JP3873975B2 - View access control method by domain name, DNS server system apparatus, view access control program by domain name, and storage medium storing view access control program by domain name - Google Patents

View access control method by domain name, DNS server system apparatus, view access control program by domain name, and storage medium storing view access control program by domain name Download PDF

Info

Publication number
JP3873975B2
JP3873975B2 JP2004016117A JP2004016117A JP3873975B2 JP 3873975 B2 JP3873975 B2 JP 3873975B2 JP 2004016117 A JP2004016117 A JP 2004016117A JP 2004016117 A JP2004016117 A JP 2004016117A JP 3873975 B2 JP3873975 B2 JP 3873975B2
Authority
JP
Japan
Prior art keywords
access control
domain name
view
pointer
dns
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2004016117A
Other languages
Japanese (ja)
Other versions
JP2005210513A (en
Inventor
祐一 島村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004016117A priority Critical patent/JP3873975B2/en
Publication of JP2005210513A publication Critical patent/JP2005210513A/en
Application granted granted Critical
Publication of JP3873975B2 publication Critical patent/JP3873975B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ドメイン名別ビューアクセス制御方法及びDNSサーバシステム装置及びドメイン名別ビューアクセス制御プログラム及びドメイン名別ビューアクセス制御プログラムを格納した記憶媒体に係り、特に、DNS(Domain Name System)サーバシステムにおける、ドメイン名別ビューアクセス制御方法及びDNSサーバシステム装置及びドメイン名別ビューアクセス制御プログラム及びドメイン名別ビューアクセス制御プログラムを格納した記憶媒体に関する。   The present invention relates to a view access control method by domain name, a DNS server system apparatus, a view access control program by domain name, and a view access control program by domain name, and in particular, a DNS (Domain Name System) server system. The domain name view access control method, DNS server system apparatus, domain name view access control program, and domain name view access control program.

従来、DNSサーバシステムにおいて、ゾーン毎のビュー(View)によるアクセス制御方法が知られている(例えば、非特許文献1参照)。   Conventionally, an access control method using a view (View) for each zone is known in a DNS server system (see, for example, Non-Patent Document 1).

通常は、DNSサーバシステムは、DNSクライアントシステムからクエリ要求のあったドメイン名に対して一意に定まるように登録されているリソースレコード群を検索して応答するが、ビューが設定されている場合には、DNSクライアントシステムのIPアドレスに応じてドメイン名に対するリソースレコードを検索するゾーンデータを切り替えることにより、DNSクライアントシステムのIPアドレスに応じてDNSクライアントシステムに応答するリソースレコードの内容を切り替えることが可能になる。   Normally, the DNS server system searches and responds to the resource record group registered so as to be uniquely determined for the domain name requested by the DNS client system, but when the view is set. Can switch the contents of the resource record that responds to the DNS client system according to the IP address of the DNS client system by switching the zone data for searching the resource record for the domain name according to the IP address of the DNS client system become.

ビューはゾーンごとに設定可能であり、DNSサーバシステムではビュー単位に切り替えるためのゾーンデータを登録することになる。   A view can be set for each zone, and in the DNS server system, zone data for switching to a view unit is registered.

また、複数あるビューのうちのどのビューのゾーンデータ(リソースデータ)を応答するかは、各ビュー毎のアクセス制御リストに記述されたIPアドレス及びIPネットワークアドレスと、DNSクライアントのIPアドレスとの比較により行われ、一致した場合に、該当のビューのゾーンデータに含まれるリソースレコードが応答される。   Further, which zone data (resource data) of a plurality of views is to be responded is determined by comparing the IP address and IP network address described in the access control list for each view with the IP address of the DNS client. If there is a match, the resource record included in the zone data of the corresponding view is returned.

ここで、ゾーンデータはドメイン名とそれに対応するリソースレコードの組のデータのことである。   Here, the zone data is data of a set of a domain name and a corresponding resource record.

ビューによるアクセス制御により、ENUM(RFC2916)の論理アドレスサービス起動方法が実現される。
Paul Albitz, Cricket Liu著、小館光正訳、“DNS&BIND第4版”、p.323−p.326,オイラリージャパン By the access control by the view, the logical address service activation method of ENUM (RFC2916) is realized.
Paul Albitz, Cricket Liu, Mitsumasa Kodate, “DNS & BIND 4th Edition”, p. 323-p. 326, Oily Japan

しかしながら、上記従来のゾーン毎のビューによるアクセス制御方法では、ゾーン毎にしか応答するリソースレコードの内容を切り替えできないことから、同一ゾーンに含まれるドメイン名同士は、同一のアクセス制御リストを使用しなければならないことになる。   However, in the conventional access control method based on the view for each zone, the contents of the resource record that responds only for each zone cannot be switched. Therefore, domain names included in the same zone must use the same access control list. It will be necessary.

このため、ドメイン名毎にアクセス制御したいDNSクライアントシステムが異なる場合には、ゾーンを分割するか、各ドメイン名毎に設定したいアクセス制御リスト毎にビューを設定する必要がある。   For this reason, when the DNS client system to be subjected to access control differs for each domain name, it is necessary to divide the zone or set a view for each access control list to be set for each domain name.

しかし、ENUMのように個々の電話番号(E.164番号)がドメイン名に対応している場合には、個々の電話番号を所有する個人のアクセス制御ポリシがドメイン名のアクセス制御ポリシとなり、全てのドメイン名毎にアクセス制御リストが異なる場合も想定されるため、各ドメイン名毎に必要なアクセス制御リスト毎にビューを設定するのはゾーン毎のビュー面数が大きくなるため現実的でない。   However, if each telephone number (E.164 number) corresponds to a domain name as in ENUM, the access control policy of the individual who owns the individual telephone number becomes the access control policy for the domain name. Since the access control list may be different for each domain name, setting a view for each access control list required for each domain name is not practical because the number of view planes for each zone increases.

このように、従来の技術では、アクセス制御ポリシがドメイン名毎に異なる場合にはビューの設定が難しく、ドメイン名毎に細かいアクセス制御が実現しにくいという問題がある。   As described above, in the conventional technique, when the access control policy is different for each domain name, it is difficult to set a view, and it is difficult to realize fine access control for each domain name.

本発明は、上記の点に鑑みなされたもので、ドメイン名毎にアクセス制御ポリシが設定可能なドメイン名別ビューアクセス制御方法及びDNSサーバシステム装置及びドメイン名別ビューアクセス制御プログラム及びドメイン名別ビューアクセス制御プログラムを格納した記憶媒体を提供することを目的とする。   The present invention has been made in view of the above points. A domain name view access control method, a DNS server system apparatus, a domain name view access control program, and a domain name view that can set an access control policy for each domain name. It is an object to provide a storage medium storing an access control program.

図1は、本発明の原理を説明するためのフローチャートである。   FIG. 1 is a flowchart for explaining the principle of the present invention.

本発明(請求項1)は、ドメイン名毎にアクセス制御ポリシが設定可能な、ドメイン別ビューアクセス制御を行うための、DNS(Domain Name System)サーバシステム装置におけるドメイン名別ビューアクセス制御方法であって、
ゾーンデータ及びアクセス制御リストを分割して格納する、ゾーンデータ表、ドメイン別情報表、アクセス制御表、及び、リソースレコード格納表を有し、該ゾーンデータ表は、ドメイン名と、該ドメイン名に対応するドメイン名別情報表へのポインタを格納し、該ドメイン名別情報表は、ドメイン名に対応するアクセス制御表へのポインタと、該ドメイン名毎に設定する複数のビューに対応するリソースレコード格納表へのポインタを格納し、該アクセス制御表は、ビューを識別するビューIDと、ドメイン名毎に設定する各ビューに対応するアクセス制御用の複数のIPアドレス及びIPネットワークアドレスをアクセス制御リストとして格納し、該リソースレコード格納表にはドメイン名毎に設定する各ビューに対応するリソースレコードを格納するDNSデータベースを備え、
DNSクライアントからのDNSクエリ要求を受信する要求受信ステップ(ステップ1)と、
DNSクエリ要求に基づいて、前記DNSデータベース上のゾーンデータ表を検索し、対応するドメイン名別情報表へのポインタを取得するゾーンデータ検索ステップ(ステップ2)と、
ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表にアクセスして、アクセス制御表へのポインタを取得する第1のポインタ取得ステップ(ステップ3)と、
アクセス制御表へのポインタに基づいて、該アクセス制御表にアクセスし、アクセス制御表の各ビューのアクセス制御リストとDNSクライアント装置のIPアドレスとを比較し、最も大きなビューIDに対応するアクセス制御リストとの比較から始め、順次、小さなビューIDに対応するアクセス制御リストとの比較を行い、一致するビューIDを決定するビューID決定ステップ(ステップ4)と、
ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表にアクセスして、決定したビューIDに対応するリソースレコード格納表へのポインタを取得する第2のポインタ取得ステップ(ステップ5)と、
リソースレコード格納表へのポインタに基づいて、該リソースレコード格納表にアクセスして、リソースレコード群を取得するリソースレコード取得ステップ(ステップ6)と、
DNSクライアント装置へのDNSクエリ応答を送信する応答ステップ(ステップ‘)と、
を行い、
ビューID決定ステップ(ステップ4)において、
最も小さなビューIDのビューに対応するアクセス制御リストは設定せず、全てのIPアドレスに一致するものとすることにより、DNSクライアント装置のIPアドレスと、最も大きなビューIDに対応するアクセス制御リストとの比較を行った際に、必ず複数あるビューのどこかには一致させるThe present invention (claim 1) is settable access control policy for each domain name, for performing a domain-specific view access control, met domain name by the view access control method in a DNS (Domain Name System) server system unit And
A zone data table, a domain-specific information table, an access control table, and a resource record storage table are provided for dividing and storing zone data and access control lists. The zone data table includes a domain name and a domain name. A pointer to the corresponding domain name information table is stored. The domain name information table includes a pointer to the access control table corresponding to the domain name and resource records corresponding to a plurality of views set for each domain name. A pointer to a storage table is stored. The access control table includes a view ID for identifying a view, and a plurality of IP addresses and IP network addresses for access control corresponding to each view set for each domain name. The resource record storage table stores resource records corresponding to each view set for each domain name. Includes a DNS database storing de,
A request receiving step (step 1) for receiving a DNS query request from a DNS client;
A zone data search step (step 2) for searching a zone data table on the DNS database based on a DNS query request and obtaining a pointer to a corresponding domain name-specific information table;
A first pointer acquisition step (step 3) for accessing the domain name information table based on the pointer to the domain name information table and acquiring a pointer to the access control table;
Based on the pointer to the access control table, the access control table is accessed, the access control list of each view of the access control table is compared with the IP address of the DNS client device, and the access control list corresponding to the largest view ID A view ID determination step (step 4) for sequentially comparing with an access control list corresponding to a small view ID and determining a matching view ID.
A second pointer acquisition step of accessing the domain name information table based on the pointer to the domain name information table and acquiring a pointer to the resource record storage table corresponding to the determined view ID (step 5) When,
Based on a pointer to the resource record storage table, a resource record acquisition step (step 6) for accessing the resource record storage table and acquiring a resource record group;
A response step (step ') of sending a DNS query response to the DNS client device;
And
In the view ID determination step (step 4),
The access control list corresponding to the view with the smallest view ID is not set, and is matched with all IP addresses, so that the IP address of the DNS client device and the access control list corresponding to the largest view ID are When comparing, be sure to match somewhere in multiple views .

図2は、本発明の原理構成図である。   FIG. 2 is a principle configuration diagram of the present invention.

本発明(請求項2)は、ドメイン名毎にアクセス制御ポリシが設定可能な、ドメイン名別ビューアクセス制御を行うための、DNSサーバシステム装置1であって、
ゾーンデータ及びアクセス制御リストを分割して格納する、ゾーンデータ表131、ドメイン別情報表132、アクセス制御表133、及び、リソースレコード格納表134を有し、該ゾーンデータ表131は、ドメイン名と、該ドメイン名に対応するドメイン名別情報表へのポインタを格納し、該ドメイン名別情報表132は、ドメイン名に対応するアクセス制御表へのポインタと、該ドメイン名毎に設定する複数のビューに対応するリソースレコード格納表へのポインタを格納し、該アクセス制御表133は、ビューを識別するビューIDと、ドメイン名毎に設定する各ビューに対応するアクセス制御用の複数のIPアドレス及びIPネットワークアドレスをアクセス制御リストとして格納し、該リソースレコード格納表134にはドメイン名毎に設定する各ビューに対応するリソースレコードを格納するDNSデータベース13と、
ネットワーク3を介してDNSクライアント装置との間でDNSクエリ要求及びDNSクエリ応答の送受信を行うためのDNSクエリ送受信処理手段11と、
DNSデータベース13に対して検索処理を行うDNSデータベース検索処理手段12と、
を有し、
DNSデータベース検索処理手段12は、
DNSクエリ要求に基づいて、DNSデータベース13上のゾーンデータ表131を検索し、対応するドメイン名別情報表132へのポインタを取得する第1の手段と、
ドメイン名別情報表132へのポインタに基づいて、該ドメイン名別情報表132にアクセスして、アクセス制御表へのポインタを取得する第2の手段と、
アクセス制御表133へのポインタに基づいて、該アクセス制御表133へアクセスし、該アクセス制御表133の各ビューのアクセス制御リストとDNSクライアント装置のIPアドレスを参照し、最も大きなビューIDに対応するアクセス制御リストとの比較から始め、順次、小さなビューIDに対応するアクセス制御リストとの比較を行い、一致するビューIDを決定する第3の手段と、
ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表132にアクセスして、決定したビューIDに対応するリソースレコード格納表134へのポインタを取得する第4の手段と、
リソースレコード格納表143へのポインタに基づいて、該リソースレコード格納表134にアクセスして、リソースレコード群を取得する第5の手段と、
を有し、
第3の手段は、
最も小さなビューIDのビューに対応するアクセス制御リストは設定せず、全てのIPアドレスに一致するものとすることにより、DNSクライアント装置のIPアドレスを、最も大きなビューIDに対応するアクセス制御リストとの比較を行った際に、必ず複数あるビューのどこかには一致させる手段を含むThe present invention (Claim 2) is a DNS server system apparatus 1 for performing view access control by domain name, in which an access control policy can be set for each domain name,
The zone data table 131, the domain-specific information table 132, the access control table 133, and the resource record storage table 134, which divide and store the zone data and the access control list, are stored in the zone data table 131. , A pointer to a domain name information table corresponding to the domain name is stored, and the domain name information table 132 includes a pointer to an access control table corresponding to the domain name and a plurality of information set for each domain name. A pointer to a resource record storage table corresponding to the view is stored, and the access control table 133 includes a view ID for identifying the view, a plurality of IP addresses for access control corresponding to each view set for each domain name, and The IP network address is stored as an access control list, and the resource record storage table 134 has a domain name. A DNS database 13 which stores the resource record corresponding to each view set for each emission name,
DNS query transmission / reception processing means 11 for transmitting / receiving a DNS query request and a DNS query response to / from a DNS client device via the network 3;
DNS database search processing means 12 for performing search processing on the DNS database 13,
Have
The DNS database search processing means 12
A first means for searching the zone data table 131 on the DNS database 13 based on the DNS query request and obtaining a pointer to the corresponding domain name information table 132;
A second means for accessing the domain name information table 132 based on the pointer to the domain name information table 132 and obtaining a pointer to the access control table;
Based on the pointer to the access control table 133, the access control table 133 is accessed, the access control list of each view of the access control table 133 and the IP address of the DNS client device are referenced, and the largest view ID is supported. Starting with a comparison with an access control list, sequentially comparing with an access control list corresponding to a small view ID, and determining a matching view ID;
A fourth means for accessing the domain name information table 132 based on the pointer to the domain name information table and obtaining a pointer to the resource record storage table 134 corresponding to the determined view ID;
A fifth means for accessing the resource record storage table 134 based on a pointer to the resource record storage table 143 and acquiring a resource record group;
Have
The third means is
The access control list corresponding to the view with the smallest view ID is not set, and the IP address of the DNS client device is set to match the access control list corresponding to the largest view ID by matching all IP addresses. When the comparison is performed, a means for matching is always included somewhere in the plurality of views .

本発明(請求項3)は、コンピュータを、請求項2記載のDNSサーバシステム装置として機能させるドメイン別ビューアクセス制御プログラムである。 The present invention (Claim 3) is a domain-specific view access control program that causes a computer to function as the DNS server system apparatus according to Claim 2.

本発明(請求項4)は、請求項3記載のプログラムを格納した記憶媒体である。 The present invention (Claim 4) is a storage medium storing the program according to Claim 3.

上記のように、本発明では、ゾーンデータ及びアクセス制御リストをゾーンデータ表、ドメイン名別情報表、アクセス制御表、及び、リソースレコード格納表に分割して格納することにより、ドメイン名毎に複数のビューを持ち、そのビュー毎にアクセス制御リスト及びリソースレコードを保持することが可能になる。従って、ドメイン名毎にアクセス制御ポリシの設定が可能になる。   As described above, in the present invention, the zone data and the access control list are divided into the zone data table, the domain name-specific information table, the access control table, and the resource record storage table. It is possible to hold an access control list and a resource record for each view. Therefore, an access control policy can be set for each domain name.

また、本発明では、ビューの識別にビューIDを用い、最も大きなビューIDに対応するアクセス制御リストとの比較から始め、順次、小さなビューIDに対応するアクセス制御リストとの比較を行い、最も小さなビューIDのビューに対応するアクセス制御リストは設定せず、全てのIPアドレスに一致するものとすることにより、DNSクライアント装置のIPアドレスと、ビューIDに対応するアクセス制御リストとの比較を行っていった際に、必ずどこかのビューに一致させることが可能になる。   Also, in the present invention, the view ID is used for view identification, starting with a comparison with the access control list corresponding to the largest view ID, and sequentially comparing with the access control list corresponding to the small view ID to obtain the smallest The access control list corresponding to the view with the view ID is not set, and the IP address of the DNS client device is compared with the access control list corresponding to the view ID by matching all IP addresses. It is always possible to match some view.

以下、図面と共に、本発明の一実施の形態について説明する。   Hereinafter, an embodiment of the present invention will be described with reference to the drawings.

図3は、本発明の一実施の形態におけるシステム構成を示しており、DNSクライアントサーバシステムを示す。   FIG. 3 shows a system configuration in an embodiment of the present invention, and shows a DNS client server system.

同図に示すサーバシステムは、DNSサーバ装置1、DNSクライアント装置2、及びこれらの装置を接続するネットワーク3から構成される。   The server system shown in FIG. 1 includes a DNS server device 1, a DNS client device 2, and a network 3 that connects these devices.

DNSサーバシステム装置1は、DNSクエリ送受信処理部11とDNSデータベース検索処理部12とDNSデータベース13から構成される。   The DNS server system device 1 includes a DNS query transmission / reception processing unit 11, a DNS database search processing unit 12, and a DNS database 13.

DNSクエリ送受信処理部11は、ネットワーク3を介してDNSクライアント装置2との間でDNSクエリ要求の受信及びDNSクエリ応答の送信を行う。   The DNS query transmission / reception processing unit 11 receives a DNS query request and transmits a DNS query response with the DNS client device 2 via the network 3.

DNSデータベース検索処理部12は、ゾーンデータを管理しているDNSデータベース13の複数の表に対して検索処理を行う。   The DNS database search processing unit 12 performs a search process on a plurality of tables in the DNS database 13 that manages zone data.

DNSデータベース13は、ゾーンデータ表131、ドメイン名別情報表132、アクセス制御表133、及びリソースレコード格納表134から構成される。   The DNS database 13 includes a zone data table 131, a domain name information table 132, an access control table 133, and a resource record storage table 134.

ゾーンデータ表131には、ドメイン名と、ドメイン名に対応するドメイン名別情報表132へのポインタを格納する。ポインタは、メモリ空間のアドレスであってもよいし、データベース上のオブジェクトとしての表の名前でもよい。   The zone data table 131 stores a domain name and a pointer to the domain name information table 132 corresponding to the domain name. The pointer may be an address in a memory space or a table name as an object on the database.

ドメイン名別情報表132には、ドメイン名に対応するアクセス制御表133へのポインタと、ドメイン名毎に設定する複数のビューに対応するリソースレコード格納表134へのポインタを格納する。ドメイン名別情報表132は、ドメイン名毎に1個の表が作成される。   The domain name-specific information table 132 stores a pointer to the access control table 133 corresponding to the domain name and a pointer to the resource record storage table 134 corresponding to a plurality of views set for each domain name. In the domain name information table 132, one table is created for each domain name.

アクセス制御表133には、ビューを識別するビューIDと、ドメイン名毎に設定する各ビューに対応するアクセス制御リストとして格納する。   The access control table 133 stores a view ID for identifying a view and an access control list corresponding to each view set for each domain name.

アクセス制御表133は、ドメイン名毎に1個の表が作成される。   In the access control table 133, one table is created for each domain name.

ビューIDは、数値でもよいし文字列でもよいが、ビューIDによりビューの順序性が一意に定まるようにする。   The view ID may be a numerical value or a character string, but the view ID is uniquely determined by the view ID.

アクセス制御リストは、複数のIPアドレス及びIPネットワークアドレスをリストとして保持する。あるIPアドレスが、アクセス制御リストに含まれるIPアドレスもしくは、IPネットワークアドレスに一致する時、あるIPアドレスはその一致したビューに対応するデータを参照することになる。   The access control list holds a plurality of IP addresses and IP network addresses as a list. When an IP address matches an IP address included in the access control list or an IP network address, the IP address refers to data corresponding to the matched view.

また、ドメイン名別情報表132とアクセス制御法133は、統合した表とすることも可能である。   Further, the domain name information table 132 and the access control method 133 may be integrated.

リソースレコード格納表134は、ドメイン名毎に設定する各ビューに対応するリソースレコードを格納する。リソースレコード格納表134は、ドメイン名毎に1個の表が作成される。ドメイン名に対応するリソースレコードは複数存在する。   The resource record storage table 134 stores resource records corresponding to each view set for each domain name. In the resource record storage table 134, one table is created for each domain name. There are multiple resource records corresponding to the domain name.

DNSクライアント装置2は、DNSクライアント機能を搭載している装置であり、例えば、DNSキャッシュサーバ、DNSフルサービスリゾルバ、ユーザ端末である。   The DNS client device 2 is a device equipped with a DNS client function, and is, for example, a DNS cache server, a DNS full service resolver, or a user terminal.

ネットワーク3は、DNSサーバシステム装置1、及びDNSクライアント装置2が接続される通信ネットワークであり、例えば、インターネットである。   The network 3 is a communication network to which the DNS server system device 1 and the DNS client device 2 are connected, for example, the Internet.

次に、上記の構成における動作について説明する。   Next, the operation in the above configuration will be described.

図4は、本発明の一実施の形態におけるシステム全体の動作のシーケンス図である。   FIG. 4 is a sequence diagram of the operation of the entire system in one embodiment of the present invention.

以下、図3、図4を用いて説明する。   This will be described below with reference to FIGS.

DNSサーバシステム装置1は、DNSクライアント装置2からのDNSクエリ要求を受信する(ステップ101)。   The DNS server system device 1 receives a DNS query request from the DNS client device 2 (step 101).

次に、DNSデータベース検索処理部12は、DNSデータベース13のゾーンデータ表131を検索して対応するドメイン名別情報表132へのポインタを取得する(ステップ102)。   Next, the DNS database search processing unit 12 searches the zone data table 131 of the DNS database 13 and acquires a pointer to the corresponding domain name information table 132 (step 102).

次に、DNSデータベース検索処理部12は、ステップ102で取得したポインタに対応するドメイン名別情報表132にアクセスして、アクセス制御表133へのポインタを取得する(ステップ103)。   Next, the DNS database search processing unit 12 accesses the domain name information table 132 corresponding to the pointer acquired in Step 102 and acquires a pointer to the access control table 133 (Step 103).

次に、DNSデータベース検索処理部12は、ステップ103で取得したポインタに対応するアクセス制御表133にアクセスし、当該アクセス制御表133の最も大きなビューIDのアクセス制御リストとDNSクライアント装置2のIPアドレスとを比較し、一致するかどうか判定する。一致した場合は、そのビューIDに決定する。一致しなかった場合は、次に大きなビューIDのアクセス制御リストとの比較を行い、一致するまでアクセス制御リストとの比較を繰り返し、ビューIDを決定する(ステップ104)。   Next, the DNS database search processing unit 12 accesses the access control table 133 corresponding to the pointer acquired in step 103, the access control list of the largest view ID in the access control table 133, and the IP address of the DNS client device 2. Are compared to determine whether they match. If they match, the view ID is determined. If they do not match, a comparison is made with the access control list of the next largest view ID, and the comparison with the access control list is repeated until they match to determine the view ID (step 104).

次に、DNSデータベース検索処理部12は、DNSデータベース13のドメイン名別情報表132にアクセスして、ステップ104で決定したビューIDに対応するリソースレコード格納表134へのポインタを取得する(ステップ105)。   Next, the DNS database search processing unit 12 accesses the domain name information table 132 of the DNS database 13 and acquires a pointer to the resource record storage table 134 corresponding to the view ID determined in Step 104 (Step 105). ).

次に、DNSデータベース検索処理部12は、ステップ105で取得したポインタに対応するリソースレコード格納表134にアクセスして、リソースレコード群を取得する(ステップ106)。   Next, the DNS database search processing unit 12 accesses the resource record storage table 134 corresponding to the pointer acquired in Step 105, and acquires a resource record group (Step 106).

最後に、DNSクエリ送受信処理部11において、DNSクライアント装置2へDNSクエリ応答を送信する(ステップ107)。   Finally, the DNS query transmission / reception processing unit 11 transmits a DNS query response to the DNS client device 2 (step 107).

なお、DNSサーバシステム装置1は、専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを構築し、コンピュータシステム読み取り可能な記憶媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。   The DNS server system device 1 constructs a program for realizing its function in addition to that realized by dedicated hardware, records it on a computer-readable storage medium, and records it on this recording medium. The read program may be read into a computer system and executed.

ここで、コンピュータシステム読み取り可能な記憶媒体とは、フロッピー(登録商標)ディスク、CD−ROM等の記憶媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータシステム読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。   Here, the computer system-readable storage medium refers to a storage medium such as a floppy (registered trademark) disk, a CD-ROM, or a hard disk device built in the computer system. Further, the computer system-readable recording medium is a medium that dynamically holds a program for a short time (transmission medium or transmission wave) as in the case of transmitting a program via the Internet, and a server in that case. Such as a volatile memory inside a computer system that holds a program for a certain period of time.

なお、本発明は、上記の実施の形態及び実施例に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。   The present invention is not limited to the above-described embodiments and examples, and various modifications and applications are possible within the scope of the claims.

本発明は、DNSサーバシステムに適用可能である。   The present invention is applicable to a DNS server system.

本発明の原理を説明するためのフローチャートである。It is a flowchart for demonstrating the principle of this invention. 本発明の原理構成図である。It is a principle block diagram of this invention. 本発明の一実施の形態におけるシステム構成図である。1 is a system configuration diagram according to an embodiment of the present invention. 本発明の一実施の形態におけるシステム全体のシーケンス図である。It is a sequence diagram of the whole system in one embodiment of the present invention.

符号の説明Explanation of symbols

1 DNSサーバシステム装置
2 DNSクライアント装置
3 ネットワーク
11 DNSクエリ送受信処理手段、DNSクエリ送受信処理部
12 DNSデータベース検索処理手段、DNSデータベース検索処理部
13 DNSデータベース
131 ゾーンデータ表
132 ドメイン名別情報表
133 アクセス制御表
134 リソースレコード格納表 DESCRIPTION OF SYMBOLS 1 DNS server system apparatus 2 DNS client apparatus 3 Network 11 DNS query transmission / reception processing means, DNS query transmission / reception processing part 12 DNS database search processing means, DNS database search processing part 13 DNS database 131 Zone data table 132 Domain name-specific information table 133 Access Control table 134 Resource record storage table

Claims (4)

ドメイン名毎にアクセス制御ポリシが設定可能な、ドメイン別ビューアクセス制御を行うための、DNS(Domain Name System)サーバシステム装置におけるドメイン名別ビューアクセス制御方法であって、
ゾーンデータ及びアクセス制御リストを分割して格納する、ゾーンデータ表、ドメイン別情報表、アクセス制御表、及び、リソースレコード格納表を有し、該ゾーンデータ表は、ドメイン名と、該ドメイン名に対応するドメイン名別情報表へのポインタを格納し、該ドメイン名別情報表は、ドメイン名に対応するアクセス制御表へのポインタと、該ドメイン名毎に設定する複数のビューに対応するリソースレコード格納表へのポインタを格納し、該アクセス制御表は、ビューを識別するビューIDと、ドメイン名毎に設定する各ビューに対応するアクセス制御用の複数のIPアドレス及びIPネットワークアドレスをアクセス制御リストとして格納し、該リソースレコード格納表にはドメイン名毎に設定する各ビューに対応するリソースレコードを格納するDNSデータベースを備え、
DNSクライアントからのDNSクエリ要求を受信する要求受信ステップと、
前記DNSクエリ要求に基づいて、前記データベース上の前記ゾーンデータ表を検索し、対応するドメイン名別情報表へのポインタを取得するゾーンデータ検索ステップと、
前記ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表にアクセスして、前記アクセス制御表へのポインタを取得する第1のポインタ取得ステップと、
前記アクセス制御表へのポインタに基づいて、該アクセス制御表にアクセスし、前記アクセス制御表の各ビューのアクセス制御リストと前記DNSクライアント装置のIPアドレスとを比較し、最も大きなビューIDに対応するアクセス制御リストとの比較から始め、順次、小さなビューIDに対応するアクセス制御リストとの比較を行い、一致するビューIDを決定するビューID決定ステップと、
前記ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表にアクセスして、決定した前記ビューIDに対応するリソースレコード格納表へのポインタを取得する第2のポインタ取得ステップと、
前記リソースレコード格納表へのポインタに基づいて、該リソースレコード格納表にアクセスして、リソースレコード群を取得するリソースレコード取得ステップと、
前記DNSクライアント装置へのDNSクエリ応答を送信する応答ステップと、
を行い、
前記ビューID決定ステップにおいて、
最も小さなビューIDのビューに対応するアクセス制御リストは設定せず、全てのIPアドレスに一致するものとすることにより、前記DNSクライアント装置のIPアドレスと、最も大きなビューIDに対応するアクセス制御リストとの比較を行った際に、必ず複数あるビューのどこかには一致させる
ことを特徴とするドメイン名別ビューアクセス制御方法。 A domain name view access control method in a DNS (Domain Name System) server system device for performing view access control by domain , in which an access control policy can be set for each domain name ,
A zone data table, a domain-specific information table, an access control table, and a resource record storage table are provided for dividing and storing zone data and access control lists. The zone data table includes a domain name and a domain name. A pointer to the corresponding domain name information table is stored. The domain name information table includes a pointer to the access control table corresponding to the domain name and resource records corresponding to a plurality of views set for each domain name. A pointer to a storage table is stored. The access control table includes a view ID for identifying a view, and a plurality of IP addresses and IP network addresses for access control corresponding to each view set for each domain name. The resource record storage table stores resource records corresponding to each view set for each domain name. Includes a DNS database storing de,
A request receiving step for receiving a DNS query request from a DNS client;
A zone data search step of searching the zone data table on the database based on the DNS query request and obtaining a pointer to a corresponding domain name-specific information table;
A first pointer acquisition step of accessing the domain name information table based on the pointer to the domain name information table and acquiring a pointer to the access control table;
Based on the pointer to the access control table, the access control table is accessed, the access control list of each view of the access control table is compared with the IP address of the DNS client device, and the largest view ID is supported. A view ID determination step for starting a comparison with an access control list, sequentially comparing with an access control list corresponding to a small view ID, and determining a matching view ID;
A second pointer acquisition step of accessing the domain name information table based on the pointer to the domain name information table and acquiring a pointer to the resource record storage table corresponding to the determined view ID;
Based on the pointer to the resource record storage table, accessing the resource record storage table and acquiring a resource record group,
A response step of transmitting a DNS query response to the DNS client device;
And
In the view ID determination step,
The access control list corresponding to the view with the smallest view ID is not set, and the IP address of the DNS client device, the access control list corresponding to the largest view ID, A domain name-based view access control method characterized in that when a comparison is made, it is necessary to match somewhere in a plurality of views . ドメイン名毎にアクセス制御ポリシが設定可能な、ドメイン名別ビューアクセス制御を行うための、DNS(Domain Name System)サーバシステム装置であって、
ゾーンデータ及びアクセス制御リストを分割して格納する、ゾーンデータ表、ドメイン別情報表、アクセス制御表、及び、リソースレコード格納表を有し、該ゾーンデータ表は、ドメイン名と、該ドメイン名に対応するドメイン名別情報表へのポインタを格納し、該ドメイン名別情報表は、ドメイン名に対応するアクセス制御表へのポインタと、該ドメイン名毎に設定する複数のビューに対応するリソースレコード格納表へのポインタを格納し、該アクセス制御表は、ビューを識別するビューIDと、ドメイン名毎に設定する各ビューに対応するアクセス制御用の複数のIPアドレス及びIPネットワークアドレスをアクセス制御リストとして格納し、該リソースレコード格納表にはドメイン名毎に設定する各ビューに対応するリソースレコードを格納するDNSデータベースと、
ネットワークを介してDNSクライアント装置との間でDNSクエリ要求及びDNSクエリ応答の送受信を行うためのDNSクエリ送受信処理手段と、
前記DNSデータベースに対して検索処理を行うDNSデータベース検索処理手段と、
を有し、
前記DNSデータベース検索処理手段は、
前記DNSクエリ要求に基づいて、前記DNSデータベース上の前記ゾーンデータ表を検索し、対応するドメイン名別情報表へのポインタを取得する第1の手段と、
前記ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表にアクセスして、前記アクセス制御表へのポインタを取得する第2の手段と、
前記アクセス制御表へのポインタに基づいて、該アクセス制御表へアクセスし、該アクセス制御表の各ビューのアクセス制御リストと前記DNSクライアント装置のIPアドレスを参照し、最も大きなビューIDに対応するアクセス制御リストとの比較から始め、順次、小さなビューIDに対応するアクセス制御リストとの比較を行い、一致するビューIDを決定する第3の手段と、
前記ドメイン名別情報表へのポインタに基づいて、該ドメイン名別情報表にアクセスして、決定した前記ビューIDに対応するリソースレコード格納表へのポインタを取得する第4の手段と、
前記リソースレコード格納表へのポインタに基づいて、該リソースレコード格納表にアクセスして、リソースレコード群を取得する第5の手段と、
を有し、
前記第3の手段は、
最も小さなビューIDのビューに対応するアクセス制御リストは設定せず、全てのIPアドレスに一致するものとすることにより、前記DNSクライアント装置のIPアドレスを、最も大きなビューIDに対応するアクセス制御リストとの比較を行った際に、必ず複数あるビューのどこかには一致させる手段を含む
ことを特徴とするDNSサーバシステム装置。 A DNS (Domain Name System) server system device for performing view access control by domain name, in which an access control policy can be set for each domain name,
A zone data table, a domain-specific information table, an access control table, and a resource record storage table are provided for dividing and storing zone data and access control lists. The zone data table includes a domain name and a domain name. A pointer to the corresponding domain name information table is stored. The domain name information table includes a pointer to the access control table corresponding to the domain name and resource records corresponding to a plurality of views set for each domain name. A pointer to a storage table is stored. The access control table includes a view ID for identifying a view, and a plurality of IP addresses and IP network addresses for access control corresponding to each view set for each domain name. The resource record storage table stores resource records corresponding to each view set for each domain name. And DNS database to store the soil,
DNS query transmission / reception processing means for transmitting / receiving a DNS query request and a DNS query response to / from a DNS client device via a network;
DNS database search processing means for performing search processing on the DNS database;
Have
The DNS database search processing means includes:
First means for searching the zone data table on the DNS database based on the DNS query request and obtaining a pointer to a corresponding information table by domain name;
A second means for accessing the domain name information table based on the pointer to the domain name information table and obtaining a pointer to the access control table;
Based on the pointer to the access control table, the access control table is accessed, the access control list of each view of the access control table and the IP address of the DNS client device are referred to, and the access corresponding to the largest view ID A third means for starting a comparison with the control list, sequentially comparing with an access control list corresponding to a small view ID, and determining a matching view ID;
A fourth means for accessing the domain name information table based on the pointer to the domain name information table and obtaining a pointer to the resource record storage table corresponding to the determined view ID;
A fifth means for obtaining a resource record group by accessing the resource record storage table based on a pointer to the resource record storage table;
Have
The third means includes
The access control list corresponding to the view with the smallest view ID is not set, and the IP address of the DNS client device is changed to the access control list corresponding to the largest view ID by matching all IP addresses. A DNS server system device , comprising means for always matching somewhere in a plurality of views when the above comparisons are made . コンピュータを、Computer
請求項2記載のDNSサーバシステム装置として機能させることを特徴とするドメイン別ビューアクセス制御プログラム。A domain-based view access control program that functions as the DNS server system apparatus according to claim 2. 請求項3記載のプログラムを格納したことを特徴とするドメイン名別ビューアクセス制御プログラムを格納した記憶媒体。A storage medium storing a view access control program classified by domain name, wherein the program according to claim 3 is stored.
JP2004016117A 2004-01-23 2004-01-23 View access control method by domain name, DNS server system apparatus, view access control program by domain name, and storage medium storing view access control program by domain name Expired - Lifetime JP3873975B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004016117A JP3873975B2 (en) 2004-01-23 2004-01-23 View access control method by domain name, DNS server system apparatus, view access control program by domain name, and storage medium storing view access control program by domain name

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004016117A JP3873975B2 (en) 2004-01-23 2004-01-23 View access control method by domain name, DNS server system apparatus, view access control program by domain name, and storage medium storing view access control program by domain name

Publications (2)

Publication Number Publication Date
JP2005210513A JP2005210513A (en) 2005-08-04
JP3873975B2 true JP3873975B2 (en) 2007-01-31

Family

ID=34901370

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004016117A Expired - Lifetime JP3873975B2 (en) 2004-01-23 2004-01-23 View access control method by domain name, DNS server system apparatus, view access control program by domain name, and storage medium storing view access control program by domain name

Country Status (1)

Country Link
JP (1) JP3873975B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4988915B2 (en) * 2007-03-29 2012-08-01 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Address resolution database
KR102187136B1 (en) * 2014-02-25 2020-12-07 주식회사 케이티 DNS Backend Processing For Network Traffic Isolation And Apparatus Therefor
US10977268B2 (en) * 2019-05-31 2021-04-13 Snowflake Inc. Data exchange
CN111885216B (en) * 2020-07-15 2022-12-06 北京青云科技股份有限公司 DNS query method, device, equipment and storage medium
CN116389411B (en) * 2023-06-07 2023-08-18 阿里巴巴(中国)有限公司 Domain name data processing method, device and equipment

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001326679A (en) * 2000-05-15 2001-11-22 Fujitsu Ltd Information unit, table retrieval device, table retrieval method, and recording medium
JP2002368781A (en) * 2001-06-07 2002-12-20 Nippon Telegr & Teleph Corp <Ntt> User location management domain name conversion system
JP3564435B2 (en) * 2001-07-18 2004-09-08 株式会社エヌ・ティ・ティ・データ Access guidance device and method
JP2004266568A (en) * 2003-02-28 2004-09-24 Nec Corp Name resolution server and packet transfer apparatus

Also Published As

Publication number Publication date
JP2005210513A (en) 2005-08-04

Similar Documents

Publication Publication Date Title
US11347797B2 (en) Asset search and discovery system using graph data structures
US9779113B2 (en) Systems and methods for improving domain name system traffic routing
US8423581B2 (en) Proxy support for special subtree entries in a directory information tree using attribute rules
US7769826B2 (en) Systems and methods of providing DNS services using separate answer and referral caches
US9143389B2 (en) Methods, appratuses, and computer program products for determining a network interface to access a network resource
CN108574742B (en) Domain name information collection method and domain name information collection device
CN101390087B (en) Domain name inquiring and analytic method, domain name system, and domain name registration method
EP2337276A1 (en) Method and apparatus for realizing content share
JP4799018B2 (en) Method, system and apparatus for managing computer identification information
US10693834B2 (en) Client subnet efficiency by equivalence class aggregation
CN109067936B (en) Domain name resolution method and device
KR101376815B1 (en) Global provisioning of millions of users with deployment units
KR101419436B1 (en) Method and apparatus for Domain name service
JP3873975B2 (en) View access control method by domain name, DNS server system apparatus, view access control program by domain name, and storage medium storing view access control program by domain name
CN108462759B (en) Domain name resolution method and device
KR101426012B1 (en) Extended resolution system using OID
US9626378B2 (en) Method for handling requests in a storage system and a storage node for a storage system
JP3896361B2 (en) Communication path setting device, communication path setting method, and communication path setting program
JP2016208443A (en) Name resolution device, name resolution method and name resolution program
EP2180662A2 (en) Network communication method, dispatch server and server
JP3834770B2 (en) Name resolution method and apparatus
KR20050099943A (en) System for accessing web page and method thereof
US20200186469A1 (en) Data packet routing method and data packet routing device
CN116888941A (en) Domain name system for data discovery
JP2007251631A (en) Cache server apparatus for sophisticating recursive inquiry, cache control method, and program for cache server

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060629

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060704

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060901

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20061003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20061016

R150 Certificate of patent or registration of utility model

Ref document number: 3873975

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101102

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101102

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111102

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111102

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121102

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121102

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131102

Year of fee payment: 7

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term