JP2012231284A - Dns and dns access control method - Google Patents

Dns and dns access control method Download PDF

Info

Publication number
JP2012231284A
JP2012231284A JP2011098130A JP2011098130A JP2012231284A JP 2012231284 A JP2012231284 A JP 2012231284A JP 2011098130 A JP2011098130 A JP 2011098130A JP 2011098130 A JP2011098130 A JP 2011098130A JP 2012231284 A JP2012231284 A JP 2012231284A
Authority
JP
Japan
Prior art keywords
dns
domain name
information
sig
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2011098130A
Other languages
Japanese (ja)
Inventor
Yoshikazu Nakamura
義和 中村
Hiroki Kamiya
弘樹 神谷
Hiroshi Shibata
弘 柴田
Takeshi Ogawa
猛志 小川
Satoshi Kotabe
悟士 小田部
Yuichi Shimamura
祐一 島村
Eiichi Oka
英一 岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2011098130A priority Critical patent/JP2012231284A/en
Publication of JP2012231284A publication Critical patent/JP2012231284A/en
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To achieve access control corresponding to an SIG (0) working together with a DNS cache server and a DNS authority server.SOLUTION: When a user terminal performs an inquiry with an SIG(0) resource record, a DNS authority server which holds information on an appropriate domain name via a DNS cache server verifies the SIG(0) resource record and makes the DNS cache server hold information on the appropriate domain name, which is the result of the verification, and key information used for the verification of the SIG (0). When the DNS cache server subsequently receives the information on the appropriate domain name and the inquiry with the SIG(0) resource record from the user terminal, the DNS authority server performs verification using the key information.

Description

本発明は、IP網上で装置のドメインネームを管理するドメインネームシステム(DNS)のセキュリティ機能をDNSキャッシュサーバとDNS権威サーバが連携して実現するDNSおよびDNSアクセス制御方法に関する。   The present invention relates to a DNS and DNS access control method for realizing a domain name system (DNS) security function for managing a domain name of an apparatus on an IP network in cooperation with a DNS cache server and a DNS authoritative server.

従来のDNSのアクセス制御として、最も有名なDNSソフトウェアであるBIND(Berkley Internet Name Domain) は、IPアドレス単位のアクセス制御を実現している。さらに、公開鍵署名を利用するSIG(0) を用いたアクセス制御により、IPなりすまし対応や、DHCPを実現する方法が広く知られている(例えば、非特許文献1)。   As conventional DNS access control, BIND (Berkley Internet Name Domain), which is the most famous DNS software, realizes access control in units of IP addresses. Furthermore, methods for realizing IP spoofing and implementing DHCP by access control using SIG (0) using a public key signature are widely known (for example, Non-Patent Document 1).

馬場達也、日下貴義、山岡正輝、松田栄之、「DNSにおけるアクセス制御プロトコルの検討」、情報処理学会研究報告. CSEC,[コンピュータセキュリティ] 2003(18), 173-178, 2003-02-27 http://ci.nii.ac.jp/naid/110004028896Tatsuya Baba, Takayoshi Kusaka, Masateru Yamaoka, Eiyuki Matsuda, "Examination of Access Control Protocol in DNS", IPSJ Research Report. CSEC, [Computer Security] 2003 (18), 173-178, 2003-02-27 http : //ci.nii.ac.jp/naid/110004028896

一般的にDNSは、図1に示すように、ドメインネーム等の原本データを保持するDNS権威サーバ13−1〜13−3と、DNS権威サーバの原本データのキャッシュを保持するDNSキャッシュサーバ12から構成される。通常、ユーザ端末11はDNSキャッシュサーバ12にドメインネームの情報の問い合わせを行い、この問い合わせを受信したDNSキャッシュサーバ12は、内部にドメインネームの情報を保持する場合は、その保持情報を用いてユーザ端末11に応答する。一方、内部にドメインネームの情報を保持しない場合は、DNSキャッシュサーバ12のフルサービスリゾルバ機能によりDNS権威サーバ13−1〜13−3に再帰問い合わせを実施し、該当するドメインネームの情報を保持するDNS権威サーバから問い合わせ内容に対応したドメインネームの情報を取得し、保持する。その後、DNSキャッシュサーバ12は取得したドメインネームの情報をユーザ端末11に応答することでDNS問い合わせの処理を完了する。   In general, as shown in FIG. 1, the DNS includes a DNS authoritative server 13-1 to 13-3 that holds original data such as a domain name and a DNS cache server 12 that holds a cache of original data of the DNS authoritative server. Composed. Normally, the user terminal 11 inquires of the DNS cache server 12 about domain name information, and the DNS cache server 12 that has received this inquiry stores the domain name information inside. Responds to the terminal 11. On the other hand, when the domain name information is not held inside, the DNS authority server 13-1 to 13-3 is recursively inquired by the full service resolver function of the DNS cache server 12, and the corresponding domain name information is held. The domain name information corresponding to the inquiry content is acquired from the DNS authority server and held. Thereafter, the DNS cache server 12 returns the acquired domain name information to the user terminal 11 to complete the DNS inquiry process.

しかし、SIG(0) を用いたアクセス制御の場合、DNSキャッシュサーバ12がSIG(0) リソースレコード付きの問い合わせを受信すると、DNSキャッシュサーバ12のフルサービスリゾルバ機能によりSIG(0) リソースレコード無しの再帰問い合わせが実施され、SIG(0) を用いたアクセス制御が実施できない課題がある。また、直接DNS権威サーバにSIG(0) リソースレコード付きの問い合わせをし、SIG(0) リソースレコードを用いた検証を実施する方法があるが、DNS権威サーバの負荷が高くなる課題がある。   However, in the case of access control using SIG (0), when the DNS cache server 12 receives an inquiry with a SIG (0) resource record, the full service resolver function of the DNS cache server 12 indicates that there is no SIG (0) resource record. There is a problem that recursive queries are performed and access control using SIG (0) cannot be performed. In addition, there is a method of directly making an inquiry with a SIG (0) resource record to the DNS authoritative server and performing verification using the SIG (0) resource record. However, there is a problem that the load on the DNS authoritative server increases.

本発明は、DNS権威サーバの負荷の軽減を図りながら、DNSキャッシュサーバとDNS権威サーバと連携してSIG(0) に対応したアクセス制御を実現することができるDNSおよびDNSアクセス制御方法を提供することを目的とする。   The present invention provides a DNS and DNS access control method capable of realizing access control corresponding to SIG (0) in cooperation with a DNS cache server and a DNS authoritative server while reducing the load on the DNS authoritative server. For the purpose.

第1の発明は、ユーザ端末からドメインネームの情報の問い合わせを受けたDNSキャッシュサーバが、該当ドメインネームの情報を保持する場合はその保持情報をユーザ端末に応答し、該当ドメインネームの情報を保持しない場合はDNS権威サーバに再帰問い合わせを実施し、該当ドメインネームの情報を保持するDNS権威サーバから該当ドメインネームの情報を取得したときに保持するとともに該当ドメインネームの情報をユーザ端末に応答するDNSにおいて、ユーザ端末がSIG(0) リソースレコード付きの問い合わせを行ったときに、DNSキャッシュサーバを介して該当ドメインネームの情報を保持するDNS権威サーバがSIG(0) リソースレコ−ドを検証し、その結果である該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報をDNSキャッシュサーバに保持させ、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する構成である。   In the first invention, when the DNS cache server having received the inquiry about the domain name information from the user terminal holds the domain name information, the DNS cache server responds to the user terminal with the held information and holds the domain name information. If not, the DNS authority server is recursively queried, and when the domain name information is acquired from the DNS authority server that holds the information of the domain name, the DNS server responds to the user terminal with the information of the domain name. When the user terminal makes an inquiry with the SIG (0) resource record, the DNS authoritative server holding the information of the corresponding domain name via the DNS cache server verifies the SIG (0) resource record, For verification of the corresponding domain name information and SIG (0) as a result The key information had is held in the DNS cache servers are configured to carry out verification using the key information when receiving the relevant information and SIG (0) Domain Name resource record with the inquiry from the user terminal later.

第1の発明のDNSにおいて、DNS権威サーバは、DNSキャッシュサーバの公開鍵署名を用いることでDNSキャッシュサーバの正当性を検証する構成である。   In the DNS of the first invention, the DNS authoritative server is configured to verify the validity of the DNS cache server by using the public key signature of the DNS cache server.

第2の発明は、ユーザ端末からドメインネームの情報の問い合わせを受けたDNSキャッシュサーバが、該当ドメインネームの情報を保持する場合はその保持情報をユーザ端末に応答し、該当ドメインネームの情報を保持しない場合はDNS権威サーバに再帰問い合わせを実施し、該当ドメインネームの情報を保持するDNS権威サーバから該当ドメインネームの情報を取得したときに保持するとともに該当ドメインネームの情報をユーザ端末に応答するDNSアクセス制御方法において、ユーザ端末がSIG(0) リソースレコード付きの問い合わせを行ったときに、DNSキャッシュサーバを介して該当ドメインネームの情報を保持するDNS権威サーバがSIG(0) リソースレコ−ドを検証し、その結果である該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報をDNSキャッシュサーバに保持させ、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する。   In the second invention, when the DNS cache server that has received the inquiry about the domain name information from the user terminal holds the corresponding domain name information, the DNS cache server responds to the user terminal with the held information and holds the corresponding domain name information. If not, the DNS authority server is recursively queried, and when the domain name information is acquired from the DNS authority server that holds the information of the domain name, the DNS server responds to the user terminal with the information of the domain name. In the access control method, when a user terminal makes an inquiry with a SIG (0) resource record, the DNS authoritative server that holds the information of the domain name via the DNS cache server sends the SIG (0) resource record. And verify the domain name information The key information used for the verification of IG (0) is held in the DNS cache server, and when the user terminal receives an inquiry with the corresponding domain name and SIG (0) resource record, the key information is used. Conduct verification.

第2の発明のDNSアクセス制御方法において、DNSキャッシュサーバは、ユーザ端末からSIG(0) リソースレコード付きの問い合わせを受けたときに、DNS権威サーバにSIG(0) リソースレコード無しの再帰問い合わせを行い、該当するドメインネームの情報を保持するDNS権威サーバからSIG(0) リソースレコード無しによるエラーメッセージを受けたときに、ユーザ端末から送付されたドメインネームの情報の問い合わせとSIG(0) リソースレコードを載せたメッセージを当該DNS権威サーバへ送信し、メッセージを受信したDNS権威サーバは、SIG(0) リソースレコ−ドを用いて当該メッセージの正当性を検証し、検証の結果問題がなければ、DNSキャッシュサーバに対して該当ドメインネームの情報と、SIG(0) の検証に用いた鍵情報を送信し、検証の結果問題があればエラーメッセージを送信し、DNSキャッシュサーバは、受信した該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報を保持するとともに、ユーザ端末に該当ドメインネームの情報を応答し、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する。   In the DNS access control method of the second invention, when the DNS cache server receives a query with a SIG (0) resource record from the user terminal, it performs a recursive query without a SIG (0) resource record to the DNS authority server. When an error message indicating that there is no SIG (0) resource record is received from the DNS authoritative server holding the corresponding domain name information, the inquiry of the domain name information sent from the user terminal and the SIG (0) resource record The DNS authoritative server that has sent the message to the DNS authoritative server and has received the message verifies the validity of the message by using the SIG (0) resource record. The domain name information for the cache server and SIG (0) The key information used for the verification is transmitted, and if there is a problem as a result of the verification, an error message is transmitted, and the DNS cache server holds the received domain name information and the key information used for the verification of SIG (0). At the same time, information on the corresponding domain name is returned to the user terminal, and verification is performed using the key information when an inquiry with the corresponding domain name information and SIG (0) resource record is subsequently received from the user terminal.

第2の発明のDNSアクセス制御方法において、DNS権威サーバは、DNSキャッシュサーバの公開鍵署名を用いることでDNSキャッシュサーバの正当性を検証する。   In the DNS access control method of the second invention, the DNS authoritative server verifies the validity of the DNS cache server by using the public key signature of the DNS cache server.

本発明は、DNSキャッシュサーバとDNS権威サーバが連携し、DNS権威サーバでSIG(0) の検証に用いた鍵情報をDNSキャッシュサーバが保持することにより、SIG(0) 利用時に直接DNS権威サーバに問い合わせすることなく検証が可能となり、DNS権威サーバの負荷の軽減を図りながら、SIG(0) に対応したアクセス制御を実現することができる。   In the present invention, the DNS cache server and the DNS authoritative server cooperate, and the DNS authoritative server holds the key information used for the verification of SIG (0) in the DNS authoritative server, so that the DNS authoritative server is directly used when using SIG (0). Thus, it is possible to perform the access control corresponding to SIG (0) while reducing the load on the DNS authoritative server.

本発明のDNSの構成例を示す図である。It is a figure which shows the structural example of DNS of this invention. 本発明のDNSアクセス制御方法の処理フローを示す図である。It is a figure which shows the processing flow of the DNS access control method of this invention.

図1は、本発明のDNSの構成例を示す。
図1において、ユーザ端末11は、インターネットを介してDNSキャッシュサーバ12へアクセスし、ドメインネームの情報(リソースレコード)の問い合わせを実施する機能を有する。DNSキャッシュサーバ12は、ユーザ端末11からの問い合わせ先となり、ドメインネームの情報が見つかるまでDNS権威サーバ13−1〜13−3に反復して問い合わせ(再帰問い合わせ)を行うフルサービスリゾルバ機能を有する。DNS権威サーバ13−1〜13−3は、ドメインネームの情報の原本を保持し、DNSキャッシュサーバ12からの問い合わせに対する応答機能を有する。DNSキャッシュサーバ12とDNS権威サーバ13−1〜13−3が連携し、SIG(0) に対応したアクセス制御を実現する機能については以下に説明する。 FIG. 1 shows a configuration example of the DNS of the present invention.
In FIG. 1, a user terminal 11 has a function of accessing a DNS cache server 12 via the Internet and inquiring about domain name information (resource record). The DNS cache server 12 is a destination of inquiry from the user terminal 11, and has a full service resolver function that repeatedly makes inquiries (recursive inquiries) to the DNS authority servers 13-1 to 13-3 until domain name information is found. The DNS authoritative servers 13-1 to 13-3 hold the original domain name information and have a response function for inquiries from the DNS cache server 12. A function in which the DNS cache server 12 and the DNS authoritative servers 13-1 to 13-3 cooperate to realize access control corresponding to SIG (0) will be described below.

図2は、本発明のDNSアクセス制御方法の処理フローを示す。
まず、ユーザ端末11はDNSキャッシュサーバ12に対し、SIG(0) リソースレコード付きの問い合わせを実施する。本問い合わせを受信したDNSキャッシュサーバ12は、該当するドメインネームの情報を保持するDNS権威サーバを探すため、DNS権威サーバ13−1〜13−3に再帰問い合わせを実施する。この問い合わせの際はSIG(0) リソースレコードを付けないものとする。再帰問い合わせの結果、該当ドメインネームの情報を保持するDNS権威サーバ(.hoge.co.jp) 13−3が判明する。しかし、DNS権威サーバ13−3への問い合わせはSIG(0) リソースレコード無しのため、エラーメッセージがDNS権威サーバ13−3からDNSキャッシュサーバ12に対して送付される。 FIG. 2 shows a processing flow of the DNS access control method of the present invention.
First, the user terminal 11 makes an inquiry with the SIG (0) resource record to the DNS cache server 12. The DNS cache server 12 that has received this inquiry makes a recursive inquiry to the DNS authoritative servers 13-1 to 13-3 in order to search for a DNS authoritative server that holds information of the corresponding domain name. It is assumed that no SIG (0) resource record is attached when making this inquiry. As a result of the recursive inquiry, a DNS authoritative server (.hoge.co.jp) 13-3 that holds information of the corresponding domain name is found. However, since the inquiry to the DNS authoritative server 13-3 has no SIG (0) resource record, an error message is sent from the DNS authoritative server 13-3 to the DNS cache server 12.

本エラーメッセージを取得したDNSキャッシュサーバ12は、SIG(0) の署名を有効にするために、ユーザ端末11から送付されたドメインネームの情報(リソースレコードの問い合わせおよびSIG(0) リソースレコードに手を加えずに、DNS権威サーバ13−3への問い合わせメッセージの中に入れ、DNS権威サーバ13−3に対して問い合わせを実施する。   The DNS cache server 12 that has acquired this error message, in order to validate the SIG (0) signature, handles the domain name information sent from the user terminal 11 (resource record inquiry and SIG (0) resource record). Is added in an inquiry message to the DNS authoritative server 13-3, and an inquiry is made to the DNS authoritative server 13-3.

本問い合わせを受信したDNS権威サーバ13−3は、SIG(0) リソースレコードの検証を実施し、検証の結果問題がなければ、DNSキャッシュサーバ12に問い合わせに対応したリソースレコード(ドメインネームの情報)、およびSIG(0) の検証に用いた公開鍵をDNSキャッシュサーバ12に応答する。一方、検証の結果問題があれば、DNSキャッシュサーバ12にエラーメッセージを応答する。   Upon receiving this inquiry, the DNS authoritative server 13-3 verifies the SIG (0) resource record. If there is no problem as a result of the verification, the DNS record server 13 responds to the inquiry with the resource record (domain name information). , And the public key used for verification of SIG (0) is returned to the DNS cache server 12. On the other hand, if there is a problem as a result of the verification, an error message is returned to the DNS cache server 12.

前記リソースレコードおよび公開鍵を受信したDNSキャッシュサーバ12は、受信したドメインネームの情報および公開鍵をキャッシュするとともに、ドメインネームの情報をユーザ端末11に応答し、問い合わせ処理を完了する。   The DNS cache server 12 that has received the resource record and the public key caches the received domain name information and public key, and returns the domain name information to the user terminal 11 to complete the inquiry process.

以降、DNSキャッシュサーバ12は、ユーザ端末11からSIG(0) リソースレコード付きの問い合わせが来た際は、保持している公開鍵を用いて検証を実施し、DNS権威サーバ13−1〜13−3への問い合わせを実施しない形で問い合わせの検証が可能となる。   Thereafter, when an inquiry with a SIG (0) resource record is received from the user terminal 11, the DNS cache server 12 performs verification using the held public key, and the DNS authority servers 13-1 to 13- The inquiry can be verified without performing the inquiry to 3.

ここで、DNS権威サーバ13−3から公開鍵を渡されるDNSキャッシュサーバ12の正当性の保証は、以下のようにDNSキャッシュサーバ12の公開鍵署名を用いる方法で対処する。まず、DNSキャッシュサーバ12はDNS権威サーバ13−1〜13−3に対し、事前にDNSキャッシュサーバ12の公開鍵を登録しておく。次に、DNSキャッシュサーバ12から上記の例ではDNS権威サーバ13−3へのドメイン情報問い合わせ時に、DNSキャッシュサーバ12の秘密鍵を用いて問い合わせメッセージの署名を生成し、問い合わせメッセージと一緒に署名をDNS権威サーバ13−3に送付することで問い合わせ元のDNSキャッシュサーバ12の正当性を検証可能となる。   Here, the guarantee of the validity of the DNS cache server 12 to which the public key is passed from the DNS authority server 13-3 is dealt with by a method using the public key signature of the DNS cache server 12 as follows. First, the DNS cache server 12 registers the public key of the DNS cache server 12 in advance with respect to the DNS authoritative servers 13-1 to 13-3. Next, when the domain information is inquired from the DNS cache server 12 to the DNS authoritative server 13-3 in the above example, a signature of the inquiry message is generated using the secret key of the DNS cache server 12, and the signature is signed together with the inquiry message. By sending it to the DNS authoritative server 13-3, it is possible to verify the validity of the DNS cache server 12 as the inquiry source.

11 ユーザ端末
12 DNSキャッシュサーバ
13−1〜13−3 DNS権威サーバ 11 User terminal 12 DNS cache server 13-1 to 13-3 DNS authoritative server

Claims (5)

ユーザ端末からドメインネームの情報の問い合わせを受けたDNSキャッシュサーバが、該当ドメインネームの情報を保持する場合はその保持情報をユーザ端末に応答し、該当ドメインネームの情報を保持しない場合はDNS権威サーバに再帰問い合わせを実施し、該当ドメインネームの情報を保持するDNS権威サーバから該当ドメインネームの情報を取得したときに保持するとともに該当ドメインネームの情報をユーザ端末に応答するDNSにおいて、
前記ユーザ端末がSIG(0) リソースレコード付きの問い合わせを行ったときに、前記DNSキャッシュサーバを介して該当ドメインネームの情報を保持するDNS権威サーバが前記SIG(0) リソースレコ−ドを検証し、その結果である該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報を前記DNSキャッシュサーバに保持させ、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する構成である
ことを特徴とするDNS。 When the DNS cache server that has received the domain name information inquiry from the user terminal holds the corresponding domain name information, the DNS cache server responds to the user terminal with the held information, and when the DNS cache server does not hold the corresponding domain name information, the DNS authority server In a DNS that performs a recursive query and holds the information of the corresponding domain name from the DNS authority server that holds the information of the corresponding domain name and responds to the user terminal with the information of the corresponding domain name,
When the user terminal makes an inquiry with a SIG (0) resource record, a DNS authoritative server that holds information on the corresponding domain name via the DNS cache server verifies the SIG (0) resource record. Then, the corresponding domain name information and the key information used for the verification of SIG (0) are held in the DNS cache server, and thereafter the corresponding domain name information and SIG (0) resource record are attached from the user terminal. A DNS that is configured to perform verification using the key information when an inquiry is received. 請求項1に記載のDNSにおいて、
前記DNS権威サーバは、前記DNSキャッシュサーバの公開鍵署名を用いることで前記DNSキャッシュサーバの正当性を検証する構成である
ことを特徴とするDNS。 In the DNS of claim 1,
The DNS authority server is configured to verify the validity of the DNS cache server by using the public key signature of the DNS cache server. ユーザ端末からドメインネームの情報の問い合わせを受けたDNSキャッシュサーバが、該当ドメインネームの情報を保持する場合はその保持情報をユーザ端末に応答し、該当ドメインネームの情報を保持しない場合はDNS権威サーバに再帰問い合わせを実施し、該当ドメインネームの情報を保持するDNS権威サーバから該当ドメインネームの情報を取得したときに保持するとともに該当ドメインネームの情報をユーザ端末に応答するDNSアクセス制御方法において、
前記ユーザ端末がSIG(0) リソースレコード付きの問い合わせを行ったときに、前記DNSキャッシュサーバを介して該当ドメインネームの情報を保持するDNS権威サーバが前記SIG(0) リソースレコ−ドを検証し、その結果である該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報を前記DNSキャッシュサーバに保持させ、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する
ことを特徴とするDNSアクセス制御方法。 When the DNS cache server that has received the domain name information inquiry from the user terminal holds the corresponding domain name information, the DNS cache server responds to the user terminal with the held information, and when the DNS cache server does not hold the corresponding domain name information, the DNS authority server In a DNS access control method for performing a recursive inquiry to the user terminal and holding the domain name information from the DNS authoritative server holding the domain name information and responding to the user terminal with the domain name information.
When the user terminal makes an inquiry with a SIG (0) resource record, a DNS authoritative server that holds information on the corresponding domain name via the DNS cache server verifies the SIG (0) resource record. Then, the corresponding domain name information and the key information used for the verification of SIG (0) are held in the DNS cache server, and thereafter the corresponding domain name information and SIG (0) resource record are attached from the user terminal. A DNS access control method, wherein verification is performed using the key information when an inquiry is received. 請求項3に記載のDNSアクセス制御方法において、
前記DNSキャッシュサーバは、前記ユーザ端末からSIG(0) リソースレコード付きの問い合わせを受けたときに、前記DNS権威サーバにSIG(0) リソースレコード無しの再帰問い合わせを行い、該当するドメインネームの情報を保持するDNS権威サーバからSIG(0) リソースレコード無しによるエラーメッセージを受けたときに、前記ユーザ端末から送付されたドメインネームの情報の問い合わせとSIG(0) リソースレコードを載せたメッセージを当該DNS権威サーバへ送信し、
前記メッセージを受信したDNS権威サーバは、前記SIG(0) リソースレコ−ドを用いて当該メッセージの正当性を検証し、検証の結果問題がなければ、前記DNSキャッシュサーバに対して該当ドメインネームの情報と、SIG(0) の検証に用いた鍵情報を送信し、検証の結果問題があればエラーメッセージを送信し、
前記DNSキャッシュサーバは、受信した該当ドメインネームの情報とSIG(0) の検証に用いた鍵情報を保持するとともに、前記ユーザ端末に該当ドメインネームの情報を応答し、以降にユーザ端末から該当ドメインネームの情報およびSIG(0) リソースレコード付きの問い合わせを受けたときにその鍵情報を用いて検証を実施する
ことを特徴とするDNSアクセス制御方法。 The DNS access control method according to claim 3,
When the DNS cache server receives a query with a SIG (0) resource record from the user terminal, the DNS cache server makes a recursive query without a SIG (0) resource record to the DNS authoritative server, and obtains information on the corresponding domain name. When an error message indicating that there is no SIG (0) resource record is received from the DNS authoritative server that holds it, the DNS authority information inquiry sent from the user terminal and a message carrying the SIG (0) resource record are sent to the DNS authoritative server. To the server,
The DNS authoritative server that has received the message verifies the validity of the message using the SIG (0) resource record. If there is no problem as a result of the verification, the DNS authoritative server sets the corresponding domain name to the DNS cache server. Information and the key information used to verify SIG (0). If there is a problem as a result of verification, send an error message.
The DNS cache server holds the received corresponding domain name information and key information used for verifying SIG (0), and returns the corresponding domain name information to the user terminal. A DNS access control method, wherein verification is performed using key information when an inquiry with name information and SIG (0) resource record is received. 請求項3に記載のDNSアクセス制御方法において、
前記DNS権威サーバは、前記DNSキャッシュサーバの公開鍵署名を用いることで前記DNSキャッシュサーバの正当性を検証する
ことを特徴とするDNSアクセス制御方法。 The DNS access control method according to claim 3,
The DNS authoritative server verifies the validity of the DNS cache server by using the public key signature of the DNS cache server.
JP2011098130A 2011-04-26 2011-04-26 Dns and dns access control method Withdrawn JP2012231284A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011098130A JP2012231284A (en) 2011-04-26 2011-04-26 Dns and dns access control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011098130A JP2012231284A (en) 2011-04-26 2011-04-26 Dns and dns access control method

Publications (1)

Publication Number Publication Date
JP2012231284A true JP2012231284A (en) 2012-11-22

Family

ID=47432487

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011098130A Withdrawn JP2012231284A (en) 2011-04-26 2011-04-26 Dns and dns access control method

Country Status (1)

Country Link
JP (1) JP2012231284A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014212480A (en) * 2013-04-19 2014-11-13 Necプラットフォームズ株式会社 Proxy dns server having cache function and dns query response method
CN115334040A (en) * 2022-08-10 2022-11-11 北京百度网讯科技有限公司 Method and device for determining Internet Protocol (IP) address of domain name

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014212480A (en) * 2013-04-19 2014-11-13 Necプラットフォームズ株式会社 Proxy dns server having cache function and dns query response method
CN115334040A (en) * 2022-08-10 2022-11-11 北京百度网讯科技有限公司 Method and device for determining Internet Protocol (IP) address of domain name

Similar Documents

Publication Publication Date Title
TWI478564B (en) Method, computer-readable storage medium, and apparatus for secure resource name resolution
US11140177B2 (en) Distributed data authentication and validation using blockchain
JP4730118B2 (en) Domain name system
US8681995B2 (en) Supporting DNS security in a multi-master environment
CN103078877B (en) Based on the user authentication of DNS and domain name access control method and system
TWI565258B (en) System, method and device for filtering https network packet
CN108632221B (en) Method, equipment and system for positioning controlled host in intranet
US20120254386A1 (en) Transfer of DNSSEC Domains
EP3754947B1 (en) System and method for identifying ott applications and services
JP2012235464A (en) Dnssec signing server
RU2008106250A (en) STORAGE AND RESOLUTION IN THE BRANCH DNS
US9973590B2 (en) User identity differentiated DNS resolution
JP2011530868A5 (en)
CN107682470B (en) Method and device for detecting public network IP availability in NAT address pool
JP2015525991A (en) Packet receiving method, deep packet inspection apparatus and system
TW201604697A (en) Method and server of remote information query
JP2017517064A5 (en)
WO2015085850A1 (en) Application identification method and device
CN109120614B (en) Service processing method and device based on distributed system
CN105657077B (en) A kind of network address commutation traversing method and network address translation apparatus
CN109167758A (en) A kind of message processing method and device
JP2012231284A (en) Dns and dns access control method
US10462180B1 (en) System and method for mitigating phishing attacks against a secured computing device
CN111600969A (en) Domain name addressing method, system, domain name server, electronic device and storage medium
US10291612B2 (en) Bi-directional authentication between a media repository and a hosting provider

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20140701