JP2011108232A - ドメイン・ネーム・サービス(dns)データベースへのアクセスを管理するコンピュータ実施方法、コンピュータ・プログラム、およびシステム - Google Patents

ドメイン・ネーム・サービス(dns)データベースへのアクセスを管理するコンピュータ実施方法、コンピュータ・プログラム、およびシステム Download PDF

Info

Publication number
JP2011108232A
JP2011108232A JP2010239400A JP2010239400A JP2011108232A JP 2011108232 A JP2011108232 A JP 2011108232A JP 2010239400 A JP2010239400 A JP 2010239400A JP 2010239400 A JP2010239400 A JP 2010239400A JP 2011108232 A JP2011108232 A JP 2011108232A
Authority
JP
Japan
Prior art keywords
user
dns
identification information
client
unique identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010239400A
Other languages
English (en)
Other versions
JP5587732B2 (ja
Inventor
Poornima Patil
プーアニーマ・スリニヴァス・パティル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2011108232A publication Critical patent/JP2011108232A/ja
Application granted granted Critical
Publication of JP5587732B2 publication Critical patent/JP5587732B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】ユーザおよびネットワークのアドレス情報に応じた問合せや更新要求などのDNS要求メッセージの許可を可能にする。
【解決手段】許可機能は、既存のDNSシステムに組み込むこともできる。ユーザがクライアントから発信した、要求およびユーザに固有の識別情報を含むDNS要求メッセージを受信すること、DNS要求メッセージに含まれるクライアント・アドレス情報およびユーザ固有識別情報に基づいて、クライアントがDNSデータベースへのアクセスを許可されているかどうかを判定すること、ならびにユーザが許可されていると判定したのに応答して、要求を実行する。この方法は、DNSメッセージのIDフィールドの一部分からユーザ固有識別情報を抽出することをさらに含む。
【選択図】図1

Description

本発明は、ドメイン・ネーム・サービス(DNS)データベースへのアクセスを管理する方法、システムおよびコンピュータ・プログラムに関する。
ドメイン・ネーム・システムは、インターネットまたはプライベート・ネットワークに接続されたコンピュータ、サービスまたはその他のリソースの階層的命名システムである。ネットワーキング・デバイスは、ネットワーク上でデバイスの位置を検出してアドレス指定するための数値識別子であるインターネット・プロトコル・アドレス(IPアドレス)と関連付けられる。ドメイン・ネーム・システムは、各参加者に割り当てられたドメイン名を、参加者のデバイスのIPアドレスと関連付ける。
ドメイン・ネーム・サービス(DNS)は、ドメイン名を含むユニフォーム・リソース・ロケータ(URL)をそれぞれのIPアドレスに変換して、ネットワーク通信を可能にする。インターネット上に分散したDNSサーバは、ドメイン名をそれぞれ関連するIPアドレスにマッピングするデータベースを保持している。クライアント・コンピュータは、DNSリゾルバを使用して、そのDNSサーバを位置検出し、当該DNSサーバにURLを変換するように問い合わせる。当該DNSサーバが宛先ドメインに対して権限がない場合、または当該DNSサーバのキャッシュにその情報がない場合には、当該DNSサーバは、クライアントの問合せに対して直ちに回答することはできない。その代わりに、DNSサーバは、DNSフォワーダとして作用する、または再帰的問合せを発行する、あるいはその両方を行う。DNSフォワーダは、問合せを別のDNSサーバに転送するものである。再帰的問合せが可能である場合には、DNSサーバは、宛先ドメインに権限を有するホストのIPアドレスをルート・ネーム・サーバに尋ね、その権限を有するサーバにコンタクトし、クライアントに報告を戻す。あるいは、DNSサーバのキャッシュに答えが見つかった場合には、クライアントがDNSサーバから権限のない回答を受信することもある。
この発明の目的は、問合せや更新要求などの要求を実行するか拒絶するか判断するため、ユーザおよびネットワークのアドレス情報に応じた問合せや更新要求などのDNS要求メッセージの許可を与えることを可能ならしめることにある。
ドメイン・ネーム・サービス(DNS)データベースへのアクセスを管理する方法、システム、およびコンピュータ・プログラムである。本開示の実施形態は、ユーザおよびネットワークのアドレス情報に応じた問合せや更新要求などのDNS要求メッセージの許可を可能にするものである。この許可機能は、既存のDNSシステムに組み込むこともできる。
第1の一般的な実施形態では、本発明は、ユーザがクライアントから発信した、要求およびユーザに固有の非暗号化識別情報を含むDNS要求メッセージを受信すること、DNS要求メッセージに含まれるクライアント・アドレス情報および非暗号化ユーザ固有識別情報に基づいて、クライアントがDNSデータベースへのアクセスを許可されているかどうかを判定すること、ならびにユーザが許可されていると判定したのに応答して、要求を実行することを含む方法を含む。この方法は、DNSメッセージのIDフィールドの一部分からユーザ固有識別情報を抽出することをさらに含むこともある。
他の一般的な実施形態としては、ドメイン・ネーム・サービス(DNS)データベースへのアクセスを管理するシステムがある。データ処理システムは、プロセッサ、およびこのプロセッサに動作可能に結合されたコンピュータ・メモリを含む。これらのシステムの1つまたは複数が有するコンピュータ・メモリの内部には、プロセッサ上で実行されて、上述の方法の実施形態の1つまたは複数を実施するコンピュータ・プログラム命令が配置される。
本開示の上記その他の目的、特徴、および利点は、添付の図面に図示する、以下の本発明の例示的な実施形態のさらに詳細な説明から明らかになるであろう。添付の図面では、一般に、同じ参照番号は、本発明の様々な例示的な実施形態を通じて同じ部分を表している。
本発明の1つまたは複数の実施形態によるユースケース(使用事例)を示す図である。 本発明の1つまたは複数の実施形態によるユースケース(使用事例)を示す図である。 本発明の1つまたは複数の実施形態によるユースケース(使用事例)を示す図である。 本発明の一実施形態によるメッセージのフォーマットを示す図である。 本発明の一実施形態によるメッセージのフォーマットを示す図である。 本発明の一実施形態によるメッセージのフォーマットを示す図である。 本発明の1つまたは複数の実施形態によるコンピュータを示すブロック図である。 ドメイン・ネーム・サービス(DNS)データベースへのアクセスを管理する方法の一実施形態によるデータ・フロー図である。 本発明の一実施形態によるデータ構造を示す図である。 本発明の一実施形態によるデータ構造を示す図である。 本発明の一実施形態による、DNS要求メッセージにおいてユーザを識別する流れ図である。
当業者には明らかなように、本発明の実施形態は、システム、方法、またはコンピュータ・プログラムとして実施することができる。したがって、本発明の実施形態は、完全にハードウェアで構成された実施形態、完全にソフトウェアで構成された実施形態(ファームウェア、常駐ソフトウェア、マイクロコードなどを含む)、またはソフトウェアの実施形態とハードウェアの実施形態を組み合わせた実施形態の形態をとることができ、本明細書では、これらを全てまとめて「回路」、「モジュール」、または「システム」と呼ぶことがある。さらに、本発明の実施形態は、コンピュータ可読プログラム・コードが実装された1つまたは複数のコンピュータ可読媒体に実装されたコンピュータ・プログラムの形態をとることもある。
1つまたは複数のコンピュータ可読媒体は、任意の組合せで使用することができる。コンピュータ可読媒体は、コンピュータ可読信号媒体、またはコンピュータ可読記憶媒体であってもよい。コンピュータ可読記憶媒体は、例えば、電子、磁気、光学、電磁気、赤外線、または半導体のシステム、装置、またはデバイス、あるいはそれらの任意の適当な組合せとすることができるが、これらに限定されるわけではない。コンピュータ可読記憶媒体のさらに具体的な例としては(これらに限定されるわけではない)、1本または複数本のワイヤを有する電気接続、携帯型コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(RAM)、読取り専用メモリ(ROM)、消去可能プログラム可能読取り専用メモリ(EPROMまたはフラッシュ・メモリ)、光ファイバ、携帯型コンパクト・ディスク読取り専用メモリ(CD−ROM)、光記憶装置、磁気記憶装置、あるいはそれらの任意の適当な組合せなども挙げられる。本明細書の文脈では、コンピュータ可読記憶媒体は、命令実行システム、装置、またはデバイスによって使用される、あるいはそれらに接続されて使用される、プログラムを収容または記憶することができる任意の有形媒体とすることができる。
コンピュータ可読媒体に実装されたプログラム・コードは、無線、有線、光ファイバ・ケーブル、またはRF、あるいはそれらの任意の適当な組合せなど(ただしこれらに限定されない)の任意の適当な媒体を用いて伝送することができる。
本発明の実施形態の動作を実行するコンピュータ・プログラム・コードは、Java(R)、Smalltalk、C++などのオブジェクト指向プログラミング言語、「C」プログラミング言語などの従来の手続き形プログラミング言語、または同様のプログラミング言語など、1つまたは複数のプログラミング言語の任意の組合せで書き込むことができる。
以下、本発明の実施形態による方法、装置(システム)、およびコンピュータ・プログラムの流れ図またはブロック図あるいはその両方を参照して、本発明の実施形態について述べる。流れ図またはブロック図あるいはその両方の各ブロック、および流れ図またはブロック図あるいはその両方のブロックの組合せは、コンピュータ・プログラム命令によって実施することができることは理解されるであろう。これらのコンピュータ・プログラム命令を、汎用コンピュータ、専用コンピュータ、またはその他のプログラム可能データ処理装置のプロセッサに提供してマシンを生成し、コンピュータまたはその他のプログラム可能データ処理装置を介して実行される命令によって、流れ図またはブロック図あるいはその両方の1つまたは複数のブロックで指定された機能/作用を実施する手段が生成されるようにすることができる。
これらのコンピュータ・プログラム命令は、コンピュータ可読媒体に記憶させて、コンピュータ、その他のプログラム可能データ処理装置、またはその他のデバイスを特定の方法で機能させ、コンピュータ可読媒体に記憶された命令によって、流れ図またはブロック図あるいはその両方の1つまたは複数のブロックで指定された機能/作用を実施する命令を含む製品を生成するようにすることもできる。
コンピュータ・プログラム命令は、コンピュータ、その他のプログラム可能データ処理装置、またはその他のデバイスにロードして、コンピュータ、その他のプログラム可能データ処理装置、またはその他のデバイス上で一連の動作ステップを実行させてコンピュータ実施プロセスを生成し、コンピュータまたはその他のプログラム可能装置上で実行される命令が、流れ図またはブロック図あるいはその両方の1つまたは複数のブロックで指定された機能/作用を実施するプロセスを提供するようにすることもできる。
ドメイン・ネーム・サービス(DNS)は、接続されたデバイス間の情報通信を促進する。この促進は、クライアントがDNSサーバに問合せを行う、DNSサーバが問合せに返答する、DNSサーバが問合せを転送する、DNSサーバ上のDNS情報を動的に更新するなど、様々な動作を通じて実現される。これらの動作は、インターネット上の名前およびオブジェクトに関する情報を交換しているデバイス間でメッセージを送信することによって行われる。
図1〜図3は、本発明の一実施形態によるユースケース(使用事例)を示す図である。図1を参照すると、ユーザ102は、クライアント・コンピュータ104において作業している。クライアント・コンピュータ104上で動作しているクライアント106は、修正DNS要求メッセージ108を作成し、DNS要求メッセージ108をインターネットを介してDNSサーバ110に送信する。クライアント106は、例えば、ユーザ・データグラム・プロトコル(UDP)、伝送制御プロトコル(TCP)、または当業者が思いつくその他の任意の伝送プロトコルなど、様々なプロトコルによってメッセージを伝送することができる。
クライアント106は、リゾルバ、すなわち例えばドメイン名からIPアドレスへの変換など、所望のリソースの完全翻訳に最終的につながる問合せの開始および順序付けを担うソフトウェア・ユーティリティのセットとすることができる。DNS要求メッセージ108は、DNSサーバにあるDNSデータベースへのアクセスを求める要求を含む。DNS要求メッセージ108は、ドメイン・ネーム・システムの機能を実行するための、当業者が思いつく任意の形態をとることができる。この要求を問合せ要求にして、DNS要求メッセージがDNS問合せメッセージになるようにすることもできる。あるいは、この要求を更新要求にして、DNS要求メッセージがDNS更新メッセージになるようにすることもできる。
DNS要求メッセージは、以下でさらに詳細に述べるように、本開示の実施形態では、ユーザに固有の非暗号化識別情報(ユーザ固有識別情報109)を含むように修正されている。例えば、ユーザ固有識別情報は、ユーザ識別子(ID)(例えばユーザ名やユーザ識別番号など)や特権識別子(例えば多層セキュリティのための特権を識別する)などを含むこともできる。
さらに図1を参照すると、DNSサーバ110は、修正済みのDNS要求メッセージ108を受信する。DNSサーバ110は、DNS要求メッセージ108に含まれるユーザ固有情報109およびクライアント・アドレス情報に基づいて、クライアントがDNSデータベースにアクセスすることを許可されているかどうかを判定する。クライアント・アドレス情報は、インターネット・プロトコル(IP)アドレスやMACアドレスなどを含むこともできる。例えば、IPアドレスは、当技術分野では周知の方法に従って、伝送されたパケットから取得することもできる。
図2を参照すると、DNSサーバは、ユーザが許可されていると判定した場合には、要求を実行する。例えば、DNS要求メッセージ108がDNS問合せメッセージである場合には、DNSサーバ110は、問合せに対する答えを付して、DNS返答メッセージ112をクライアント106に返送する。
図4は、本発明の一実施形態による修正済みDNS問合せメッセージ200を示す図である。DNS問合せメッセージ200のフォーマットは、Request For Comments(RFC)1035に定義される標準に準拠するように構成することができる。これらの標準では、ドメイン・プロトコルの内部の通信は、単一のメッセージ・フォーマットで行われるものと指定されている。メッセージの最上位フォーマットは、いくつかのセクションに分割されるが、特にDNSメッセージでは、一部のセクションは空であってもよい。これらのセクションには、ヘッダ202、質問セクション204、回答セクション206、権限セクション208、および追加セクション210が含まれる。修正済みDNSメッセージでは、ユーザ固有情報109は、セクション202〜210の1つに入るが、DNSの機能は依然として保持している。図4のDNS問合せメッセージ200では、ユーザ固有情報109は、ヘッダ・セクション202に入るが、他の実施態様では、他のセクション204〜210にユーザ固有情報109を入れることもできる。
図5を参照すると、ヘッダ202は、残りのセクションのうちのいずれが残っているかを指定し、またメッセージが問合せであるか、応答であるか、またはその他の何らかの動作であるかを指定するフィールドを含む。ヘッダ202は空ではなく、長さは一定である。ヘッダ202は、DNSメッセージのタイプを記述し、それについての情報を提供するフィールド、およびメッセージのその他のセクション中のエントリの数を示すフィールドを含む。識別子(ID)フィールド212は、DNS要求メッセージ108の作成時にクライアント106によって生成される16ビット識別フィールドである。DNSサーバ110は、IDフィールド212の内容を応答メッセージ112のIDフィールド212に含ませ、クライアント106がそれを使用して、問合せを対応する返答と突き合わせることができるようにしている。IDフィールド212は、ユーザ固有情報109を含む。
フラグおよびコードの群214が、IDフィールド212の後に続く。図6を参照すると、QRフラグ・フィールド224は、メッセージが問合せであるか応答であるかを示す。オペレーション・コード(オペコード)フィールド226は、DNSメッセージの問合せのタイプを指定する4ビット・フィールドである。その値は、標準問合せ(QUERY)が0、逆問合せ(IQUERY)が1、サーバ状態要求(STATUS)が2である。権限のある回答ビット(AA)228は、応答では有効であり、応答側のネーム・サーバを質問セクション204のドメイン名の権限を持つものとして指定する。切捨てフィールド(TC)230は、長さが許容範囲を超えるためにメッセージが切り捨てられたことを示す。再帰要求ビット(RD)232を設定すると、DNSサーバ110に再帰的に問合せを遂行させることができる。これは、応答メッセージ112にコピーされる。再帰可能ビット(RA)234は、応答中で設定または消去され、再帰的問合せサポートがDNSサーバ110で利用可能であるかどうかを示す。ゼロ・フィールド236は、将来の使用に備えて残してあるフィールドであり、全ての問合せおよび応答においてゼロでなければならない。応答コード・フィールド238は、応答の一部として設定される4ビット・フィールドである。
QDCountフィールド216は、質問セクション中のエントリの数を指定する符号なしの16ビット整数を含む。ANCountフィールド218は、回答セクションのリソース・レコードの数を指定する符号なしの16ビット整数を含む。NSCountフィールド220は、権限レコード・セクション中のネーム・サーバ・リソース・レコードの数を指定する符号なしの16ビット整数を含む。ARCountフィールド222は、追加レコード・セクション中のリソース・レコードの数を指定する符号なしの16ビット整数を含む。いくつかの実施形態では、カウント・フィールド216〜222に、ユーザ固有情報が入っていてもよい。
図4を参照すると、質問セクション204は、1つまたは複数の「質問」、すなわちDNSサーバ110に送信されている情報についての問合せを規定するパラメータを含む。回答セクション206、権限セクション208、および追加セクション210は、共通のフォーマットを共用している。これらのセクションは、可変数のリソース・レコードを含む。回答セクション206は、質問セクションに示される質問(1つまたは複数)に回答する1つまたは複数のリソース・レコードを含む。権限セクション208は、1つまたは複数の権限レコードを含む。権限レコードは、クライアントが要求した情報を受信側サーバが有していないときに変換プロセスを継続するために使用することができる権限のあるネーム・サーバを識別するリソース・レコードである。したがって、権限レコードは、複数のサーバを階層的にリンクするものである。追加セクション210は、メッセージ中の質問に回答するために絶対に必要というわけではない、問合せに関係する追加情報を含む1つまたは複数のリソース・レコードを含む。追加セクション210は、予想される後続の質問に対する回答を供給することによってDNSの効率を向上させるために使用することもできる。
図1を参照すると、クライアント106は、適当なヘッダ情報および質問セクション204中の1つまたは複数の問合せ(情報を求める要求)を備えたメッセージ108を作成することによって、問合せを開始する。QRフラグ224は、メッセージ108が問合せメッセージであることを示すために、0に設定する。クライアント106は、QDCountフィールド216中の数字によって、質問セクション204中の質問の数を示す。その他のセクションのエントリの数は、ゼロであってもよい。したがって、これらのセクションのカウント・フィールド、ANCount218、NSCount220、およびARCount222は、0に設定される。
図2を参照すると、ユーザ102が許可された場合には、問合せ要求の実行は、可能なら、当該問合せを処理して、要求された情報検出動作を実行することによって行うことができる。DNSサーバ110は、DNS要求メッセージ108を、DNS返答メッセージ112の基礎として使用する。ヘッダ・セクション202および質問セクション204は、DNS返答メッセージ112にコピーされ、QRフラグ224は1に設定されて、メッセージが返答であることを示す。ヘッダ202中の個々のフィールドも、情報をクライアントに提供するように修正される。例えば、サーバは、応答コード・フィールド238を、問合せが成功したかどうか、またはエラーが発生したかどうかを示し、かつエラーが発生した場合には当該エラーを示すように設定する。DNSサーバ110は、DNS返答メッセージの回答セクション206、権限セクション208、および追加セクション210中にDNSリソース・レコードも適宜含む。各セクションは、ゼロ個以上のレコードを含むことができる。意味は、レコードが入っているセクションに応じて導出される。例えば、回答セクション206に含まれるリソース・レコードは、問合せに対する回答であると理解される。
DNSは、ゾーンについてプライマリ・サーバのマスタ・ファイル上のDNS情報を定期的に更新することによって動作する。次いで、ゾーン全体が、スレーブ・サーバにコピーされる。特定のメッセージ構文を用いて、DNS更新メッセージは、ゾーンについてマスタ・ネーム・サーバ内のリソース・レコードの追加、削除、または修正を可能にする。
本発明のいくつかの実施形態では、DNS要求メッセージ108は、更新メッセージであってもよい。DNS更新メッセージのフォーマットは、「ドメイン・ネーム・システム内の動的更新(DNS UPDATE)」と題するRFC2136に定義される標準に準拠するように構成することができる。これらの標準は、DNS更新メッセージのフォーマットなどのDNS情報を動的に更新できるようにする基本的なDNS動作の向上を指定するものである。RFC2136では、DNS更新メッセージを、DNSメッセージ・タイプとして定義している。この標準では、DNS更新メッセージを構成する構文およびヘッダについてのフォーマットを定義している。DNS更新メッセージは、他のDNSメッセージと同じ構造を有するように設計されるが、いくつかのフィールドの意味は再定義されている。
例えば、質問セクション204は、更新しているレコードのゾーンを示すために使用されるゾーン・セクションに対応する。回答セクション206は、プライマリ・マスタ・サーバがUPDATEパケットを受信した時点で満たされていなければならない1組のリソース・レコード・セット前提条件を含む前提条件セクションに対応する。権限セクション208は、ゾーンに追加する、またはゾーンから削除するリソース・レコードを含む更新セクションに対応する。追加セクション210は、更新自体に関係する、または更新によって追加されている新しいリソース・レコードに関係するリソース・レコードを含む。その他のコードも修正される。例えば、更新メッセージのオペレーション・コード・フィールド226は、メッセージが更新メッセージであることを示すために5に設定される。
図3を参照すると、DNS要求メッセージ108は、DNSサーバ110に直接伝送されないこともある。その代わりに、DNS要求メッセージ108は、1つまたは複数の中間DNSサーバ114に伝送することができる。DNS要求メッセージ108は、それらの中間DNSサーバ114からDNSサーバ110に転送される。ここで、本出願の文脈で述べられるクライアント106は、クライアント/サーバ・コンピューティングの状況でしばしば使用される「クライアント」という用語の用法と混同しないように留意されたい。特殊な場合には、中間DNSサーバ114がクライアントとして作用することもある、すなわち問合せを送信することによって通信を開始することもあるが、本開示の文脈では、中間サーバ114をクライアントとは呼ばない。
本開示の実施形態は、以下に述べるコンピュータ実施方法を含む。いくつかの実施形態では、これらの方法は、その全体をシステムの1つの装置またはコンピュータ上で実行することができる。あるいは、これらの方法の一部分を、1つまたは複数のローカル・エリア・ネットワーク(LAN)、広域ネットワーク(WAN)、有線ネットワークまたは携帯電話網、イントラネット、あるいはインターネットなどのネットワークによって接続された2つ以上のコンピュータ上で実行することもできる。本明細書に記載する方法の要素の順序は、必ずしもそれらの要素を実行できる順序を限定するわけではない。
デスクトップ、ワークステーション、無線通信によってインターネットに接続されたスマート・フォン、ラップトップ・コンピュータ、共用コンピューティング・システム、またはネットワーク・コンピューティング用に設計されたその他の任意のコンピューティング・デバイスなどのクライアント・コンピュータは、ネットワークを介して、DNSサーバ・アプリケーションを実行しているDNSサーバ・コンピュータに接続することができる。各クライアント・コンピュータは、それぞれの上で実行されてDNSメッセージをフォーマット化し、インターネット・プロトコル・スイート(TCP/IP)またはその他の通信プロトコルを使用して本発明に従ってDNSサーバ・コンピュータに修正済みDNSメッセージを送信するクライアント・ソフトウェアを含む。
ネットワークは、1つまたは複数のローカル・エリア・ネットワーク(LAN)、広域ネットワーク(WAN)、有線ネットワークまたは携帯電話網、イントラネット、あるいはインターネットを、単独で、または組み合わせて含むことができる。本発明の実施形態は、本開示の実施形態に従ってクライアント・コンピュータおよびDNSサーバのいずれかで実施されるコンピュータ実施方法を含む。本開示の実施形態は、これらのデバイスのいずれかまたは全てを含むことができる。
これらのデバイスは、例示のために示したものであって、限定のために示したものではない。本発明の実施形態は、フィールド・プログラマブル・ゲート・アレイ(FPGA)や特定用途向け集積回路(ASIC)などとして論理が実施されるデバイスなど、当業者なら思いつく、論理およびメモリを含む任意の実施可能なコンピューティング・デバイス、または実行するコンピュータ・プログラム命令をそれ自体が含むソフトウェア・モジュールとして実施することもできる。
開示の本発明の実施形態は、ある程度までは、サーバ、ワークステーション、タブレット・コンピュータ、PC、携帯個人端末(PDA)、スマート・フォンなどの1つまたは複数のデータ処理システム(コンピュータ)にインストールされ、実行されるソフトウェア・モジュールとして実施される。図7は、本開示の実施形態で使用される例示的なコンピュータを示すブロック図である。コンピュータ302は、少なくとも1つのコンピュータ・プロセッサ354、ならびに揮発性ランダム・アクセス・メモリ(RAM)304と、ハード・ディスク・ドライブ、光ディスク・ドライブ、または電気的消去可能プログラム可能読取り専用メモリ・スペース(EEPROMまたはフラッシュ・メモリとも呼ぶ)などの何らかの1つまたは複数の形態の不揮発性コンピュータ・メモリ350とを両方とも含むコンピュータ・メモリを含む。コンピュータ・メモリは、システム・バス340を介してプロセッサ354およびその他のシステム構成要素に接続される。したがって、ソフトウェア・モジュールは、コンピュータ・メモリに記憶されたプログラム命令である。
オペレーティング・システム310が、コンピュータ・メモリに記憶されている。オペレーティング・システム310は、Windows XP(R)、Windows Vista(R)、Windows Server(R)、Mac OS X(R)、UNIX(R)、LINUX(R)、Solaris(R)、またはIBM社(米国ニューヨーク州アーモンク)製のAIX(R)など、任意の適当なオペレーティング・システムとすることができる。ネットワーク・スタック312も、メモリに記憶されている。ネットワーク・スタック312は、コンピュータ・ネットワーキング・プロトコルを協働させてネットワーク通信を容易にするソフトウェア・インプリメンテーションである。
コンピュータ302は、1つまたは複数の入出力インタフェース・アダプタ356も含む。入出力インタフェース・アダプタ356は、コンピュータのディスプレイ画面などの出力デバイス372への出力、およびキーボードやマウスなどの入力デバイス370からのユーザ入力を制御するためのソフトウェア・ドライバおよびコンピュータ・ハードウェアを介して、ユーザ指向入出力を実現することができる。
コンピュータ302は、他のデバイス360とのデータ通信を実施する通信アダプタ352も含む。通信アダプタ352は、1つのコンピュータがネットワークを介して別のコンピュータにデータ通信を送信するための、ハードウェア・レベルのデータ通信を実施する。
コンピュータ・メモリには、DNSモジュール308も記憶されている。DNSモジュール308は、DNSを実施するためのデバイス固有コンピュータ・プログラム命令を含むことができる。DNSモジュール308は、その一部を、ユーザによって操作または開始されるデスクトップまたはワークステーション上で動作するウェブ・ブラウザ(またはその他のクライアント・アプリケーション)内で動作するリゾルバとして実施することもできる。DNSモジュール308は、その一部を、DNSサーバ上で動作する1つまたは複数のサーバ・アプリケーションとして実施することもできる。DNSモジュール308は、ユーザ・ベース・アクセス・モジュール306を含む。DNSモジュール308およびユーザ・ベース・アクセス・モジュール306の機能は、クライアント・デバイスと・サーバ・デバイスとで異なる。クライアントのユーザ・ベース・アクセス・モジュール306は、図1〜図3および図4から図6を参照して上述したように、ユーザ固有情報109を含む要求を形成するように動作する。サーバのユーザ・ベース・アクセス・モジュール306は、図1〜図3および図4から図6を参照して上述したように、ユーザを許可し、条件付きで要求に応答するように動作する。
DNSモジュール308は、別個のソフトウェア・レイヤまたは同じレイヤ内で動作する1つまたは複数のサブモジュールとして実施することもできる。DNSモジュール308あるいはサブモジュールの1つまたは複数は、オペレーティング・システム310とは別個のモジュールとして図示してあるが、オペレーティング・システム310、あるいはメモリ中の協調サービス・アーキテクチャまたはその他のアプリケーションの一部として組み込むこともできる。様々な実施形態で、DNSモジュール308は、ソフトウェア・スタック内、またはファームウェア内に実施することができる。
説明を進めるために、図8は、本発明の一実施形態によるDNSデータベースへのアクセスを管理する方法を示すデータ流れ図である。最初に、DNSサーバが、DNS要求メッセージ402を受信する(ブロック408)。DNS要求メッセージ402は、ユーザがクライアントから発信することができる。DNS要求メッセージ402は、要求404、およびユーザ406に固有の識別情報を含む。
DNSサーバは、クライアントがDNSデータベースへのアクセスを許可されているかどうかを判定する(ブロック410)。クライアントが許可されているかどうかの判定は、DNS要求メッセージ402に含まれるクライアント・アドレス情報412およびユーザ固有識別情報406に基づいて実行することができる。クライアント・アドレス情報412は、クライアントのIPアドレスや地理的情報などを含むことができる。クライアントが許可されているかどうかの判定は、アクセス制御リスト上のドメイン名のルックアップを実行することを含むこともある(ブロック414)。アクセス制御リスト(ACL)は、オブジェクトに付与された許可のデータ構造(リスト、マトリックス、テーブルなど)である。ACLは、どのユーザまたはシステム・プロセスがオブジェクトへのアクセスを許可されているかを指定する。DNSサーバを初期構成する際には、クライアントのIPアドレスを、ユーザのユーザ情報とともにアクセス制御リスト(ACL)に記憶することを含む。
図9は、本発明の実施形態によるDNSリソース・レコードのアクセス制御リストを示す図である。アクセス制御リスト450は、ドメイン名452をリストしたテーブルを含む。このテーブルは、ドメイン名452を、DNSリソース・レコードへのアクセスを許可されたIPアドレス454およびユーザ識別番号456の組合せと関連付ける。例えばDNS問合せ要求やDNS更新要求など、異なる要求メッセージに対しては、別個のDNSリソース・レコードを保持し、使用することができる。例えば、アクセス制御リスト450は、example.com、IBM.com、xyz.govなどのドメイン名を含む。ドメイン名example.comには、IPアドレスが192.112.36.4であり、ユーザ識別番号が2794425205または1269842521であるユーザがアクセスすることができる。アクセス制御リスト450は、当業者が思いつく様々な構成で実施することができる。
図8を参照すると、DNSサーバは、ユーザが許可されていると判定した(ブロック416)のに応答してのみ、要求に対して作用する。ユーザが許可されている場合(420)には、DNSサーバは、要求を実行する(ブロック422)。ユーザが許可されていない場合(418)には、DNSサーバは、要求を拒絶する(ブロック424)。要求の拒絶は、要求を無視する、要求が拒絶されたことをクライアントに通知する、または追加の安全措置を講じることを含むことがある。例えば、特定のユーザからの要求、または特定のアドレス位置から受信した要求のうちの拒絶された数を実行中に作表して保存しておくこともできる。
クライアント・アドレス情報およびユーザ固有識別情報に基づいてユーザがDNSデータベースへのアクセスを許可されているかどうかを判定する(ブロック410)ことは、DNS要求メッセージからユーザ固有識別情報を抽出することを含むこともある。いくつかの実施形態では、ユーザ固有識別情報(例えばユーザ識別番号)をDNS要求メッセージ108のヘッダ202の一部分に挿入して、ヘッダ202の当該部分がユーザ固有識別情報を含むことができるようにすることもできる。これらの実施形態では、クライアント・アドレス情報およびユーザ固有識別情報に基づくユーザがDNSデータベースへのアクセスを許可されているかどうかの判定(ブロック410)は、ヘッダの当該部分からユーザ固有識別情報を抽出することによって実行することができる。
図10は、本発明の実施形態によるDNS要求メッセージのヘッダのIDフィールドを示す図である。図10を参照すると、DNS要求メッセージのヘッダのIDフィールドの一部分が、ユーザ固有識別情報を含んでいる。IDフィールド500は、例えば無作為に生成された数など、特定の問合せ504に対する一意識別子(一意的なメッセージ識別子504)を含む。IDフィールド500は、例えば数値ユーザIDなどのユーザ固有識別情報502も含む。
ユーザ固有識別情報を指定するために使用されるビットの数は、DNSサーバに対して同時に問合せを行うユーザの数、および各ユーザがサーバに同時に送信する問合せの数によって決まることがある。一意識別子は、クライアントが問合せに対する応答をサーバから受信した後で、再使用することができる。数値ユーザIDおよび一意識別子に割り当てられるビットの最適な数は、実施されるシステムの利用パターンによって変わることがある。
例えば、図10の実施形態では、数値ユーザID502は、IDフィールド500の前半の10ビットを占め、問合せの一意識別子504は、IDフィールド500の後半の6ビットを占める。IDフィールドの中の10ビットをユーザIDに使用し、6ビットをユーザからの問合せの一意識別子に使用することにより、210(すなわち1024)のユーザが、2(すなわち64)の未処理の問合せを有することができる。IDフィールドは、各クライアントに対して一意的でありさえすればよい。上記の解決策を考えると、各クライアントは1024のユーザを有することができ、各ユーザは64の未処理の問合せを有することができる。他の実施形態では、ユーザ固有識別情報502が占める数字の数をこれより増やしたり減らしたりすることもできるし、あるいは、例えば任意のビット位置の特定の組など他の構成でIDフィールド500に組み込むこともできる。
本開示によるDNSレコードへのアクセスのユーザ・ベース許可を実施するのに必要な帯域幅および処理能力のオーバヘッドは、極めて低い。IDフィールド500からユーザ固有識別情報502を抽出するように構成されていないDNSサーバは、IDフィールド500の内容を一意識別子として扱い、IDフィールド500の内容を返答メッセージ112にコピーすることになる。
このように、いくつかの実施形態では、クライアント・アドレス情報およびユーザ固有識別情報に基づくユーザがDNSデータベースへのアクセスを許可されているかどうかの判定(ブロック410)は、IDフィールド500の一部分からユーザ固有識別情報を抽出することによって実行することができる。
本発明の実施形態によれば、クライアント106は、非暗号化ユーザ固有識別情報109を、DNS要求メッセージ108に追加する。DNS要求メッセージ108は、ユーザに固有の非暗号化識別情報(ユーザ固有識別情報109)を含むDNSメッセージ・セクションを含むことができる。
図11は、ユーザ固有識別情報109を含むDNSメッセージ・セクションを含むDNS要求メッセージ108を作成すること(ブロック608)、およびDNS要求メッセージ108をDNSサーバ110に送信すること(ブロック610)を含む、DNS要求メッセージ108においてユーザを識別する方法を示す流れ図である。DNS要求メッセージ108を作成すること(ブロック608)は、DNSメッセージ108のヘッダ・セクション202の識別子(ID)フィールド500の予め規定された特定のビット位置(例えば0〜9)にユーザ固有識別情報502を挿入すること(ブロック602)、識別子(ID)フィールド500のユーザ固有識別情報が入っていない残りのビット位置(例えばビットA〜F)に適合するように構成された一意メッセージ識別子504を生成すること(ブロック604)、および一意メッセージ識別子を、識別子(ID)フィールドの残りのビット位置に挿入すること(ブロック606)を含むことができる。ユーザ固有識別情報が入っていないビットの一意メッセージ識別子を生成すること(ブロック604)、および一意メッセージ識別子を識別子(ID)フィールドの残りのビット位置に挿入すること(ブロック606)は、DNSメッセージ108のヘッダ・セクション202の識別子(ID)フィールド500の予め規定されたビット位置にユーザ固有識別情報を挿入する(ブロック602)前に実行することもできることに留意されたい。様々な実施形態で、クライアント106は、ユーザ固有識別情報502と一意メッセージ識別子504を結合するために、様々な数値的論理技術、代数的論理技術、および組合せ論理技術を利用することができる。例えば、クライアント106は、ユーザ固有識別情報502と一意メッセージ識別子504とを別個に生成し、その目的のために特別に設計されたハードウェア回路を使用して、または当技術分野で既知のソフトウェア技術によって、ユーザ固有識別情報502と一意メッセージ識別子504とを連結することもできる。クライアント106は、ユーザ固有識別情報502と一意メッセージ識別子504とを、同時に生成することもできる。
本明細書に開示の本発明の概念には、多くの修正を加えることができることを理解されたい。これらの修正としては、ハードウェアおよびソフトウェアの実施形態の様々な組合せ、ユーザ固有情報を含む様々なデータ構造、ソフトウェア・アーキテクチャの変更、記憶した情報を検索し、クライアントの許可を判定するための様々な機能およびプロセスの使用などが含まれる。これらの修正は、添付の特許請求の範囲およびそれらの均等物の範囲内に収まる限り、本特許によってカバーされるものとする。
102 ユーザ
104 クライアント・コンピュータ
106 クライアント
108 DNS要求メッセージ
109 ユーザ固有情報
110 DNSサーバ
112 DNS返答メッセージ
114 中間DNSサーバ

Claims (25)

  1. ドメイン・ネーム・サービス(DNS)データベースへのアクセスを管理するコンピュータ実施方法であって、
    ユーザがクライアントから発信した、要求および前記ユーザに固有の非暗号化識別情報を含むDNS要求メッセージを受信すること、
    前記DNS要求メッセージに含まれるクライアント・アドレス情報および前記ユーザ固有識別情報に基づいて、前記クライアントが前記DNSデータベースへのアクセスを許可されているかどうかを判定すること、ならびに
    前記ユーザが許可されていると判定したのに応答して、前記要求を実行することを含む、方法。
  2. 前記DNS要求メッセージのヘッダの一部分が、前記ユーザ固有識別情報を含み、前記クライアント・アドレス情報および前記ユーザ固有識別情報に基づいて前記ユーザが前記DNSデータベースへのアクセスを許可されているかどうかを判定することが、前記ヘッダの前記一部分から前記ユーザ固有識別情報を抽出することを含む、請求項1に記載の方法。
  3. 前記DNS要求メッセージの前記ヘッダの識別子(ID)フィールドの一部分が、前記ユーザ固有識別情報を含み、前記クライアント・アドレス情報および前記ユーザ固有識別情報に基づいて前記ユーザが前記DNSデータベースへのアクセスを許可されているかどうかを判定することが、前記IDフィールドの前記一部分から前記ユーザ固有識別情報を抽出することを含む、請求項2に記載の方法。
  4. 前記クライアント・アドレス情報および前記ユーザ固有識別情報に基づいて前記クライアントが前記DNSデータベースへのアクセスを許可されているかどうかを判定することが、アクセス制御リスト上のドメイン名のルックアップを実行することを含む、請求項1に記載の方法。
  5. 前記ユーザ固有識別情報が、ユーザ識別子を含む、請求項1に記載の方法。
  6. 前記ユーザ固有識別情報が、特権識別子を含む、請求項1に記載の方法。
  7. 前記要求が、更新要求である、請求項1に記載の方法。
  8. 前記要求が、問合せである、請求項1に記載の方法。
  9. ドメイン・ネーム・サービス(DNS)データベースへのアクセスを管理するコンピュータ・プログラムであって、
    コンピュータ可読プログラム・コードとともに実装されるコンピュータ可読記憶媒体を含み、
    前記コンピュータ可読プログラム・コードが、
    ユーザがクライアントから発信した、要求および前記ユーザに固有の非暗号化識別情報を含むDNS要求メッセージを受信するように構成されたコンピュータ可読プログラム・コードと、
    前記DNS要求メッセージに含まれるクライアント・アドレス情報および前記ユーザ固有識別情報に基づいて、前記クライアントが前記DNSデータベースへのアクセスを許可されているかどうかを判定するように構成されたコンピュータ可読プログラム・コードと、
    前記ユーザが許可されていると判定したのに応答して、前記要求を実行するように構成されたコンピュータ可読プログラム・コードとを含む、コンピュータ・プログラム。
  10. 前記DNS要求メッセージのヘッダの一部分が、前記ユーザ固有識別情報を含み、前記クライアント・アドレス情報および前記ユーザ固有識別情報に基づいて前記ユーザが前記DNSデータベースへのアクセスを許可されているかどうかを判定するように構成されたコンピュータ可読プログラム・コードが、前記ヘッダの前記一部分から前記ユーザ固有識別情報を抽出するように構成されたコンピュータ可読プログラム・コードを含む、請求項9に記載のコンピュータ・プログラム。
  11. 前記DNS要求メッセージの前記ヘッダの識別子(ID)フィールドの一部分が、前記ユーザ固有識別情報を含み、前記クライアント・アドレス情報および前記ユーザ固有識別情報に基づいて前記ユーザが前記DNSデータベースへのアクセスを許可されているかどうかを判定するように構成されたコンピュータ可読プログラム・コードが、前記IDフィールドの前記一部分から前記ユーザ固有識別情報を抽出するように構成されたコンピュータ可読プログラム・コードを含む、請求項10に記載のコンピュータ・プログラム。
  12. 前記クライアント・アドレス情報および前記ユーザ固有識別情報に基づいて前記クライアントが前記DNSデータベースへのアクセスを許可されているかどうかを判定するように構成されたコンピュータ可読プログラム・コードが、アクセス制御リスト上のドメイン名のルックアップを実行するように構成されたコンピュータ可読プログラム・コードを含む、請求項9に記載のコンピュータ・プログラム。
  13. 前記ユーザ固有識別情報が、ユーザ識別子を含む、請求項9に記載のコンピュータ・プログラム。
  14. 前記ユーザ固有識別情報が、特権識別子を含む、請求項9に記載のコンピュータ・プログラム。
  15. 前記要求が、更新要求である、請求項9に記載のコンピュータ・プログラム。
  16. 前記要求が、問合せである、請求項9に記載のコンピュータ・プログラム。
  17. ドメイン・ネーム・サービス(DNS)データベースへのアクセスを管理するシステムであって、
    プロセッサと、
    前記プロセッサに動作可能に結合されたコンピュータ・メモリとを含み、
    前記コンピュータ・メモリの内部に、
    ユーザがクライアントから発信した、要求および前記ユーザに固有の非暗号化識別情報を含むDNS要求メッセージを受信するように構成されたコンピュータ可読プログラム・コードと、
    前記DNS要求メッセージに含まれるクライアント・アドレス情報および前記ユーザ固有識別情報に基づいて、前記クライアントが前記DNSデータベースへのアクセスを許可されているかどうかを判定するように構成されたコンピュータ可読プログラム・コードと、
    前記ユーザが許可されていると判定したのに応答して、前記要求を実行するように構成されたコンピュータ可読プログラム・コードとが配置された、システム。
  18. 前記DNS要求メッセージのヘッダの一部分が、前記ユーザ固有識別情報を含み、前記クライアント・アドレス情報および前記ユーザ固有識別情報に基づいて前記ユーザが前記DNSデータベースへのアクセスを許可されているかどうかを判定するように構成されたコンピュータ可読プログラム・コードが、前記ヘッダの前記一部分から前記ユーザ固有識別情報を抽出するように構成されたコンピュータ可読プログラム・コードを含む、請求項17に記載のシステム。
  19. 前記DNS要求メッセージの前記ヘッダの識別子(ID)フィールドの一部分が、前記ユーザ固有識別情報を含み、前記クライアント・アドレス情報および前記ユーザ固有識別情報に基づいて前記ユーザが前記DNSデータベースへのアクセスを許可されているかどうかを判定するように構成されたコンピュータ可読プログラム・コードが、前記IDフィールドの前記一部分から前記ユーザ固有識別情報を抽出するように構成されたコンピュータ可読プログラム・コードを含む、請求項18に記載のシステム。
  20. 前記クライアント・アドレス情報および前記ユーザ固有識別情報に基づいて前記クライアントが前記DNSデータベースへのアクセスを許可されているかどうかを判定するように構成されたコンピュータ可読プログラム・コードが、アクセス制御リスト上のドメイン名のルックアップを実行するように構成されたコンピュータ可読プログラム・コードを含む、請求項17に記載のシステム。
  21. 前記ユーザ固有識別情報が、ユーザ識別子を含む、請求項17に記載のシステム。
  22. 前記ユーザ固有識別情報が、特権識別子を含む、請求項17に記載のシステム。
  23. ドメイン・ネーム・サービス(DNS)要求メッセージにおいてユーザを識別するコンピュータ実施方法であって、
    ユーザに関連付けられたクライアントから発信される、前記ユーザに固有の非暗号化識別情報を含むDNSメッセージ・セクションを含むDNS要求メッセージを作成すること、ならびに
    前記DNS要求メッセージをDNSサーバに送信することを含む、方法。
  24. 前記ユーザに関連付けられた前記クライアントから発信される前記DNS要求メッセージを作成することが、
    前記ユーザ固有識別情報を、前記DNSメッセージのヘッダ・セクションの識別子(ID)フィールドの予め規定された特定のビット位置に挿入すること、
    前記識別子(ID)フィールドの、前記ユーザ固有識別情報がない残りのビット位置に適合するように構成された一意メッセージ識別子を生成すること、ならびに
    前記一意メッセージ識別子を、前記識別子(ID)フィールドの前記残りのビット位置に挿入することを含む、請求項23に記載の方法。
  25. ドメイン・ネーム・サービス(DNS)要求メッセージにおいてユーザを識別するコンピュータ・プログラムであって、
    コンピュータ可読プログラム・コードとともに実装されるコンピュータ可読記憶媒体を含み、
    前記コンピュータ可読プログラム・コードが、
    ユーザに関連付けられたクライアントから発信される、前記ユーザに固有の非暗号化識別情報を含むDNSメッセージ・セクションを含むDNS要求メッセージを作成するように構成されたコンピュータ可読プログラム・コードと、
    前記DNS要求メッセージをDNSサーバに送信するように構成されたコンピュータ可読プログラム・コードとを含む、コンピュータ・プログラム。
JP2010239400A 2009-11-19 2010-10-26 ドメイン・ネーム・サービス(dns)データベースへのアクセスを管理するコンピュータ実施方法、コンピュータ・プログラム、およびシステム Active JP5587732B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/621,818 US8489637B2 (en) 2009-11-19 2009-11-19 User-based DNS server access control
US12/621818 2009-11-19

Publications (2)

Publication Number Publication Date
JP2011108232A true JP2011108232A (ja) 2011-06-02
JP5587732B2 JP5587732B2 (ja) 2014-09-10

Family

ID=44012114

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010239400A Active JP5587732B2 (ja) 2009-11-19 2010-10-26 ドメイン・ネーム・サービス(dns)データベースへのアクセスを管理するコンピュータ実施方法、コンピュータ・プログラム、およびシステム

Country Status (4)

Country Link
US (1) US8489637B2 (ja)
JP (1) JP5587732B2 (ja)
KR (1) KR20110055392A (ja)
CN (1) CN102075589A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011216030A (ja) * 2010-04-01 2011-10-27 Nec Corp ネットワーク端末管理システム、ネットワーク端末管理方法、ネットワーク端末管理プログラム
JP2017521929A (ja) * 2014-07-17 2017-08-03 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited リモート情報クエリの方法及びサーバ

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100502367C (zh) * 2007-04-04 2009-06-17 华为技术有限公司 保存域名系统记录的方法、装置
US8489637B2 (en) * 2009-11-19 2013-07-16 International Business Machines Corporation User-based DNS server access control
US20130254425A1 (en) * 2010-12-21 2013-09-26 Thomson Licensing Dns forwarder for multi-core platforms
US20120290724A1 (en) * 2011-05-09 2012-11-15 Nomadix, Inc. System and method for network redirection
US9467421B2 (en) * 2011-05-24 2016-10-11 Palo Alto Networks, Inc. Using DNS communications to filter domain names
US10270755B2 (en) 2011-10-03 2019-04-23 Verisign, Inc. Authenticated name resolution
US9386105B2 (en) * 2011-11-02 2016-07-05 Microsoft Technology Licensing, Llc Techniques for dynamic domain-based isolation
FR2986127B1 (fr) * 2012-01-24 2014-01-10 Ars Nova Systems Systeme et procede de controle de communication
US9281943B1 (en) * 2012-06-27 2016-03-08 Emc Corporation Defending against factoring by collision
US10447611B2 (en) 2012-07-11 2019-10-15 Verisign, Inc. System and method for adding a whitelist entry via DNS
US8856305B2 (en) * 2012-07-11 2014-10-07 Verisign, Inc. System and method for adding a whitelist entry via DNS
US20140089661A1 (en) * 2012-09-25 2014-03-27 Securly, Inc. System and method for securing network traffic
CA2851709A1 (en) * 2013-05-16 2014-11-16 Peter S. Warrick Dns-based captive portal with integrated transparent proxy to protect against user device caching incorrect ip address
CN104219200B (zh) * 2013-05-30 2017-10-17 杭州迪普科技股份有限公司 一种防范dns缓存攻击的装置和方法
JP5976232B2 (ja) * 2013-08-26 2016-08-23 徐 正 煥SEO, Jeong Hoan ユーザ情報に基づいた、ドメインネーム・システム及びドメインネーム・サービス方法
CN103634314B (zh) * 2013-11-28 2017-06-16 新华三技术有限公司 一种基于虚拟路由器vsr的服务访问控制方法及设备
US9900281B2 (en) 2014-04-14 2018-02-20 Verisign, Inc. Computer-implemented method, apparatus, and computer-readable medium for processing named entity queries using a cached functionality in a domain name system
WO2016057704A2 (en) * 2014-10-07 2016-04-14 Interdigital Patent Holdings, Inc. Supporting internet protocol (ip) clients in an information centric network (icn)
CN105592027B (zh) * 2014-11-18 2019-10-22 慧盾信息安全科技(苏州)股份有限公司 一种针对dns防拖库的安全防护系统和方法
US10320739B2 (en) * 2014-12-12 2019-06-11 Donuts Inc. Communication using DNS repurposing
US9479495B2 (en) * 2014-12-18 2016-10-25 Go Daddy Operating Company, LLC Sending authentication codes to multiple recipients
KR101589413B1 (ko) 2015-07-17 2016-01-28 성균관대학교산학협력단 IoT 디바이스에 대한 DNS 네이밍 방법
FR3041493B1 (fr) * 2015-09-22 2018-10-12 Airbus Defence And Space Sas Equipement pour offrir des services de resolution de noms de domaine
US10791085B2 (en) 2015-11-12 2020-09-29 Verisign, Inc. Techniques for directing a domain name service (DNS) resolution process
US10178195B2 (en) 2015-12-04 2019-01-08 Cloudflare, Inc. Origin server protection notification
US9942235B2 (en) * 2015-12-16 2018-04-10 Verizon Patent And Licensing Inc. Network access security for internet of things (IoT) devices
GB2546800B (en) * 2016-01-29 2020-08-05 Tectonic Interactive Ltd System and method for managing communication sessions between clients and a server
US10505985B1 (en) 2016-04-13 2019-12-10 Palo Alto Networks, Inc. Hostname validation and policy evasion prevention
US10999240B1 (en) 2016-08-31 2021-05-04 Verisign, Inc. Client controlled domain name service (DNS) resolution
CN108400953A (zh) * 2017-02-06 2018-08-14 中兴通讯股份有限公司 控制终端上网及终端上网的方法,路由器设备及终端
US11032127B2 (en) 2017-06-26 2021-06-08 Verisign, Inc. Resilient domain name service (DNS) resolution when an authoritative name server is unavailable
CN112291338B (zh) * 2017-12-04 2023-09-19 北京小米移动软件有限公司 通信方法、装置及电子设备
US11038835B2 (en) * 2018-01-31 2021-06-15 Comcast Cable Communications, Llc Systems and methods for managing domain name information
CN108733787A (zh) * 2018-05-11 2018-11-02 中国平安人寿保险股份有限公司 数据库操作方法、装置、电子设备及存储介质
US11265332B1 (en) 2018-05-17 2022-03-01 Securly, Inc. Managed network content monitoring and filtering system and method
EP3614642B1 (de) * 2018-08-20 2021-03-17 Siemens Aktiengesellschaft Verfahren zum einrichten eines streams, verfahren zur bereitstellung von stream-kennungs-informationen, verwendung eines namensdienst-servers, gerät, computerprogramm und computerlesbares medium
US10834201B2 (en) * 2018-11-27 2020-11-10 International Business Machines Corporation Device identification and reconfiguration in a network
US10862854B2 (en) * 2019-05-07 2020-12-08 Bitdefender IPR Management Ltd. Systems and methods for using DNS messages to selectively collect computer forensic data
CN112187699B (zh) * 2019-07-01 2021-12-28 中国科学院信息工程研究所 一种文件失窃的感知方法及系统
FR3105678A1 (fr) * 2019-12-20 2021-06-25 Orange Procédé de résolution d’identifiants de nommage
CN111049948B (zh) * 2019-12-30 2022-07-29 杭州迪普科技股份有限公司 域名检测方法和装置
CN113138863A (zh) * 2020-01-18 2021-07-20 佛山市云米电器科技有限公司 消息的标识信息生成方法、装置、设备及存储介质
CN113726836A (zh) * 2020-11-16 2021-11-30 北京沃东天骏信息技术有限公司 信息应答方法、装置、设备和计算机可读介质
US11582247B1 (en) * 2022-04-19 2023-02-14 Palo Alto Networks, Inc. Method and system for providing DNS security using process information
CN115378884B (zh) * 2022-04-27 2023-09-15 国家计算机网络与信息安全管理中心 Dns报文处理方法、装置、处理设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6961783B1 (en) * 2001-12-21 2005-11-01 Networks Associates Technology, Inc. DNS server access control system and method
JP2005328373A (ja) * 2004-05-14 2005-11-24 Nippon Signal Co Ltd:The ネットワークセキュリティシステム
WO2008122230A1 (en) * 2007-04-04 2008-10-16 Huawei Technologies Co., Ltd. A method, device for storing domain name system records and a domain name parsing method and device
US20090112814A1 (en) * 2007-10-31 2009-04-30 Microsoft Corporation Secure DNS query

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6256671B1 (en) 1998-06-24 2001-07-03 Nortel Networks Limited Method and apparatus for providing network access control using a domain name system
US7313815B2 (en) * 2001-08-30 2007-12-25 Cisco Technology, Inc. Protecting against spoofed DNS messages
FR2839970B1 (fr) * 2002-05-27 2005-07-22 Joseph Davidovits Ciment geopolymerique a base de poly(sialate-disiloxo) et procede d'obtention
JP3791464B2 (ja) 2002-06-07 2006-06-28 ソニー株式会社 アクセス権限管理システム、中継サーバ、および方法、並びにコンピュータ・プログラム
JP2004266568A (ja) 2003-02-28 2004-09-24 Nec Corp 名前解決サーバおよびパケット転送装置
US7299491B2 (en) 2003-04-30 2007-11-20 Microsoft Corporation Authenticated domain name resolution
WO2006013292A1 (fr) 2004-07-09 2006-02-09 France Telecom Procede, dispositif et systeme de protection d'un serveur contre des attaques de deni de service dns
US7502923B2 (en) 2004-09-16 2009-03-10 Nokia Corporation Systems and methods for secured domain name system use based on pre-existing trust
US7562148B2 (en) * 2004-12-21 2009-07-14 Motorola, Inc. Distributed domain name service
US7792994B1 (en) * 2005-06-15 2010-09-07 Symantec Corporation Correlating network DNS data to filter content
US7467230B2 (en) 2006-02-28 2008-12-16 Microsoft Corporation Global names zone
CN100499590C (zh) * 2006-05-23 2009-06-10 杭州华三通信技术有限公司 一种报文的访问控制方法及一种网络设备
CN101282368A (zh) 2007-04-04 2008-10-08 华为技术有限公司 保存域名系统记录的方法、装置、域名解析方法及装置
US7747780B2 (en) * 2007-08-27 2010-06-29 DNSStuff, INC. Method, system and apparatus for discovering user agent DNS settings
US8266672B2 (en) * 2008-03-21 2012-09-11 Sophos Plc Method and system for network identification via DNS
US8646049B2 (en) * 2008-05-02 2014-02-04 Toposis Corporation Systems and methods for secure management of presence information for communication services
WO2010045249A1 (en) * 2008-10-13 2010-04-22 Devicescape Software, Inc. Systems and methods for identifying a network
CN101442566B (zh) 2009-01-08 2012-07-11 中国电信股份有限公司 实现动态域名更新的方法和设备
US8489637B2 (en) * 2009-11-19 2013-07-16 International Business Machines Corporation User-based DNS server access control

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6961783B1 (en) * 2001-12-21 2005-11-01 Networks Associates Technology, Inc. DNS server access control system and method
JP2005328373A (ja) * 2004-05-14 2005-11-24 Nippon Signal Co Ltd:The ネットワークセキュリティシステム
WO2008122230A1 (en) * 2007-04-04 2008-10-16 Huawei Technologies Co., Ltd. A method, device for storing domain name system records and a domain name parsing method and device
US20100023611A1 (en) * 2007-04-04 2010-01-28 Huawei Technologies Co., Ltd. Method and device for storing domain name system records, method and device for parsing domain name
US20090112814A1 (en) * 2007-10-31 2009-04-30 Microsoft Corporation Secure DNS query

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011216030A (ja) * 2010-04-01 2011-10-27 Nec Corp ネットワーク端末管理システム、ネットワーク端末管理方法、ネットワーク端末管理プログラム
JP2017521929A (ja) * 2014-07-17 2017-08-03 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited リモート情報クエリの方法及びサーバ

Also Published As

Publication number Publication date
CN102075589A (zh) 2011-05-25
US20110119306A1 (en) 2011-05-19
KR20110055392A (ko) 2011-05-25
JP5587732B2 (ja) 2014-09-10
US8489637B2 (en) 2013-07-16

Similar Documents

Publication Publication Date Title
JP5587732B2 (ja) ドメイン・ネーム・サービス(dns)データベースへのアクセスを管理するコンピュータ実施方法、コンピュータ・プログラム、およびシステム
EP2422092B1 (en) Generating a dns query to improve resistance against a dns attack
JP6861219B2 (ja) インテリジェントドメインネームシステム転送のための方法および装置
CN114884822B (zh) 虚拟网络验证服务
US9544278B2 (en) Using domain name system security extensions in a mixed-mode environment
US9300623B1 (en) Domain name system cache integrity check
TWI475863B (zh) 使用快取之安全資源名稱解析
US20170163528A1 (en) Authorizing communications between computing nodes
TWI478564B (zh) 用於安全資源名稱解析的方法、電腦可讀取儲存媒體及設備
EP2260402B1 (en) Configuring communications between computing nodes
TWI652585B (zh) 遠端查詢訊息的方法及伺服器
JP4698180B2 (ja) ピアツーピアネットワークでのセキュア階層名前空間
EP3135021B1 (en) Method and system for identifying network resources
WO2015134933A1 (en) Manage encrypted network traffic using spoofed addresses
US10243920B1 (en) Internet protocol address reassignment between virtual machine instances
JP6484166B2 (ja) 名前解決装置、名前解決方法及び名前解決プログラム
WO2017000669A1 (zh) 域名资源记录缓存的集中管控方法、装置和相关设备
CN107736003B (zh) 用于保护域名安全的方法和设备
US10298539B2 (en) Passive delegations and records
CN111865976A (zh) 一种访问控制方法、装置及网关
Al-Bahri et al. DOA Based Identification for Devices and Applications of IoT in Heterogeneous Networks
Niven-Jenkins et al. Content delivery network interconnection (cdni) metadata
CN114268605B (zh) 一种智能dns实现方法、装置及计算机存储介质
Niven-Jenkins et al. RFC 8006: Content Delivery Network Interconnection (CDNI) Metadata
Bormann et al. CoRE Z. Shelby Internet-Draft ARM Intended status: Standards Track M. Koster Expires: January 3, 2019 SmartThings

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130702

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140319

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140408

RD13 Notification of appointment of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7433

Effective date: 20140421

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20140422

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140618

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140708

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20140708

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140724

R150 Certificate of patent or registration of utility model

Ref document number: 5587732

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250