JP2018074395A - Data communication system, cache dns device and cyber attack prevention method - Google Patents
Data communication system, cache dns device and cyber attack prevention method Download PDFInfo
- Publication number
- JP2018074395A JP2018074395A JP2016212296A JP2016212296A JP2018074395A JP 2018074395 A JP2018074395 A JP 2018074395A JP 2016212296 A JP2016212296 A JP 2016212296A JP 2016212296 A JP2016212296 A JP 2016212296A JP 2018074395 A JP2018074395 A JP 2018074395A
- Authority
- JP
- Japan
- Prior art keywords
- isp network
- dns
- key
- url
- cache
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 89
- 238000000034 method Methods 0.000 title claims description 19
- 230000002265 prevention Effects 0.000 title claims description 4
- 238000011156 evaluation Methods 0.000 claims abstract description 45
- 230000004044 response Effects 0.000 claims abstract description 42
- 230000005540 biological transmission Effects 0.000 claims abstract description 13
- 238000011835 investigation Methods 0.000 abstract description 8
- 125000004122 cyclic group Chemical group 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 12
- 238000012545 processing Methods 0.000 description 8
- 230000004075 alteration Effects 0.000 description 2
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Images
Abstract
Description
本開示は、インターネットにおけるWebサーバとクライアント間通信において、サーバに対する通信攻撃や、クライアントに対する通信攻撃を防止するデータ通信方法に関する。 The present disclosure relates to a data communication method for preventing a communication attack on a server and a communication attack on a client in communication between a Web server and a client on the Internet.
図1は、関連技術に係るインターネットを介したWebサーバとクライアント間の接続構成例を示す。図1では、理解の容易のため、第1のISP(Internet Service Provider)の管理するISP網91と、第2のISPの管理するISP網92と、がインターネット93を介して接続されている例を示す。クライアント12はISP網91内に接続されている端末の1つであり、ISP網91とインターネット93との境界にあるゲートウェイルータ(以下、GWと称する。)11に接続し、GW11はISP網91内のキャッシュDNSサーバ15と接続している。
FIG. 1 shows a connection configuration example between a Web server and a client via the Internet according to related technology. In FIG. 1, for easy understanding, an
Webサーバ22はISP網92内に接続されている端末の1つであり、ISP網92とインターネットとの境界にあるGW21に接続し、GW21はISP網92内の権威DNS(Domain Name System)サーバ23と接続している。なお、以下では、説明を簡易にするため、権威DNSサーバが管理するURLの範囲(ゾーン)に対応するWebサーバ22は、ISP網92に接続するWebサーバ22の範囲として説明する。
The
GW11及びGW21は、ISP網内からの発信はすべて通過させるが、外部からの発信は権威DNSサーバ及びWebサーバのIPアドレス宛の通信のみ、内部に転送する。GW11とGW21は、インターネット93を介して接続し、インターネット93はGW11及びGW21から受信したIPパケットのIPアドレスを参照し、宛先となるGW21及びGW11に転送する。 The GW 11 and the GW 21 allow all outgoing calls from within the ISP network to pass, but forward outgoing calls forward only communications addressed to the IP addresses of the authoritative DNS server and Web server. The GW 11 and the GW 21 are connected via the Internet 93. The Internet 93 refers to the IP address of the IP packet received from the GW 11 and the GW 21, and transfers the IP packet to the GW 21 and the GW 11 serving as destinations.
ASP(Application Service Provider)のIDS(Intrusion Detection System)サーバ14,24は、それぞれ、インターネット93に接続するWebサーバ間のリンク情報を用いて、各Webサーバに周期的に接続し、IDS技術を活用して、各Webサーバからクライアントへのマルウェア感染や、他Webサーバへの成りすましなどクライアントの安全を脅かす処理(通信攻撃)がないか調査し、危険な処理を行うWebサーバのURLのリスト(ブラックリスト)や安全なWebサーバのURLのリスト(ホワイトリスト)を管理する。ASPは、例えば、Google(登録商標)及びMicrosoft(登録商標)である。なお、図1では、Webサーバ22以外のWebサーバの図示を省略している。
ASP (Application Service Provider) IDS (Intrusion Detection System)
クライアント12のWebブラウザは、IDSサーバ14,24と通信し、当該ブラックリストまたはホワイトリストを活用して発信の制御を行う。なお、2016年5月の時点で、Firefox(登録商標)、Safari(登録商標)、Chrome(登録商標)はGoogle(登録商標)社が提供するブラックリストを、Internet Explorer(登録商標)やEdge(登録商標)はMicrosoft(登録商標)社が提供するホワイトリストを使用することが可能である。以下、Firefox(登録商標)の処理概要について、公開情報を元に説明する。
The Web browser of the
Firefox(登録商標)は、Google Safe Browsing(登録商標)というAPI(Application Programming Interface)を利用し、当該ブラックリストをクライアント端末内にダウンロードする。ブラックリストは、危険なURLのそれぞれをハッシュしたリストである。ユーザが、クライアントのFirefox(登録商標)を用いて、ユーザが指定したURLとの接続を指示すると、Webブラウザは、当該URLのハッシュ値がブラックリストにある場合は、IDSサーバ14,24に当該URLを通知する。IDSサーバ14,24は当該URLがブラックリストにあるかどうかを、Firefox(登録商標)に応答する。当該URLがブラックリストにあった場合、Firefox(登録商標)はユーザに警告を表示し、ユーザは危険なWebサーバに接続することを控えることができる。接続先WebサーバのURLがブラックリストにない場合、クライアント(スタブリゾルバとも呼ばれる)は、当該URLに対応するWebサーバのIPアドレスをDNSクエリ(図2)により、キャッシュDNSサーバ(フルサービスリゾルバとも呼ばれる)に問い合わせる。URLがWebサーバ22のホスト名の場合、キャッシュDNSはDNSプロトコルにより、root DNSサーバや上位ドメインのDNSサーバに当該URLの対応する情報の管理を行っている権威DNSサーバ23のIPアドレスを再帰検索により入手し、当該権威DNSサーバ23にDNSクエリを転送する。ここで、権威DNSサーバ23は、コンテンツサーバとも呼ばれ、図の例ではISP網92の権威DNSサーバ23として機能する。なお図1では、root DNSサーバや上位ドメインのDNSサーバの表記を省略している。
Firefox (registered trademark) uses an API (Application Programming Interface) called Google Safe Browsing (registered trademark) to download the black list into the client terminal. The black list is a list in which each dangerous URL is hashed. When the user uses the client's Firefox (registered trademark) to instruct the connection with the URL specified by the user, the Web browser, when the hash value of the URL is in the black list, sends the
権威DNSサーバ23は図3に示すように、Webサーバ22のIPアドレス(アンサー部)と、当該権威DNSサーバが持つゾーン署名鍵(公開鍵と秘密鍵のペアで構成)の公開鍵(DNSKEY(Domain Name System KEY)レコード)と当該公開鍵に対応する秘密鍵で当該IPアドレスのハッシュ値を暗号化した署名(RRSIG(Resource Record Signature)レコード)を含むDNSレスポンスをキャッシュDNSサーバ15に返送する。キャッシュDNSサーバ15は既存のDNSSEC(DNS SECurity Extensions)のプロトコル手順を用いて、root DNSサーバからの信頼性チェーンにより、キャッシュDNSサーバ15のゾーンに対応する署名鍵の本人性を確認する。次に当該公開鍵を用いて受信したDNSレスポンスの署名を復号して、署名範囲のハッシュ値と比較する。一致した場合署名範囲に改ざんがないと判断し、当該IPアドレスを含むDNSレスポンスをクライアント12に返却する。以上により、クライアント12は、Webサーバ22のIPアドレスを入手し、Webサーバ22とのIP通信が可能になる。
As shown in FIG. 3, the
関連技術では、以下の課題がある。
第1の課題:ASPによる巡回調査の遅れ。2015年時点で世界中のドメイン数は3億を超過している。このため、1つのASPが全Webサーバを巡回して調査すると、調査間隔が長くなってしまい、調査の間に、攻撃者によりWebサーバが汚染され、クライアントにとって危険なWebサーバとなる可能性が無視できない。
Related technologies have the following problems.
First problem: Delay in patrol survey by ASP. As of 2015, there are over 300 million domains worldwide. For this reason, if one ASP circulates and investigates all the web servers, the investigation interval becomes long, and during the investigation, there is a possibility that the web server is contaminated by an attacker and becomes a dangerous web server for the client. It cannot be ignored.
第2の課題:リンクの無い悪意サーバの潜在化。クライアントに感染させたマルウェアと通信し、クライアント端末を遠隔操作するC&Cサーバなどの悪意サーバは、URLをDNSサーバに登録せず、他のWebサーバからのリンクもない場合がある。当該サーバについては、Webリンクによる巡回調査が出来ない問題がある。 Second problem: latent malicious server without link. A malicious server such as a C & C server that communicates with malware infecting a client and remotely controls a client terminal may not register a URL in a DNS server and may not have a link from another Web server. The server has a problem that it is not possible to perform a patrol survey using a Web link.
第3の課題:クライアントの通信プライバシのASPへの流出。ブラックリストを攻撃者が解読すると攻撃のヒントになるため、クライアントは危険な可能性のあるURLをASPに通知し、ASPが最終的な判定を行っている。このため、クライアントは通信の安全性と引き換えに、通信プライバシの一部をASPに公開せざるを得ない問題がある。 Third problem: Outflow of client communication privacy to ASP. When an attacker deciphers the black list, it becomes an attack hint. Therefore, the client notifies the ASP of a potentially dangerous URL, and the ASP makes a final determination. For this reason, there is a problem that the client is forced to disclose a part of the communication privacy to the ASP in exchange for the safety of the communication.
第4の課題:クライアントの負荷。クライアントは、ブラックリストのASPからの入手や、ハッシュ照合などの処理が必要であり、またそのためには、PKI証明書の検証が必要である。センサなど電力や計算処理能力が低いマシン端末には負担が大きい。 Fourth problem: client load. The client needs to obtain a blacklist from the ASP and perform processing such as hash collation, and for that purpose, it is necessary to verify the PKI certificate. The burden is high on machine terminals such as sensors, which have low power and low processing power.
本開示は、ASPによる巡回調査の遅れ、リンクの無い悪意のWebサーバの潜在化、柔軟な通信制御ができない、クライアントの通信プライバシのASPへの流出、及び、クライアントの負荷の課題を解決することを目的とする。 The present disclosure solves the problems of delay in patrol investigation by ASP, latent web server without link, inability to flexibly control communication, outflow of client communication privacy to ASP, and client load. With the goal.
具体的には、本開示のデータ通信システムは、
第1のISP網に接続され、第1のISP網内の各端末に対する第1の通信許可ポリシーを保持し、第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNS装置から受信し、受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSレスポンスに記載のIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行うキャッシュDNS装置と、
第2のISP網に接続され、第2のISP網内に接続されている各URLの安全性評価結果を保持し、第1のISP網からDNSクエリを受信すると、DNSクエリに記載されているURLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを、第1のISP網のキャッシュDNS装置に送信する権威DNS装置と、
を備える。
Specifically, the data communication system of the present disclosure is:
A Web server connected to the first ISP network, holding a first communication permission policy for each terminal in the first ISP network, and connected to a second ISP network different from the first ISP network When a DNS query for inquiring about the IP address corresponding to the URL is received from a terminal in the first ISP network, a DNS response including the IP address corresponding to the URL and the security evaluation result is received from the authoritative DNS device of the second ISP network. If it is received and it is determined whether the received safety evaluation result satisfies the first communication permission policy and the first communication permission policy is satisfied, the transmission permission to the IP address described in the DNS response is set in the DNS query. A cache DNS device for the terminal of the transmission source;
When a DNS query is received from the first ISP network, the security evaluation result of each URL connected to the second ISP network is stored in the second ISP network, and is described in the DNS query. An authoritative DNS device that transmits a DNS response including the IP address corresponding to the URL and the security evaluation result to the cache DNS device of the first ISP network;
Is provided.
具体的には、本開示のキャッシュDNS装置は、
自装置の接続されている第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを、第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNSから受信し、
第1のISP網内の各端末に対する第1の通信許可ポリシーを保持し、第2のISP網の権威DNSから受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSレスポンスに記載のIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う。
Specifically, the cache DNS device of the present disclosure is:
A DNS query for inquiring about an IP address corresponding to the URL of a Web server connected to a second ISP network different from the first ISP network to which the own apparatus is connected is received from a terminal in the first ISP network. Then, a DNS response including the IP address corresponding to the URL and the security evaluation result is received from the authoritative DNS of the second ISP network,
The first communication permission policy for each terminal in the first ISP network is held, and it is determined whether or not the safety evaluation result received from the authoritative DNS of the second ISP network satisfies the first communication permission policy. When the first communication permission policy is satisfied, the transmission permission to the IP address described in the DNS response is permitted to the terminal that is the transmission source of the DNS query.
具体的には、本開示の通信攻撃防止方法は、
第1のISP網のキャッシュDNSが、第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを、第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNSから受信する手順と、
第1のISP網のキャッシュDNSが、第1のISP網内の各端末に対する第1の通信許可ポリシーを参照し、権威DNSから受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSクエリで問い合わせのあったIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う手順と、
を備える。
Specifically, the communication attack prevention method of the present disclosure is:
A DNS query in which the cache DNS of the first ISP network inquires an IP address corresponding to the URL of the Web server connected to the second ISP network different from the first ISP network is stored in the first ISP network. When received from the terminal, a procedure for receiving a DNS response including the IP address corresponding to the URL and the security evaluation result from the authoritative DNS of the second ISP network;
Whether the cache DNS of the first ISP network refers to the first communication permission policy for each terminal in the first ISP network, and the security evaluation result received from the authoritative DNS satisfies the first communication permission policy. And when the first communication permission policy is satisfied, a procedure for permitting the terminal that is the source of the DNS query to be permitted to make a call to the IP address inquired by the DNS query;
Is provided.
本開示によれば、ASPによる巡回調査の遅れ、リンクの無い悪意のWebサーバの潜在化、クライアントの通信プライバシのASPへの流出、及び、クライアントの負荷の課題を解決することができる。 According to the present disclosure, it is possible to solve the problems of the delay of the patrol investigation by the ASP, the latent web server without a link, the outflow of the client communication privacy to the ASP, and the client load.
以下、本開示の実施形態について、図面を参照しながら詳細に説明する。なお、本開示は、以下に示す実施形態に限定されるものではない。これらの実施の例は例示に過ぎず、本開示は当業者の知識に基づいて種々の変更、改良を施した形態で実施することができる。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。 Hereinafter, embodiments of the present disclosure will be described in detail with reference to the drawings. In addition, this indication is not limited to embodiment shown below. These embodiments are merely examples, and the present disclosure can be implemented in various modifications and improvements based on the knowledge of those skilled in the art. In the present specification and drawings, the same reference numerals denote the same components.
(実施形態1)
図4は、本実施形態に係るデータ通信システムの構成例である。本実施形態では、インターネット93を介したWebサーバ22とクライアント12間の接続構成例を示す。図1の構成に対して、ISP網92内にIDSサーバ24を追加設置する。また、Webサーバ22、キャッシュDNSサーバ15、権威DNSサーバ23及びGW11に以下の処理を行う手段を追加することで前述の第1の課題〜第4の課題を解決する。
(Embodiment 1)
FIG. 4 is a configuration example of the data communication system according to the present embodiment. In this embodiment, a connection configuration example between the
Webサーバ22はISP網92に接続すると、既存技術であるDDNS(Dynamic DNS)プロトコルなどを使用し、権威DNSサーバ23にURLとIPアドレスの対応を登録する。権威DNSサーバ23は、URLの登録を受け付けると、IDSサーバ24に当該URLを登録する。以降、当該IDSサーバ24は、ISP網92内の登録された全URLに対応するホストの信頼性レベルを、既存のIDS技術を活用して周期的に自動調査し、その評価結果をURL単位で権威DNSサーバ23に登録する。ここで、評価結果は、例えば、安全/危険、及び最新調査時期、過去の危険判定履歴が例示でき、以下、「安全性評価結果」と表記する。権威DNSサーバ23は、各URLに対応するIPアドレスに加えて、当該安全性評価結果をISP網92のゾーンの秘密鍵で署名して、保持する。
When the
ISP網91の運用者は、キャッシュDNSサーバ15に通信許可ポリシーP1を登録しておく。通信許可ポリシーP1は、ISP網91の内部の各端末と外部ホスト間の通信を許可するポリシーである。ここで、ポリシーは、例えば、外部ホストが帰属するISPによる安全判定があり、最新調査時期が2日以内、過去の危険判定から1月以上経過、などであり、以下、「通信許可ポリシー」と表記する。
The operator of the
キャッシュDNSサーバ15は、クライアント12からDNSクエリを受信すると、DNSプロトコルにより、root DNSサーバや上位ドメインのDNSサーバに当該URLに対応する情報の管理を行っている権威DNSサーバ(図の例ではISP網92の権威DNSサーバ23)のIPアドレス及び本開示への対応の有無を再帰検索により入手する。なお、権威DNSサーバ23のIPアドレスを上位DNSサーバに登録時に本開示への対応有無も登録しておく。
When the
キャッシュDNSサーバ15は、権威DNSサーバ23のIPアドレスを入手すると、図5に示すように、クライアント12から受信したDNSクエリに、クライアント側ゾーンのドメイン名とキャッシュDNSサーバ15のIPアドレスを追加する。また、クライアント側ゾーン署名鍵の秘密鍵を用いて当該IPアドレスとゾーン名に対する署名を作成し、当該DNSクエリに追加し、クライアント側ゾーン署名鍵の公開鍵を付与して、権威DNSサーバ23に送信する。ここで、署名は、例えば、署名範囲のハッシュ値を秘密鍵で暗号化したものを用いることができる。本実施形態におけるクライアント側ゾーン署名鍵は、キャッシュDNSサーバ15の接続されているISP網91のゾーン署名鍵である。
When obtaining the IP address of the
権威DNSサーバ23は、既存のDNSSECのプロトコル手順を用いて、root DNSサーバからの信頼性チェーンにより、キャッシュDNSサーバ15のゾーンに対応する署名鍵の本人性を確認する。次に当該公開鍵を用いて受信したDNSクエリの署名を復号して、署名範囲のハッシュ値と比較し、一致した場合署名範囲に改ざんがないと判断すると、当該URLに対応するAレコード(IPアドレス)と安全性評価結果、及びサーバ側ゾーン署名鍵の秘密鍵で作成した署名、そして、サーバ側ゾーン署名鍵の公開鍵を付与して、DNSレスポンスに格納して返送する(図6)。本実施形態におけるサーバ側ゾーン署名鍵は、権威DNSサーバ23の接続されているISP網92のゾーン署名鍵である。
The
キャッシュDNSサーバ15は、既存のDNSSECのプロトコル手順により、root DNSサーバからの信頼性チェーンにより、権威DNSサーバ23のゾーンに対応する署名鍵の本人性を確認する。次に当該公開鍵を用いてDNSレスポンスに付与された署名を判定し、Webサーバ22のIPアドレスとISP網92による安全性評価結果の改竄がない場合、当該情報をキャッシングするとともに、クライアント12にDNSレスポンスによりWebサーバ22のIPアドレスを返却する。また、キャッシュDNSサーバ15は、当該安全性評価結果と通信許可ポリシーP1を照合し、通信を許可する場合、GW11に当該IPアドレスへの発信許可を指示する。通信許可ポリシーの例を図7に示す。
The
安全性評価結果と通信許可ポリシーをDNSレスポンスへ格納する方法は既存のレスポンスプロトコルに準拠する。ただし、DNSパケットで伝送するリソースレコード(ドメイン名に関連するデータの種類)に、新たに、「安全性・ポリシーレコード」を定義し、リソースレコードの標準フォーマットに従い、それらをDNSパケットに格納する。 The method for storing the safety evaluation result and the communication permission policy in the DNS response conforms to the existing response protocol. However, “security / policy record” is newly defined in the resource record (type of data related to the domain name) transmitted by the DNS packet, and these are stored in the DNS packet according to the standard format of the resource record.
リソースレコードの標準フォーマットを図8に示す。ここで、「ドメイン名」はDNSクエリで問い合わせられたURL中のホスト名である。「タイプ」はリソースレコードの種類を示す値である。「クラス」はドメイン名が帰属する名前空間のことであり、現状インターネットのみが使用されている。「TTL」は当該リソースレコードの情報が有効な時間を示す。「RDATA」はリソースレコードの種類毎に定義される情報である。 A standard format of the resource record is shown in FIG. Here, the “domain name” is the host name in the URL inquired by the DNS query. “Type” is a value indicating the type of resource record. A “class” is a name space to which a domain name belongs, and currently only the Internet is used. “TTL” indicates a time during which the information of the resource record is valid. “RDATA” is information defined for each type of resource record.
「安全性・ポリシーレコード」では、新規にRDATAフォーマットを定義する。例を図9に示す。本例では、最大255個の安全性評価結果と、最大255個の通信許可ポリシーを伝送する。各安全性評価結果と通信許可ポリシーは、それぞれ項目コード(8bit)と、内容コード(8bit)の合計16bit固定である。各項目と内容の例及び、それらを評価する方法の例を図10に示す。なお通信許可ポリシーで指定する内容コードの値は、相手端末の安全性評価結果が同値または小さい場合に接続を許可する意味としている。 In the “safety / policy record”, a new RDATA format is defined. An example is shown in FIG. In this example, a maximum of 255 safety evaluation results and a maximum of 255 communication permission policies are transmitted. Each safety evaluation result and communication permission policy are fixed to a total of 16 bits including an item code (8 bits) and a content code (8 bits). An example of each item and contents and an example of a method for evaluating them are shown in FIG. Note that the value of the content code specified in the communication permission policy means that the connection is permitted when the safety evaluation result of the partner terminal is the same or small.
ISP網91のGW11は、発信許可を指示されたIPアドレスのリストを管理し、クライアント12からISP網91外宛のIPパケットを受信すると、当該リストを参照し、宛先がリストにないIPパケットはISP網91外に転送せず廃棄する。
The
以上説明したように、本実施形態は、Webサーバ22とクライアント12間通信において、Webサーバ22にURLを割り当てる第2のISP網92が、Webサーバ22の安全性を評価し、その結果である安全性評価結果を権威DNSサーバ23で公開する。そして、キャッシュDNSサーバ15が、権威DNSサーバ23から得た安全性評価結果と、当該キャッシュDNSサーバ15が予め持つセキュリティポリシーP1を比較し、当該キャッシュDNSサーバ15を利用するクライアント12に対し、Webサーバ22との通信を許可するか判定し、通信を許可したWebサーバ22宛のIPパケットのみ、インターネット93への発信を許可する。
As described above, in the present embodiment, in the communication between the
ここで、本実施形態は、キャッシュDNSサーバ15がDNSクエリにキャッシュDNSサーバ15のIPアドレスとゾーン名を追加し、またそれらについて当該キャッシュDNSサーバ15のゾーンに対応するクライアント側ゾーン署名鍵で作成した署名を追加して、権威DNSサーバ23に送信する。ここで、署名は、例えば、署名対象のハッシュ値を秘密鍵で暗号化したものである。権威DNSサーバ23は、既存のDNSSECのプロトコル手順を用いて、root DNSサーバ(不図示)からの信頼性チェーンを用いて、当該ゾーンに対応するサーバ側ゾーン署名鍵の本人性を確認し、当該鍵を用いて当該署名を復号し、得られたハッシュ値を、署名範囲から計算したハッシュ値と比較して検証する。
Here, in the present embodiment, the
本開示に係る第1の課題〜第4の課題のそれぞれを、本開示がどのように解決しているのか以下に説明する。
・第1の課題:ASPによる巡回調査の遅れについて。
本開示では、各ISP網がIDSサーバを備え、巡回調査をISP網毎に分散して実施する。このため、各ASPがそれぞれ独立してインターネット93内の全Webサーバを調査する場合と比較し、短い周期で、かつ精度の高い調査が可能となる。
・第2の課題:リンクの無い悪意のWebサーバの潜在化について。
本開示では、各ISP網が権威DNSサーバを備え、WebサーバにURLを割り当てるISP網が、当該ドメイン内のWebサーバのみを、分散して調査する。このため、各ASPが全世界のWebサーバを調査する既存技術に比べて、調査対象数が少ないため、迅速に調査を行うことができる。また、本開示では権威DNSサーバ23のレコードを参照して調査を行うため、URLを持つwebサーバやクライアントについて、調査漏れがない。また、クライアント側のISP網91が、URLを持たないWebサーバへの発信を遮断することで、悪意のWebサーバの潜在化を防止する。
・第3の課題:クライアントの通信プライバシのASPへの流出について。
本開示では、ASPに対して通信相手のURLを通知する必要が無い。
・第4の課題:クライアントの負荷
本開示では、クライアントによるブラックリストの管理や照合が不要である。
Each of the first problem to the fourth problem according to the present disclosure will be described below as to how the present disclosure solves.
・ First issue: Delay in patrol survey by ASP.
In the present disclosure, each ISP network is provided with an IDS server, and a patrol survey is distributed among ISP networks. For this reason, as compared with the case where each ASP independently surveys all Web servers in the
Second problem: the latent of a malicious Web server without a link.
In the present disclosure, each ISP network includes an authoritative DNS server, and an ISP network that assigns a URL to a Web server investigates only Web servers in the domain in a distributed manner. For this reason, since there are few investigation object numbers compared with the existing technology in which each ASP investigates the web server of the whole world, it can investigate quickly. In the present disclosure, since the investigation is performed with reference to the record of the
Third problem: Outflow of client communication privacy to ASP.
In the present disclosure, it is not necessary to notify the ASP of the communication partner to the ASP.
Fourth problem: client load In the present disclosure, it is not necessary to manage or collate a black list by a client.
さらに、本開示では、Webサーバ22側の安全性評価結果や通信許可ポリシーを通知する相手を、DNSSECにより割り当てられたゾーン署名鍵をもつキャッシュDNSサーバ15に限定しかつIPアドレスの成りすましを防いでいるため、悪意者への漏洩を防ぐ事が可能である。このため、安全なWebサーバと未調査のWebサーバの区別を含む詳細な情報を、クライアント側のISP網91に通知することができ、クライアント側で柔軟な通信制御が可能である。
Further, in the present disclosure, the party that notifies the security evaluation result and the communication permission policy on the
なお、サーバ側のISP網92がクライアント側のISP網91の成りすましを防ぐ方法として、PKI(Public Key Infrastructure)やSingle Sign Onなどの既存技術の適用が考えられるが、ISP網毎の公開鍵の管理やIdP(Identity Provider)アカウントの作成などISPの負担が大きく、また、既存のDNS手順以外に認証手順の追加が必要となり、処理性能や接続遅延が劣化する問題がある。一方、root DNSサーバが信頼性のルートとなり、DNSリプライデータの改竄防止に使用するゾーン署名鍵の本人性を保証するDNSSEC技術が普及しつつある。本開示は本鍵を流用し、DNSSECプロトコルを拡張することで、ISPの負担やDNS以外の手順の追加をせずに、DNSリクエストのIPアドレスの認証を実現することができる。
As a method for preventing the server-
また、ISP網91とISP網92間の経路上で、DNSクエリやレスポンスを盗聴される可能性がある場合は、ISP網91及び92間のメッセージ数を増やさずに、キャッシュDNSサーバ15と権威DNSサーバ23間で共通鍵を共有し、暗号化することもできる。
If there is a possibility that a DNS query or response may be eavesdropped on the path between the
なお、ISP網91とISP網92間の経路上で、DNSクエリやレスポンスの盗聴や改竄の危険がない場合は、共通鍵による暗号化を削除することで、DNSクエリ毎の署名作成や暗号化処理が不要となり、キャッシュDNSサーバ15や権威DNSサーバ23の性能への影響を少なくすることが出来る。
If there is no danger of eavesdropping or tampering with a DNS query or response on the path between the
(実施形態2)
Webサーバ22のIPアドレスを知っている任意のクライアントからのIPパケットがWebサーバ22まで到着すると、悪意者からWebサーバ22が攻撃される可能性がある。本実施形態に係るデータ通信システムは、このようなWebサーバ22に対する攻撃の防止を実現する。
(Embodiment 2)
When an IP packet from an arbitrary client who knows the IP address of the
図11は、本実施形態に係るデータ通信システムの構成例である。本実施形態に係るデータ通信システムは、クライアント側のISP網91内に権威DNSサーバ13とIDSサーバ14を追加し、以下の処理を行う構成をさらに備える。これにより、本実施形態に係るデータ通信システムは、Webサーバ22に対する攻撃を防止する。
FIG. 11 is a configuration example of the data communication system according to the present embodiment. The data communication system according to the present embodiment further includes a configuration in which an
クライアント12がISP網91に接続すると、権威DNSサーバ13は、IDSサーバ22と同様に、クライアント12のURLとIPアドレスの対応を登録する。権威DNSサーバ13はURLの登録を受け付けると、権威DNSサーバ23と同様に、IDSサーバ14に当該URLを登録する。以降、当該IDSサーバ14は、ISP網91内の登録された全URLに対応するホストの信頼性レベルを既存のIDS技術を活用して全数、周期的に調査し、その調査結果をURL単位で安全性評価結果として権威DNSサーバ13に登録する。
When the
ISP網92の運用者は、権威DNSサーバ23に、当該ISP網92内部と外部ホスト間の通信を許可する通信許可ポリシーP2を登録しておく。権威DNSサーバ23は、図12に示すように、Webサーバ22のIPアドレス(データ部中のアンサー部)及び実施形態1で生成した安全性評価結果に加え、通信許可ポリシーP2についてもサーバ側ゾーン署名鍵による署名を付けてDNSレスポンスに格納して返送する。
The operator of the
権威DNSサーバ23から受信したDNSレスポンスに通信許可ポリシーP2が含まれている場合、キャッシュDNSサーバ15は、権威DNSサーバ13をクライアント12のIPアドレスで検索し、当該クライアント12の安全性評価結果を読み取る。そして、Webサーバ22の安全性評価結果がISP網91の通信許可ポリシーP1を満たし、かつ、クライアント12の安全性評価結果がISP網92の通信許可ポリシーP2を満たした場合、キャッシュDNSサーバ15は、GW11に当該IPアドレスへの発信許可を指示する。通信許可ポリシーP1やP2を、ホスト毎あるいはホストの種類毎に分けることで、更に柔軟な通信制御が可能である。
When the communication permission policy P2 is included in the DNS response received from the
以上説明したように、本実施形態は、Webサーバ22側のISPが、クライアント12に対して当該Webサーバ22との通信を許可する条件を権威DNSサーバ23で公開し、クライアント側のキャッシュDNSサーバ15が、クライアント側のISPが判定した当該クライアント12の安全性評価結果と比較し、通信を許可するか判定する。これにより、本実施形態は、Webサーバや着信側ISPに代行して、発信側のISPがクライアント12の安全性を判定し、Webサーバ22への接続可否を判断するため、Webサーバ22に対する攻撃を防止することができる。
As described above, in the present embodiment, the ISP on the
(実施形態3)
本実施形態に係るデータ通信システムは、実施形態1又は実施形態2において、URLなどの情報を暗号化する。
(Embodiment 3)
The data communication system according to the present embodiment encrypts information such as a URL in the first or second embodiment.
図13に、本実施形態におけるDNSクエリの一例を示す。キャッシュDNSサーバ15は、DNSクエリのクエリ部を共通鍵で暗号化し、当該共通鍵をサーバ側ゾーン署名鍵の公開鍵で暗号化し、クライアント側ゾーン署名鍵の秘密鍵による署名を付けて、権威DNSサーバ23に送信する。ここで、共通鍵は、暗号アルゴリズムの識別情報を含む。
FIG. 13 shows an example of the DNS query in this embodiment. The
権威DNSサーバ23は、当該DNSクエリの署名を当該クライアント側ゾーン署名鍵の公開鍵で検証し、署名範囲に改ざんがないか確認する。改ざんがない場合、権威DNSサーバ23は、サーバ側ゾーン署名鍵の秘密鍵を用いて共通鍵を復号し、得た共通鍵を用いてクエリ部を復号する。
The
図14に、本実施形態におけるDNSレスポンスの一例を示す。権威DNSサーバ23は、復号して得られた問い合わせURLに対応するアンサー部を作成し、DNSレスポンスのクエリ部と、アンサー部の署名と署名鍵以外のレコードを、当該共通鍵で暗号化して、キャッシュDNSサーバ15に返送する。ここで、アンサー部は、URLのIPアドレス、Webサーバ22の安全性評価結果、及び通信許可ポリシーP2を含む。
FIG. 14 shows an example of the DNS response in the present embodiment. The
本実施形態は、キャッシュDNSサーバ15がDNSクエリを送信時に、DNSクエリのクエリ部を共通鍵で暗号化し、当該共通鍵をサーバ側ゾーン署名鍵の公開鍵で暗号化し、クライアント側ゾーン署名鍵の秘密鍵による署名を付けて権威DNSサーバ23に送信する。一方、権威DNSサーバ23は、当該DNSクエリの署名を当該クライアント側ゾーン署名鍵の公開鍵で検証し、署名範囲に改ざんがない場合、当該サーバ側ゾーン署名鍵の秘密鍵で復号して得た共通鍵を用いてクエリ部を復号する。次に、復号して得られた問い合わせURLに対応するアンサー部を作成し、DNSレスポンスのクエリ部と、アンサー部の署名と署名鍵以外のレコードを、当該共通鍵で暗号化して当該キャッシュDNSサーバに返送する。したがって、本実施形態により、権威DNSサーバ23とキャッシュDNSサーバ15間の経路上での盗聴を防ぐことができる。
In the present embodiment, when the
本開示は情報通信産業に適用することができる。 The present disclosure can be applied to the information communication industry.
11、21:GW
12:クライアント
14、24:IDSサーバ
15:キャッシュDNSサーバ
22:Webサーバ
13、23:権威DNSサーバ
91、92:ISP網
93:インターネット
11, 21: GW
12:
Claims (9)
第2のISP網に接続され、第2のISP網内に接続されている各URLの安全性評価結果を保持し、第1のISP網からDNSクエリを受信すると、DNSクエリに記載されているURLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを、第1のISP網のキャッシュDNS装置に送信する権威DNS装置と、
を備えるデータ通信システム。 A Web server connected to the first ISP network, holding a first communication permission policy for each terminal in the first ISP network, and connected to a second ISP network different from the first ISP network When a DNS query for inquiring about the IP address corresponding to the URL is received from a terminal in the first ISP network, a DNS response including the IP address corresponding to the URL and the security evaluation result is received from the authoritative DNS device of the second ISP network. If it is received and it is determined whether the received safety evaluation result satisfies the first communication permission policy and the first communication permission policy is satisfied, the transmission permission to the IP address described in the DNS response is set in the DNS query. A cache DNS device for the terminal of the transmission source;
When a DNS query is received from the first ISP network, the security evaluation result of each URL connected to the second ISP network is stored in the second ISP network, and is described in the DNS query. An authoritative DNS device that transmits a DNS response including the IP address corresponding to the URL and the security evaluation result to the cache DNS device of the first ISP network;
A data communication system comprising:
第2のISP網の権威DNS装置は、第1のISP網のゾーン署名鍵の公開鍵を用いてDNSクエリに記載されているIPアドレス及びゾーン名に改ざんがないことを確認する、
請求項1に記載のデータ通信システム。 The cache DNS device of the first ISP network has signed the IP address of its own device and the zone name of the first ISP network using the secret key of the zone signature key of the first ISP network, and the first The public key of the zone signature key of the first ISP network is added to the DNS query received from the terminal in the first ISP network and transmitted to the authoritative DNS device of the second ISP network,
The authoritative DNS device of the second ISP network uses the public key of the zone signature key of the first ISP network to confirm that the IP address and zone name described in the DNS query are not falsified.
The data communication system according to claim 1.
第1のISP網のキャッシュDNS装置は、第2のISP網のゾーン署名鍵の公開鍵を用いてDNSレスポンスに記載されているIPアドレス及び安全性評価結果に改ざんがないことを確認する、
請求項1又は2に記載のデータ通信システム。 The authoritative DNS device of the second ISP network signed the IP address corresponding to the URL described in the DNS query and the security evaluation result using the secret key of the zone signature key of the second ISP network. And the public key of the zone signature key of the second ISP network is transmitted to the cache DNS device of the first ISP network,
The cache DNS device of the first ISP network uses the public key of the zone signature key of the second ISP network to confirm that the IP address and the security evaluation result described in the DNS response are not falsified.
The data communication system according to claim 1 or 2.
第2のISP網の権威DNS装置は、第1のISP網のゾーン署名鍵の公開鍵を用いてDNSクエリに記載されている暗号化した共通鍵、IPアドレス及びゾーン名に改ざんがないことを確認し、第2のISP網のゾーン署名鍵の秘密鍵を用いて暗号化されている共通鍵を復号し、復号化した共通鍵を用いて暗号化されているURLを復号する、
請求項1から3のいずれかに記載のデータ通信システム。 The cache DNS device of the first ISP network encrypts the URL described in the DNS query with a common key, encrypts the common key with the public key of the zone signature key of the second ISP network, and encrypts the common The signature of the key, the IP address of the own device and the zone name of the first ISP network using the secret key of the zone signature key of the first ISP network, and the zone signature key of the first ISP network Add the public key to the DNS query received from the terminal in the first ISP network and send it to the authoritative DNS device of the second ISP network;
The authoritative DNS device of the second ISP network confirms that the encrypted common key, IP address, and zone name described in the DNS query using the public key of the zone signature key of the first ISP network are not falsified. Confirming, decrypting the common key encrypted using the secret key of the zone signature key of the second ISP network, and decrypting the encrypted URL using the decrypted common key;
The data communication system according to any one of claims 1 to 3.
請求項4に記載のデータ通信システム。 The authoritative DNS device of the second ISP network encrypts the URL, IP address, and security evaluation result described in the DNS response using the common key described in the DNS query.
The data communication system according to claim 4.
第1のISP網のキャッシュDNS装置は、DNSレスポンスに記載されている安全性評価結果が第1の通信許可ポリシーを満たし、かつ、DNSクエリの送信元の端末がDNSレスポンスに記載されている第2の通信許可ポリシーを満たす場合、DNSレスポンスに記載されているIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う、
請求項1から5のいずれかに記載のデータ通信システム。 The authoritative DNS device of the second ISP network transmits a second communication permission policy for each terminal in the second ISP network to the DNS response of the first ISP network in addition to the DNS response,
In the cache DNS device of the first ISP network, the safety evaluation result described in the DNS response satisfies the first communication permission policy, and the DNS query transmission source terminal is described in the DNS response. When the communication permission policy of 2 is satisfied, the transmission permission to the IP address described in the DNS response is permitted to the terminal of the DNS query transmission source.
The data communication system according to any one of claims 1 to 5.
第1のISP網のキャッシュDNS装置は、第2のISP網のゾーン署名鍵の公開鍵を用いてDNSレスポンスに記載されている第2の通信許可ポリシーに改ざんがないことを確認する、
請求項6に記載のデータ通信システム。 The authoritative DNS device of the second ISP network encrypts the second communication permission policy by using the common key described in the DNS query, and adds the second ISP network to the encrypted second communication permission policy. The signature using the private key of the zone signature key and the public key of the zone signature key of the second ISP network are transmitted to the cache DNS device of the first ISP network,
The cache DNS device of the first ISP network confirms that the second communication permission policy described in the DNS response has not been tampered with using the public key of the zone signature key of the second ISP network.
The data communication system according to claim 6.
第1のISP網内の各端末に対する第1の通信許可ポリシーを保持し、第2のISP網の権威DNSから受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSレスポンスに記載のIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う、
を備えるキャッシュDNS装置。 A DNS query for inquiring about an IP address corresponding to the URL of a Web server connected to a second ISP network different from the first ISP network to which the own apparatus is connected is received from a terminal in the first ISP network. Then, a DNS response including the IP address corresponding to the URL and the security evaluation result is received from the authoritative DNS of the second ISP network,
The first communication permission policy for each terminal in the first ISP network is held, and it is determined whether or not the safety evaluation result received from the authoritative DNS of the second ISP network satisfies the first communication permission policy. When the first communication permission policy is satisfied, the transmission permission to the IP address described in the DNS response is permitted to the terminal that is the source of the DNS query.
A cache DNS device comprising:
第1のISP網のキャッシュDNSが、第1のISP網内の各端末に対する第1の通信許可ポリシーを参照し、権威DNSから受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSクエリで問い合わせのあったIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う手順と、
を備える通信攻撃防止方法。 A DNS query in which the cache DNS of the first ISP network inquires an IP address corresponding to the URL of the Web server connected to the second ISP network different from the first ISP network is stored in the first ISP network. When received from the terminal, a procedure for receiving a DNS response including the IP address corresponding to the URL and the security evaluation result from the authoritative DNS of the second ISP network;
Whether the cache DNS of the first ISP network refers to the first communication permission policy for each terminal in the first ISP network, and the security evaluation result received from the authoritative DNS satisfies the first communication permission policy. And when the first communication permission policy is satisfied, a procedure for permitting the terminal that is the source of the DNS query to be permitted to make a call to the IP address inquired by the DNS query;
A communication attack prevention method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016212296A JP6763605B2 (en) | 2016-10-28 | 2016-10-28 | Data communication system, cache DNS device and communication attack prevention method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016212296A JP6763605B2 (en) | 2016-10-28 | 2016-10-28 | Data communication system, cache DNS device and communication attack prevention method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018074395A true JP2018074395A (en) | 2018-05-10 |
JP6763605B2 JP6763605B2 (en) | 2020-09-30 |
Family
ID=62115889
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016212296A Active JP6763605B2 (en) | 2016-10-28 | 2016-10-28 | Data communication system, cache DNS device and communication attack prevention method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6763605B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112989250A (en) * | 2021-03-11 | 2021-06-18 | 北京百度网讯科技有限公司 | Web service response method and device and electronic equipment |
JP2021193772A (en) * | 2020-06-08 | 2021-12-23 | ソフトバンク株式会社 | Information processing device, information processing method, and information processing program |
CN114640649A (en) * | 2022-03-16 | 2022-06-17 | Oppo广东移动通信有限公司 | Domain name resolution method, service terminal, electronic device and storage medium |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004242161A (en) * | 2003-02-07 | 2004-08-26 | Nippon Telegr & Teleph Corp <Ntt> | Data communication network system and method for controlling data communication network connection |
WO2006067973A1 (en) * | 2004-12-22 | 2006-06-29 | Matsushita Electric Industrial Co., Ltd. | Access controller |
WO2006067951A1 (en) * | 2004-12-22 | 2006-06-29 | Matsushita Electric Industrial Co., Ltd. | Access control device, and access control method |
US20080016552A1 (en) * | 2006-07-12 | 2008-01-17 | Hart Matt E | Method and apparatus for improving security during web-browsing |
JP2009271842A (en) * | 2008-05-09 | 2009-11-19 | Fujitsu Ltd | Method of limiting access to web server, femtocell base station device, and access limitation determination device |
JP2013171371A (en) * | 2012-02-20 | 2013-09-02 | Nippon Telegr & Teleph Corp <Ntt> | Packet filtering method and device |
-
2016
- 2016-10-28 JP JP2016212296A patent/JP6763605B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004242161A (en) * | 2003-02-07 | 2004-08-26 | Nippon Telegr & Teleph Corp <Ntt> | Data communication network system and method for controlling data communication network connection |
WO2006067973A1 (en) * | 2004-12-22 | 2006-06-29 | Matsushita Electric Industrial Co., Ltd. | Access controller |
WO2006067951A1 (en) * | 2004-12-22 | 2006-06-29 | Matsushita Electric Industrial Co., Ltd. | Access control device, and access control method |
US20080016552A1 (en) * | 2006-07-12 | 2008-01-17 | Hart Matt E | Method and apparatus for improving security during web-browsing |
JP2009271842A (en) * | 2008-05-09 | 2009-11-19 | Fujitsu Ltd | Method of limiting access to web server, femtocell base station device, and access limitation determination device |
JP2013171371A (en) * | 2012-02-20 | 2013-09-02 | Nippon Telegr & Teleph Corp <Ntt> | Packet filtering method and device |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021193772A (en) * | 2020-06-08 | 2021-12-23 | ソフトバンク株式会社 | Information processing device, information processing method, and information processing program |
JP7038165B2 (en) | 2020-06-08 | 2022-03-17 | ソフトバンク株式会社 | Information processing equipment, information processing methods and information processing programs |
CN112989250A (en) * | 2021-03-11 | 2021-06-18 | 北京百度网讯科技有限公司 | Web service response method and device and electronic equipment |
CN112989250B (en) * | 2021-03-11 | 2024-01-12 | 北京百度网讯科技有限公司 | Web service response method and device and electronic equipment |
CN114640649A (en) * | 2022-03-16 | 2022-06-17 | Oppo广东移动通信有限公司 | Domain name resolution method, service terminal, electronic device and storage medium |
Also Published As
Publication number | Publication date |
---|---|
JP6763605B2 (en) | 2020-09-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8068414B2 (en) | Arrangement for tracking IP address usage based on authenticated link identifier | |
Borgolte et al. | Cloud strife: mitigating the security risks of domain-validated certificates | |
US8862871B2 (en) | Network with protocol, privacy preserving source attribution and admission control and method | |
Gangan | A review of man-in-the-middle attacks | |
CN114095198A (en) | Method and system for efficient cryptographic SNI filtering for network security applications | |
US11539695B2 (en) | Secure controlled access to protected resources | |
WO2015174100A1 (en) | Packet transfer device, packet transfer system, and packet transfer method | |
Morsy et al. | D-arp: An efficient scheme to detect and prevent arp spoofing | |
JP6763605B2 (en) | Data communication system, cache DNS device and communication attack prevention method | |
El‐Hajj | The most recent SSL security attacks: origins, implementation, evaluation, and suggested countermeasures | |
EP1836559B1 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
CN112655186B (en) | Trusted DNS resolution equipment and method | |
JP4065850B2 (en) | Protecting data traffic in a mobile network environment | |
Mathi et al. | A new method for preventing man-in-the-middle attack in IPv6 network mobility | |
JP2017201774A (en) | Communication device, communication method, and program | |
Yoganguina et al. | Proposition of a model for securing the neighbor discovery protocol (NDP) in IPv6 environment | |
Krähenbühl et al. | Pervasive Internet-wide low-latency authentication | |
WO2010003326A1 (en) | A method for protecting the proxy neighbor discovery, and a system and related apparatus thereof | |
Kelpen et al. | Privacy and Data Protection in the Domain Name System: Threats and Countermeasures | |
Shaikh et al. | Overcoming threats and vulnerabilities in dns | |
Pahlevan | Signaling and policy enforcement for co-operative firewalls | |
Smyslov et al. | The NULL authentication Method in the internet key exchange protocol version 2 (IKEv2) | |
Lin et al. | DAMUP: Practical and privacy-aware cloud-based DDoS mitigation | |
Liubinskii | The Great Firewall’s active probing circumvention technique with port knocking and SDN | |
Blidborg et al. | Cache Poisoning in DNS over HTTPS clients |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190917 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200722 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200811 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200907 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6763605 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |