JP2005341006A - アドレス解決サーバ、端末及びアドレス解決方法 - Google Patents
アドレス解決サーバ、端末及びアドレス解決方法 Download PDFInfo
- Publication number
- JP2005341006A JP2005341006A JP2004154277A JP2004154277A JP2005341006A JP 2005341006 A JP2005341006 A JP 2005341006A JP 2004154277 A JP2004154277 A JP 2004154277A JP 2004154277 A JP2004154277 A JP 2004154277A JP 2005341006 A JP2005341006 A JP 2005341006A
- Authority
- JP
- Japan
- Prior art keywords
- address
- terminal
- address resolution
- host name
- address information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】限定されたユーザのみがそのホスト名のアドレス情報を取得できるアドレス解決処理方法を提供すること。
【解決手段】ホスト名に対するアドレス情報を暗号化してアドレス解決サーバに保持し、アドレス解決要求に対して暗号化されたアドレス情報で応答し、ホストにおいてアドレス解決要求を行い応答で得られた暗号化されたアドレス情報を予め保持している秘密鍵を用いて解読してホスト名のアドレス情報得ることができるため、秘密鍵を持つ限定されたホストのみが暗号化されたアドレス情報の機器にアクセスすることができ、またホスト名とアドレスのマッピング情報が分散データベースで管理されているシステムにおいてはアドレス解決サーバのキャッシュ機能を用いることが可能となる。
【選択図】図4
【解決手段】ホスト名に対するアドレス情報を暗号化してアドレス解決サーバに保持し、アドレス解決要求に対して暗号化されたアドレス情報で応答し、ホストにおいてアドレス解決要求を行い応答で得られた暗号化されたアドレス情報を予め保持している秘密鍵を用いて解読してホスト名のアドレス情報得ることができるため、秘密鍵を持つ限定されたホストのみが暗号化されたアドレス情報の機器にアクセスすることができ、またホスト名とアドレスのマッピング情報が分散データベースで管理されているシステムにおいてはアドレス解決サーバのキャッシュ機能を用いることが可能となる。
【選択図】図4
Description
本発明はインターネットにおいて限定されたユーザのみがそのホスト名のアドレス情報を取得できるアドレス解決サーバ、端末及びアドレス解決方法に関するものである。
インターネットにおいてアドレス解決処理方法としてDNS(Domain Name System)が用いられている。DNSは主にRFC1034、RFC1035によって規定されており、DNSサーバにおいてホスト名と対応するIPアドレスの相互変換(アドレス解決)が行われる。図2はDNSのツリー構造を示す図である。DNSのホスト名は図に示すように階層構造となっている。またDNSはホスト名とIPアドレス間でマッピングするときなどに用いられる分散データベースである。分散とは単一の組織でインターネット全体のホスト名やIPアドレスの情報を管理しているのではなく、各組織においてそれぞれの情報を格納した独自のデータベースを持ち、インターネット上の他の端末(クライアント)がそれに自由にアクセスできるようになっている。また、DNSサーバがマッピング情報(例えばホスト名のIPアドレス)を受信すると、その情報をキャッシュし、その後に同じマッピングに対する照会があった場合、最初にキャッシュした情報を利用することにより、応答レスポンスを向上すると共にネットワークに対する負荷も軽減できる。
限定されたユーザのみがホスト名のアドレス情報を取得できる従来技術としては、例えば特許文献1で知られているアドレス解決処理方法がある。このアドレス解決処理方法では、アドレス解決処理サーバにおいて予め登録された情報に基づいて通信が許可されているホストからの要求か、許可されていないホストからの要求かを判定する認証方式によるアドレス解決処理方法である。
特許第3268546号公報
しかしながら、前記特許文献1の従来のアドレス解決処理方法では、許可されたホストからの要求か許可されていないホストからの要求かをアドレス解決が要求されているホストが属する組織のDNSサーバで行う必要があり、ツリー構造の上位にあたるDNSサーバではアドレス解決を行うことができない。よってDNSの特徴であるキャッシュによる応答レスポンス向上とネットワーク負荷軽減が行えないという課題を有していた。
本発明は、前記従来の課題を解決するもので、限定されたユーザのみがそのホスト名のアドレス情報を取得でき、ホスト名とアドレスのマッピング情報が分散データベース上に配置された構成においては、アドレス解決サーバのキャッシュ機構が機能するアドレス解決処理方法を提供することを目的とする。
前記従来の課題を解決するために、本発明のアドレス解決処理方法はアドレス解決サーバにおいて、あるホスト名に対するアドレス情報を暗号化して保持し、アドレス解決要求に対して暗号化されたアドレス情報を用いて応答し、ホストにおいて、アドレス解決要求の結果、応答で得られた暗号化されたアドレス情報を予め保持している秘密鍵を用いて解読してホスト名のアドレス情報を得る。
本構成によって、秘密鍵を持つ限定されたユーザのみがそのホスト名のアドレス情報を取得することができ、また前記ツリー構造の上位のDNSサーバにおいてアドレス情報をキャッシュすることが可能になり、よって、応答レスポンス向上とネットワーク負荷軽減を行うことが可能となる。
本発明のアドレス解決処理方法によれば、アドレス解決処理時におけるセキュリティ機能により、通信を許可されたユーザ間の通信は可能となり、その他の通信を許可されていないユーザからのアクセスを防止することができる。また、アドレス解決をツリー構造の分散データベースで実現している場合には、上位のアドレス解決サーバにおいてアドレス情報をキャッシュすることにより、応答レスポンスの向上とネットワーク負荷軽減が可能となる。従って、アドレス解決時のセキュリティ機能が効果的に発揮される。
以下本発明の実施の形態について、図面を参照しながら説明する。
(実施の形態1)
図1は、本発明の実施の形態1におけるアドレス解決処理方法を実施するためのネットワークモデルを示す図である。図3はDNSサーバのデータベースで管理しているホスト(端末)名とアドレス情報の対応表の例を示している。図4はDNSサーバでの本発明におけるアドレス解決処理を説明するフローチャートである。図5及び図6はホスト(端末)での本発明におけるアドレス解決処理を説明するフローチャートである。図7はホスト(端末)において管理されているホスト名と秘密鍵の対応表の例を示している。
図1は、本発明の実施の形態1におけるアドレス解決処理方法を実施するためのネットワークモデルを示す図である。図3はDNSサーバのデータベースで管理しているホスト(端末)名とアドレス情報の対応表の例を示している。図4はDNSサーバでの本発明におけるアドレス解決処理を説明するフローチャートである。図5及び図6はホスト(端末)での本発明におけるアドレス解決処理を説明するフローチャートである。図7はホスト(端末)において管理されているホスト名と秘密鍵の対応表の例を示している。
図1のネットワークモデルはインターネット網(200)を示しており、このインターネット網(200)は、ルータRr(201)、DNSサーバSr(210)、端末Ta(206)、ルータRa(202)、DNSサーバSa(205)を含むサブネット、端末Tb(207)、ルータRb(203)を含むサブネット、端末Tc(208)、ルータRc(204)を含むサブネットから構成されている。図中のhostTa.netAはホスト名を示し、26.1.1.1はIPアドレスを示す。
なお、端末Ta(206)、端末Tb(207)、端末Tc(208)は異なるサブネットに属することとしたが、この限りではない。
図3は本発明におけるインターネット網(200)を介して接続されるDNSサーバSa(205)でホスト名とIPアドレスの対応を管理するデータベースの一部を示している。資源レコードタイプの一部を示している。従来のDNSサーバが扱うIPアドレスの資源レコードであるAレコード(302)に加え、暗号化されたIPアドレスの資源レコードであるASECレコード(303)が追加されている。
端末Ta(206)では、IPアドレスが設定、変更される毎に秘密鍵Aを用いてASECレコードを生成し、前記DNSサーバSa(205)のデータベースに登録する。
このような構成において、例えば前記DNSサーバSa(205)には、アクセス制限を実施する前記端末Ta(206)に関してはASECレコードのみが登録されており、暗号化されていないIPアドレス情報であるAレコードは前記データベースに登録されていない。また、端末Tb(207)は端末Ta(206)へのアクセスを許可されており秘密鍵Aを保持しているが、端末Tc(208)は端末Ta(206)へのアクセスを許可されておらず秘密鍵Aを保持していない。
以下、端末Tb(207)が初めて端末Ta(206)と通信する場合について図4、図5、図6及び図7を用いて説明する。この場合DNSサーバSr(210)のキャッシュエントリーに端末Ta(206)の情報が無いものとする。
まず、端末Ta(206)とのアクセスを許可されている端末Tb(207)が、端末Ta(206)と通信する場合について説明する。端末Tb(207)は秘密鍵Aを保持し、端末Ta(206)のホスト名と秘密鍵Aを対応表(701)にエントリとして持っており、ASECレコードを解読してIPアドレスを取得する機能を有している。端末Tb(207)は端末Ta(206)との通信に先立ち、まず端末Ta(206)のホスト名が前記対応表(701)にあるか検索を行う(ステップ502)。端末Ta(206)のエントリがあるため、アドレス解決要求の資源レコードタイプをASECとして、DNSサーバSa(205)にアドレス解決要求パケットを生成する(ステップ503)。そして、DNSサーバに向けてアドレス解決要求パケットを送信する(ステップ505)。アドレス解決要求パケットがDNSサーバSa(205)に到達すると、DNSサーバSa(205)はまず、パケットの受信処理を行う(ステップ402)。次に受信パケットの要求タイプを解析する(ステップ403)。そして、端末Tb(206)からのアドレス解決要求は資源レコードをASECとしているので、データベースから端末Ta(206)のホスト名のエントリを検索し、端末Ta(206)のASECレコードを含んだアドレス解決応答パケットを生成する(ステップ405)。パケット生成処理が終了したら、要求元ホストに対して応答パケットを送信する。(ステップ406)。すると、端末Tb(207)は前記アドレス解決応答パケットの受信処理を行い(ステップ602)、ASECレコードを含む応答であるのか、レコードタイプ解析処理を行う(ステップ603)。ASECレコードを含むので図7に示すホスト名と秘密鍵の対応表701から秘密鍵Aを用いてASECレコードの解読処理を行い端末Ta(206)のIPアドレスを取得する(ステップ605)。よって端末Tb(207)は端末Ta(206)のホスト名からIPアドレスを取得し、端末Ta(206)にアクセスすることができる。
次に、端末Ta(206)とのアクセスを許可されていない端末Tc(208)が、端末Ta(206)と通信する場合について説明する。端末Tc(208)は秘密鍵Aを保持しておらず、対応表にも端末Taのエントリが無い。端末Tc(208)は端末Ta(206)との通信に先立ち、まず端末Ta(206)のホスト名が対応表にあるか検索を行う(ステップ502)。対応表にホスト名が無いので要求タイプをAレコードとした既存のアドレス解決要求パケットを生成する(ステップ504)。そして、DNSサーバSa(205)に向けてアドレス解決要求パケットを送信する(ステップ505)。アドレス解決要求パケットがDNSサーバSa(205)に到達すると、DNSサーバSa(205)はまず、パケットの受信処理を行う(ステップ401)。次に受信パケットの要求タイプを解析する(ステップ403)。要求タイプがAレコードなので既存DNSサーバのアドレス解決処理を行う(ステップ404)。しかしながらDNSサーバSa(205)のデータベースには端末TaのAレコードのエントリは無いためエラー応答パケットを生成する。パケット生成処理が終了したら、要求元ホストに対して応答パケットを送信する。(ステップ406)。すると、端末Tc(208)は前記アドレス解決応答パケットの受信処理を行い(ステップ602)、ASECレコードを含む応答であるのか、レコードタイプ解析処理を行う(ステップ603)。ASECレコードを含まないので既存のアドレス解決応答受信処理を行う(ステップ604)。しかし応答はエラー応答であるため端末Tc(208)は端末Ta(206)のIPアドレスを取得することができない。仮にステップ505でASECレコードタイプを指定してアドレス解決要求を送信したとしても、ステップ605の解読処理において秘密鍵Aを保持していないために解読できず、端末Ta(206)のIPアドレスを取得できない。よって、端末Tc(208)は端末Ta(206)のIPアドレスを取得できず、アクセスすることができない。
これまではDNSサーバSr(210)のキャッシュエントリに端末Ta(206)の情報が無いものとして説明してきたが、端末Ta(206)への2回目以降のアクセス時には、キャッシュの生存時間内であればDNSサーバSr(210)に端末Ta(206)の情報がキャッシュされており、アドレス解決要求がDNSサーバSa(205)に到達する前にDNSサーバSr(210)によってアドレス解決応答がなされる。また、DNSサーバSr(210)の他にもインターネットを介して接続されているDNSサーバにキャッシュされていても、DNSサーバは端末Ta(206)のホスト名に対応するASECレコードをアドレス解決応答として他の問い合わせ端末に送信してもよく、DNSの特徴であるキャッシュ機能が効果的に発揮される。
なお、本実施の形態において、端末Tb(206)が保持している秘密鍵Aと、DNSサーバSa(205)に登録する際に使用した秘密鍵Aは同一の鍵である共通鍵暗号方式を用いているが、公開鍵暗号方式を用いても同様の効果が得られ、この限りではない。
本発明にかかるアドレス解決処理手法は、限定されたユーザのみがホストのホスト名からアドレス情報を取得できる手法を有し、不正アクセス防止手法等として有用である。
200 インターネット網
201 ルータRr
202 ルータRa
203 ルータRb
204 ルータRc
205 DNSサーバSa
206 端末Ta
207 端末Tb
208 端末Tc
210 DNSサーバSr
301 DNSサーバのデータベースの一部の例
302 Aレコード
303 ASECレコード
401〜407 フローチャートの各ステップ
501〜506 フローチャートの各ステップ
601〜606 フローチャートの各ステップ
701 ホスト名と秘密鍵の対応表
201 ルータRr
202 ルータRa
203 ルータRb
204 ルータRc
205 DNSサーバSa
206 端末Ta
207 端末Tb
208 端末Tc
210 DNSサーバSr
301 DNSサーバのデータベースの一部の例
302 Aレコード
303 ASECレコード
401〜407 フローチャートの各ステップ
501〜506 フローチャートの各ステップ
601〜606 フローチャートの各ステップ
701 ホスト名と秘密鍵の対応表
Claims (3)
- ネットワーク上の端末を特定するホスト名を前記端末の前記ネットワーク上のアドレスに変換することによりアドレス解決を行うアドレス解決サーバであって、
前記端末のうち、アクセス制限を実施する端末については前記ホスト名に対応するアドレス情報として、暗号化されたアドレス情報を保持する
ことを特徴とするアドレス解決サーバ。 - ネットワーク上の他の端末との間で通信を行う端末であって、
通信相手の他の端末を特定するホスト名を用いて前記通信相手の他の端末の前記ネットワーク上のアドレス情報を取得するに際し、前記通信相手の他の端末のうち、アクセス制限が実施されている端末のアドレス情報を復号するための鍵情報を有し、
前記ホスト名と、前記鍵情報との対応関係を保持する
ことを特徴とする端末。 - ネットワーク上の端末を特定するホスト名を前記端末の前記ネットワーク上のアドレスに変換することによりアドレス解決を行うアドレス解決方法であって、
1以上の請求項1記載のアドレス解決サーバと、1以上の請求項2記載の端末とが前記ネットワークを介して接続され、
前記アドレス解決サーバは、アクセス制限を実施する前記端末のホスト名に対する暗号化されたアドレス情報を保持し、アクセス制限を実施する前記端末のアドレス解決要求に対しては暗号化されたアドレス情報を用いて応答し、
前記端末は、通信相手の端末のアドレス情報を取得するために、前記アドレス解決要求を前記アドレス解決サーバに対して行い、前記アドレス解決サーバからの応答で得られた前記アドレス情報が暗号化されている場合は、暗号化された前記アドレス情報を予め保持している秘密鍵を用いて解読し、ホスト名のアドレス情報を得ることを特徴とするアドレス解決方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004154277A JP2005341006A (ja) | 2004-05-25 | 2004-05-25 | アドレス解決サーバ、端末及びアドレス解決方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004154277A JP2005341006A (ja) | 2004-05-25 | 2004-05-25 | アドレス解決サーバ、端末及びアドレス解決方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005341006A true JP2005341006A (ja) | 2005-12-08 |
Family
ID=35494096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004154277A Pending JP2005341006A (ja) | 2004-05-25 | 2004-05-25 | アドレス解決サーバ、端末及びアドレス解決方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005341006A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013201618A (ja) * | 2012-03-26 | 2013-10-03 | Nippon Telegraph & Telephone West Corp | 情報登録及び取得システム |
-
2004
- 2004-05-25 JP JP2004154277A patent/JP2005341006A/ja active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013201618A (ja) * | 2012-03-26 | 2013-10-03 | Nippon Telegraph & Telephone West Corp | 情報登録及び取得システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2798809B1 (en) | Dynamic pseudonymization method for user data profiling networks and user data profiling network implementing the method | |
| US7299491B2 (en) | Authenticated domain name resolution | |
| KR100803272B1 (ko) | 아이피 브이 식스 네트워크에서 인증을 처리하는 방법 및그 장치 | |
| US6928167B1 (en) | Method for managing public key | |
| US8301753B1 (en) | Endpoint activity logging | |
| US9225721B2 (en) | Distributing overlay network ingress information | |
| JPH11167536A (ja) | コンピュータ・ネットワークを利用したクライアント/ホスト間の通信方法と装置 | |
| TW201012155A (en) | Secure resource name resolution using a cache | |
| KR100429901B1 (ko) | 제로컨피규레이션 네트워크에서 에이전트를 통한주소할당방법 및 그 장치 | |
| CN111885604B (zh) | 一种基于天地一体化网络的认证鉴权方法、装置及系统 | |
| US20180234396A1 (en) | System and method for creating private encrypted browser zones based on one or more parameters | |
| US20180234456A1 (en) | System and method for creating encrpted virtual private network hotspot | |
| CN104135471A (zh) | Dns防劫持通信方法 | |
| JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
| JP2005101890A (ja) | 名前登録仲介装置、名前解決仲介装置、名前解決システム、名前解決方法、名前登録仲介プログラムおよび名前解決仲介プログラム | |
| Zhao et al. | Two-servers PIR based DNS query scheme with privacy-preserving | |
| JP4582939B2 (ja) | 情報管理システム、情報管理方法、および情報処理装置、情報処理方法、並びにプログラム | |
| Ferreira et al. | Recognizing entities across protocols with unified UUID discovery and asymmetric keys | |
| US7526560B1 (en) | Method and apparatus for sharing a secure connection between a client and multiple server nodes | |
| JP2007334753A (ja) | アクセス管理システムおよび方法 | |
| KR101548822B1 (ko) | 콘텐츠 기반 네트워크의 콘텐츠 송신 방법 | |
| JP2008028899A (ja) | 通信システム、端末装置、vpnサーバ、プログラム、及び、通信方法 | |
| JP2005341006A (ja) | アドレス解決サーバ、端末及びアドレス解決方法 | |
| KR101326360B1 (ko) | Dns 서버 간의 보안 통신 방법 및 이를 위한 관할 dns 서버, 그리고 보안 통신 시스템 | |
| Varakliotis et al. | The use of Handle to aid IoT security |