媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。   The DNS server system device 1 constructs a program for realizing its function in addition to that realized by dedicated hardware, records it on a computer-readable storage medium, and records it on this recording medium. The read program may be read into a computer system and executed.

ここで、コンピュータシステム読み取り可能な記憶媒体とは、フロッピー(登録商標)ディスク、CD−ROM等の記憶媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータシステム読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。   Here, the computer system-readable storage medium refers to a storage medium such as a floppy (registered trademark) disk, a CD-ROM, or a hard disk device built in the computer system. Further, the computer system-readable recording medium is a medium that dynamically holds a program for a short time (transmission medium or transmission wave) as in the case of transmitting a program via the Internet, and a server in that case. Such as a volatile memory inside a computer system that holds a program for a certain period of time.

なお、本発明は、上記の実施の形態及び実施例に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。   The present invention is not limited to the above-described embodiments and examples, and various modifications and applications are possible within the scope of the claims.

本発明は、DNSサーバシステムに適用可能である。   The present invention is applicable to a DNS server system.

本発明の原理を説明するためのフローチャートである。It is a flowchart for demonstrating the principle of this invention. 本発明の原理構成図である。It is a principle block diagram of this invention. 本発明の一実施の形態におけるシステム構成図である。1 is a system configuration diagram according to an embodiment of the present invention. 本発明の一実施の形態におけるシステム全体のシーケンス図である。It is a sequence diagram of the whole system in one embodiment of the present invention.

符号の説明Explanation of symbols

1 DNSサーバシステム装置
2 DNSクライアント装置
3 ネットワーク
11 DNSクエリ送受信処理手段、DNSクエリ送受信処理部
12 DNSデータベース検索処理手段、DNSデータベース検索処理部
13 DNSデータベース
131 ゾーンデータ表
132 ドメイン名別情報表
133 アクセス制御表
134 リソースレコード格納表 DESCRIPTION OF SYMBOLS 1 DNS server system apparatus 2 DNS client apparatus 3 Network 11 DNS query transmission / reception processing means, DNS query transmission / reception processing part 12 DNS database search processing means, DNS database search processing part 13 DNS database 131 Zone data table 132 Domain name-specific information table 133 Access Control table 134 Resource record storage table

Claims (15)

ドメイン名毎にアクセス制御ポリシが設定可能な、ドメイン名別ビューアクセス制御方法において、
ドメイン名毎に複数のビューを持ち、該ビュー毎にアクセス制御リスト及びリソースレコードを、データベース上に保持することを特徴とするドメイン名別ビューアクセス制御方法。 In the view access control method by domain name in which an access control policy can be set for each domain name,
A view access control method for each domain name, comprising: a plurality of views for each domain name; and an access control list and a resource record for each view are stored on a database. 前記データベースに、
ゾーンデータ及びアクセス制御リストを、ゾーンデータ表、ドメイン名別情報表、アクセス制御表、及び、リソースレコード格納表に分割して格納し、
前記ゾーンデータ表には、ドメイン名と、該ドメイン名に対応するドメイン名別情報表へのポインタを格納し、
前記ドメイン名別情報表には、ドメイン名に対応するアクセス制御表へのポインタと、該ドメイン名毎に設定する複数のビューに対応するリソースレコード格納表へのポインタを格納し、
前記アクセス制御表には、ビューを識別するビューIDと、ドメイン名毎に設定する各ビューに対応するアクセス制御用の複数のIPアドレス及びIPネットワークアドレスをアクセス制御リストとして格納し、
前記リソースレコード格納表には、ドメイン名毎に設定する各ビューに対応するリソースレコードを格納することを特徴とするドメイン名別ビューアクセス制御方法。 In the database,
The zone data and access control list are divided and stored in a zone data table, a domain name information table, an access control table, and a resource record storage table.
The zone data table stores a domain name and a pointer to a domain name-specific information table corresponding to the domain name,
The domain name-specific information table stores a pointer to an access control table corresponding to a domain name and a pointer to a resource record storage table corresponding to a plurality of views set for each domain name,
In the access control table, a view ID for identifying a view, and a plurality of IP addresses and IP network addresses for access control corresponding to each view set for each domain name are stored as an access control list,
The resource record storage table stores a resource record corresponding to each view set for each domain name, and a view access control method for each domain name. DNS(Domain Name System)サーバシステム装置において、
DNSクライアント装置からのDNSクエリ要求を受信し、
前記DNSクエリ要求に基づいて、前記データベース上の前記ゾーンデータ表を検索し、対応するドメイン名別情報表へのポインタを取得し、
前記ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表にアクセスして、前記アクセス制御表へのポインタを取得し、
前記アクセス制御表へのポインタに基づいて、該アクセス制御表にアクセスし、前記アクセス制御表の各ビューのアクセス制御リストと前記DNSクライアント装置のIPアドレスとを比較し、一致するビューIDを決定し、
前記ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表にアクセスして、決定した前記ビューIDに対応するリソースレコード格納表へのポインタを取得し、
前記リソースレコード格納表へのポインタに基づいて、該リソースレコード格納表にアクセスして、リソースレコード群を取得し、
前記DNSクライアント装置へのDNSクエリ応答を送信する、請求項2記載のドメイン名別ビューアクセス制御方法。 In a DNS (Domain Name System) server system device,
Receiving a DNS query request from a DNS client device;
Based on the DNS query request, search the zone data table on the database, obtain a pointer to the corresponding domain name information table,
Based on the pointer to the domain name information table, access the domain name information table to obtain a pointer to the access control table,
Based on the pointer to the access control table, the access control table is accessed, the access control list of each view of the access control table is compared with the IP address of the DNS client device, and a matching view ID is determined. ,
Based on the pointer to the domain name information table, access the domain name information table to obtain a pointer to the resource record storage table corresponding to the determined view ID,
Based on the pointer to the resource record storage table, access the resource record storage table to obtain a resource record group,
The domain name view access control method according to claim 2, wherein a DNS query response to the DNS client device is transmitted. 前記ビューを数値もしくは、文字列によるビューIDにより識別し、
前記ビューIDには一定のルールに基づく順序性を持たせる請求項1乃至3記載のドメイン名別ビューアクセス制御方法。 Identify the view by a numerical or character string view ID,
4. The view access control method for each domain name according to claim 1, wherein the view ID is given an order based on a certain rule. 前記アクセス制御表の各ビューのアクセス制御リストと、前記DNSクライアント装置のIPアドレスの比較を行う際に、
最も大きなビューIDに対応するアクセス制御リストとの比較から始め、順次、小さなビューIDに対応するアクセス制御リストとの比較を行う請求項3記載のドメイン名別ビューアクセス制御方法。 When comparing the access control list of each view of the access control table and the IP address of the DNS client device,
4. The view access control method by domain name according to claim 3, wherein comparison is made with an access control list corresponding to a small view ID, starting with a comparison with an access control list corresponding to the largest view ID. 最も小さなビューIDのビューに対応するアクセス制御リストは設定せず、全てのIPアドレスに一致するものとすることにより、前記DNSクライアント装置のIPアドレスと、最も大きなビューIDに対応するアクセス制御リストとの比較を行った際に、必ず複数あるビューのどこかには一致させる請求項5記載のドメイン名別ビューアクセス制御方法。   The access control list corresponding to the view with the smallest view ID is not set, and the IP address of the DNS client device, the access control list corresponding to the largest view ID, The domain name view access control method according to claim 5, wherein when the comparison is made, a certain view of a plurality of views is always matched. ドメイン名毎にアクセス制御ポリシが設定可能な、ドメイン名別ビューアクセス制御を行うための、DNSサーバシステム装置であって、
リソースレコードを管理するDNSデータベースと、
ネットワークを介してDNSクライアント装置との間でDNSクエリ要求及びDNSクエリ応答の送受信を行うためのDNSクエリ送受信処理手段と、
前記DNSデータベースに対して検索処理を行うDNSデータベース検索処理手段と、
を有することを特徴とするDNSサーバシステム装置。 A DNS server system device for performing view access control by domain name, in which an access control policy can be set for each domain name,
A DNS database for managing resource records;
DNS query transmission / reception processing means for transmitting / receiving a DNS query request and a DNS query response to / from a DNS client device via a network;
DNS database search processing means for performing search processing on the DNS database;
A DNS server system device comprising: 前記DNSデータベースは、
ゾーンデータ及びアクセス制御リストを分割して格納する、ゾーンデータ表、ドメイン名別情報表、アクセス制御表、及び、リソースレコード格納表を有し、
前記ゾーンデータ表は、ドメイン名と、該ドメイン名に対応するドメイン名別情報表へのポインタを格納し、
前記ドメイン名別情報表は、ドメイン名に対応するアクセス制御表へのポインタと、該ドメイン名毎に設定する複数のビューに対応するリソースレコード格納表へのポインタを格納し、
前記アクセス制御表は、ビューを識別するビューIDと、ドメイン名毎に設定する各ビューに対応するアクセス制御用の複数のIPアドレス及びIPネットワークアドレスをアクセス制御リストとして格納し、
前記リソースレコード格納表には、ドメイン名毎に設定する各ビューに対応するリソースレコードを格納する請求項7記載のDNSサーバシステム装置。 The DNS database is
A zone data table, an information table by domain name, an access control table, and a resource record storage table, which divides and stores zone data and access control lists,
The zone data table stores a domain name and a pointer to a domain name-specific information table corresponding to the domain name,
The domain name-specific information table stores a pointer to an access control table corresponding to a domain name and a pointer to a resource record storage table corresponding to a plurality of views set for each domain name,
The access control table stores a view ID for identifying a view and a plurality of IP addresses and IP network addresses for access control corresponding to each view set for each domain name as an access control list,
8. The DNS server system apparatus according to claim 7, wherein the resource record storage table stores a resource record corresponding to each view set for each domain name. 前記DNSデータベース検索処理手段は、
前記DNSクエリ要求に基づいて、前記データベース上の前記ゾーンデータ表を検索し、対応するドメイン名別情報表へのポインタを取得する第1の手段と、
前記ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表にアクセスして、前記アクセス制御表へのポインタを取得する第2の手段と、
前記アクセス制御表へのポインタに基づいて、該アクセス制御表へアクセスし、該アクセス制御表の各ビューのアクセス制御リストと前記DNSクライアント装置のIPアドレスとを比較し、一致するビューIDを決定する第3の手段と、
前記ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表にアクセスして、決定した前記ビューIDに対応するリソースレコード格納表へのポインタを取得する第4の手段と、
前記リソースレコード格納表へのポインタに基づいて、該リソースレコード格納表にアクセスして、リソースレコード群を取得する第5の手段と、
を、含む請求項7記載のDNSサーバシステム装置。 The DNS database search processing means includes:
First means for searching the zone data table on the database based on the DNS query request and obtaining a pointer to a corresponding domain name-specific information table;
A second means for accessing the domain name information table based on the pointer to the domain name information table and obtaining a pointer to the access control table;
Based on the pointer to the access control table, the access control table is accessed, the access control list of each view of the access control table is compared with the IP address of the DNS client device, and a matching view ID is determined. A third means;
A fourth means for accessing the domain name information table based on the pointer to the domain name information table and obtaining a pointer to the resource record storage table corresponding to the determined view ID;
A fifth means for obtaining a resource record group by accessing the resource record storage table based on a pointer to the resource record storage table;
The DNS server system apparatus according to claim 7, including: 前記DNSデータベース検索処理手段の第3の手段は、
前記アクセス制御表の各ビューのアクセス制御リストと、前記DNSクライアント装置のIPアドレスとの比較を行う際に、最も大きなビューIDに対応するアクセス制御リストとの比較から始め、順次、小さなビューIDに対応するアクセス制御リストとの比較を行う比較手段を含む請求項9記載のDNSサーバシステム装置。 The third means of the DNS database search processing means is:
When comparing the access control list of each view of the access control table with the IP address of the DNS client device, it starts with a comparison with the access control list corresponding to the largest view ID, and sequentially decreases to a smaller view ID. 10. The DNS server system apparatus according to claim 9, further comprising comparison means for performing comparison with a corresponding access control list. 前記比較手段は、
最も小さなビューIDのビューに対応するアクセス制御リストは設定せず、全てのIPアドレスに一致するものとすることにより、前記DNSクライアント装置のIPアドレスと、最も大きなビューIDに対応するアクセス制御リストとの比較を行った際に、必ず複数あるビューのどこかには一致させる手段を含む請求項10記載のドメイン名別ビューアクセス制御装置。 The comparison means includes
The access control list corresponding to the view with the smallest view ID is not set, and the IP address of the DNS client device, the access control list corresponding to the largest view ID, 11. The view access control apparatus for each domain name according to claim 10, further comprising means for always matching somewhere in a plurality of views when the comparison is made. ドメイン名毎にアクセス制御ポリシが設定可能な、ドメイン名別ビューアクセス制御プログラムであって、
データベース上に、
ドメイン名と、該ドメイン名に対応するドメイン名別情報表へのポインタを格納したゾーンデータ表と、
ドメイン名に対応するアクセス制御表へのポインタと、該ドメイン名毎に設定する複数のビューに対応するリソースレコード格納表へのポインタを格納したドメイン名別情報表と、
ビューを識別するビューIDと、ドメイン名毎に設定する各ビューに対応するアクセス制御用の複数のIPアドレス及びIPネットワークアドレスをアクセス制御リストとして格納したアクセス制御表と、
ドメイン名毎に設定する各ビューに対応するリソースレコードを格納したソースレコード格納表と、が格納されていることを前提とし、
コンピュータに、
DNSクライアント装置からのDNSクエリ要求を受信する要求受信ステップと、
前記データベースの前記ゾーンデータ表を検索して対応するドメイン名別情報表へのポインタを取得する第1の検索ステップと、
前記ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表にアクセスして、前記アクセス制御表へのポインタを取得する第2の検索ステップと、
前記アクセス制御表へのポインタに基づいて、該アクセス制御表にアクセスし、該アクセス制御表の各ビューのアクセス制御リストと前記DNSクライアント装置のIPアドレスとを比較し、一致するビューIDを決定する第3の検索ステップと、
前記ドメイン名別情報表へのポインタに基づいて、前記ドメイン名別情報表にアクセスして、前記第3の検索ステップで決定したビューIDに対応するリソースレコード格納表へのポインタを取得する第4の検索ステップと、
前記リソースレコード格納表へのポインタに基づいて、前記リソースレコード格納表にアクセスし、リソースレコード群を取得する第5の検索ステップと、
前記DNSクライアントへのDNSクエリ応答を送信する応答送信ステップと、を実行させることを特徴とするドメイン別ビューアクセス制御プログラム。 A domain name view access control program that can set an access control policy for each domain name.
On the database,
A zone data table storing a domain name and a pointer to a domain name information table corresponding to the domain name;
A domain name information table storing a pointer to an access control table corresponding to a domain name and pointers to resource record storage tables corresponding to a plurality of views set for each domain name;
A view ID for identifying a view, an access control table storing a plurality of IP addresses and IP network addresses for access control corresponding to each view set for each domain name, as an access control list;
Assuming that the source record storage table storing the resource records corresponding to each view set for each domain name is stored,
On the computer,
A request receiving step of receiving a DNS query request from a DNS client device;
A first search step of searching the zone data table of the database to obtain a pointer to a corresponding information table by domain name;
A second search step of accessing the domain name information table based on the pointer to the domain name information table and obtaining a pointer to the access control table;
Based on the pointer to the access control table, the access control table is accessed, the access control list of each view of the access control table is compared with the IP address of the DNS client device, and a matching view ID is determined. A third search step;
Based on the pointer to the domain name information table, the domain name information table is accessed to obtain a pointer to the resource record storage table corresponding to the view ID determined in the third search step. And the search step
A fifth search step of accessing the resource record storage table and obtaining a resource record group based on a pointer to the resource record storage table;
A response transmission step of transmitting a DNS query response to the DNS client is executed. 前記第3の検索ステップにおいて、
前記アクセス制御表の各ビューのアクセス制御リストと、前記DNSクライアント装置のIPアドレスとの比較を行う際に、最も大きなビューIDに対応するアクセス制御リストとの比較から始め、順次、小さなビューIDに対応するアクセス制御リストとの比較を行うステップを実行させる請求項12記載のドメイン別ビューアクセス制御プログラム。 In the third search step,
When comparing the access control list of each view of the access control table with the IP address of the DNS client device, it starts with a comparison with the access control list corresponding to the largest view ID, and sequentially decreases to a smaller view ID. 13. The domain-based view access control program according to claim 12, wherein a step of comparing with a corresponding access control list is executed. ドメイン名毎にアクセス制御ポリシが設定可能な、ドメイン名別ビューアクセス制御プログラムを格納した記憶媒体であって、
データベース上に、
ドメイン名と、該ドメイン名に対応するドメイン名別情報表へのポインタを格納したゾーンデータ表と、
ドメイン名に対応するアクセス制御表へのポインタと、該ドメイン名毎に設定する複数のビューに対応するリソースレコード格納表へのポインタを格納したドメイン名別情報表と、
ビューを識別するビューIDと、ドメイン名毎に設定する各ビューに対応するアクセス制御用の複数のIPアドレス及びIPネットワークアドレスをアクセス制御リストとして格納したアクセス制御表と、
ドメイン名毎に設定する各ビューに対応するリソースレコードを格納したソースレコード格納表と、が格納されていることを前提とし、
コンピュータに、
DNSクライアント装置からのDNSクエリ要求を受信する要求受信ステップと、
前記データベースの前記ゾーンデータ表を検索して対応するドメイン名別情報表へのポインタを取得する第1の検索ステップと、
前記ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表にアクセスして、前記アクセス制御表へのポインタを取得する第2の検索ステップと、
前記アクセス制御表へのポインタに基づいて、該アクセス制御表にアクセスし、該アクセス制御表の各ビューのアクセス制御リストと前記DNSクライアント装置のIPアドレスとを比較し、一致するビューIDを決定する第3の検索ステップと、
前記ドメイン名別情報表へのポインタに基づいて、前記ドメイン名別情報表にアクセスして、前記第3の検索ステップで決定したビューIDに対応するリソースレコード格納表へのポインタを取得する第4の検索ステップと、
前記リソースレコード格納表へのポインタに基づいて、前記リソースレコード格納表にアクセスし、リソースレコード群を取得する第5の検索ステップと、
前記DNSクライアントへのDNSクエリ応答を送信する応答送信ステップと、を実行させるプログラムを格納したことを特徴とするドメイン別ビューアクセス制御プログラムを格納した記憶媒体。 A storage medium storing a view access control program for each domain name in which an access control policy can be set for each domain name,
On the database,
A zone data table storing a domain name and a pointer to a domain name information table corresponding to the domain name;
A domain name information table storing pointers to access control tables corresponding to domain names, and pointers to resource record storage tables corresponding to a plurality of views set for each domain name;
A view ID for identifying a view, an access control table storing a plurality of IP addresses and IP network addresses for access control corresponding to each view set for each domain name, as an access control list;
Assuming that a source record storage table storing resource records corresponding to each view set for each domain name is stored,
On the computer,
A request receiving step of receiving a DNS query request from a DNS client device;
A first search step of searching the zone data table of the database to obtain a pointer to a corresponding information table by domain name;
A second search step of accessing the domain name information table based on the pointer to the domain name information table and obtaining a pointer to the access control table;
Based on the pointer to the access control table, the access control table is accessed, the access control list of each view of the access control table is compared with the IP address of the DNS client device, and a matching view ID is determined. A third search step;
Based on the pointer to the domain name information table, the domain name information table is accessed to obtain a pointer to the resource record storage table corresponding to the view ID determined in the third search step. And the search step
A fifth search step of accessing the resource record storage table and obtaining a resource record group based on a pointer to the resource record storage table;
A storage medium storing a domain-specific view access control program, wherein a program for executing a response transmission step of transmitting a DNS query response to the DNS client is stored. 前記第3の検索ステップにおいて、
前記アクセス制御表の各ビューのアクセス制御リストと、前記DNSクライアント装置のIPアドレスとの比較を行う際に、最も大きなビューIDに対応するアクセス制御リストとの比較から始め、順次、小さなビューIDに対応するアクセス制御リストとの比較を行うステップを実行させる請求項14記載のドメイン別ビューアクセス制御プログラムを格納した記憶媒体。
In the third search step,
When comparing the access control list of each view of the access control table with the IP address of the DNS client device, it starts with a comparison with the access control list corresponding to the largest view ID, and sequentially decreases to a smaller view ID. 15. A storage medium storing a domain-specific view access control program according to claim 14, wherein a step of performing comparison with a corresponding access control list is executed.
JP2004016117A 2004-01-23 2004-01-23 View access control method by domain name, DNS server system apparatus, view access control program by domain name, and storage medium storing view access control program by domain name Expired - Lifetime JP3873975B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004016117A JP3873975B2 (en) 2004-01-23 2004-01-23 View access control method by domain name, DNS server system apparatus, view access control program by domain name, and storage medium storing view access control program by domain name

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004016117A JP3873975B2 (en) 2004-01-23 2004-01-23 View access control method by domain name, DNS server system apparatus, view access control program by domain name, and storage medium storing view access control program by domain name

Publications (2)

Publication Number Publication Date
JP2005210513A true JP2005210513A (en) 2005-08-04
JP3873975B2 JP3873975B2 (en) 2007-01-31

Family

ID=34901370

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004016117A Expired - Lifetime JP3873975B2 (en) 2004-01-23 2004-01-23 View access control method by domain name, DNS server system apparatus, view access control program by domain name, and storage medium storing view access control program by domain name

Country Status (1)

Country Link
JP (1) JP3873975B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010523028A (en) * 2007-03-29 2010-07-08 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Address resolution database
KR20150100267A (en) * 2014-02-25 2015-09-02 주식회사 케이티 DNS Backend Processing For Network Traffic Isolation And Apparatus Therefor
CN111885216A (en) * 2020-07-15 2020-11-03 北京青云科技股份有限公司 DNS query method, device, equipment and storage medium
US20200380008A1 (en) * 2019-05-31 2020-12-03 Snowflake Inc. Sharing data in a data exchange using listings
CN116389411A (en) * 2023-06-07 2023-07-04 阿里巴巴(中国)有限公司 Domain name data processing method, device and equipment

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001326679A (en) * 2000-05-15 2001-11-22 Fujitsu Ltd Information unit, table retrieval device, table retrieval method, and recording medium
JP2002368781A (en) * 2001-06-07 2002-12-20 Nippon Telegr & Teleph Corp <Ntt> User location management domain name conversion system
JP2003032281A (en) * 2001-07-18 2003-01-31 Ntt Data Corp Access guidance apparatus and method
JP2004266568A (en) * 2003-02-28 2004-09-24 Nec Corp Name resolution server and packet transfer apparatus

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001326679A (en) * 2000-05-15 2001-11-22 Fujitsu Ltd Information unit, table retrieval device, table retrieval method, and recording medium
JP2002368781A (en) * 2001-06-07 2002-12-20 Nippon Telegr & Teleph Corp <Ntt> User location management domain name conversion system
JP2003032281A (en) * 2001-07-18 2003-01-31 Ntt Data Corp Access guidance apparatus and method
JP2004266568A (en) * 2003-02-28 2004-09-24 Nec Corp Name resolution server and packet transfer apparatus

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
井上 亜潮: "Solarisサーバ構築ガイド 第8回", SUNWORLD, vol. 第12巻,第12号, CSND200400012012, 1 December 2002 (2002-12-01), pages 104 - 113, ISSN: 0000751134 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010523028A (en) * 2007-03-29 2010-07-08 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Address resolution database
KR20150100267A (en) * 2014-02-25 2015-09-02 주식회사 케이티 DNS Backend Processing For Network Traffic Isolation And Apparatus Therefor
KR102187136B1 (en) * 2014-02-25 2020-12-07 주식회사 케이티 DNS Backend Processing For Network Traffic Isolation And Apparatus Therefor
US20200380008A1 (en) * 2019-05-31 2020-12-03 Snowflake Inc. Sharing data in a data exchange using listings
CN111885216A (en) * 2020-07-15 2020-11-03 北京青云科技股份有限公司 DNS query method, device, equipment and storage medium
CN111885216B (en) * 2020-07-15 2022-12-06 北京青云科技股份有限公司 DNS query method, device, equipment and storage medium
CN116389411A (en) * 2023-06-07 2023-07-04 阿里巴巴(中国)有限公司 Domain name data processing method, device and equipment
CN116389411B (en) * 2023-06-07 2023-08-18 阿里巴巴(中国)有限公司 Domain name data processing method, device and equipment

Also Published As

Publication number Publication date
JP3873975B2 (en) 2007-01-31

Similar Documents

Publication Publication Date Title
US8423581B2 (en) Proxy support for special subtree entries in a directory information tree using attribute rules
US8332423B2 (en) Method and apparatus for content sharing
US9143389B2 (en) Methods, appratuses, and computer program products for determining a network interface to access a network resource
JP6074514B2 (en) Feature information acquisition method, apparatus, network apparatus, program, and recording medium
US11347797B2 (en) Asset search and discovery system using graph data structures
US20150271031A1 (en) Systems and methods for improving domain name system traffic routing
JP4799018B2 (en) Method, system and apparatus for managing computer identification information
US10693834B2 (en) Client subnet efficiency by equivalence class aggregation
US9705843B2 (en) Method and system for domain name system based discovery of devices and objects
JP2008146412A (en) Network management system, program, and method
JP2005122702A (en) Method and apparatus for improving integration between search engine and one or more file servers
JP2009528773A (en) Global name zone
KR101419436B1 (en) Method and apparatus for Domain name service
WO2015192213A1 (en) System and method for retrieving data
KR20090025198A (en) Global provisioning of millions of users with deployment units
JP2016177688A (en) Data processor, data processing method and computer program
JP3873975B2 (en) View access control method by domain name, DNS server system apparatus, view access control program by domain name, and storage medium storing view access control program by domain name
KR101426012B1 (en) Extended resolution system using OID
EP2998886A1 (en) Reputation-based discovery of content objects
KR101328562B1 (en) Method and apparatus for managing contents using identification code
JP2016208443A (en) Name resolution device, name resolution method and name resolution program
EP2180662A2 (en) Network communication method, dispatch server and server
KR20010070944A (en) Method for monitoring telecommunication network performance based on web corresponding to change database structure
JP2005229309A (en) Apparatus, method and program for setting communication path
US11381503B2 (en) Data packet routing method and data packet routing device

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060629

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060704

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060901

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20061003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20061016

R150 Certificate of patent or registration of utility model

Ref document number: 3873975

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101102

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101102

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111102

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111102

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121102

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121102

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131102

Year of fee payment: 7

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term