JP4080402B2 - Name resolution / authentication method and apparatus - Google Patents
Name resolution / authentication method and apparatus Download PDFInfo
- Publication number
- JP4080402B2 JP4080402B2 JP2003318865A JP2003318865A JP4080402B2 JP 4080402 B2 JP4080402 B2 JP 4080402B2 JP 2003318865 A JP2003318865 A JP 2003318865A JP 2003318865 A JP2003318865 A JP 2003318865A JP 4080402 B2 JP4080402 B2 JP 4080402B2
- Authority
- JP
- Japan
- Prior art keywords
- name resolution
- advanced
- address
- dns
- fqdn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は名前解決・認証方法及び装置に関し、特にIPネットワークにおいて、パケットの中継を行うネットワークに、パケットの発信者であるユーザを認証するための情報を提供する名前解決・認証方法及び装置に関するものである。 The present invention relates to a name resolution / authentication method and apparatus, and more particularly to a name resolution / authentication method and apparatus for providing information for authenticating a user who is a packet sender to a network that relays packets in an IP network. It is.
近年、通信技術の発達に伴い、伝送される情報量は益々増大している一方、許可されていないユーザによるネットワークへの不正アクセスも増大している。このセキュリティの問題を解決するためには、認証が益々重要になって来ている。 In recent years, with the development of communication technology, the amount of information transmitted has increased more and more, and unauthorized access to the network by unauthorized users has also increased. Authentication is becoming increasingly important to solve this security problem.
DNSシステム(Domain Name System)
IP通信を行う場合には送信元端末のユーザは、一般的に宛先をホスト名で指定する。このホスト名をIPアドレスに変換するためにDNSシステム(以下、DNSサーバと称することがある。)が用いられている。
DNS system (Domain Name System)
When performing IP communication, a user of a transmission source terminal generally designates a destination by a host name. In order to convert the host name into an IP address, a DNS system (hereinafter sometimes referred to as a DNS server) is used.
DNSシステムは、TCP/IPネットワーク環境において、ホスト名から、対応するIPアドレスを取得できるようにするサービスを提供すること、すなわち“名前解決”を提供するシステムである。DNSシステムは、ホスト名とIPアドレスの対応関係を記述したデータベースを管理しており、クライアントからの要求に応じて、ホスト名からそのIPアドレスを参照できるようにするものである。これによりユーザは、憶え難く、分かり難いIPアドレスではなく、ホストの名前を指定してネットワークにアクセスできるようになる。 The DNS system is a system that provides a service that enables a corresponding IP address to be obtained from a host name in a TCP / IP network environment, that is, provides “name resolution”. The DNS system manages a database that describes the correspondence between host names and IP addresses, and makes it possible to refer to IP addresses from host names in response to requests from clients. This allows the user to access the network by specifying the name of the host rather than an unrememberable IP address.
DNSシステムは分散データベースであり、「ドメイン・ツリー」と呼ばれる構成により、膨大な数の名前/IPアドレスの解決を実現している。 The DNS system is a distributed database, and realizes the resolution of a huge number of names / IP addresses by the configuration called “domain tree”.
図13は、ドメイン・ツリーを示しており、ルート・ノード700の下にトップレベル・ドメイン階層を構成するjpドメインDNSサーバ710_1、comドメインDNSサーバ710_2、netドメインDNSサーバ710_3、‥‥がある。そして、例えば、jpドメインDNSサーバ710_1の下に、coドメインDNSサーバ720_1、neドメインDNSサーバ720_2、adドメインDNSサーバ720_3、‥‥がある。
FIG. 13 shows a domain tree, and there are a jp domain DNS server 710_1, a com domain DNS server 710_2, a net domain DNS server 710_3,... Constituting a top level domain hierarchy under the
さらに、例えば、coドメインDNSサーバ720_1の下に、“atmarkit”サーバ730があり、この“atmarkit”サーバ730の下に、“forum”サーバ740があり、この“forum”の下にホスト情報“host(192.X.X.Y”)740_1a”、“www(192.X.X.X)740_1b”、‥‥がある。
Further, for example, there is an “atmarkit”
例えば、ドメインネーム=“www.forum.atmarkit.co.jp”からIPアドレス=“192.X.X.X”を検索する名前解決は、以下の順で行われる。 For example, name resolution for searching for IP address = “192.X.X.X” from domain name = “www.forum.atmarkit.co.jp” is performed in the following order.
ステップT10:jpDNSサーバ710_1がco.jpDNSサーバ720_1を検索する。 Step T10: The jpDNS server 710_1 searches for the co.jpDNS server 720_1.
ステップT11:co.jpDNSサーバ720_1がatmarkit.co.jpDNSサーバ730を検索する。
Step T11: The co.jp DNS server 720_1 searches the atmarkit.co.jp
ステップT12:atmarkit.co.jpDNSサーバ730がforum.atmarkit.co.jpDNSサーバ740を検索する。
Step T12: The
ステップT13:forum.atmarkit.co.jpDNSサーバ740がwww.forum.atmarkit.co.jp=IPアドレス“www192.X.X.X”を検索する。この結果、www.forum.atmarkit.co.jpのIPアドレス“www192.X.X.X”を解決したことになる。
Step T13:
ネットワークにおける認証
IPネットワーク上での認証は、IPネットワーク上での、任意のユーザによる一定の手続きの正当性を任意のサービス提供者及び中継網の事業者が認めた場合に、該サービスを該ユーザに提供することが好ましい。
Authentication in the network
The authentication on the IP network provides the user with the service when an arbitrary service provider and an operator of the relay network recognize the validity of a certain procedure by the arbitrary user on the IP network. It is preferable.
まず、IPネットワーク上での認証をユーザと事業者の観点から次の(1)〜(3)に分類することができる。 First, authentication on an IP network can be classified into the following (1) to (3) from the viewpoint of users and operators.
(1)送受信者間認証:IPパケットの送受信者間で行われる認証。現状、Eコマースなどアプリケーションレイヤで行われているユーザ認証。 (1) Authentication between sender and receiver: Authentication performed between sender and receiver of IP packets. Currently, user authentication is performed at the application layer such as e-commerce.
(2)ユーザ−ネットワーク事業者間認証:IPパケットの中継に関するサービスを正当なユーザに提供するために、ネットワーク事業者とユーザとの間で行われるネットワークレイヤでの認証。例えば、ダイアルアップやADSLのユーザがISP(InternetService Provider)やADSL事業者とでインターネット接続時にユーザIDとパスワード入力で実現されている認証。 (2) User-to-network operator authentication: Network layer authentication performed between a network operator and a user in order to provide a service related to IP packet relay to a legitimate user. For example, dial-up or ADSL users are authenticated by entering their user ID and password when connecting to the Internet with an ISP (Internet Service Provider) or ADSL provider.
(3)ネットワーク事業者間認証:ネットワーク事業者同士間で行われるネットワークレイヤでの認証。例えば、ネットワーク事業者間でやり取りされる経路制御情報の認証。 (3) Network operator authentication: Network layer authentication performed between network operators. For example, authentication of routing information exchanged between network operators.
ここで、名前解決・認証方法及び装置における認証を、(2)のユーザ−ネットワーク事業者間認証に絞って議論を進めることにする。 Here, the discussion in the name resolution / authentication method and apparatus will be focused on the authentication between the user and the network operator in (2).
このネットワーク事業者を次の(1)〜(3)に分類することができる。 This network operator can be classified into the following (1) to (3).
(1)ユーザ収容網:ユーザ(ユーザ端末)に対し、自網との契約に基づいたアクセスの可否を判断した上で、接続を提供する網。 (1) User accommodation network: A network that provides a connection to a user (user terminal) after determining whether access is possible based on a contract with the user's own network.
(2)中継網:ユーザ収容網からサービス提供者網までパケットを中継する網。本明細書では中継網は事業者単位とするため、複数の中継網が存在することを前提とする。 (2) Relay network: A network that relays packets from the user accommodation network to the service provider network. In this specification, since the relay network is a business unit, it is assumed that there are a plurality of relay networks.
(3)サービス提供者網:パケットが終端されるネットワーク装置(例えば、Webサーバ等)を有する網。 (3) Service provider network: A network having a network device (for example, a Web server) where packets are terminated.
図14は、ユーザ収容網、中継網、及びサービス提供者網の接続例を示している。ユーザ端末310を収容したユーザ収容網300、中継網400_1〜400_3、及びWebサーバ510を有するサービス提供者網500が直列接続されている。ユーザ端末310は、契約に基づきアクセス可能になったユーザ収容網300に接続し、パケットを送出する。このパケットは中継網400_1〜400_3、及びサービス提供者網500を経由してWebサーバ510で終端される。
FIG. 14 shows a connection example of a user accommodation network, a relay network, and a service provider network. A
なお、上記のネットワーク事業者の分類(1)〜(3)は、あくまで、パケット転送上の分類であり、ビジネス上は同一事業者が上記分類の複数の役割を兼ねることもある。例えば、ユーザ収容サービスとWebサーバ設置サービスをA社が提供している場合、A社はユーザ収容網にもなり得るし、サービス提供者網にもなり得る。 Note that the classifications (1) to (3) of the network operators are merely packet transfer categories, and the same operator may serve a plurality of roles of the above classifications for business purposes. For example, when company A provides a user accommodation service and a Web server installation service, company A can be a user accommodation network or a service provider network.
図15は、ネットワークレイヤにおける認証に関する従来の技術をまとめたものであり、認証技術として、PPPoE(PPP over Ethernet(登録商標))、認証ゲートウェイ、及びRSVP/LDP認証がある。 FIG. 15 summarizes conventional technologies related to authentication in the network layer, and there are PPPoE (PPP over Ethernet (registered trademark)), an authentication gateway, and RSVP / LDP authentication as authentication technologies.
同図には、各技術の「利用例」、「普及度」、及び「適用される網(ユーザ収容網、中継網、及びサービス提供者網)」が示されている。 In the figure, “Usage example”, “Popularity”, and “Applicable network (user accommodation network, relay network, and service provider network)” of each technology are shown.
PPPoEは、Ethernet(登録商標)等のネットワーク上でダイヤルアップ接続(PPP接続)のような利用者のユーザ名、パスワードのチェックを行うための規格であり、ADSLの契約ユーザの認証に利用される。認証ゲートウェイは、ユーザがネットワークを利用する前に認証を受けることを強制してセキュリティを確保する技術であり、ホットスポットにおける無線LANのユーザ認証に利用されている。 PPPoE is a standard for checking user names and passwords such as dial-up connection (PPP connection) on a network such as Ethernet (registered trademark), and is used for authentication of ADSL contract users. . The authentication gateway is a technique for ensuring security by forcing a user to be authenticated before using the network, and is used for user authentication of a wireless LAN in a hot spot.
RSVP/LDP認証は、MPLS事業者間の認証技術であり、事業者間にまたがったMPLS中継網同士の認証を行うものであり、ユーザ認証ではない。 RSVP / LDP authentication is an authentication technology between MPLS carriers, and performs authentication between MPLS relay networks that span between carriers, not user authentication.
これらの従来技術は、特定の網(ユーザ収容網や中継網)に閉じた認証を対象としている。 These conventional techniques are intended for authentication closed to a specific network (user accommodation network or relay network).
また、認証を行う従来のネットワークシステム例として、サーバ装置とクライアント装置で構成された個別ネットワークの1又は複数をネットワーク接続用装置に接続し、このネットワーク接続用装置の複数をバックボーン・ネットワークに接続し、このバックボーン・ネットワークにネットワーク管理装置を設け、この管理装置にバックボーン・ネットワーク全体の制御機能を持たせるネットワークシステムがある(特許文献1参照)。 In addition, as an example of a conventional network system that performs authentication, one or more of individual networks composed of a server device and a client device are connected to a network connection device, and a plurality of these network connection devices are connected to a backbone network. There is a network system in which a network management device is provided in the backbone network, and the management device has a control function for the entire backbone network (see Patent Document 1).
このネットワークシステムにおける認証は、ネットワーク管理装置内に設けた利用者認証サーバが行う。すなわち、利用者認証サーバは、個別ネットワーク内の利用者が他の個別ネットワークにおけるサービス又はバックボーン・ネットワークサービスの要求を行うことが許容されるか否かを判別する。そして、利用者認証サーバは、正当な利用者と認証したときには、利用者証明書を利用者が属する個別ネットワークを収容したネットワーク接続装置に送出する。 Authentication in this network system is performed by a user authentication server provided in the network management apparatus. That is, the user authentication server determines whether or not a user in an individual network is allowed to make a request for a service in another individual network or a backbone network service. When the user authentication server authenticates as a valid user, the user authentication server sends a user certificate to the network connection apparatus that accommodates the individual network to which the user belongs.
ネットワーク接続装置は、利用者証明書に基づいて、利用者のサービス要求を管理する。すなわち、ネットワーク接続装置は、自分自身が収容する個別ネットワーク内の利用者が他のネットワーク又はバックボーンネットワークに対するサービス要求を受信したとき、サービス要求を送出した利用者が認証を受けているか否かの登録をした利用者毎の管理テーブルに基づき判断される。 The network connection device manages the service request of the user based on the user certificate. That is, the network connection device registers whether or not the user who sent the service request is authenticated when the user in the individual network accommodated by the network connection device receives a service request for another network or the backbone network. Judgment is made based on the management table for each user.
この認証システムでは、単に利用者自身が属する個別ネットワーク以外の他の個別ネットワーク又はバックボーン・ネットワークにサービス要求を行い得るか否かを認証するものであり、すなわち、パケットを他の個別ネットワーク及びバックボーン・ネットワークに中継するか否かの認証を行うものである。
上述した従来のユーザ認証技術では、ネットワーク事業者毎の認証のみが実現されており、複数のネットワーク事業者にまたがってネットワークレイヤでユーザ認証を行う手法はない。これは、従来の中継網やサービス提供者網が、宛先IPアドレスに基づいた、「Anywhere-to-Anywhere」なパケット中継のみを提供しており、このためネットワーク事業者にとってはユーザ収容網において、ユーザを接続させるべきか否か(すなわち、パケット中継をするべきか否か)という選択肢しかないためである。 In the above-described conventional user authentication technology, only authentication for each network operator is realized, and there is no method for performing user authentication at the network layer across a plurality of network operators. This is because the conventional relay network and service provider network provide only "Anywhere-to-Anywhere" packet relay based on the destination IP address, so for network operators in the user accommodation network, This is because there is only an option of whether or not to connect the user (that is, whether or not to relay the packet).
パケットの送信元から宛先までの「End-to-End」という視点では、各ネットワーク事業者はパケットを宛先アドレスに基づいて中継することのみを行っており、ユーザ認証は、例えばWebブラウザ上でのパスワード入力など、アプリケーションでの送受信者間認証で実現されている。 From the viewpoint of “End-to-End” from the packet source to the destination, each network operator only relays the packet based on the destination address, and user authentication is performed on a Web browser, for example. It is realized by sender / receiver authentication in the application such as password entry.
この結果、下記の問題(1)及び(2)が生じる。 As a result, the following problems (1) and (2) occur.
(1)ネットワークレベルでのEnd-to-Endのサービスが提供できない。例えば、帯域制御をユーザに提供することが困難である。 (1) End-to-end service at the network level cannot be provided. For example, it is difficult to provide bandwidth control to the user.
(2)IPパケットとしては宛先端末に到着している、言い換えれば、不要なパケットも宛先端末に到着している。従って、ネットワークレベルでの攻撃にノードが晒されることを回避できない。 (2) IP packets have arrived at the destination terminal, in other words, unnecessary packets have also arrived at the destination terminal. Therefore, it cannot be avoided that the node is exposed to an attack at the network level.
問題解決の前提
この問題(1)及び(2)を解決するための複数のネットワーク事業者にまたがった「End-to-End」なネットワークレベルで必要とする認証(識別)を以下に定義する。
Prerequisites for Problem Solving Authentication (identification) required at the “End-to-End” network level across multiple network operators for solving these problems (1) and (2) is defined below.
(1)ユーザ識別:サービスを受けるユーザをネットワーク上で特定できること。 (1) User identification: Users who can receive services can be identified on the network.
(2)サービス識別:サービスの提供者及び受けようとするサービスを特定できること。 (2) Service identification: The ability to identify the service provider and the service to be received.
上記の認証(1)及び(2)を実現する上での制約条件(1)及び(2)を以下に示す。 Restrictions (1) and (2) for realizing the above authentication (1) and (2) are shown below.
(1)ネットワーク事業者はアプリケーションレベルでの認証を行わずにパケット転送を行うことは従来通りとし、パケットフロー毎に自社のネットワークリソースの提供量を決定する。 (1) The network operator performs the packet transfer without performing the authentication at the application level as usual, and determines the amount of the network resource to be provided for each packet flow.
(2)認証の粒度はネットワーク事業者単位とする。すなわち、認証を行う最小単位は、ネットワーク事業者とする。 (2) The granularity of authentication is on a network carrier basis. That is, the minimum unit for authentication is a network operator.
上記の認証の定義(1)及び(2)やそれを実現する上での制約条件(1)及び(2)を考慮して、ネットワーク事業者の種類に関係なく、認証に必要な情報(パケット)をユーザ収容網300からサービス提供者網500まで伝播/通知するための手法を以下に述べる。なお、認証アルゴリズムや認証の結果として提供されるサービスそのものには言及しない。
Considering the above definition of authentication (1) and (2) and constraints (1) and (2) for realizing it, the information (packets) required for authentication regardless of the type of network operator ) Will be described below from the
まず、IPネットワークでは、アドレスは一意に割り振られているため、送信元IPアドレスが判ればユーザの特定を行うことが可能となる。FQDN(FullyQualified Domain Name:完全修飾ドメイン名)はサービスを識別するために付与されることが一般的である。例えば、”www.Abc.com”は、“Abc”が提供するWebサービスである。 First, in the IP network, since the address is uniquely assigned, the user can be specified if the source IP address is known. An FQDN (Fully Qualified Domain Name) is generally assigned to identify a service. For example, “www.Abc.com” is a web service provided by “Abc”.
そこで、ユーザ識別子を送信元IPアドレス(以下、Src-IPと称することがある。)とし、サービス識別子をFQDNから名前解決によって得た宛先IPアドレス(以下、Dst-IPと称することがある。)とする。 Therefore, the user identifier is a source IP address (hereinafter sometimes referred to as Src-IP), and the service identifier is a destination IP address obtained by name resolution from the FQDN (hereinafter sometimes referred to as Dst-IP). And
次に、ネットワーク事業者及びユーザの立場から、上記の問題点(1)及び(2)を解決するための事業者要件(1)〜(3)及びユーザ要件を以下に示す。 Next, from the standpoints of network operators and users, operator requirements (1) to (3) and user requirements for solving the above problems (1) and (2) are shown below.
事業者要件(1):フロー識別のための認証をユーザパケットが流れ始める前に行えること。 Business Requirement (1): Authentication for flow identification can be performed before user packets start to flow.
事業者要件(2):ルータに動的にフロー識別設定が行えること。 Operator requirement (2): Flow identification can be set dynamically in the router.
事業者要件(3):ユーザパケット送信に先立って、ユーザ/サービス識別子の識別が行えること。 Operator requirement (3): User / service identifier can be identified prior to user packet transmission.
すなわち、ネットワーク事業者は、何らかの手段により伝播されて来たユーザ識別子及びサービス識別子に基づいて認証を行い、その結果を動的にルータのフロー識別に反映する。このフロー識別により、ルータは特定のユーザ識別子とサービス識別子の組み合わせを検出し、認証許可者への特定のサービスを提供する。 That is, the network operator performs authentication based on the user identifier and service identifier propagated by some means, and dynamically reflects the result on the router flow identification. Based on this flow identification, the router detects a combination of a specific user identifier and a service identifier, and provides a specific service to the authentication permitter.
また、ユーザの立場からは、経由する中継網はIPの経路情報によって決定されているため、ユーザがユーザ収容網、中継網、サービス提供者収容網毎に認証を行うのは困難である。したがってユーザ要件は下記のとおりとなる。 From the user's standpoint, since the relay network through which the route passes is determined by the IP route information, it is difficult for the user to perform authentication for each of the user accommodation network, the relay network, and the service provider accommodation network. Therefore, user requirements are as follows.
ユーザ要件:一度のユーザ認証手順で、サービス提供者までに経由するネットワーク全ての認証を可能とすること。 User requirements: A single user authentication procedure must be able to authenticate the entire network through the service provider.
課題
ここで、ネットワーク事業者要件(1)〜(3)を満たす可能性のある従来技術として、ユーザ端末からのパケット送信に先立ってネットワークに対して行われるネゴシエーション手法である上述したDNSシステムに着目する。
Problem where attention as prior art that may meet the network operator requirements (1) to (3), the DNS system described above is a negotiation technique performed on the network prior to the packet transmission from the user terminal To do.
DNSシステムを用いて、上述したネットワーク要件(1)〜(3)及びユーザ要件を満たしながら、ユーザとサービスの認証を行うためには次の課題(1)及び(2)がある。 There are the following problems (1) and (2) in order to authenticate users and services while satisfying the above network requirements (1) to (3) and user requirements using the DNS system.
課題(1):ドメイン・ツリーはユーザIPパケットが経由する中継網とは独立している。 Problem (1): The domain tree is independent of the relay network through which user IP packets pass.
課題(2):DNSシステムでは名前解決要求を出したノードを識別する手段がない。すなわち、DNSサーバ間のパケットには問い合わせ元のユーザ端末のIPアドレス(ユーザ識別子)は付与されない。 Problem (2): In the DNS system, there is no means for identifying the node that issued the name resolution request. That is, the IP address (user identifier) of the inquiring user terminal is not assigned to the packet between the DNS servers.
したがって、本発明は、IPネットワークにおいて、IPパケットの中継を行うネットワーク事業者に、パケットの発信者であるユーザを認証するための情報を提供する名前解決・認証方法及び装置において、まず、ユーザIPパケットが経由するネットワークに関連付けた名前解決方法及び装置を実現することを課題とし、次に、この名前解決方法及び装置に基づきネットワークにおけるユーザ認証及びサービス認証を行うことを課題とする。 Accordingly, the present invention provides a name resolution / authentication method and apparatus for providing information for authenticating a user who is a packet sender to a network operator that relays IP packets in an IP network. An object is to realize a name resolution method and apparatus associated with a network through which a packet passes. Next, an object is to perform user authentication and service authentication in the network based on the name resolution method and apparatus.
上記の課題で述べたように、まず、ユーザIPパケットが経由するネットワークに関連付けた名前解決方法を述べ、その後、この方法に基づき、ネットワークにおけるユーザ認証及びサービス認証を行う方法を述べる。 As described in the above problem, first, a name resolution method associated with a network through which a user IP packet passes is described, and then a method for performing user authentication and service authentication in the network based on this method is described.
なお、以後、例えば、名前解決要求及び名前解決応答を、それぞれ従来のものと区別するためアドバンスド名前解決要求及びアドバンスド名前解決応答と称する。 Hereinafter, for example, a name resolution request and a name resolution response are referred to as an advanced name resolution request and an advanced name resolution response in order to distinguish them from conventional ones.
上記の課題を解決するため、本発明の名前解決・認証装置方法は、IPパケットを中継する複数のネットワークの各々に設けられた名前解決・認証装置間における名前解決・認証方法であって、隣接する名前解決・認証装置のIPアドレスを登録する第1ステップと、自装置が管理するFQDNと自装置のIPアドレスとを示すアドバンスドDNS広報を、該IPアドレスの隣接装置宛に送出する第2ステップと、受信した該アドバンスドDNS広報に示されたFQDNが登録されていないとき、該受信したアドバンスドDNS広報に示された該FQDNと該IPアドレスとを対応付けて登録する第3ステップとを有する。 In order to solve the above problems, the name resolution / authentication apparatus method of the present invention is a name resolution / authentication method between name resolution / authentication apparatuses provided in each of a plurality of networks that relay IP packets, and is adjacent to each other. A first step of registering the IP address of the name resolution / authentication device to be sent, and a second step of sending an advanced DNS advertisement indicating the FQDN managed by the own device and the IP address of the own device to the neighboring device of the IP address And a third step of registering the FQDN indicated in the received advanced DNS advertisement and the IP address in association with each other when the FQDN indicated in the received advanced DNS advertisement is not registered .
すなわち、第1ステップにおいて、隣接する名前解決・認証装置(以下、従来の装置と区別するため“アドバンスドDNS(Domain Name System)サーバ”と称することがある。)のIPアドレスが、例えば、隣接アドバンスドDNSデータベースに登録される。第2ステップにおいて、自装置が管理するFQDN(FullyQualified Domain Name:完全修飾ドメイン名)と自装置のIPアドレスと含むアドバンスドDNS広報を、隣接アドバンスドDNSデータベースに登録されているIPアドレスの隣接する名前解決・認証装置宛に送出する。 That is, in the first step, the IP address of an adjacent name resolution / authentication device (hereinafter, sometimes referred to as “advanced DNS (Domain Name System) server” to distinguish it from a conventional device) is, for example, Registered in DNS database. In the second step, adjacent name resolution of the IP address registered in the adjacent advanced DNS database is performed by using the advanced DNS information including the FQDN (Fully Qualified Domain Name) managed by the device and the IP address of the device. -Send to the authentication device.
第3ステップにおいて、隣接する名前解決・認証装置から受信したアドバンスドDNS広報のFQDNが、例えば、FQDNデータベースに登録されていないとき、受信したアドバンスドDNS広報に示されるFQDNと名前解決・認証装置(以下、次DNSと略称することがある。)のIPアドレスとを、FQDNデータベースに登録する。 In the third step, when the FQDN of the advanced DNS information received from the adjacent name resolution / authentication device is not registered in the FQDN database, for example, the FQDN and the name resolution / authentication device (hereinafter referred to as the received advanced DNS information) The IP address of the following DNS is registered in the FQDN database.
これにより、名前解決・認証装置は、自装置が管理するFQDNと自装置のIPアドレスをアドバンスドDNS広報を用いて隣接する名前解決・認証装置に広報することができる。そして、隣接する名前解決・認証装置は、FQDNデータベースに登録されたIPアドレスの名前解決・認証装置に対して、登録されたFQDNの名前解決要求を行えば名前解決が可能になる。 As a result, the name resolution / authentication apparatus can advertise the FQDN managed by the own apparatus and the IP address of the own apparatus to the adjacent name resolution / authentication apparatus using the advanced DNS advertisement. The adjacent name resolution / authentication device can perform name resolution by making a name resolution request for the registered FQDN to the name resolution / authentication device of the IP address registered in the FQDN database.
また、該第3ステップは、さらに、受信した該アドバンスドDNS広報に示された該FQDN及び該IPアドレスが対応付けられて登録されていないとき、該受信したアドバンスドDNS広報のIPアドレスを自装置のIPアドレスに置き換えたアドバンスドDNS広報を、該I Pアドレスの隣接装置宛に転送することが可能である。 Further, the third step further, when the FQDN and the IP address indicated in the advanced DNS publicity received is not registered in association with the IP address of the advanced DNS publicity thus received its own device It is possible to forward the advanced DNS advertisement replaced with the IP address to the adjacent device of the IP address.
すなわち、例えば、隣接する名前解決・認証装置からアドバンスドDNS広報を受信した名前解決・認証装置は、アドバンスドDNS広報のIPアドレスを自装置のIPアドレスに置き換えたアドバンスドDNS広報を別の隣接する名前解決・認証装置に転送する。 That is, for example, a name resolution / authentication device that receives an Advanced DNS PR from an adjacent name resolution / authentication device replaces the IP address of the Advanced DNS PR with the IP address of its own device. • Transfer to the authentication device.
これにより、FQDNが同じアドバンスドDNS広報を同一の名前解決・認証装置に転送することがなくなる。また、名前解決・認証装置が、順次、アドバンスドDNS広報を転送することにより、後述するFQDNのアドバンスド名前解決要求を伝送する経路情報がFQDNデータベースに登録されることになる。 As a result, the advanced DNS public information having the same FQDN is not transferred to the same name resolution / authentication apparatus. Further, the name resolution / authentication device sequentially forwards the advanced DNS public information, so that route information for transmitting an FQDN advanced name resolution request to be described later is registered in the FQDN database.
この結果、アドバンスド名前解決要求を、FQDNデータベースの該FQDNに対応するIPアドレスに、順次、転送することにより、名前解決要求を、アドバンスドDNS広報の伝送経路を逆向きに辿って該FQDNのアドバンスド名前解決をする名前解決・認証装置に転送することが可能になる。 As a result, by sequentially transferring the advanced name resolution request to the IP address corresponding to the FQDN in the FQDN database, the name resolution request is traced in the reverse direction along the transmission path of the advanced DNS public information, and the advanced name of the FQDN It is possible to transfer to a name resolution / authentication device that performs resolution.
また、本発明では、該アドバンスドDNS広報が、さらに、自分自身が経由した名前解決・認証装置数を含み、該第3ステップにて、さらに、該経由数を該FQDNに対応付けられて登録し、該アドバンスドDNS広報が示す経由数及び登録された該経由数に基づき、該アドバンスドDNS広報の該FQDNを登録するか否か、該アドバンスドDNS広報を転送するか否かを決定する第4ステップを、さらに有する。 Further, in the present invention , the advanced DNS public information further includes the number of name resolution / authentication devices passed by itself, and in the third step, further registers the number of passages in association with the FQDN. A fourth step of determining whether to register the FQDN of the advanced DNS PR and whether to transfer the advanced DNS PR based on the number of vias indicated by the advanced DNS PR and the registered number of vias. And further .
すなわち、第4ステップにて、アドバンスドDNS広報が示す経由数及び登録された該経由数に基づき、アドバンスドDNS広報のFQDNに関する情報を登録するか否か、該アドバンスドDNS広報を転送するか否かを決定することができる。例えば、“アドバンスドDNS広報の経由数”>“登録された経由数”のとき、登録せず、アドバンスドDNS広報の転送も行わない。 That is, in the fourth step, based on the number of vias indicated by the advanced DNS public information and the registered number of vias, it is determined whether or not to register information regarding the FQDN of the advanced DNS public information, and whether or not to forward the advanced DNS public information. Can be determined. For example, when “advance number of advanced DNS information”> “number of registered information”, registration is not performed, and advanced DNS information is not transferred.
これにより、例えば、アドバンスドDNS広報が転送された最短経路情報を、例えば、FQDNデータベースに登録することが可能になる。また、アドバンスドDNS広報が転送された複数の経路情報を、例えば、FQDNデータベースに登録することも可能になる。 Thereby, for example, the shortest path information to which the advanced DNS public information is transferred can be registered in the FQDN database, for example. It is also possible to register a plurality of route information to which the advanced DNS public information is transferred, for example, in the FQDN database.
また、上記の本発明において、認証した送信元IPアドレスを予め登録する第5ステップと、受信したアドバンスド名前解決要求に示された送信元IPアドレスが、該認証した送信元IPアドレスとして登録されているとき、アドバンスド名前解決要求に含まれる該送信元IPアドレスと該アドバンスド名前解決要求を転送した隣接の名前解決・認証装置のIPアドレスと対応付けて登録する第6ステップと をさらに有することができる。 In the present invention, the fifth step of registering the authenticated source IP address in advance and the source IP address indicated in the received advanced name resolution request are registered as the authenticated source IP address. And a sixth step of registering the source IP address included in the advanced name resolution request in association with the IP address of the adjacent name resolution / authentication device that forwarded the advanced name resolution request. .
すなわち、予め認証した送信元IPアドレス(ユーザのIPアドレス、すなわち、ユーザ識別子)が登録されている。 That is, a transmission source IP address (user IP address, that is, user identifier) authenticated in advance is registered.
第6ステップにて、受信したアドバンスド名前解決要求に示された送信元IPアドレスが、例えば、認証許可送信元IPアドレスデータベースに登録されているとき、アドバンスド名前解決要求に含まれる該送信元IPアドレスと、アドバンスド名前解決要求を送信した隣接の名前解決・認証装置のIPアドレスとを対応付けて、例えばフロー識別エントリデータベースに登録する。 In the sixth step, when the source IP address indicated in the received advanced name resolution request is registered in the authentication-permitted source IP address database, for example, the source IP address included in the advanced name resolution request And the IP address of the adjacent name resolution / authentication device that sent the advanced name resolution request are associated with each other and registered in, for example, the flow identification entry database.
これにより、フロー識別エントリデータベースに登録された該送信元IPアドレスに基づくフロー識別を行うことで、このフローの認証をすることが可能になる。 This makes it possible to authenticate this flow by performing flow identification based on the source IP address registered in the flow identification entry database.
また、隣接の名前解決・認証装置のIPアドレスを辿ることにより、例えば、アドバンスド名前解決要求に対するアドバンスド名前解決応答を、アドバンスド名前解決要求を送出したユーザに転送することが可能になる。 Further, by tracing the IP address of the adjacent name resolution / authentication device, for example, an advanced name resolution response to the advanced name resolution request can be transferred to the user who sent the advanced name resolution request.
また、上記の本発明において、受信した名前解決要求を変換した該アドバンスド名前解決要求を作成する第7ステップを、第6ステップの前にさらに有することができる。 In the present invention described above, the seventh step of creating the advanced name resolution request obtained by converting the received name resolution request may further be provided before the sixth step.
すなわち、第7ステップにて、従来の名前解決要求を受信し、この要求の例えば送信元のIPアドレス(ユーザ識別子)を付加したアドバンスド名前解決要求を作成し、この要求を第6ステップに与える。 In other words, in the seventh step, a conventional name resolution request is received, an advanced name resolution request is added to which the IP address (user identifier) of the transmission source, for example, is added, and this request is given to the sixth step.
これにより、従来の名前解決要求も本発明の名前解決・認証装置で処理することが可能になる。 As a result, a conventional name resolution request can be processed by the name resolution / authentication apparatus of the present invention.
また、上記の本発明において、該第6ステップは、受信した該アドバンスド名前解決要求に示された送信元IPアドレスが該認証登録された送信元IPアドレスでない、アドバンスド名前解決要求を廃棄することができる。 In the present invention, the sixth step may discard an advanced name resolution request in which the source IP address indicated in the received advanced name resolution request is not the source IP address registered for authentication. it can.
これにより、認証されていない送信元IPアドレスのユーザ端末からのアドバンスド名前解決要求の受信を例えば拒否することが可能になる。 This makes it possible to refuse, for example, reception of an advanced name resolution request from a user terminal having an unauthenticated source IP address.
また、上記の本発明において、該アドバンスド名前解決要求に対するアドバンスド名前解決応答を受信し、この応答に示されたFQDNのIPアドレスも、該フロー識別エントリデータベースの該送信元IPアドレスに対応付けて登録し、該アドバンスド名前解決応答を該フロー識別エントリデータベースに登録された該IPアドレスの隣接装置宛てに転送する第8ステップをさらに有することが可能である。 In the present invention, an advanced name resolution response to the advanced name resolution request is received, and the IP address of the FQDN indicated in the response is also registered in association with the source IP address of the flow identification entry database. In addition, it is possible to further include an eighth step of transferring the advanced name resolution response to the neighboring device having the IP address registered in the flow identification entry database.
すなわち、第8ステップにて、アドバンスド名前解決要求に対するアドバンスド名前解決応答を受信し、この応答に含まれるFQDNのIPアドレス(サービス識別子)も、例えばフロー識別エントリデータベースの送信元IPアドレス(ユーザ識別子)に対応付けて登録する。そして、アドバンスド名前解決応答を、例えば、フロー識別エントリデータベースに登録されたIPアドレスの隣接名前解決・認証装置宛に転送する。 That is, in the eighth step, an advanced name resolution response to the advanced name resolution request is received, and the IP address (service identifier) of the FQDN included in this response is also the source IP address (user identifier) of the flow identification entry database, for example. Register in association with. Then, the advanced name resolution response is forwarded to the adjacent name resolution / authentication device of the IP address registered in the flow identification entry database, for example.
この結果、アドバンスド名前解決要求に含まれる送信元IPアドレス、アドバンスド名前解決要求を送信した隣接の名前解決・認証装置のIPアドレス(前DNSのIPアドレス)、及びアドバンスド名前解決応答に含まれるFQDNの解決されたIPアドレスが対応付けられて登録される。 As a result, the source IP address included in the advanced name resolution request, the IP address of the adjacent name resolution / authentication device that sent the advanced name resolution request (the IP address of the previous DNS), and the FQDN included in the advanced name resolution response The resolved IP address is registered in association with it.
このフロー識別エントリデータベースに基づいて、FQDNのIPアドレス(サービス識別子)及び送信元IPアドレス(ユーザ識別子:ユーザ端末のIPアドレス)に基づくフロー識別を行うとともに、このフローの認証をすることが可能になる。 Based on this flow identification entry database, it is possible to perform flow identification based on the IP address (service identifier) of the FQDN and the source IP address (user identifier: IP address of the user terminal) and to authenticate this flow Become.
また、上記の本発明において、該アドバンスド名前解決応答を名前解決応答に変換して従来の端末に転送する第9ステップを有することができる。 In the present invention described above, a ninth step of converting the advanced name resolution response into a name resolution response and transferring it to a conventional terminal can be provided.
これにより、例えば、従来のユーザ端末に名前解決応答を返送することが可能になる。 Thereby, for example, a name resolution response can be returned to a conventional user terminal.
さらに、上記の本発明において、自装置が属するネットワークの外部ゲートウェイルータのIPアドレスを予め登録する第10ステップと、該登録された外部ゲートウェイルータに、該FQDNのIPアドレス及び該送信元IPアドレスの中の少なくとも一方の設定を行う第11ステップとをさらに有することができる。 Furthermore, in the present invention described above, the tenth step of registering in advance the IP address of the external gateway router of the network to which the device belongs, and the IP address of the FQDN and the source IP address of the registered external gateway router And an eleventh step of setting at least one of them.
すなわち、外部ゲートウェイルータには、データベース自装置が属するネットワーク(自ドメイン)の外部ゲートウェイルータのIPアドレスが、予め登録されている。第11ステップにて、例えば、フロー識別エントリデータベースのフロー識別エントリ(FQDNのIPアドレス及び送信元IPアドレス、又はFQDNのIPアドレス、又は送信元IPアドレス)を検索し、検索したフロー識別エントリを外部ゲートウェイルータIPアドレスデータベースに登録された外部ゲートウェイルータに設定する。 That is, the IP address of the external gateway router of the network (local domain) to which the database own device belongs is registered in advance in the external gateway router. In the eleventh step, for example, a flow identification entry (FQDN IP address and transmission source IP address, or FQDN IP address or transmission source IP address) in the flow identification entry database is searched, and the searched flow identification entry is externally Set in the external gateway router registered in the gateway router IP address database.
これにより、外部ゲートウェイルータは、フロー識別エントリに基づき、自分自身が属するネットワークが認証しないパケットフローを廃棄又はネットワーク内への入力阻止することが可能になる。
上述した課題で述べたように、まず、ユーザIPパケットが経由するネットワークに関連付けた名前解決装置を実現する手段を述べ、その後、この装置を用いたネットワークにおけるユーザ認証及びサービス認証を述べる。
As a result, the external gateway router can discard or block the packet flow that is not authenticated by the network to which the external gateway router belongs, based on the flow identification entry.
As described in the above-described problem, first, means for realizing a name resolution apparatus associated with a network through which a user IP packet passes are described, and then user authentication and service authentication in a network using this apparatus will be described.
上記の課題を解決するため、本発明の名前解決・認証装置は、IPパケットを中継する複数のネットワークの各々に設けられた名前解決・認証装置であって、隣接する名前解決・認証装置のIPアドレスを登録した隣接アドバンスドDNSデータベースと、自装置が管理するFQDNと自装置のIPアドレスとを示すアドバンスドDNS広報を、該隣接アドバンスドDNSデータベースに登録されたIPアドレスの装置宛に送出するアドバンスドDNS広報送出部と、FQDNデータベースと、受信した該アドバンスドDNS広報に示されたFQDNが該FQDNデータベースに登録されていないとき、該受信したアドバンスドDNS広報に示された該FQDNと該IPアドレスとを対応付けて該FQDNデータベースに登録するアドバンスドDNS広報処理部と、を備える。 To solve the above problems, the name resolution and authentication device of the present invention is a name resolution and authentication device provided to each of the plurality of networks to relay the IP packet, the adjacent name resolution and authentication device IP Advanced DNS information that sends an advanced DNS advertisement indicating the FQDN managed by the own device and the IP address of the own device to the device having the IP address registered in the adjacent advanced DNS database. When the sending unit, the FQDN database, and the FQDN indicated in the received advanced DNS advertisement are not registered in the FQDN database, the FQDN and the IP address indicated in the received advanced DNS advertisement are associated with each other. and advanced DNS publication processing unit for registering in the FQDN database Te, Ru comprising a.
すなわち、隣接アドバンスドDNS(Domain Name System)データベースには、隣接する名前解決・認証装置(以下、アドバンスドDNSサーバと称することがある。)のIPアドレスが登録されている。アドバンスドDNS広報送出部は、自装置のIPアドレスと自装置が管理するFQDNとを示すアドバンスドDNS広報を、隣接アドバンスドDNSデータベースに登録された隣接するIPアドレスの名前解決・認証装置宛に送出する。 That is, in the adjacent advanced DNS (Domain Name System) database, IP addresses of adjacent name resolution / authentication apparatuses (hereinafter sometimes referred to as advanced DNS servers) are registered. The advanced DNS public information transmission unit transmits the advanced DNS public information indicating the IP address of the own device and the FQDN managed by the own device to the name resolution / authentication device of the adjacent IP address registered in the adjacent advanced DNS database.
アドバンスドDNS広報処理部は、受信したアドバンスドDNS広報のFQDNがFQDNデータベースに登録されていないとき、該受信したアドバンスドDNS広報に示されたFQDN及びIPアドレス(すなわち、隣接の名前解決・認証装置のIPアドレス。以下、次DNSと略称することがある。)を対応付けてFQDNデータベースに登録する。 When the FQDN of the received advanced DNS information is not registered in the FQDN database, the advanced DNS information processing unit sends the FQDN and IP address indicated in the received advanced DNS information (that is, the IP address of the adjacent name resolution / authentication device). Address, which may be abbreviated as “Next DNS”), is registered in the FQDN database.
これにより、名前解決・認証装置は、自装置が管理するFQDNと自装置のIPアドレスをアドバンスドDNS広報を用いて隣接する名前解決・認証装置に広報することができる。そして、隣接する名前解決・認証装置は、FQDNデータベースに登録されたIPアドレスの名前解決・認証装置に対して、登録されたFQDNの名前解決要求を行えば名前解決が可能になる。 As a result, the name resolution / authentication apparatus can advertise the FQDN managed by the own apparatus and the IP address of the own apparatus to the adjacent name resolution / authentication apparatus using the advanced DNS advertisement. The adjacent name resolution / authentication device can perform name resolution by making a name resolution request for the registered FQDN to the name resolution / authentication device of the IP address registered in the FQDN database.
また、上記のアドバンスドDNS広報処理部は、さらに、受信した該アドバンスドDNS広報に示された該FQDN及び該IPアドレスが対応付けられて該FQDNデータベースに登録されていないとき、該受信したアドバンスドDNS広報のIPアドレスを自装置のIPアドレスに置き換えたアドバンスドDNS広報を該隣接アドバンスドDNSデータベースに登録されたIPアドレスの装置宛に転送することが可能である。 The above-mentioned A Dobansudo DNS publication processing unit further when said FQDN and the IP address indicated in the advanced DNS publicity received is associated not registered in the FQDN database, advanced DNS thus received It is possible to forward an advanced DNS advertisement in which the IP address of the advertisement is replaced with the IP address of its own device to the apparatus having the IP address registered in the adjacent advanced DNS database.
すなわち、隣接する名前解決・認証装置からアドバンスドDNS広報を受信した名前解決・認証装置は、アドバンスドDNS広報のIPアドレスを自装置のIPアドレスに置き換えたアドバンスドDNS広報を別の隣接する名前解決・認証装置に転送する。 In other words, the name resolution / authentication device that receives the Advanced DNS PR from the adjacent name resolution / authentication device replaces the IP address of the Advanced DNS PR with the IP address of its own device. Transfer to device.
これにより、FQDNが同じアドバンスドDNS広報を同一の名前解決・認証装置に転送することがなくなる。また、名前解決・認証装置が、順次、アドバンスドDNS広報を転送することにより、後述するFQDNのアドバンスド名前解決要求を伝送する経路情報がFQDNデータベースに登録されることになる。 As a result, the advanced DNS public information having the same FQDN is not transferred to the same name resolution / authentication apparatus. Further, the name resolution / authentication device sequentially forwards the advanced DNS public information, so that route information for transmitting an FQDN advanced name resolution request to be described later is registered in the FQDN database.
この結果、アドバンスド名前解決要求を、FQDNデータベースの該FQDNに対応するIPアドレスに、順次、転送することにより、名前解決要求を、アドバンスドDNS広報の伝送経路を逆向きに辿って該FQDNの名前解決をする名前解決・認証装置に転送することが可能になる。 As a result, by sequentially transferring the advanced name resolution request to the IP address corresponding to the FQDN in the FQDN database, the name resolution request is traced in the reverse direction along the transmission path of the advanced DNS public information, and the name resolution of the FQDN is resolved. Can be transferred to the name resolution / authentication device.
また、本発明では、該アドバンスドDNS広報は、さらに、自分自身が経由した名前解決・認証装置数を含み、該FQDNデータベースには、さらに、該経由数が該FQDNに対応付けられて登録されており、該アドバンスドDNS広報処理部は、さらに、該アドバンスドDNS広報が示す経由数及び該FQDNデータベースに登録された該経由数に基づき、該アドバンスドDNS広報の該FQDNを該FQDNデータベースに登録するか否か、該アドバンスドDNS広報を転送するか否かを決定する。 Further, in the present invention , the advanced DNS public relations further includes the number of name resolution / authentication devices passed by itself, and the number of vias is further registered in the FQDN database in association with the FQDN. The advanced DNS PR processing unit further determines whether or not to register the FQDN of the advanced DNS PR in the FQDN database based on the number of vias indicated by the advanced DNS PR and the number of vias registered in the FQDN database. Or whether to forward the advanced DNS advertisement .
すなわち、アドバンスドDNS広報処理部は、アドバンスドDNS広報が示す経由数及びFQDNデータベースに登録された該経由数に基づき、アドバンスドDNS広報のFQDNに関する情報をFQDNデータベースに登録するか否か、該アドバンスドDNS広報を転送するか否かを決定することができる。例えば、“アドバンスドDNS広報の経由数”>“登録された経由数”のとき、FQDNデータベースに登録せず、アドバンスドDNS広報の転送も行わない。 That is, the advanced DNS public information processing unit determines whether or not to register information related to the FQDN of the advanced DNS public information in the FQDN database based on the number of vias indicated by the advanced DNS public information and the number of vias registered in the FQDN database. Can be determined whether or not to transfer. For example, when “the number of vias for advanced DNS public information”> “the number of registered vias”, it is not registered in the FQDN database, and the advanced DNS public information is not transferred.
これにより、例えば、アドバンスドDNS広報が転送された最短経路情報をFQDNデータベースに登録することが可能になる。また、アドバンスドDNS広報が転送された複数の経路情報をFQDNデータベースに登録することも可能になる。 Thereby, for example, the shortest path information to which the advanced DNS public information is transferred can be registered in the FQDN database. It is also possible to register a plurality of route information to which the advanced DNS public information is transferred in the FQDN database.
また、上記の本発明において、認証した送信元IPアドレスを予め登録した認証許可送信元IPアドレスデータベースと、フロー識別エントリデータベースと、 受信したアドバンスド名前解決要求に示された送信元IPアドレスが、該認証許可送信元IPアドレスデータベースに登録されているとき、アドバンスド名前解決要求に含まれる該送信元IPアドレスと該アドバンスド名前解決要求を転送した隣接の名前解決・認証装置のIPアドレスと対応付けて該フロー識別エントリデータベースに登録するアドバンスド名前解決要求処理部とをさらに備えることができる。 In the present invention described above, the authentication permitted transmission source IP address database in which the authenticated transmission source IP address is registered in advance, the flow identification entry database, and the transmission source IP address indicated in the received advanced name resolution request are When registered in the authentication-permitted source IP address database, the source IP address included in the advanced name resolution request is associated with the IP address of the adjacent name resolution / authentication device that forwarded the advanced name resolution request. And an advanced name resolution request processing unit registered in the flow identification entry database.
すなわち、名前解決・認証装置は、さらに、認証許可送信元IPアドレスデータベース、フロー識別エントリデータベース、及びアドバンスド名前解決要求処理部を備えている。認証許可送信元IPアドレスデータベースには、予め認証した送信元IPアドレス(ユーザのIPアドレス、すなわち、ユーザ識別子)が登録されている。 That is, the name resolution / authentication apparatus further includes an authentication permission transmission source IP address database, a flow identification entry database, and an advanced name resolution request processing unit. In the authentication-permitted transmission source IP address database, a transmission source IP address (user IP address, that is, user identifier) that has been authenticated in advance is registered.
アドバンスド名前解決要求処理部は、受信したアドバンスド名前解決要求に示された送信元IPアドレスが、該認証許可送信元IPアドレスデータベースに登録されているとき、アドバンスド名前解決要求に含まれる該送信元IPアドレスと、アドバンスド名前解決要求を送信した隣接の名前解決・認証装置のIPアドレスとを対応付けてフロー識別エントリデータベースに登録する。 The advanced name resolution request processing unit, when the source IP address indicated in the received advanced name resolution request is registered in the authentication-permitted source IP address database, the source IP address included in the advanced name resolution request The address and the IP address of the adjacent name resolution / authentication device that sent the advanced name resolution request are associated with each other and registered in the flow identification entry database.
これにより、フロー識別エントリデータベースに登録された該送信元IPアドレスに基づくフロー識別を行うことで、このフローの認証をすることが可能になる。 This makes it possible to authenticate this flow by performing flow identification based on the source IP address registered in the flow identification entry database.
また、隣接の名前解決・認証装置のIPアドレスを辿ることにより、例えば、アドバンスド名前解決要求に対するアドバンスド名前解決応答を、アドバンスド名前解決要求を送出したユーザに転送することが可能になる。 Further, by tracing the IP address of the adjacent name resolution / authentication device, for example, an advanced name resolution response to the advanced name resolution request can be transferred to the user who sent the advanced name resolution request.
また、上記の本発明において、受信した名前解決要求を変換したアドバンスド名前解決要求を作成して該アドバンスド名前解決要求処理部に与えるアドバンスド名前解決要求作成部をさらに備えることが可能である。 In the present invention described above, an advanced name resolution request creation unit that creates an advanced name resolution request obtained by converting the received name resolution request and gives the request to the advanced name resolution request processing unit can be further provided.
すなわち、アドバンスド名前解決要求作成部は、従来の名前解決要求を受信し、この要求の例えば送信元のIPアドレス(ユーザ識別子)を付加したアドバンスド名前解決要求を作成して該アドバンスド名前解決要求処理部に与える。 That is, the advanced name resolution request creation unit receives a conventional name resolution request, creates an advanced name resolution request to which, for example, the IP address (user identifier) of the transmission source of the request is added, and creates the advanced name resolution request processing unit To give.
これにより、従来の名前解決要求も本発明の名前解決・認証装置は、処理することが可能になる。 This makes it possible for the name resolution / authentication apparatus of the present invention to process a conventional name resolution request.
また、上記の本発明において、アドバンスド名前解決要求処理部は、受信した該アドバンスド名前解決要求に示された送信元IPアドレスが該認証許可送信元IPアドレスデータベースに登録されていないとき、アドバンスド名前解決要求を廃棄することができる。 In the present invention described above, the advanced name resolution request processing unit may perform advanced name resolution when the source IP address indicated in the received advanced name resolution request is not registered in the authentication-permitted source IP address database. The request can be discarded.
これにより、認証されていない送信元IPアドレスのユーザ端末からのアドバンスド名前解決要求の受信を例えば拒否することが可能になる。 This makes it possible to refuse, for example, reception of an advanced name resolution request from a user terminal having an unauthenticated source IP address.
また、上記の本発明において、該アドバンスド名前解決要求に対するアドバンスド名前解決応答を受信し、この応答に示されたFQDNのIPアドレスも、該フロー識別エントリデータベースの該送信元IPアドレスに対応付けて登録し、該アドバンスド名前解決応答を該フロー識別エントリデータベースに登録された該IPアドレスの隣接装置宛てに転送するアドバンスド名前解決応答処理部を、さらに備えることが可能である。 In the present invention, an advanced name resolution response to the advanced name resolution request is received, and the IP address of the FQDN indicated in the response is also registered in association with the source IP address of the flow identification entry database. In addition, an advanced name resolution response processing unit that transfers the advanced name resolution response to an adjacent device having the IP address registered in the flow identification entry database can be further provided.
すなわち、アドバンスド名前解決応答処理部は、アドバンスド名前解決要求に対するアドバンスド名前解決応答を受信し、この応答に含まれるFQDNのIPアドレス(サービス識別子)も、フロー識別エントリデータベースの送信元IPアドレス(ユーザ識別子)に対応付けて登録する。そして、アドバンスド名前解決応答処理部は、アドバンスド名前解決応答をフロー識別エントリデータベースに登録されたIPアドレスの隣接名前解決・認証装置宛に転送する。 That is, the advanced name resolution response processing unit receives the advanced name resolution response to the advanced name resolution request, and the IP address (service identifier) of the FQDN included in this response is also the source IP address (user identifier) of the flow identification entry database. ) And register. Then, the advanced name resolution response processing unit transfers the advanced name resolution response to the adjacent name resolution / authentication device of the IP address registered in the flow identification entry database.
この結果、フロー識別エントリデータベースには、アドバンスド名前解決要求に含まれる送信元IPアドレス、アドバンスド名前解決要求を送信した隣接の名前解決・認証装置のIPアドレス(前DNSのIPアドレス)、及びアドバンスド名前解決応答に含まれるFQDNの解決されたIPアドレスが対応付けられて登録される。 As a result, in the flow identification entry database, the source IP address included in the advanced name resolution request, the IP address of the adjacent name resolution / authentication device that sent the advanced name resolution request (the IP address of the previous DNS), and the advanced name The resolved IP address of the FQDN included in the resolution response is registered in association with it.
このフロー識別エントリデータベースに基づいて、FQDNのIPアドレス(サービス識別子)及び送信元IPアドレス(ユーザ識別子:ユーザ端末のIPアドレス)に基づくフロー識別を行うとともに、このフローの認証をすることが可能になる。 Based on this flow identification entry database, it is possible to perform flow identification based on the IP address (service identifier) of the FQDN and the source IP address (user identifier: IP address of the user terminal) and to authenticate this flow Become.
また、上記の本発明において、アドバンスド名前解決応答処理部が、該アドバンスド名前解決応答を名前解決応答に変換し、この応答を該フロー識別エントリデータベースに登録された該IPアドレスの隣接装置宛てに転送することができる。これにより、例えば、従来のユーザ端末に名前解決応答を返送することが可能になる。 In the present invention described above, the advanced name resolution response processing unit converts the advanced name resolution response into a name resolution response and forwards the response to the adjacent device of the IP address registered in the flow identification entry database. can do. Thereby, for example, a name resolution response can be returned to a conventional user terminal.
さらに、上記の本発明において、自装置が属するネットワークの外部ゲートウェイルータのIPアドレスが予め登録された外部ゲートウェイルータIPアドレスデータベースをさらに備え、該アドバンスド名前解決応答処理部が、外部ゲートウェイルータIPアドレスデータベースに登録された外部ゲートウェイルータに、該フロー識別エントリデータベースに登録された該FQDNのIPアドレス及び送信元IPアドレスの中の少なくとも一方の設定を行うことが可能である。 Furthermore, in the above-mentioned present invention, it further comprises an external gateway router IP address database in which the IP address of the external gateway router of the network to which the device belongs is registered in advance, and the advanced name resolution response processing unit includes the external gateway router IP address database. It is possible to set at least one of the IP address of the FQDN and the source IP address registered in the flow identification entry database in the external gateway router registered in (1).
すなわち、外部ゲートウェイルータは、データベース自装置が属するネットワーク(自ドメイン)の外部ゲートウェイルータのIPアドレスが、予め登録されている。アドバンスド名前解決要求処理部は、該フロー識別エントリデータベースのフロー識別エントリ(FQDNのIPアドレス及び送信元IPアドレス、又はFQDNのIPアドレス、又は送信元IPアドレス)を検索し、検索したフロー識別エントリを外部ゲートウェイルータIPアドレスデータベースに登録された外部ゲートウェイルータに設定する。 That is, in the external gateway router, the IP address of the external gateway router in the network (local domain) to which the database own device belongs is registered in advance. The advanced name resolution request processing unit searches the flow identification entry (the IP address of the FQDN and the transmission source IP address, or the IP address of the FQDN, or the transmission source IP address) of the flow identification entry database, and finds the searched flow identification entry. Set to the external gateway router registered in the external gateway router IP address database.
これにより、外部ゲートウェイルータは、フロー識別エントリに基づき、自分自身が属するネットワークが認証しないパケットフローを廃棄又はネットワーク内への入力阻止することが可能になる。 As a result, the external gateway router can discard or block the packet flow that is not authenticated by the network to which the external gateway router belongs, based on the flow identification entry.
以上説明したように、本発明に係る名前解決・認証方法及び装置によれば、ユーザIPパケットが経由するネットワークに関連付けた名前解決方法及び装置を実現することが可能になる。さらに、この名前解決方法及び装置を用いることでネットワークにおけるユーザ認証及びサービス認証を行うことが可能になる。 As described above, according to the name resolution / authentication method and apparatus according to the present invention, the name resolution method and apparatus associated with the network through which the user IP packet passes can be realized. Furthermore, it is possible to perform user authentication and service authentication in the network by using this name resolution method and apparatus.
すなわち、FQDNを広報することでDNSシステムを用いたサービス認証を実現し、ユーザ端末の送信元IPアドレスを名前解決要求メッセージに付与することで送信元ユーザの認証を実現する。また、FQDNの中継可否を経由したDNS数で最短経路で広報メッセージを広報することが可能なる。また、ルータにフロー識別情報を動的に設定することでユーザIPパケットの認証が可能なる。さらに、従来のDNSのメッセージとの互換性を保つことが可能になる。 In other words, service authentication using the DNS system is realized by publicizing the FQDN, and authentication of the transmission source user is realized by adding the transmission source IP address of the user terminal to the name resolution request message. In addition, it is possible to publicize a publicity message on the shortest route with the number of DNS via whether or not FQDN relay is possible. In addition, user IP packets can be authenticated by dynamically setting flow identification information in the router. Furthermore, compatibility with conventional DNS messages can be maintained.
図1は、本発明の名前解決・認証方法を適用した名前解決・認証装置(以下、アドバンスドDNSサーバ又は単にサーバと称することがある。)100の実施例を示している。このアドバンスドDNSサーバ100は、データベース部80、通信終端部10、DNSパケット種別識別部20、アドバンスドDNS広報(Advanced DNS Notification)メッセージ(以下、アドバンスドDNS広報)801を処理するアドバンスドDNS広報処理部30、アドバンスド名前解決要求(Advanced DNS Request)メッセージ(以下、アドバンスド名前解決要求)802を処理するアドバンスド名前解決要求処理部40、アドバンスド名前解決応答(Advanced DNS Reply)メッセージ(以下、アドバンスド名前解決応答)803を処理するアドバンスド名前解決応答処理部50、アドバンスド名前解決要求作成部60、及びコマンドインタフェース70で構成されている。
FIG. 1 shows an embodiment of a name resolution / authentication apparatus (hereinafter also referred to as an advanced DNS server or simply a server) 100 to which the name resolution / authentication method of the present invention is applied. The
データベース部80は、FQDNデータベース81、隣接アドバンスドDNSデータベース82、認証許可送信元IPアドレスデータベース83、外部ゲートウェイルータIPアドレスデータベース84、及びフロー識別エントリデータベース85で構成されている。
The database unit 80 includes an
FQDNデータベース81:アドバンスドDNS広報801に基づき作成されるデータベースであり、FQDN81a、次DNS81b、及び経由数81cのフィールドを有する。
FQDN database 81 : a database created based on the advanced DNS
アドバンスド名前解決要求802(後述する図2(2)参照。)は、自分自身内のFQDN802bをキーに検索された、FQDNデータベース81のFQDN81aに対応する次DNS81bが示すIPアドレスのアドバンスドDNSサーバ100に転送される。
The advanced name resolution request 802 (see FIG. 2 (2) described later) is sent to the
隣接アドバンスドDNSデータベース82:ネットワーク的に隣接しているアドバンスドDNSサーバ100のIPアドレス82a,…が登録されたデータベースである。アドバンスドDNS広報801は、データベース82に登録されているIPアドレスのアドバンスドDNSサーバ100に転送される。
Adjacent advanced DNS database 82 : a database in which IP addresses 82a,... Of
認証許可送信元IPアドレスデータベース83:「ユーザ識別子」として、認証を許可するIPアドレス(すなわち、ユーザ端末のIPアドレス、以下、Src-IPと称することがある。)83a,…が登録されたデータベースである。受信したアドバンスド名前解決要求802の送信元IPアドレス802d(すなわち、「ユーザ識別子」、図2(2)参照。)が、データベース83に存在するか否かを検索し、存在すれば、要求802は認証許可されたことになる。そして、認証許可されたアドバンスド名前解決要求802のFQDN802bをキーに、FQDNデータベース81が検索され、ヒットしたFQDN81aに対応した「次DNS81bに示されるIPアドレスの隣接アドバンスドDNSサーバ100」に要求802が転送される。
Authentication-permitted sender IP address database 83 : a database in which IP addresses permitting authentication (that is, IP addresses of user terminals, hereinafter sometimes referred to as Src-IP) 83a,... Are registered as “user identifiers”. It is. The
外部ゲートウェイルータIPアドレスデータベース84:自ドメイン(自装置が属するネットワーク)の外部ゲートウェイルータ520のIPアドレスが予め登録されたデータベースである。
External gateway router IP address database 84 : a database in which the IP address of the
フロー識別エントリデータベース85:外部ゲートウェイルータ520に設定する/設定したフロー識別情報を有するデータベースであり、宛先IPアドレス(すなわち、サービス提供するサーバのIPアドレス、以下、Dst-IPと称することがある。)85a、送信元IPアドレス(以下、Src-IPと称することがある。)85b、及び前DNS85cを含んでいる。
Flow identification entry database 85 : a database having flow identification information set / set in the
Src-IP85b及び前DNS85cには、それぞれ、アドバンスド名前解決要求802内のSrc-IP802d及び前DNS802cが登録され、Dst-IP85aには、アドバンスド名前解決応答803(後述する図2(3)参照。)内の名前解決されたIPアドレス803bが登録される。この中のDst-IP85a(サービス識別子)及びSrc-IP85b(ユーザ識別子)が、外部ゲートウェイルータ530(後述する図4参照。)にフロー識別のエントリとして設定される。
The Src-
通信終端部10は、ネットワーク600からの通信を電気的に終端し、ネットワーク600から受信した情報をパケット(メッセージ)800として、DNSパケット種別識別部20へ渡す。また、通信終端部10は、パケット(メッセージ)801〜803,805,806を電気的にネットワーク600へ送信する。
The
DNSパケット種別識別部20は、メッセージ800の識別を行う。すなわち、アドバンスドDNS広報801、アドバンスド名前解決要求802、アドバンスド名前解決応答803、及び従来の名前解決要求804を識別する。
The DNS packet
アドバンスドDNS広報処理部30は、アドバンスドDNS広報801を処理するものであり、エントリ作成部31及び次DNS決定部32で構成されている。
The advanced DNS public
エントリ作成部31:FQDNデータベース81のエントリを作成する。既に同一FQDNに対して、エントリが存在する場合には次の処理(1)又は(2)を行う。
Entry creation unit 31 : Creates an entry in the
(1)受信したアドバンスドDNS広報801の経由DNS数801d(図2(1)参照。)がデータベース81のエントリより少ない場合、広報801の情報で上書きし、次DNS決定部32に広報801を与える。
(1) If the number of via
(2)受信したアドバンスドDNS広報801の経由DNS数801dがデータベース81のエントリより大きい場合、広報801を廃棄する。
(2) If the received
次DNS決定部32:隣接アドバンスドDNSデータベース82から広報801を転送先のアドバンスドDNSサーバ100のIPアドレス82a,…を取得し、このIPアドレスに広報801を転送する。
Next DNS determination unit 32 : Obtains the
アドバンスド名前解決要求処理部40は、アドバンスド名前解決要求802を処理するものであり、送信元アドレス認証部41、フロー識別エントリ作成部42、宛先/送信元ドメイン判定部43、名前解決部(アドバンスド名前解決応答作成部)44、及び次DNS決定部45で構成されている。
The advanced name resolution request processing unit 40 processes the advanced
送信元アドレス認証部41:アドバンスド名前解決要求802内の送信元IPアドレス802d(図2(2)参照。)をキーに認証許可送信元IPアドレスデータベース83内のIPアドレス83a,…を検索し、合致するエントリの有無を確認し、次の処理(1)又は(2)を行う。
Source address authentication unit 41 : Searches for
(1)合致したエントリが有る場合、認証に成功したものとし、要求802をフロー識別エントリ作成部42に渡す。
(1) If there is a matching entry, it is assumed that the authentication has succeeded, and the
(2)合致したエントリが無い場合、要求802を廃棄する。
(2) If there is no matching entry, the
フロー識別エントリ作成部42:フロー識別エントリデータベース85のエントリを作成し、要求802を宛先/送信元ドメイン判定部43に渡す。
Flow identification entry creation unit 42 : Creates an entry in the flow
宛先/送信元ドメイン判定部43:要求802のFQDN802b(図2(2)参照。)が、自アドバンスドDNSサーバ100が送出したアドバンスドDNS広報801のFQDN801b(図2(1)参照。)に対するアドバンスド名前解決要求802か否かを判定する。すなわち、判定部43は、自アドバンスドDNSサーバ100が要求802のFQDN802bに示されるドメイン名の名前解決を行うサービス提供者網500(後述する図4、又は図13参照。)に含まれるサーバ100か否かを判定する。
Destination / source domain determination unit 43 : FQDN 802b of request 802 (see FIG. 2 (2)) is an advanced name for
名前解決部(アドバンスド名前解決応答作成部)44:自サーバ100が要求802のFQDN802bの名前解決を行うサーバ100である場合、アドバンスド名前解決要求802に対する名前解決の処理を行い、アドバンスド名前解決応答803を作成し、この応答803をアドバンスド名前解決応答処理部50に与える。
Name resolution unit (advanced name resolution response creating unit) 44 : When the
次DNS決定部45:自サーバ100が要求802のFQDN802bの名前解決を行わないサーバ100である場合、要求802のFQDN802bをキーとしてFQDNデータベース81を検索し、対応する次DNS81bに示されるIPアドレスのサーバ100にアドバンスド名前解決要求802を転送する。なお、次DNS決定部45の検索対象のデータベース81は、次DNS決定部32の検索対象のデータベース82とは異なったものである。
Next DNS determination unit 45 : When the
アドバンスド名前解決応答処理部50は、アドバンスド名前解決応答803を処理するものであり、フロー識別エントリ追記部51、ルータ設定部52、自ドメイン宛判定部53、及び名前解決応答変換部54で構成されている。
The advanced name resolution response processing unit 50 processes the advanced
フロー識別エントリ追記部51:アドバンスド名前解決応答803に含まれるSrc-IP803dをキーにフロー識別エントリデータベース85を検索し、ヒットミスした場合は応答803を廃棄する。
Flow identification entry appending unit 51 : Searches the flow
ヒットした場合、追記部51は、ヒットしたSrc-IP803dに対応する前DNS85cを獲得すると共に、応答803に含まれる解決されたIPアドレス803bをデータベース85のDst-IP85aに書き込んだ後、応答803をルータ設定部52に与える。
In the case of a hit, the appending
ルータ設定部52:外部ゲートウェイルータIPアドレスデータベース84から、自ドメインの外部ゲートウェイルータ530のIPアドレスを獲得する。さらに、フロー識別エントリデータベース85を検索し、このデータベース85に登録されたフロー識別エントリ(Dst-IP=“A1”,Src-IP=“M2”)を、外部ゲートウェイルータ530に設定するためのフロー識別設定信号806をルータ530に送信した後、自ドメイン宛判定部53へ応答803を送る。
Router setting unit 52 : Obtains the IP address of the
自ドメイン宛判定部53:フロー識別エントリ追記部51で検索した”前DNS”のIPアドレスが自ネットワーク事業者の有するIPアドレスか否かを判定する。自ネットワーク事業者の有するIPアドレスである場合(自ドメイン)、次の送信先はユーザ端末(名前解決要求の送信元)であると判断し、応答803を名前解決応答変換部54に与える。
Own domain address determination unit 53 : Determines whether or not the IP address of the “previous DNS” searched by the flow identification
自ドメイン宛判定部53は、自ネットワーク事業者の有するIPアドレスでない場合(他ドメイン)、“前DNS”のIPアドレスのサーバ100へ応答803を転送する。
If it is not the IP address of the own network operator (other domain), the own domain
名前解決応答変換部54:、アドバンスド名前解決応答803から従来の(解決したIPアドレスを含む名前解決応答805を作成し、この名前解決応答805を、アドバンスド名前解決応答803のSrc-IP803dに示されるIPアドレス(ユーザ端末のIPアドレス)宛で送信する。
Name resolution response conversion unit 54 : creates a conventional
アドバンスド名前解決要求作成部60は、従来の名前解決要求804からアドバンスド名前解決要求802を作成する。このアドバンスド名前解決要求802は、アドバンスド名前解決要求処理部40で処理される。
The advanced name resolution
コマンドインタフェース70は、アドバンスドDNSサーバ100のコンソールとの間で入出力を扱う機能ブロックであり、データベース部80の内のデータベース81〜84の設定820〜823を行う。
The
図2は、本発明の名前解決・認証装置100間で送受信される3つのメッセージ例を示しており、3つのメッセージは、同図(1)〜(3)にそれぞれ示すアドバンスドDNS広報801、アドバンスド名前解決要求802、及びアドバンスド名前解決応答803である。
FIG. 2 shows three examples of messages transmitted and received between the name resolution /
アドバンスドDNS広報801は、例えば、サービス提供者網のアドバンスドDNSサーバ100_1から隣接のアドバンスドDNSサーバ100_2に配布され、さらに、このサーバ100_2から隣接のアドバンスドDNSサーバ100_3に配布される(図4参照。)。すなわち、アドバンスドDNS広報801は、ネットワーク事業者の物理的な接続関係に基づいて、配布される。
The advanced DNS
より具体的に言うと、アドバンスドDNS広報801は、同図(1)に示すとおり、アドバンスドDNS広報801であることを示す識別子が設定されるメッセージ種別801a、サービスの提供をするサーバ510のFQDN801b、広報801を送信又は転送したアドバンスドDNSサーバ100のIPアドレスを示す次DNS801c、及び広報801が経由したアドバンスドDNSサーバ100の数を示す経由DNS数801dで構成されている。
More specifically, the advanced DNS
アドバンスド名前解決要求802は、本名前解決・認証装置において、名前解決を要求するメッセージであり、従来の名前解決要求のようにドメイン・ツリー(図15参照。)を辿らず、アドバンスドDNS広報801の次DNS801cに基づき設定された、各アドバンスドDNSサーバ100のFQDNデータベース81の“次DNS81b”を辿りながら転送される。
The advanced
すなわち、アドバンスド名前解決要求802は、ユーザ収容網300のアドバンスドDNSサーバ100からサービス提供者網500のアドバンスドDNSサーバ100まで、アドバンスドDNS広報801の配布経路を逆順に辿って転送される。
That is, the advanced
より具体的に言うと、アドバンスド名前解決要求802は、同図(2)に示すとおり、
アドバンスド名前解決要求802であることを示す識別子が設定されるメッセージ種別802a、従来の名前解決要求に含まれる情報(例えば、解決するFQDN等)802b、要求802を送信又は転送した前段のアドバンスドDNSサーバ100のIPアドレスを示す前DNS802c、及び名前解決の要求をしているユーザ端末310のIPアドレスを示す送信元IPアドレス(Src-IP)802dで構成されている。
More specifically, the advanced
より具体的に言うと、アドバンスド名前解決応答803は、同図(3)に示すとおり、アドバンスド名前解決応答803であることを示す識別子が設定されるメッセージ種別803a、従来の名前解決応答805に含まれる情報(例えば、解決されたIPアドレス)803b、サービス提供者網500のアドバンスドDNSサーバ100の認証結果803c、及び要求802のSrc-IP802dと同じSrc-IP803dで構成されている。
More specifically, the advanced
アドバンスド名前解決応答803は、アドバンスド名前解決要求802で要求したFQDN801bの名前解決を示すIPアドレスを有するメッセージである。そして、応答803は、要求802内の“前DNS802c”に基づき設定されたフロー識別エントリデータベース85の“前DNS85c”を辿りながら転送される。
The advanced
図3は、名前解決・認証装置100の全体動作手順例を示している。まず、この手順をステップS100,S110、並びに破線又は一点鎖線で囲んだステップT100〜T800について以下に概略的に説明する。
FIG. 3 shows an example of the entire operation procedure of the name resolution /
ステップS100,S110:名前解決・認証装置100において、DNSパケット種別識別部20(図1参照。)は、ネットワーク600から通信終端部10を経由して受信したパケット800の識別を行い、(1)アドバンスドDNS広報801、(2)アドバンスド名前解決要求802、(3)アドバンスド名前解決応答803、(4)従来の名前解決要求804、及び(5)その他の名前解決に係しないパケット890に分類する。
Steps S100 and S110 : In the name resolution /
なお、DNSパケット種別識別部20は、広報801、要求802、及び応答803を、それぞれのメッセージ種別801a〜803a(図2参照。)に基づいて識別する。
The DNS packet
DNSパケット種別識別部20は、それぞれ、受信したアドバンスドDNS広報801、アドバンスド名前解決要求802、アドバンスド名前解決応答803、及び名前解決要求804を、アドバンスドDNS広報処理部30、アドバンスド名前解決要求処理部40、アドバンスド名前解決応答処理部50、及びアドバンスド名前解決要求作成部60に与える。
The DNS packet
また、DNSパケット種別識別部20は、パケット890を従来のパケット処理部(図1に図示せず。)に与える。
Further, the DNS packet
ステップT100,T200:アドバンスドDNS広報処理部30は、受信したアドバンスドDNS広報801に示されるFQDN801bをFQDNデータベース81に登録し、必要があれば次の名前解決・認証装置100に転送する。この詳細な動作手順は後述する。
Steps T100 and T200 : The advanced DNS public
ステップT300:アドバンスド名前解決要求作成部60は、受信した従来の名前解決要求804をアドバンスド名前解決要求802に変換し、この要求802は、アドバンスド名前解決要求処理部40に与えられて処理される。この詳細な動作手順は後述する。
Step T300 : The advanced name resolution
ステップT400:アドバンスド名前解決要求処理部40は、受信したアドバンスド名前解決要求802に示される送信元IPアドレス802dが認証されている場合(すなわち、認証許可送信元IPアドレスデータベース83に登録されている場合)、送信元IPアドレス802dをフロー識別子としてフロー識別エントリデータベース85に登録した後、要求802を次の名前解決・認証装置100に転送する。この詳細な動作手順は後述する。
Step T400 : The advanced name resolution request processing unit 40, when the
ステップT500:アドバンスド名前解決要求処理部40は、受信したアドバンスド名前解決要求802に示される送信元IPアドレス802dが認証許可送信元IPアドレスデータベース83に登録されている場合、送信元IPアドレス802dをフロー識別子としてフロー識別エントリデータベース85に登録した後、要求802が、次アドバンスドDNSサーバ100に対する名前解決要求である場合、要求802を解決したアドバンスド名前解決応答803を作成して返送する。この詳細な動作手順は後述する。
Step T500 : When the
ステップT600:アドバンスド名前解決要求処理部40は、送信元IPアドレス802dが認証されていない場合、要求802を廃棄する。この詳細な動作手順は後述する。
Step T600 : If the
ステップT700,T800:アドバンスド名前解決応答処理部50は、受信したアドバンスド名前解決応答803に示される解決されたIPアドレスをフロー識別子としてフロー識別エントリデータベース85に登録すると共に、このデータベース85のエントリを外部ゲートウェイルータに設定する。
Steps T700 and T800 : The advanced name resolution response processing unit 50 registers the resolved IP address indicated in the received advanced
さらに、アドバンスド名前解決応答処理部50は、データベース85から検索した前DNS85cのIPアドレスが自ネットワークのIPアドレスでない場合、応答803を前DNSに転送する。前DNS85cのIPアドレスが自ネットワークのIPアドレスである場合、アドバンスド名前解決応答803を従来の名前解決応答805に変換してユーザ端末310に転送する。この詳細な動作手順は後述する。
Further, when the IP address of the
図4は、アドバンスドDNS広報801の配布動作手順例を示している。同図では、アドバンスドDNS広報801が配布されるネットワーク例として、サービス提供者網500−中継網400_1−中継網400_2−ユーザ収容網300が縦列接続され、さらに、縦列接続されたサービス提供者網500−中継網400_3−…−中継網400_5−ユーザ収容網300が並列接続されているネットワークが示されている。
FIG. 4 shows an example of a distribution operation procedure of the advanced DNS
サービス提供者網500、中継網400_1〜中継網400_3、中継網400_5、及びユーザ収容網300には、それぞれ、サーバ(名前解決・認証装置)100_1、サーバ100_2,100_3、サーバ100_4,100_5、サーバ100_7,…、サーバ100_12,…、及びサーバ100_6が含まれている。以下、サーバ100_1〜100_12をサーバ100で総称することがある。
In the
また、サービス提供者網500、中継網400_1〜中継網400_3、…、中継網400_5、及びユーザ収容網300には、それぞれ、外部ゲートウェイルータ520_1及び内部ゲートウェイルータ530_1、ルータ520_2,520_3,530_2,及び530_3、ルータ520_4,520_5,530_4,及び530_5、ルータ520_7及び530_7、ルータ520_12及び530_12、並びにルータ520_6,530_6が含まれている。以下、ルータ520_1〜520_12、及びルータ530_1〜530_12を、それぞれ、ルータ520、ルータ530で総称することがある。
The
サービス提供元サーバ510のFQDN(=A.b.com)を管理するアドバンスドDNSサーバ100_1は、それぞれ、FQDN801bを含むアドバンスドDNS広報801_1,801_6(図2参照。)を、隣接アドバンスドDNSデータベース82_1に登録されたIPアドレス(=D2,X2)のアドバンスドDNSサーバ100_2,100_7に配布する。
The advanced DNS server 100_1 that manages the FQDN (= Abcom) of the
なお、図1には、アドバンスドDNS広報801を配布する機能部は、図示されていない。
Note that FIG. 1 does not show a functional unit for distributing the advanced DNS
アドバンスドDNS広報801の受信動作(ステップT100):FQDNの登録
図5は、アドバンスドDNSサーバ100_2,100_7が、それぞれ、アドバンスドDNS広報801_1,801_7を受信したときの動作手順例を示しいる。サーバ100_2におけるこの動作手順例を、以下に説明する。
Receiving Operation of Advanced DNS Public Information 801 (Step T100): Registration of FQDN FIG. 5 shows an example of an operation procedure when advanced DNS servers 100_2 and 100_7 receive advanced DNS public information 801_1 and 801_7, respectively. An example of this operation procedure in the server 100_2 will be described below.
ステップS100,S110:アドバンスドDNS広報801は、通信終端部10及びDNSパケット種別識別部20を経由して、アドバンスドDNS広報処理部30のエントリ作成部31に与えられる。
Steps S100 and S110 : The advanced DNS
ステップS120〜S140:エントリ作成部31は、アドバンスドDNS広報801に含まれるFQDN801b=“A.b.com”がFQDNデータベース81_2(図4参照。)にエントリ(登録)されているか否かを検索し、登録されていない場合、それぞれ、アドバンスドDNS広報801のFQDN801b、次DNS(前段のアドバンスドDNSサーバ、又は送信元DNSサーバと称することがある。)801c、及び経由DNS数801d=“0”を1だけインクリメントした値を、FQDNデータベース81_2のFQDN81a、次DNS81b、及び経由数81cに登録(書込)する(検索/書込810)。この後、エントリ作成部31は、アドバンスドDNS広報801を次DNS決定部32に与える。
Steps S120 to S140 : The
アドバンスドDNS広報801の転送動作:
ステップS150〜S160:次DNS決定部32は、隣接アドバンスドDNSデータベース82_2に登録されたIPアドレス=“B2,F2(図4参照。)”のアドバンスドDNSサーバ100の中のアドバンスドDNS広報801を送信して来たアドバンスドDNSサーバ100_1以外のIPアドレス=“F2”のアドバンスドDNSサーバ100_3にアドバンスドDNS広報801_3を通信終端部10経由で転送する。
Steps S150 to S160 : The next DNS determination unit 32 transmits the
このとき、次DNS決定部32は、アドバンスドDNS広報801_2の次DNS(送信元DNS)801c及び経由DNS数801dに、それぞれ“自装置のIPアドレス”=“D2”、及び受信したアドバンスドDNS広報801_1の経由DNS数801d=“0”を“1”だけインクリメントした“1”を設定する。
At this time, the next DNS determination unit 32 sets the next DNS (source DNS) 801c of the advanced DNS public information 801_2 and the
同様に、サーバ100_3は、受信したアドバンスドDNS広報801_2をアドバンスドDNS広報801_3としてサーバ100_4に転送し、サーバ100_4は、アドバンスドDNS広報801_3をアドバンスドDNS広報801_4としてサーバ100_5に転送し、さらに、サーバ100_5は、アドバンスドDNS広報801_4をアドバンスドDNS広報801_5としてサーバ100_6に転送する。 Similarly, the server 100_3 transfers the received advanced DNS PR 801_2 as the advanced DNS PR 801_3 to the server 100_4, the server 100_4 transfers the advanced DNS PR 801_3 as the advanced DNS PR 801_4 to the server 100_5, and the server 100_5 The advanced DNS PR 801_4 is transferred to the server 100_6 as the advanced DNS PR 801_5.
この結果、アドバンスドDNSサーバ100_6のFQDNデータベース81_6には、FQDN81a=“A.b.com”、次DNS81b=“J2”、及び経由数81c=“5”が登録されることになる。
As a result, the
同様に、ステップT100の処理で、アドバンスドDNSサーバ100_7〜100_12は、順次、アドバンスドDNS広報801_7〜801_12をアドバンスドDNSサーバ100_8〜100_12,100_6に転送する。 Similarly, in the process of step T100, the advanced DNS servers 100_7 to 100_12 sequentially transfer the advanced DNS public relations 801_7 to 801_12 to the advanced DNS servers 100_8 to 100_12 and 100_6.
アドバンスドDNS広報801の受信動作(ステップT200):アドバンスドDNS広報801の廃棄
ステップS100:アドバンスドDNSサーバ100_6において、エントリ作成部31は、通信終端部10及びDNSパケット種別識別部20を経由してアドバンスドDNS広報801_12を受信する。
Step S100 : In the advanced DNS server 100_6, the
ステップS110〜S130,S170:エントリ作成部31は、アドバンスドDNS広報801_12のFQDN801b=“A.b.com”がFQDNデータベース81_6のFQDN81aにエントリされているので、広報801_12の経由DNS数801d=“6”とFQDNデータベース81_6の経由数81c=“5”とを比較し、経由DNS数801d=“6”>経由数81c=“5”であるので、アドバンスドDNS広報801_12を廃棄する。
Steps S110 to S130, S170 : Since the
この結果、サーバ100_1とサーバ100_6との間の最短経路に関する情報が、サーバ100_6のFQDNデータベース81_6に登録されたことになる。また、不要な広報がネットワークに伝送されることが無くなる。 As a result, information on the shortest path between the server 100_1 and the server 100_6 is registered in the FQDN database 81_6 of the server 100_6. In addition, unnecessary public information is not transmitted to the network.
図6は、アドバンスド名前解決要求802の送信シーケンス例を示しており、この例では、アドバンスド名前解決要求802は、図4のアドバンスドDNS広報801で確立されたサーバ100_1からサーバ100_6への最短経路を逆に辿って伝送される。
FIG. 6 shows an example of a transmission sequence of the advanced
また、サーバ100_1〜100_6の認証許可送信元IPアドレスデータベース83_1〜83_6には、例えば、コマンドインタフェース70(図1参照。)を経由して予め認証を許可するユーザ端末群、すなわちIPアドレス群=“M2”(図6参照。)が登録されている。 Further, in the authentication permission transmission source IP address databases 83_1 to 83_6 of the servers 100_1 to 100_6, for example, a user terminal group that permits authentication in advance via the command interface 70 (see FIG. 1), that is, an IP address group = “ M2 ″ (see FIG. 6) is registered.
なお、同図には、最短経路に関係するサーバ100_1〜100_6のみが図示され、図4に示したサーバ100_7〜100_12は図示されていない。また、図4に示した隣接アドバンスドDNSデータベース82_1〜82_6は、要求802の伝送には関与しないので図示されていない。
In the figure, only the servers 100_1 to 100_6 related to the shortest path are illustrated, and the servers 100_7 to 100_12 illustrated in FIG. 4 are not illustrated. Further, the adjacent advanced DNS databases 82_1 to 82_6 shown in FIG. 4 are not shown because they are not involved in the transmission of the
従来の名前解決要求804の受信及びアドバンスド名前解決要求802送信動作(ステップT300)
図7は、IPアドレス=“M2”のユーザ端末310_1が送出した従来の名前解決要求804_1を受信したアドバンスドDNSサーバ100_6の動作手順例を示している。この動作手順例を以下に説明する。
Conventional name resolution request 804 reception and advanced
FIG. 7 shows an operation procedure example of the advanced DNS server 100_6 that has received the conventional name resolution request 804_1 sent from the user terminal 310_1 with the IP address = “M2”. An example of this operation procedure will be described below.
図6において、ユーザ端末310_1は、名前解決要求804_1(FQDN804a=“A.b.com”,Src-IP804b=“M2”)を送出し、これをサーバ100_6が受信する。
In FIG. 6, the user terminal 310_1 sends a name resolution request 804_1 (
ステップS100,S110:図7において、サーバ100_6のアドバンスド名前解決要求作成部60(図1参照。)は、通信終端部10及び識別部20を経由して名前解決要求804_1を受信する。
Steps S100 and S110 : In FIG. 7, the advanced name resolution request creation unit 60 (see FIG. 1) of the server 100_6 receives the name resolution request 804_1 via the
ステップS500:要求作成部60は、名前解決要求804_1からアドバンスド名前解決要求802(FQDN802b=“A.b.com”,前DNS802c=“L2(=自サーバ100_6のIPアドレス)”,Src-IP802d=“M2(=ユーザ端末310_1のIPアドレス)”、図2(2)参照。)を作成し、この要求802をフロー識別エントリ作成部42に与える(図1参照。)。なお、前DNS802c及びSrc-IP802dは従来の名前解決要求に無かった情報である。
Step S500 : The
ステップS220:作成部42は、アドバンスド名前解決要求802の前DNS802c=“L2”とSrc-IP802d=“M2”とを対応付けてフロー識別エントリデータベース85_6の前DNS85c、及びSrc-IP85bにそれぞれ登録(検索/書込813)した後、要求802を宛先/送信元ドメイン判定部43に与える。
Step S220 : The
ステップS230:判定部43は、要求802が自サーバ100が管理するドメイン名に対する名前解決要求であるか否か、すなわち、自サーバ100が送出したアドバンスドDNS広報801のFQDN801bに対するアドバンスド名前解決要求802か否かを判定する。
Step S230 : The
判定部43は、自サーバ100が管理するドメイン名の名前解決要求でないので(その他)、要求802を次DNS決定部45に与える。
Since the
ステップS240:次DNS決定部45は、要求802のFQDN802b=“A.b.com”をキーとして、FQDNデータベース81を検索814する。
Step S240 : The next
ステップS250:“A.b.com”にヒットする(図6のFQDNデータベース81_6のFQDN81a参照。)。そこで、次DNS決定部45は、アドバンスド名前解決要求802_1(FQDN802b=“A.b.com”,前DNS802c=自サーバにIPアドレス“L2”,送信元IPアドレス802d=ユーザ端末のIPアドレス“M2”)を作成する。
Step S250 : “Abcom” is hit (see
さらに、次DNS決定部45は、FQDNデータベース81から、ヒットした“A.b.com”に対応する次DNS81b=“J2(サーバ100_5のIPアドレス)”を取得し(検索814)、このサーバ100_5宛にアドバンスド名前解決要求802_1を、通信終端部10を経由して転送する(図6参照。)。
Further, the next
アドバンスド名前解決要求802の転送動作(ステップT400)
図8は、サーバ100_5(図6参照。)におけるアドバンスド名前解決要求802_1の処理動作手順例を示している。この手順例を以下に説明する。
Transfer operation of advanced name resolution request 802 (step T400)
FIG. 8 shows an example of a processing operation procedure of the advanced name resolution request 802_1 in the server 100_5 (see FIG. 6). An example of this procedure will be described below.
ステップS100,S110:送信元アドレス認証部41は、通信終端部10及びDNSパケット種別識別部20を経由してアドバンスド名前解決要求802_1(以下、符号802を用いる。)を受信する。
Steps S100 and S110 : The source
ステップS200:認証部41は、要求802の送信元IPアドレス(Src-IP)802d=“M2”をキーとして認証許可送信元IPアドレスデータベース83を検索する。
Step S200 : The
ステップS210:認証部41は、“M2”がデータベース83内のエントリ=“M2”にヒットしたので、送信元のユーザ端末310_1(送信元IPアドレス=“M2”)は認証されていると判断し、フロー識別エントリ作成部42に要求802を与える。
Step S210 : The
ステップS220:作成部42は、要求802の前DNS802c=“L2”と送信元IPアドレス802d=“M2”とを対応付けてフロー識別エントリデータベース85_5(図6参照。)に登録(検索/書込813)した後、要求802を宛先/送信元ドメイン判定部43に与える。
Step S220 : The creating
ステップS230:判定部43は、要求802が自サーバ100が管理するドメイン名に対する名前解決要求であるか否かを判定し、自サーバ100が管理するドメイン名の名前解決要求でないので(その他であるので)、要求802を次DNS決定部45に与える。
Step S230 : The
ステップS240:次DNS決定部45は、要求802のFQDN802b=“A.b.com”をキーとして、FQDNデータベース81_5を検索814する。
Step S240 : The next
ステップS250:“A.b.com”にヒットしたので(同図のFQDNデータベース81_5のFQDN81a参照。)、次DNS決定部45は、要求802_2(前DNS802c=自サーバのIPアドレス“J2”,送信元IPアドレス802d=ユーザ端末のIPアドレス“M2”、図2参照。)を作成する。
Step S250 : Since “Abcom” was hit (see
そして、次DNS決定部45は、FQDNデータベース81からヒットした“A.b.com”に対応する次DNS81b=“H2(サーバ100_4のIPアドレス)”を取得し、このサーバ100_4宛にアドバンスド名前解決要求802_2を、通信終端部10を経由して転送する(図6参照。)。
Then, the next
サーバ100_4〜100_2においても同様の転送動作が行われ、アドバンスド名前解決要求802_3〜802_5(図6参照。)が、それぞれ、サーバ100_3〜100_1に転送される。 The same transfer operation is performed in the servers 100_4 to 100_2, and advanced name resolution requests 802_3 to 802_5 (see FIG. 6) are transferred to the servers 100_3 to 100_1, respectively.
アドバンスド名前解決要求802の受信動作例(ステップT500)
図9は、サーバ100_1におけるアドバンスド名前解決要求802_5の処理動作手順例を示している。この手順例を以下に説明する。
Example of receiving operation for advanced name resolution request 802 (step T500)
FIG. 9 shows an example of a processing operation procedure of the advanced name resolution request 802_5 in the server 100_1. An example of this procedure will be described below.
ステップS100,S110:送信元アドレス認証部41(図1参照。)は、通信終端部10及びDNSパケット種別識別部20を経由してアドバンスド名前解決要求802_5(以下、符号802を用いる。)を受信する。
Steps S100 and S110 : The source address authenticating unit 41 (see FIG. 1) receives the advanced name resolution request 802_5 (hereinafter, reference numeral 802) via the
ステップS200,S210:認証部41は、要求802の送信元IPアドレス(Src-IP)802d=“M2”をキーとしてデータベース83_1を検索し、ヒットしたので、フロー識別エントリ作成部42に要求802を与える。
Steps S200 and S210 : The
ステップS220:作成部42は、それぞれ、要求802の前DNS802c=“D2”と送信元IPアドレス802d=“M2”とを対応付けてフロー識別エントリデータベース85_1の前DNS85c及びSrc-IP85bに登録した後、要求802を宛先/送信元ドメイン判定部43に与える。
Step S220 : The
ステップS230:判定部43は、要求802が自サーバ100が管理するドメイン名に対する名前解決要求であるか否かを判定し、自サーバ100が管理するドメイン名に対する名前解決要求であるので、要求802を名前解決部44に与える。
Step S230 : The
ステップS260:名前解決部44は、要求802のFQDN802b=“A.b.com”をキーとして、FQDNデータベース81を検索815する。
Step S260 : The
ステップS270:FQDN81a=“A.b.com”にヒットしたので(図6のFQDNデータベース81_1参照。)、名前解決部44は、要求802に対するアドバンスド名前解決応答803(図2(3)参照。)を作成する。
Step S270 : Since FQDN81a = “Abcom” is hit (see the FQDN database 81_1 in FIG. 6), the
すなわち、名前解決部44は、応答803(解決されたIPアドレス803b=“A.b.comのIPアドレス“A1””,認証結果803c=“認証OK”,送信元IPアドレス803d=“M2”)を作成する。
That is, the
これにより、アドバンスド名前解決要求802に対するアドバンスド名前解決応答803が作成されたことになる。さらに、名前解決部44は、応答803をフロー識別エントリ追記部51に与える。
As a result, an advanced
ステップS300〜S320:追記部51は、応答803内の送信元IPアドレス803d=“M2”をキーに、フロー識別エントリデータベース85のSrc-IP85bを検索し、ヒットするので、対応した前DNS85cのIPアドレス=“D2”を応答803の宛先とする。
Steps S300 to S320 : The appending
ステップS330:さらに、追記部51は、ヒットしたエントリのDst-IP85aにアドバンスド名前解決応答803内の解決したIPアドレス=“A1”を登録(検索/書込816)した後、応答803をルータ設定部52に与える。
Step S330 : Furthermore, the
ステップS340:ルータ設定部52は、外部ゲートウェイルータIPアドレスデータベース84_1(図示せず。)から、自ドメインの外部ゲートウェイルータ520_1のIPアドレス=“B3”得る。
Step S340 : The
ステップS350〜360:さらに、ルータ設定部52は、応答803内の送信元IPアドレス803d=“M2”をキーにフロー識別エントリデータベース85を検索し、送信元IPアドレス803d=“M2”に対応するフロー識別エントリ(Dst-IP=“A1”,Src-IP=“M2”)を含むフロー識別設定信号806を外部ゲートウェイルータ520_1に送信した後、応答803を自ドメイン宛判定部53に与える。
Steps S350 to 360 : Further, the
これにより、外部ゲートウェイルータ520_1にフロー識別情報(A1,M2)が登録されたことになる。 As a result, the flow identification information (A1, M2) is registered in the external gateway router 520_1.
ステップS370,S380:判定部53は、フロー識別エントリ追記部51で検索した“前DNS”のIPアドレス“D2”が、自ネットワーク事業者の有するIPアドレスではないので、通信終端部10経由でアドバンスド名前解決応答803を送出する。
Steps S370 and S380 : Since the IP address “D2” of the “previous DNS” searched by the flow identification
これにより、アドバンスド名前解決応答803が、サーバ100_6に向けて送出されたことになる。この応答803が、ユーザ端末310_1に伝送される手順は後述する。
As a result, the advanced
以上の説明では、ユーザ収容網300、中継網400_1,400_2、及びサービス提供者網500が共に、ユーザ端末310_1、すなわち、IPアドレス=“M2”を認証した場合のアドバンスド名前解決要求802の伝送手順例を示した。
In the above description, the transmission procedure of the advanced
アドバンスド名前解決要求802の受信動作例(ステップT600):認証不許可処理
次に、中継網400_2が認証していないアドレス=“M4”を有するユーザ端末310_2(図6参照。)が、送出した名前解決要求804_2の処理手順例を以下に示す。
Example of Reception Operation of Advanced Name Resolution Request 802 (Step T600): Authentication Disapproval Processing Next, the name sent by the user terminal 310_2 (see FIG. 6) having an address = “M4” that is not authenticated by the relay network 400_2 An example of the processing procedure for the resolution request 804_2 is shown below.
図6において、ユーザ端末310_2は、名前解決要求804_2(FQDN804a=“A.b.com”,Src-IP804b=“M4”)を送出し、これをサーバ100_6が受信する。
In FIG. 6, the user terminal 310_2 sends a name resolution request 804_2 (
サーバ100_6が、名前解決要求804_2を受信したときの処理動作手順例は、図7に示した、サーバ100_6がユーザ端末310_1から受信した名前解決要求804_1を処理する動作手順例(ステップT300)と同様である。 The processing operation procedure example when the server 100_6 receives the name resolution request 804_2 is the same as the processing procedure example (step T300) shown in FIG. 7 in which the server 100_6 processes the name resolution request 804_1 received from the user terminal 310_1. It is.
ステップS100,S110:アドバンスド名前解決要求作成部60(図1参照。)は、通信終端部10及び識別部20を経由して名前解決要求804_2を受信する。
Steps S100 and S110 : The advanced name resolution request creation unit 60 (see FIG. 1) receives the name resolution request 804_2 via the
ステップS500:要求作成部60は、名前解決要求804_2からアドバンスド名前解決要求802_6(FQDN802b=“A.b.com”,前DNS802c=“L2”,Srs-IP802d=“M4”)を作成しフロー識別エントリ作成部42に与える。
Step S500 : The
ステップS220:作成部42は、名前解決要求804の送信元IPアドレス(Src-IP)=“M4”をフロー識別エントリデータベース85_6の前DNS85c、及びSrc-IP85bにそれぞれ登録した後、アドバンスド名前解決要求802を宛先/送信元ドメイン判定部43に与える。
Step S220 : The
ステップS230:判定部43は、要求802が自サーバ100が管理するドメイン名の名前解決要求でないので、要求802を次DNS決定部45に与える。
Step S230 : Since the
ステップS240,S250:次DNS決定部45は、要求802のFQDN802b=“A.b.com”をキーとして、FQDNデータベース81を検索814し、ヒットしたので(図6のFQDNデータベース81_6のFQDN81a参照。)、要求802_6(FQDN802b=“A.b.com”,前DNS802c=自サーバのIPアドレス“L2”,送信元IPアドレス802d=ユーザ端末のIPアドレス=“M4”)を作成する。
Steps S240 and S250 : The next
この要求802_6を、次DNS決定部45は、FQDNデータベース81から取得した次DNS81b=“J2”のIPアドレスのサーバ100_5宛に通信終端部10を経由して転送する(図6参照。)。
The next
図8のステップT600(破線で囲った部分)は、サーバ100_5における要求802_6の受信処理動作例を示している。この動作例を以下に説明する。 Step T600 (portion surrounded by a broken line) in FIG. 8 shows an example of the reception processing operation of the request 802_6 in the server 100_5. An example of this operation will be described below.
ステップS100,S110:送信元アドレス認証部41(図1参照。)は、通信終端部10及び識別部20を経由してアドバンスド名前解決要求802_6(以下、符号802で略称する)を受信する。
Steps S100 and S110 : The source address authenticating unit 41 (see FIG. 1) receives the advanced name resolution request 802_6 (hereinafter abbreviated as 802) via the
ステップS200,S210:認証部41(図1参照。)は、アドバンスド名前解決要求802内の送信元IPアドレス802d=“M4”をキーとして、認証許可送信元IPアドレスデータベース83を検索812する。中継網400_2はIPアドレス=“M4”を認証していないので、認証部41は“M4”の検索812でミスヒットする。
Steps S200 and S210 : The authentication unit 41 (see FIG. 1) searches 812 the authentication-permitted source
ステップS215:認証部41は、アドバンスド名前解決要求802を廃棄する。
Step S215 : The
これにより、中継網400_2は、認証していないIPアドレス=“M4”のユーザ端末310_2からのアドバンスド名前解決要求802の送信を許可しない。したがって、アドバンスド名前解決要求802に対するアドバンスド名前解決応答803も返送されず、フロー識別エントリデータベース85に、後述するフロー識別がエントリされない。
As a result, the relay network 400_2 does not permit transmission of the advanced
この結果、中継網400_2を経由した、ユーザ端末310_2とサービス提供元サーバ510との間のパケット転送は行われない。
As a result, packet transfer between the user terminal 310_2 and the
アドバンスド名前解決応答803の受信動作例(ステップT700)
図10は、図6で示したサーバ100_1から送出されたアドバンスド名前解決応答803_1の送信動作手順例を示している。この動作手順例を以下に説明する。
Example of receiving advanced name resolution response 803 (step T700)
FIG. 10 shows an example of a transmission operation procedure of the advanced name resolution response 803_1 sent from the server 100_1 shown in FIG. An example of this operation procedure will be described below.
サーバ100_1から送出されたアドバンスド名前解決応答803_1は、順次、サーバ100_2〜サーバ100_6でアドバンスド名前解決応答803_2〜803_5、及び名前解決応答805に変換されてサーバ100_3〜サーバ100_6及びユーザ端末310_1に伝送される。
The advanced name resolution response 803_1 sent from the server 100_1 is sequentially converted into an advanced name resolution response 803_2 to 803_5 and a
また、サーバ100_2〜100_6は、それぞれ、アドバンスド名前解決応答803_1〜803_5を受信したとき、自ドメインの外部ゲートウェイルータ520_2〜520_6にフロー識別設定信号(Dst-IP=“A1”,Src-IP=“M2”)806_2〜806_6を与える。 When the servers 100_2 to 100_6 receive the advanced name resolution responses 803_1 to 803_5, the flow identification setting signals (Dst-IP = “A1”, Src-IP = “ M2 ”) 806_2 ~ 806_6.
図11は、サーバ100_2において、アドバンスド名前解決応答803_1を受信処理する動作手順例を示しており、この動作手順例を以下に説明する。 FIG. 11 shows an example of an operation procedure for receiving and processing the advanced name resolution response 803_1 in the server 100_2. This example of the operation procedure will be described below.
アドバンスド名前解決応答803の転送及び外部ゲートウェイへのフロー識別情報の設定(ステップT800)
ステップS100,S200:フロー識別エントリ追記部51は、通信終端部10及びDNSパケット種別識別部20を経由して、アドバンスド名前解決応答803_1(解決されたIPアドレス803b=“A1”,認証結果803c=“認証OK”,Src-IP803d=“M2”)を受信する。
Transfer advanced
Steps S100, S200 : The flow identification
ステップS300〜S320:フロー識別エントリ追記部51は、受信した応答803_1のSrc-IP803d=“M2”をキーとして、フロー識別エントリデータベース85_2を検索816し(図1及び図10参照。)、ヒットした“M2”に対応する前DNS85c=“F2”を次の転送先の宛先とする。
Steps S300 to S320 : The flow identification
ステップS330:さらに、フロー識別エントリ追記部51は、データベース85のヒットしたエントリに応答803内の解決されたIPアドレス(Dst-IP)803b=“A1”を登録(書込816)した後、応答803をルータ設定部52に与える。
Step S330 : Furthermore, the flow identification
ステップS340:ルータ設定部52は、外部ゲートウェイルータIPアドレスデータベース84から、自ドメインの外部ゲートウェイルータ520_2のIPアドレス=“D1”を獲得(検索818)する。
Step S340 : The
ステップS350,S360:さらに、ルータ設定部52は、アドバンスド名前解決応答803内の送信元IPアドレス=“M2”をキーとして、データベース85の検索817を行い、検索されたフロー識別エントリ(Dst-IP=“A1”,Src-IP=“M2”)を含むフロー識別設定信号806_2を、IPアドレス=“D1”の外部ゲートウェイルータ520_2宛て送出した後、応答803を自ドメイン宛判定部53に与える。
Steps S350 and S360 : Further, the
外部ゲートウェイルータ520_2は、認証されたフロー識別情報(Dst-IP=“A1”,Src-IP=“M2”)521として保持する。 The external gateway router 520_2 holds it as authenticated flow identification information (Dst-IP = “A1”, Src-IP = “M2”) 521.
ステップS370:自ドメイン宛判定部53は、追記部51で検索した前DNS85c=“F2”が、自ネットワークが有するユーザ端末のIPアドレスでないので、アドバンスド名前解決応答803_2をIPアドレス=“F2(=前DNS85c)”のサーバ100_3に通信終端部10を経由して転送する。
Step S370 : Since the
同様に、サーバ100_3〜100_5は、順次、アドバンスド名前解決応答803_2〜803_4を受信して、サーバ100_4〜100_6にアドバンスド名前解決応答803_3〜803_5を与える。 Similarly, the servers 100_3 to 100_5 sequentially receive the advanced name resolution responses 803_2 to 803_4 and give the advanced name resolution responses 803_3 to 803_5 to the servers 100_4 to 100_6.
また、同様に、サーバ100_3〜100_5は、外部ゲートウェイルータ520_3〜520_5にフロー識別設定信号806_3〜806_5を与え、外部ゲートウェイルータ520_3〜520_5は、認証されたフロー識別情報(Dst-IP=“A1”,Src-IP=“M2”)521を保持する。 Similarly, the servers 100_3 to 100_5 give the flow identification setting signals 806_3 to 806_5 to the external gateway routers 520_3 to 520_5, and the external gateway routers 520_3 to 520_5 receive the authenticated flow identification information (Dst-IP = “A1”). , Src-IP = "M2") 521.
アドバンスド名前解決応答803/名前解決応答805変換及び外部ゲートウェイへのフロー識別情報の設定(ステップT800)
また、図11は、サーバ100_6が、受信したアドバンスド名前解決応答803_5を処理する動作手順例(一点鎖線で囲まれたステップT800参照。)も示している。この動作手順例を以下に説明する。
Advanced
FIG. 11 also shows an example of an operation procedure in which the server 100_6 processes the received advanced name resolution response 803_5 (see step T800 surrounded by a one-dot chain line). An example of this operation procedure will be described below.
ステップS100,S200,S300〜S360:上述したサーバ100_2〜100_5におけるアドバンスド名前解決応答803_1〜803_4の受信処理動作手順例と同様であり、
データベース85_6のDst-IP85a=“A1”が設定され、外部ゲートウェイルータ520_6にフロー識別情報(Dst-IP=“A1”,Src-IP=“M2”)521が保持される。
Steps S100, S200, S300 to S360 : The same as the above-described reception processing operation procedure example of the advanced name resolution responses 803_1 to 803_4 in the servers 100_2 to 100_5,
In the database 85_6, Dst-IP85a = "A1" is set, and the flow identification information (Dst-IP = "A1", Src-IP = "M2") 521 is held in the external gateway router 520_6.
ステップS370,S400,S410:追記部51で検索した前DNSのIPアドレスが自ネットワークの有するユーザ端末のIPアドレスである場合、名前解決応答変換部54は、アドバンスド名前解決応答803を従来の名前解決応答805(Dst-IP=“A1”)に変換し、この名前解決応答805を通信終端部10を経由して、ユーザ端末310_1に転送する。
Steps S370, S400, S410 : When the IP address of the previous DNS searched by the appending
これにより、ユーザ端末310_1は、名前解決要求804_1(図6参照。)に対する名前解決応答805を、ユーザ端末310_1を認証する中継網400_1,400_2を経由して受信したことになる。
As a result, the user terminal 310_1 has received the
IPパケットの伝送
図12は、ユーザ端末310_1が、送出したIPパケット810(宛先IPアドレス810b=“A1”,送信元IPアドレス810c=“M2”)の伝送動作シーケンス例を示している。この動作シーケンス例を以下に説明する。
Transmission of IP packet FIG. 12 shows an example of a transmission operation sequence of an IP packet 810 (
ステップT900:ユーザ端末310_1が、送出したIPパケット810(宛先IPアドレス810b=“A1”,送信元IPアドレス810c=“M2”)を送出する。
Step T900 : The user terminal 310_1 transmits the transmitted IP packet 810 (
ステップT910:外部ゲートウェイルータ520_6は、IPパケット810を受信し、このIPパケット810のフロー識別を行う、すなわち、フロー識別情報521を参照して、フロー(宛先IPアドレス810b=“A1”,送信元IPアドレス810c=“M2”)が登録されているので、IPパケット810は認証されたものと認識し、IPパケットを次の外部ゲートウェイルータ520_5に転送する。
Step T910 : The external gateway router 520_6 receives the
ステップT920〜T950:同様に、外部ゲートウェイルータ520_5〜520_2は、順次、受信したIPパケット810を、フロー識別情報521を参照して、IPパケット810は認証されたものと認識し、IPパケットを次の外部ゲートウェイルータ520_4〜520_1に転送する。
Steps T920 to T950 : Similarly, the external gateway routers 520_5 to 520_2 sequentially recognize the received
ステップT960:外部ゲートウェイルータ520_1は、受信したIPパケット810を、フロー識別情報521を参照して、IPパケット810は認証されたものと認識し、IPパケットをサービス提供元サーバ510に転送する。
Step T960 : The external gateway router 520_1 refers to the received
これにより、IPパケット810は、認証されたユーザ収容網300、中継網400_2,中継網400_1、及びサービス提供者網500を経由してサービス提供元サーバ510に転送されたことになる。
(付記1)
IPパケットを中継する複数のネットワークの各々に設けられた名前解決・認証装置間における名前解決・認証方法であって、
隣接する名前解決・認証装置のIPアドレスを登録する第1ステップと、
自装置が管理するFQDNと自装置のIPアドレスとを示すアドバンスドDNS広報を、該IPアドレスの隣接装置宛に送出する第2ステップと、
受信した該アドバンスドDNS広報に示されたFQDNが登録されていないとき、該受信したアドバンスドDNS広報に示された該FQDNと該IPアドレスとを対応付けて登録する第3ステップと、
を有することを特徴とした名前解決・認証方法。
(付記2)上記の付記1において、
該第3ステップは、さらに、受信した該アドバンスドDNS広報に示された該FQDN及び該IPアドレスが対応付けられて登録されていないとき、該受信したアドバンスドDNS広報のIPアドレスを自装置のIPアドレスに置き換えたアドバンスドDNS広報を、該IPアドレスの隣接装置宛に転送することを特徴とした名前解決・認証方法。
(付記3)上記の付記1において、
該アドバンスドDNS広報が、さらに、自分自身が経由した名前解決・認証装置数を含み、
該第3ステップにて、さらに、該経由数を該FQDNに対応付けられて登録し、
該アドバンスドDNS広報が示す経由数及び登録された該経由数に基づき、該アドバンスドDNS広報の該FQDNを登録するか否か、該アドバンスドDNS広報を転送するか否かを決定する第4ステップを、
さらに有することを特徴とした名前解決・認証方法。
(付記4)上記の付記1において、
認証した送信元IPアドレスを予め登録する第5ステップと、
受信したアドバンスド名前解決要求に示された送信元IPアドレスが、該認証した送信元IPアドレスとして登録されているとき、アドバンスド名前解決要求に含まれる該送信元IPアドレスと該アドバンスド名前解決要求を転送した隣接の名前解決・認証装置のIPアドレスと対応付けて登録する第6ステップと、
をさらに有することを特徴とした名前解決・認証方法。
(付記5)上記の付記4において、
受信した名前解決要求を変換した該アドバンスド名前解決要求を作成する第7ステップを、第6ステップの前にさらに有することを特徴とした名前解決・認証方法。
(付記6)上記の付記4において、
該第6ステップは、受信した該アドバンスド名前解決要求に示された送信元IPアドレスが該認証登録された送信元IPアドレスでない、アドバンスド名前解決要求を廃棄することを特徴とした名前解決・認証方法。
(付記7)上記の付記4において、
該アドバンスド名前解決要求に対するアドバンスド名前解決応答を受信し、この応答に示されたFQDNのIPアドレスも、該フロー識別エントリデータベースの該送信元IPアドレスに対応付けて登録し、該アドバンスド名前解決応答を該フロー識別エントリデータベースに登録された該IPアドレスの隣接装置宛てに転送する第8ステップを、さらに有することを特徴とした名前解決・認証方法。
(付記8)上記の付記7において、
該アドバンスド名前解決応答を名前解決応答に変換して従来の端末に転送する第9ステップを、有することを特徴とした名前解決・認証方法。
(付記9)上記の付記7において、
自装置が属するネットワークの外部ゲートウェイルータのIPアドレスを予め登録する第10ステップと、
該登録された外部ゲートウェイルータに、該FQDNのIPアドレス及び該送信元IPアドレスの中の少なくとも一方の設定を行う第11ステップと、
をさらに有することを特徴とした名前解決・認証方法。
(付記10)
IPパケットを中継する複数のネットワークの各々に設けられた名前解決・認証装置であって、
隣接する名前解決・認証装置のIPアドレスを登録した隣接アドバンスドDNSデータベースと、
自装置が管理するFQDNと自装置のIPアドレスとを示すアドバンスドDNS広報を、該隣接アドバンスドDNSデータベースに登録されたIPアドレスの装置宛に送出するアドバンスドDNS広報送出部と、
FQDNデータベースと、
受信した該アドバンスドDNS広報に示されたFQDNが該FQDNデータベースに登録されていないとき、該受信したアドバンスドDNS広報に示された該FQDNと該IPアドレスとを対応付けて該FQDNデータベースに登録するアドバンスドDNS広報処理部と、
を備えたことを特徴とする名前解決・認証装置。
(付記11)上記の付記10において、
該アドバンスドDNS広報処理部は、さらに、受信した該アドバンスドDNS広報に示された該FQDN及び該IPアドレスが対応付けられて該FQDNデータベースに登録されていないとき、該受信したアドバンスドDNS広報のIPアドレスを自装置のIPアドレスに置き換えたアドバンスドDNS広報を該隣接アドバンスドDNSデータベースに登録されたIPアドレスの装置宛に転送することを特徴とした名前解決・認証装置。
(付記12)上記の付記10において、
該アドバンスドDNS広報は、さらに、自分自身が経由した名前解決・認証装置数を含み、
該FQDNデータベースには、さらに、該経由数が該FQDNに対応付けられて登録されており、
該アドバンスドDNS広報処理部は、さらに、該アドバンスドDNS広報が示す経由数及び該FQDNデータベースに登録された該経由数に基づき、該アドバンスドDNS広報の該FQDNを該FQDNデータベースに登録するか否か、該アドバンスドDNS広報を転送するか否かを決定することを特徴とした名前解決・認証装置。
(付記13)上記の付記10において、
認証した送信元IPアドレスを予め登録した認証許可送信元IPアドレスデータベースと、
フロー識別エントリデータベースと、
受信したアドバンスド名前解決要求に示された送信元IPアドレスが、該認証許可送信元IPアドレスデータベースに登録されているとき、アドバンスド名前解決要求に含まれる該送信元IPアドレスと該アドバンスド名前解決要求を転送した隣接の名前解決・認証装置のIPアドレスと対応付けて該フロー識別エントリデータベースに登録するアドバンスド名前解決要求処理部と、
をさらに備えたことを特徴とする名前解決・認証装置。
(付記14)上記の付記13において、
受信した名前解決要求を変換したアドバンスド名前解決要求を作成して該アドバンスド名前解決要求処理部に与えるアドバンスド名前解決要求作成部をさらに備えたことを特徴とする名前解決・認証装置。
(付記15)上記の付記13において、
アドバンスド名前解決要求処理部は、受信した該アドバンスド名前解決要求に示された送信元IPアドレスが該認証許可送信元IPアドレスデータベースに登録されていないとき、アドバンスド名前解決要求を廃棄することを特徴とした名前解決・認証装置。
(付記16)上記の付記13において、
該アドバンスド名前解決要求に対するアドバンスド名前解決応答を受信し、この応答に示されたFQDNのIPアドレスも、該フロー識別エントリデータベースの該送信元IPアドレスに対応付けて登録し、該アドバンスド名前解決応答を該フロー識別エントリデータベースに登録された該IPアドレスの隣接装置宛てに転送するアドバンスド名前解決応答処理部を、さらに備えたことを特徴とする名前解決・認証装置。
(付記17)上記の付記16において、
アドバンスド名前解決応答処理部が、該アドバンスド名前解決応答を名前解決応答に変換し、この応答を該フロー識別エントリデータベースに登録された該IPアドレスの隣接装置宛てに転送することを特徴とした名前解決・認証装置。
(付記18)上記の付記16において、
自装置が属するネットワークの外部ゲートウェイルータのIPアドレスが予め登録された外部ゲートウェイルータIPアドレスデータベースをさらに備え、
該アドバンスド名前解決応答処理部が、外部ゲートウェイルータIPアドレスデータベースに登録された外部ゲートウェイルータに、該フロー識別エントリデータベースに登録された該FQDNのIPアドレス及び送信元IPアドレスの中の少なくとも一方の設定を行うことを特徴とした名前解決・認証装置。
As a result, the
(Appendix 1)
A name resolution / authentication method between name resolution / authentication devices provided in each of a plurality of networks that relay IP packets,
A first step of registering an IP address of an adjacent name resolution / authentication device;
A second step of sending an advanced DNS advertisement indicating the FQDN managed by the own device and the IP address of the own device to the neighboring device of the IP address;
A third step of registering the FQDN and the IP address associated with the received advanced DNS advertisement in association with each other when the FQDN indicated in the received advanced DNS advertisement is not registered;
A name resolution / authentication method characterized by comprising:
(Appendix 2) In
In the third step, when the FQDN and the IP address indicated in the received advanced DNS advertisement are not registered in association with each other, the IP address of the received advanced DNS advertisement is changed to the IP address of the own device. A name resolution / authentication method characterized in that the advanced DNS public relations replaced with is forwarded to the neighboring device of the IP address.
(Appendix 3) In
The Advanced DNS PR further includes the number of name resolution / authentication devices passed by itself,
In the third step, the number of vias is further registered in association with the FQDN,
A fourth step of determining whether to register the FQDN of the advanced DNS PR and whether to transfer the advanced DNS PR based on the number of vias indicated by the advanced DNS PR and the registered number of passes,
A name resolution / authentication method characterized by further comprising:
(Appendix 4) In
A fifth step of pre-registering the authenticated source IP address;
When the source IP address indicated in the received advanced name resolution request is registered as the authenticated source IP address, the source IP address and the advanced name resolution request included in the advanced name resolution request are transferred. A sixth step of registering in association with the IP address of the adjacent name resolution / authentication device
A name resolution / authentication method characterized by further comprising:
(Appendix 5) In
A name resolution / authentication method characterized by further comprising, before the sixth step, a seventh step of creating the advanced name resolution request obtained by converting the received name resolution request.
(Appendix 6) In
The sixth step is a name resolution / authentication method characterized by discarding an advanced name resolution request in which the source IP address indicated in the received advanced name resolution request is not the source IP address registered for authentication. .
(Appendix 7) In
An advanced name resolution response to the advanced name resolution request is received, the IP address of the FQDN indicated in the response is also registered in association with the source IP address of the flow identification entry database, and the advanced name resolution response is registered. A name resolution / authentication method, further comprising an eighth step of transferring to an adjacent device having the IP address registered in the flow identification entry database.
(Appendix 8) In
A name resolution / authentication method comprising: a ninth step of converting the advanced name resolution response into a name resolution response and transferring it to a conventional terminal.
(Appendix 9) In
A tenth step of pre-registering the IP address of the external gateway router of the network to which the device belongs;
An eleventh step of setting at least one of the IP address of the FQDN and the source IP address in the registered external gateway router;
A name resolution / authentication method characterized by further comprising:
(Appendix 10)
A name resolution / authentication device provided in each of a plurality of networks that relay IP packets,
An adjacent advanced DNS database that registers the IP addresses of adjacent name resolution / authentication devices,
An advanced DNS public information sending unit that sends an advanced DNS public information indicating the FQDN managed by the own device and the IP address of the own device to the device having the IP address registered in the adjacent advanced DNS database;
FQDN database,
When the FQDN indicated in the received advanced DNS advertisement is not registered in the FQDN database, the advanced FQDN is registered in the FQDN database in association with the FQDN indicated in the received advanced DNS advertisement and the IP address. DNS public information processing department,
A name resolution / authentication device characterized by comprising:
(Appendix 11) In
The advanced DNS public information processing unit further includes the IP address of the received advanced DNS public information when the FQDN and the IP address indicated in the received advanced DNS public information are associated and not registered in the FQDN database. A name resolution / authentication device that forwards an advanced DNS advertisement in which the IP address of the device is replaced to a device having an IP address registered in the adjacent advanced DNS database.
(Supplementary note 12) In the above
The Advanced DNS PR further includes the number of name resolution / authentication devices that the user has passed through,
In the FQDN database, the number of vias is registered in association with the FQDN.
The advanced DNS PR processing unit further determines whether to register the FQDN of the advanced DNS PR in the FQDN database based on the number of vias indicated by the advanced DNS PR and the number of vias registered in the FQDN database. A name resolution / authentication apparatus for determining whether to forward the advanced DNS public information.
(Supplementary note 13) In the above
An authentication permitted source IP address database in which authenticated source IP addresses are registered in advance;
A flow identification entry database;
When the source IP address indicated in the received advanced name resolution request is registered in the authentication-permitted source IP address database, the source IP address included in the advanced name resolution request and the advanced name resolution request are An advanced name resolution request processing unit that registers in the flow identification entry database in association with the IP address of the transferred adjacent name resolution / authentication device;
A name resolution / authentication device further comprising:
(Supplementary note 14) In the above supplementary note 13,
A name resolution / authentication apparatus, further comprising: an advanced name resolution request creation unit that creates an advanced name resolution request obtained by converting a received name resolution request and gives the request to the advanced name resolution request processing unit.
(Supplementary note 15) In the above supplementary note 13,
The advanced name resolution request processing unit discards the advanced name resolution request when the source IP address indicated in the received advanced name resolution request is not registered in the authentication permission source IP address database. Name resolution / authentication device.
(Supplementary Note 16) In the above supplementary note 13,
An advanced name resolution response to the advanced name resolution request is received, the IP address of the FQDN indicated in the response is also registered in association with the source IP address of the flow identification entry database, and the advanced name resolution response is registered. A name resolution / authentication apparatus, further comprising: an advanced name resolution response processing unit for forwarding to an adjacent apparatus having the IP address registered in the flow identification entry database.
(Supplementary Note 17) In the above supplementary note 16,
An advanced name resolution response processing unit converts the advanced name resolution response into a name resolution response and forwards the response to the adjacent device of the IP address registered in the flow identification entry database. -Authentication device.
(Appendix 18) In Appendix 16 above,
An external gateway router IP address database in which the IP address of the external gateway router of the network to which the device belongs is registered in advance;
The advanced name resolution response processing unit sets at least one of the IP address and source IP address of the FQDN registered in the flow identification entry database in the external gateway router registered in the external gateway router IP address database. Name resolution / authentication device characterized by
100,100_1〜100_12 名前解決・認証装置、アドバンスドDNSサーバ
10 通信終端部 20 DNSパケット種別識別部
30 アドバンスドDNS広報処理部 31 エントリ作成部
32 次DNS決定部
40 アドバンスド名前解決要求処理部
41 送信元アドレス認証部 42 フロー識別エントリ作成部
43 宛先/送信元ドメイン判定部
44 名前解決部、アドバンスド名前解決応答作成部
45 次DNS決定部
50 アドバンスド名前解決応答処理部
51 フロー識別エントリ追記部 52 ルータ設定部
53 自ドメイン宛判定部 54 名前解決応答変換部
60 アドバンスド名前解決要求作成部
70 コマンドインタフェース 80 データベース部
81,81_1〜81_12 FQDNデータベース 81a FQDN
81b 次DNS 81c 経由数
82,82_1〜82_12 隣接アドバンスドDNSデータベース
82a,… IPアドレス
83,83_1〜82_6 認証許可送信元IPアドレスデータベース
83a,… 送信元IPアドレス、Src-IP
84 外部ゲートウェイルータIPアドレスデータベース
84a,… IPアドレス
85,85_1〜85_6 フロー識別エントリデータベース
85a 宛先IPアドレス、Dst-IP 85b 送信元IPアドレス、Src-IP
85c 前DNS
300 ユーザ収容網 310,310_1,310_2 ユーザ端末
400,400_1〜400_5 中継網 500 サービス提供者網
510 Webサーバ、サービス提供元サーバ
520,520_1〜520_12 外部ゲートウェイルータ
521 フロー識別情報
530,530_1〜530_12 内部ゲートウェイルータ
600 ネットワーク 800 パケット
801,801_1〜801_12 アドバンスドDNS広報
801a メッセージ種別 801b FQDN
801c 次DNS 801d 経由DNS数
802,802_1〜802_6 アドバンスド名前解決要求
802a メッセージ種別 802b 従来のDNS要求の情報、FQDN
802c 前DNS 802d 送信元IPアドレス、Src-IP
803,803_1〜803_5 アドバンスド名前解決応答
803a メッセージ種別
803b 解決されたIPアドレス、従来の名前解決応答の情報
803c 認証結果 803d 送信元IPアドレス、Src-IP
804,804_1,804_2 名前解決要求
804a FQDN 804b Src-IP
805 名前解決応答 805a Dst-IP
806,806_1〜806_6 フロー識別設定信号
810,813,816 検索/書込
811,812,814,815,817,818 検索
820〜823 設定 890 パケット
A1〜Z1,A2〜Z2,B3〜Z3,C4,K4,M4 IPアドレス
A.b.com ドメイン名
図中、同一符号は同一又は相当部分を示す。
100, 100_1 ~ 100_12 Name resolution / authentication device, advanced DNS server
10
30 Advanced DNS Public
32nd DNS decision part
40 Advanced name resolution request processing part
41 Source
43 Destination / source domain determination unit
44 Name Resolution Department, Advanced Name Resolution Response Creation Department
45th DNS decision part
50 Advanced name resolution response processing part
51 Flow identification
53 Own
60 Advanced name resolution request generator
70 Command interface 80 Database part
81, 81_1 to 81_12
Number via 81b
82, 82_1-82_12 Adjacent advanced DNS database
82a, ... IP address
83, 83_1 to 82_6 Authentication permitted sender IP address database
83a, ... Source IP address, Src-IP
84 External gateway router IP address database
84a, ... IP address
85, 85_1 to 85_6 Flow identification entry database
85a Destination IP address, Dst-
85c Pre-DNS
300 user accommodation network 310, 310_1, 310_2 User terminal
400, 400_1 to 400_5
510 Web server, service provider server
520,520_1 ~ 520_12 External gateway router
521 Flow identification information
530, 530_1 to 530_12 Internal gateway router
600 network 800 packets
801,801_1 ~ 801_12 Advanced DNS public relations
801c Number of DNS via
802, 802_1 to 802_6 Advanced name resolution request
802c Pre-DNS 802d Source IP address, Src-IP
803, 803_1 to 803_5 Advanced name resolution response
803a Message type
803b Resolved IP address, traditional name resolution response information
804, 804_1, 804_2 Name resolution request
805
806, 806_1 to 806_6 Flow identification setting signal
810, 813, 816 Search / Write
811, 812, 814, 815, 817, 818 search
820 to 823 settings 890 packets
A1-Z1, A2-Z2, B3-Z3, C4, K4, M4 IP address
Abcom domain name In the figure, the same symbols indicate the same or corresponding parts.
Claims (4)
隣接する名前解決・認証装置のIPアドレスを登録する第1ステップと、
自装置が管理するFQDNと自装置のIPアドレスとを示すとともに、自分自身が経由した名前解決・認証装置数を含むアバンスドDNS広報を、該IPアドレスの隣接装置宛に送出する第2ステップと、
受信した該アドバンスドDNS広報に示されたFQDNが登録されていないとき、該受信したアドバンスドDNS広報に示された該FQDNと該IPアドレスとを対応付けて登録するとともに、該経由数を該FQDNに対応付けて登録する第3ステップと、
該アドバンスドDNS広報が示す経由数及び該FQDNデータベースに登録された該経由数に基づき、該アドバンスドDNS広報の該FQDNを該FQDNデータベースに登録するか否か、該アドバンスドDNS広報を転送するか否かを決定する第4ステップと、
を有することを特徴とした名前解決・認証方法。 A name resolution / authentication method between name resolution / authentication devices provided in each of a plurality of networks that relay IP packets,
A first step of registering an IP address of an adjacent name resolution / authentication device;
A second step of sending an avantaged DNS advertisement including the number of name resolution / authentication devices passed by itself to the neighboring device, indicating the FQDN managed by the own device and the IP address of the own device;
When the FQDN indicated in the received Advanced DNS PR is not registered, the FQDN indicated in the received Advanced DNS PR and the IP address are registered in association with each other , and the number of vias is registered in the FQDN. A third step of registering in association ;
Whether to register the FQDN of the advanced DNS PR in the FQDN database, whether to transfer the Advanced DNS PR based on the number of vias indicated by the Advanced DNS PR and the number of vias registered in the FQDN database A fourth step of determining
A name resolution / authentication method characterized by comprising:
該第3ステップは、さらに、受信した該アドバンスドDNS広報に示された該FQDN及び該IPアドレスが対応付けられて登録されていないとき、該受信したアドバンスドDNS広報のIPアドレスを自装置のIPアドレスに置き換えたアドバンスドDNS広報を、該IPアドレスの隣接装置宛に転送することを特徴とした名前解決・認証方法。 In claim 1,
In the third step, when the FQDN and the IP address indicated in the received advanced DNS advertisement are not registered in association with each other, the IP address of the received advanced DNS advertisement is changed to the IP address of the own device. A name resolution / authentication method characterized in that the advanced DNS public relations replaced with is forwarded to the neighboring device of the IP address.
隣接する名前解決・認証装置のIPアドレスを登録した隣接アドバンスドDNSデータベースと、
自装置が管理するFQDNと自装置のIPアドレスとを示すとともに、自分自身が経由した名前解決・認証装置数を含むアドバンスドDNS広報を、該隣接アドバンスドDNSデータベースに登録されたIPアドレスの装置宛に送出するアドバンスドDNS広報送出部と、
該アドバンスドDNS広報が経由した名前解決・認証装置の経由数を該FQDNに対応付けて登録するFQDNデータベースと、
受信した該アドバンスドDNS広報に示されたFQDNが該FQDNデータベースに登録されていないとき、該受信したアドバンスドDNS広報に示された該FQDNと該IPアドレスとを対応付けて該FQDNデータベースに登録するとともに、該アドバンスドDNS広報が示す経由数及び該FQDNデータベースに登録された該経由数に基づき、該アドバンスドDNS広報の該FQDNを該FQDNデータベースに登録するか否か、該アドバンスドDNS広報を転送するか否かを決定するアドバンスドDNS広報処理部と、
を備えたことを特徴とする名前解決・認証装置。 A name resolution / authentication device provided in each of a plurality of networks that relay IP packets,
An adjacent advanced DNS database that registers the IP addresses of adjacent name resolution / authentication devices,
Shows the FQDN managed by the local device and the IP address of the local device, and sends the advanced DNS information including the number of name resolution / authentication devices passed by itself to the device with the IP address registered in the adjacent advanced DNS database. Advanced DNS public information sending part to send,
An FQDN database for registering the number of name resolution / authentication devices passed through the advanced DNS public relations in association with the FQDN;
When shown in the advanced DNS publicity it received FQDN is not registered in the FQDN database, and registers to the FQDN database in association with the FQDN and the IP address shown in the advanced DNS publicity thus received Whether to register the FQDN of the advanced DNS public relations in the FQDN database based on the number of passages indicated by the advanced DNS public relations and the number of passages registered in the FQDN database; Advanced DNS public relations processing department to decide ,
A name resolution / authentication device characterized by comprising:
該アドバンスドDNS広報処理部は、さらに、受信した該アドバンスドDNS広報に示された該FQDN及び該IPアドレスが対応付けられて該FQDNデータベースに登録されていないとき、該受信したアドバンスドDNS広報のIPアドレスを自装置のIPアドレスに置き換えたアドバンスドDNS広報を該隣接アドバンスドDNSデータベースに登録されたIPアドレスの装置宛に転送することを特徴とした名前解決・認証装置。 In claim 3,
The advanced DNS public information processing unit further includes the IP address of the received advanced DNS public information when the FQDN and the IP address indicated in the received advanced DNS public information are associated and not registered in the FQDN database. A name resolution / authentication device that forwards an advanced DNS advertisement in which the IP address of the device is replaced to a device having an IP address registered in the adjacent advanced DNS database.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003318865A JP4080402B2 (en) | 2003-09-10 | 2003-09-10 | Name resolution / authentication method and apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003318865A JP4080402B2 (en) | 2003-09-10 | 2003-09-10 | Name resolution / authentication method and apparatus |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005086700A JP2005086700A (en) | 2005-03-31 |
| JP4080402B2 true JP4080402B2 (en) | 2008-04-23 |
Family
ID=34418028
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003318865A Expired - Fee Related JP4080402B2 (en) | 2003-09-10 | 2003-09-10 | Name resolution / authentication method and apparatus |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4080402B2 (en) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10270755B2 (en) | 2011-10-03 | 2019-04-23 | Verisign, Inc. | Authenticated name resolution |
| US8990356B2 (en) | 2011-10-03 | 2015-03-24 | Verisign, Inc. | Adaptive name resolution |
| KR102010624B1 (en) * | 2012-11-02 | 2019-08-13 | 실버레이크 모빌리티 에코시스템 에스디엔 비에이치디 | Method of processing requests for digital services |
| US9900281B2 (en) | 2014-04-14 | 2018-02-20 | Verisign, Inc. | Computer-implemented method, apparatus, and computer-readable medium for processing named entity queries using a cached functionality in a domain name system |
| US10791085B2 (en) | 2015-11-12 | 2020-09-29 | Verisign, Inc. | Techniques for directing a domain name service (DNS) resolution process |
| US10999240B1 (en) | 2016-08-31 | 2021-05-04 | Verisign, Inc. | Client controlled domain name service (DNS) resolution |
| US11032127B2 (en) | 2017-06-26 | 2021-06-08 | Verisign, Inc. | Resilient domain name service (DNS) resolution when an authoritative name server is unavailable |
-
2003
- 2003-09-10 JP JP2003318865A patent/JP4080402B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005086700A (en) | 2005-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20030237002A1 (en) | Network node and communication system | |
| US20080301303A1 (en) | Virtual network connection apparatus, system, method for controlling connection of a virtual network and computer-readable storage medium | |
| US20110064077A1 (en) | Method and apparatus for sending and receiving multicast packets | |
| Wu et al. | A source address validation architecture (SAVA) testbed and deployment experience | |
| WO2011041967A1 (en) | Method for anonymous communication, method for registration, method and system for trasmitting and receiving information | |
| JP2011515945A (en) | Method and apparatus for communicating data packets between local networks | |
| JP3813571B2 (en) | Border router device, communication system, routing method, and routing program | |
| WO2011044808A1 (en) | Method and system for tracing anonymous communication | |
| US20060002406A1 (en) | Network connection apparatus, program, and method | |
| JP2019515555A (en) | Anonymous Identification Information and Protocol of Identification Information Oriented Network | |
| US20230396624A1 (en) | Extending border gateway protocol (bgp) flowspec origination authorization using path attributes | |
| WO2013040957A1 (en) | Single sign-on method and system, and information processing method and system | |
| WO2011088693A1 (en) | Method and system for accessing network through public device | |
| CN110868446A (en) | Back IP main power network system architecture | |
| CN115943603A (en) | Block chain enhanced routing authorization | |
| JP4693174B2 (en) | Intermediate node | |
| JP4080402B2 (en) | Name resolution / authentication method and apparatus | |
| US20240137338A1 (en) | Border gateway protocol (bgp) flowspec origination authorization using route origin authorization (roa) | |
| WO2011088694A1 (en) | Method and system for accessing network on public device | |
| WO2011044807A1 (en) | Method for registration and communication of anonymous communication and transceiver system for data message | |
| CN115580498B (en) | Cross-network communication method in converged network and converged network system | |
| JP5261432B2 (en) | Communication system, packet transfer method, network switching apparatus, access control apparatus, and program | |
| WO2011131002A1 (en) | Method and system for identity management | |
| CN105827470A (en) | Method and device for identifying abnormal network interconnection traffic | |
| JP4827868B2 (en) | Network connection control system, network connection control program, and network connection control method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060223 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071107 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071113 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080115 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080205 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080206 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110215 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110215 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120215 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130215 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140215 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |