JP4269343B2 - Name resolution server and packet transfer device - Google Patents
Name resolution server and packet transfer device Download PDFInfo
- Publication number
- JP4269343B2 JP4269343B2 JP2007030119A JP2007030119A JP4269343B2 JP 4269343 B2 JP4269343 B2 JP 4269343B2 JP 2007030119 A JP2007030119 A JP 2007030119A JP 2007030119 A JP2007030119 A JP 2007030119A JP 4269343 B2 JP4269343 B2 JP 4269343B2
- Authority
- JP
- Japan
- Prior art keywords
- name resolution
- user
- attribute information
- server
- packet transfer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、名前解決サーバおよびパケット転送装置に関し、特に名前解決要求メッセージの送信者の属性情報に基づいて名前解決応答をカスタマイズできる名前解決サーバおよびパケット転送装置に関する。 The present invention relates to a name resolution server and a packet transfer apparatus, and more particularly to a name resolution server and a packet transfer apparatus that can customize a name resolution response based on attribute information of a sender of a name resolution request message.
従来この種の名前解決サーバとしてDNS(Domain Name System)サーバが知られている。このDNSサーバは、例えばRFC1034に示されるように、IP(Internet Protocol)網において、主にFQDN(Fully Qualified Domain Name)からIPアドレスまたはIPアドレスからFQDNへの名前解決を行うために用いられている。名前解決を要求するクライアントは、DNSサーバに対して名前解決要求メッセージであるDNSクエリメッセージを送信することで名前解決の要求を行い、DNSサーバから名前解決応答としてDNS応答メッセージを受信する。 Conventionally, a DNS (Domain Name System) server is known as this type of name resolution server. This DNS server is mainly used for name resolution from an FQDN (Fully Qualified Domain Name) to an IP address or from an IP address to an FQDN as shown in RFC1034, for example, in an IP (Internet Protocol) network. . A client requesting name resolution transmits a DNS query message, which is a name resolution request message, to the DNS server, makes a request for name resolution, and receives a DNS response message as a name resolution response from the DNS server.
一般的なDNSサーバは、同一の名前(FQDNやIPアドレスなど)について問い合わされた場合は、常に同一の解決結果(IPアドレスやFQDNなど)を返すことを基本としている。しかし、近年、同一の名前について問い合わされても、状況に応じて異なる名前解決結果を返すという付加機能を備えたDNSサーバを用いるケースも増えている。以下、前記の付加機能の具体例を挙げる。 A general DNS server is based on always returning the same resolution result (IP address, FQDN, etc.) when inquiring about the same name (FQDN, IP address, etc.). However, in recent years, there are increasing cases of using a DNS server having an additional function of returning different name resolution results depending on the situation even when inquiring about the same name. Hereinafter, specific examples of the additional function will be given.
まず挙げられるのが、DNSのサーバソフトウェアとして広く普及しているBIND(Berkeley Internet Name Domain)の、Viewと呼ばれる機能である。Viewを用いることにより、DNSサーバは同一の名前について問い合わされたとしても、DNSクエリメッセージのソースIPアドレスまたはDNSクエリメッセージにより問い合わせたFQDNもしくはIPアドレスによって、クライアントに返す解決結果を変えることができる。 First, a function called View of BIND (Berkeley Internet Name Domain), which is widely used as DNS server software, is mentioned. By using View, even if the DNS server is inquired about the same name, the resolution result returned to the client can be changed depending on the source IP address of the DNS query message or the FQDN or IP address inquired by the DNS query message.
例えば、DNSクエリメッセージのソースIPアドレスがプライベートアドレスである場合には、FQDN:www.aaa.comについての問い合わせに対してイントラネットに設置されたウェブサーバのIPアドレスを返し、逆に、DNSクエリメッセージのソースIPアドレスがグローバルIPアドレスである場合には、FQDN:www.aaa.comについての問い合わせに対してエクストラネットに設置されたウェブサーバのIPアドレスを返す、といったことができる。 For example, when the source IP address of the DNS query message is a private address, FQDN: www. aaa. When the source IP address of the DNS query message is a global IP address, FQDN: www. aaa. The IP address of the web server installed in the extranet is returned in response to the inquiry about the com.
また、CDN(Content Delivery Network)において、コンテンツ配信サーバの負荷分散やユーザパフォーマンスの向上のために、DNSサーバの前記付加機能が利用される場合がある。CDNでは、サーバ間負荷分散及びユーザパフォーマンス向上を目的として、一つのコンテンツを複数のサーバに配置しておき、各ユーザからのリクエストを適切なサーバに振り分けることが一般的に行われている。ここで、DNSサーバはユーザのリクエストを送信するサーバを選択する際に利用される。 In addition, in a CDN (Content Delivery Network), the additional function of the DNS server may be used for load distribution of the content distribution server and improvement of user performance. In the CDN, for the purpose of distributing load between servers and improving user performance, it is generally performed that a single content is arranged on a plurality of servers and requests from each user are distributed to an appropriate server. Here, the DNS server is used when selecting a server that transmits a user request.
DNSサーバにおいて、一つのFQDNに対して同一のコンテンツを持つ複数のコンテンツ配信サーバのIPアドレスを登録しておき、クライアントがかかるFQDNに対して問い合わせを行った場合、DNSサーバは、サーバ負荷及びユーザパフォーマンスの観点から最適なコンテンツ配信サーバのIPアドレスをクライアントに返す。ここで、クライアントに関する情報として、一般的にクライアントまたはローカルDNSサーバ(クライアントからのDNSクエリメッセージを受信し、名前解決処理を引き受けるDNSサーバ)が送信したDNSクエリメッセージのソースIPアドレスが用いられる。 In the DNS server, when the IP address of a plurality of content distribution servers having the same content is registered for one FQDN and the client makes an inquiry to the FQDN, the DNS server determines the server load and the user. The IP address of the content distribution server that is optimal from the viewpoint of performance is returned to the client. Here, the source IP address of a DNS query message transmitted by a client or a local DNS server (a DNS server that receives a DNS query message from a client and takes over name resolution processing) is generally used as information about the client.
さらに、特開2001−273225号公報(以下、特許文献1)では、DNSサーバがコンテンツ配信サーバの負荷状況及び位置情報の他、クライアントに関する情報として、DNSクエリメッセージのソースIPアドレスだけではなく、クライアントの位置情報(緯度・軽度など)も取得し、クライアントからのDNSクエリに対して、これらの情報に基づいてクライアントとって最適なサーバを選択し、そのサーバのIPアドレスを返すという方法が示されている。 Furthermore, in Japanese Patent Laid-Open No. 2001-273225 (hereinafter referred to as Patent Document 1), the DNS server not only includes the load status and location information of the content distribution server, but also the client information, not only the source IP address of the DNS query message The location information (latitude, lightness, etc.) is also obtained, and in response to the DNS query from the client, the optimum server for the client is selected based on this information, and the IP address of that server is returned. ing.
DNSサーバがクライアントの位置情報を取得できるようにするために、クライアントのリゾルバは、該クライアントの位置情報をDNSクエリメッセージに埋め込み、DNSサーバに送信する。DNSサーバは位置情報が含められたDNSクエリメッセージを受信することにより、該クライアントの位置情報を取得することができる。 In order to allow the DNS server to acquire the client location information, the client resolver embeds the client location information in a DNS query message and sends it to the DNS server. The DNS server can acquire the location information of the client by receiving the DNS query message including the location information.
従来技術の第1の問題点は、DNSサーバが、DNSクエリメッセージを送信したユーザの多様な属性情報に基づいて名前解決をカスタマイズできないことである。また、仮にカスタマイズできたとしても、DNSクエリメッセージ内に該クエリメッセージを送信したユーザの多様な属性情報を埋めこまなくてはならないため、クライアントまたはDNSクエリを行うノード上のリゾルバの変更が必要となる。 The first problem of the prior art is that the DNS server cannot customize name resolution based on various attribute information of the user who sent the DNS query message. Even if customization is possible, it is necessary to embed various attribute information of the user who sent the query message in the DNS query message. Therefore, it is necessary to change the resolver on the client or the node that performs the DNS query. Become.
ところで、名前解決を要求する個々のユーザは、位置や嗜好、利用端末やネットワークへの接続状況などの非常に多様な属性を持ち、また、これらの属性はユーザ毎に異なる。名前解決のカスタマイズとは、このようにユーザ毎に異なる属性を考慮して、応答する名前解決結果を名前解決を要求したユーザの属性に応じて変えることである。名前解決のカスタマイズの例としては、動画配信を行っているサーバのFQDNに対応するIPアドレスの解決を行う際に、同一のFQDNに対するDNSクエリであっても、例えば接続回線種別がADSL回線のユーザには広帯域で配信を行っているサーバのIPアドレスを解決したり、逆に接続回線種別がISDN回線のユーザには狭帯域で配信を行っているサーバのIPアドレスを解決したりするといったことが挙げられる。さらに、ユーザの位置や嗜好、利用端末等、より多くのユーザ属性情報を考慮して名前解決を行うことにより、名前解決のカスタマイズを行うことができる。 By the way, each user who requests name resolution has very various attributes such as location, preference, connection status to a use terminal and a network, and these attributes are different for each user. The name resolution customization is to change the name resolution result to be responded according to the attribute of the user who requested the name resolution in consideration of different attributes for each user. As an example of name resolution customization, when resolving the IP address corresponding to the FQDN of the server that distributes the video, even if the DNS query is for the same FQDN, for example, a user whose connection line type is an ADSL line In some cases, the IP address of a server that distributes in a wide band is resolved, or the IP address of a server that distributes in a narrow band is resolved for a user whose connection line type is an ISDN line. Can be mentioned. Furthermore, name resolution can be customized by performing name resolution in consideration of more user attribute information such as a user's position, preference, and use terminal.
しかし、従来のDNSサーバは、DNSクエリメッセージ内に埋めこまれたデータに基づいてしか名前解決をカスタマイズできない。一般的なDNSにおいて、ユーザに関する情報としてDNSクエリメッセージに含まれるのは、多くともDNSクエリメッセージのソースIPアドレスのみである。このため、一般的なDNSサーバはユーザに関して、DNSクエリメッセージのソースIPアドレス以外の情報を取得することができない。前述したBINDのView機能においても、DNSサーバが名前解決の際に考慮できるのは、DNSクエリメッセージのソースIPアドレスのみである。 However, conventional DNS servers can only customize name resolution based on the data embedded in the DNS query message. In a general DNS, the DNS query message includes only the source IP address of the DNS query message as information about the user. For this reason, a general DNS server cannot acquire information other than the source IP address of the DNS query message regarding the user. Also in the BIND View function described above, the DNS server can only consider the source IP address of the DNS query message when resolving the name.
また、従来の技術において、DNSクエリメッセージのソースIPアドレス以外の情報も用いて名前解決のカスタマイズを行おうとする場合、DNSクエリメッセージ内に必要な情報を全て埋めこむ必要があった。 Further, in the conventional technology, when name resolution is customized using information other than the source IP address of the DNS query message, it is necessary to embed all necessary information in the DNS query message.
特許文献1では、DNSサーバにおいてユーザの位置情報に基づいた名前解決を行うために、クライアントが送信するDNSクエリメッセージ内にユーザの位置情報を埋めこむ方式が記載されている。しかしながら、この方式は2つの点において問題がある。まず第1の点は、名前解決のカスタマイズを行うために必要な情報をDNSクエリメッセージ内に埋めこむためには、ユーザが利用するOSやアプリケーションソフトウェア等のユーザ環境を変更しなければならない。 Japanese Patent Application Laid-Open No. 2004-151561 describes a method of embedding user location information in a DNS query message transmitted by a client in order to perform name resolution based on the user location information in a DNS server. However, this method has problems in two respects. First, in order to embed information necessary for customizing name resolution in a DNS query message, the user environment such as an OS and application software used by the user must be changed.
昨今普及しているリゾルバには、ユーザ属性情報を把握しそれをDNSクエリメッセージに埋め込むという機能が無いためリゾルバを変更する必要があるが、DNSサーバを利用する全てのユーザのリゾルバを変更することは大きなコストが必要である。 Resolvers that have become popular nowadays have no function of grasping user attribute information and embedding it in a DNS query message, so it is necessary to change the resolver, but to change the resolver for all users who use the DNS server Is a big cost.
さらに、第2の点は、リゾルバを変更しDNSクエリメッセージ内にユーザ属性情報を埋めこむとしても、埋めこまれるユーザ属性情報の種類は固定的であるため、DNSサーバが必要とするユーザ属性情報が各々のDNSサーバによって異なる場合は対応できない。以上より、従来の技術によって、DNSサーバが名前解決をカスタマイズするために必要なユーザ属性情報を得ることは困難である。 Further, the second point is that even if the resolver is changed and the user attribute information is embedded in the DNS query message, the type of user attribute information to be embedded is fixed, so the user attribute information required by the DNS server is However, it is not possible to cope with the case where the value differs depending on each DNS server. As described above, it is difficult to obtain user attribute information necessary for the DNS server to customize name resolution by the conventional technique.
従来技術の第2の問題点は、DNSサーバからクライアントに対して応答されるDNS応答メッセージに含まれる情報(FQDNに対するIPアドレスなど)を、DNSサーバとクライアント間の経路上に設置されているパケット転送装置が利用することができないことである。 The second problem of the prior art is that the information (such as the IP address for FQDN) included in the DNS response message sent from the DNS server to the client is a packet installed on the route between the DNS server and the client. The transfer device cannot be used.
例えば、クライアントがあるWebサイトに接続することを考える。クライアントは該Webサイトに接続するために、まず該WebサイトのFQDNに対するIPアドレスをDNSによって解決し、解決の結果得られたIPアドレスに対して接続を行う。DNSサーバは、クライアントとWebサイトの接続に関する制御において、該WebサイトのIPアドレスをクライアントに教えるという、すなわち接続先の制御しか行わない。 For example, consider connecting a client to a website. In order to connect to the Web site, the client first resolves the IP address for the FQDN of the Web site by DNS, and connects to the IP address obtained as a result of the resolution. In the control related to the connection between the client and the Web site, the DNS server only teaches the client the IP address of the Web site, that is, only controls the connection destination.
クライアントとWebサイトの接続に関する制御には、他にも、該接続上を通過するパケットをどのように転送するか(ヘッダ書換え、出方路制御、優先転送制御、など)といったパケット転送方法の制御があるが、これらのパケット転送方法の制御は、クライアントによってではなく、クライアントとWebサイト間の通過経路上に設置されているパケット転送装置上に静的にまたはルーティングプロトコル等で動的に設定されることによりなされるため、DNSサーバではこれらのパケット転送方法の制御を行うことはできない。 In addition to the control related to the connection between the client and the website, control of packet transfer methods such as how to transfer packets passing over the connection (header rewriting, outgoing route control, priority transfer control, etc.) However, the control of these packet transfer methods is not statically set by the client but statically or dynamically by a routing protocol or the like on the packet transfer device installed on the passage route between the client and the website. Therefore, the DNS server cannot control these packet transfer methods.
ここでパケット転送装置とは、イーサネット(登録商標)スイッチ、ATM(Asynchronous Transfer Mode)スイッチ、ルータ、レイヤ4スイッチ、レイヤ7スイッチなど、パケットの転送処理を行う装置全般を指す。 Here, the packet transfer device refers to all devices that perform packet transfer processing, such as an Ethernet (registered trademark) switch, an ATM (Asynchronous Transfer Mode) switch, a router, a layer 4 switch, and a layer 7 switch.
もしクライアントにおける接続先の制御とパケット転送装置における転送方法の制御の両方を、DNSサーバによって同時に行うことができるようになれば、2つの制御が連携する効果があるといえる。例えば、先のクライアントとWebサイトとの間の接続において、クライアントの接続先を最も負荷の低いWebサーバとし、途中のパケット転送装置における該クライアントと該Webサーバとの接続上を通過するパケットに対して優先転送する制御を、DNSサーバによって同時に行えば、クライアントとWebサイト間のアクセスの高速化を効果的に実現することが可能となる。 If both the control of the connection destination in the client and the control of the transfer method in the packet transfer apparatus can be performed simultaneously by the DNS server, it can be said that the two controls are effective in cooperation. For example, in the connection between a previous client and a Web site, the connection destination of the client is the Web server with the lowest load, and a packet passing over the connection between the client and the Web server in the middle packet transfer device If the control for preferential transfer is simultaneously performed by the DNS server, it is possible to effectively realize the high-speed access between the client and the Web site.
しかしながら、現状において、クライアントにおける接続先の制御とパケット転送装置における転送方法の制御は分離されている。パケット転送装置の立場からは、DNSサーバがクライアントに対して送信するDNS応答メッセージに含まれる情報を利用することができず、また、DNSサーバの立場からは、クライアントに対して送信するDNS応答メッセージによってパケット転送装置における転送方法を制御することができない。 However, at present, the control of the connection destination in the client and the control of the transfer method in the packet transfer apparatus are separated. From the standpoint of the packet transfer apparatus, the information contained in the DNS response message sent from the DNS server to the client cannot be used, and from the standpoint of the DNS server, the DNS response message sent to the client. Therefore, the transfer method in the packet transfer apparatus cannot be controlled.
本発明の第1の目的は、現在のユーザ環境(ユーザが利用する端末やOS、アプリケーションソフトウェアなど)に変更を強いることなく、名前解決サーバが名前解決をカスタマイズするために必要なユーザ属性情報を取得し、取得したユーザ属性情報に基づききめ細かに名前解決をカスタマイズできる名前解決サーバを提供することである。 The first object of the present invention is to provide user attribute information necessary for the name resolution server to customize name resolution without forcing changes to the current user environment (terminal, OS, application software, etc. used by the user). It is an object of the present invention to provide a name resolution server that can acquire and finely customize name resolution based on the acquired user attribute information.
本発明の第2の目的は、現在のユーザ環境(ユーザが利用する端末やOS、アプリケーションソフトウェアなど)に変更を強いることなく、名前解決サーバが名前解決をカスタマイズするために必要なユーザ属性情報を動的に取得し、取得したユーザ属性情報に基づききめ細かに名前解決をカスタマイズできるだけではなく、該ユーザ属性情報を動的に取得し、管理する機能を有する名前解決サーバを提供することである。 The second object of the present invention is to provide user attribute information necessary for the name resolution server to customize name resolution without forcing changes to the current user environment (terminal, OS, application software, etc. used by the user). It is to provide a name resolution server that has a function of dynamically acquiring and managing user attribute information dynamically as well as finely customizing name resolution based on the acquired user attribute information.
本発明の第3の目的は、クライアントにおける接続先とパケット転送装置におけるパケット転送方法の両者を制御することができる名前解決サーバを提供することである。 A third object of the present invention is to provide a name resolution server capable of controlling both a connection destination in a client and a packet transfer method in a packet transfer apparatus.
本発明の第4の目的は、クライアントと名前解決サーバとの間でやり取りされる名前解決メッセージによって、パケット転送方法の制御がなされることができるパケット転送装置を提供することである。 A fourth object of the present invention is to provide a packet transfer apparatus in which a packet transfer method can be controlled by a name resolution message exchanged between a client and a name resolution server.
請求項1の本発明は、受信したパケットを他のノードに転送する機能を備えるパケット転送装置と、受信した名前解決要求メッセージに対して名前解決を行い、名前解決応答メッセージによって前記名前解決の結果を返す名前解決サーバとを備える名前解決システムであって、クライアントから前記名前解決サーバへ送信された名前解決要求メッセージは、前記パケット転送装置によって一旦受信され、前記パケット転送装置により、前記名前解決要求メッセージの送信者であるユーザに関する属性情報が、前記名前解決要求メッセージに含まれる送信元アドレスに基づいて取得され、前記属性情報を前記名前解決要求メッセージに付加された後に前記名前解決要求メッセージを前記名前解決サーバへ送信され、前記名前解決サーバは、前記パケット転送装置によって送信された前記名前解決要求に含まれる前記属性情報に基づいて、前記名前解決の結果である名前解決応答メッセージを返し、前記名前解決応答メッセージは、前記パケット転送装置を介して前記クライアントへ返されることを特徴とする。 The present invention according to claim 1 performs name resolution on the received name resolution request message and a packet forwarding apparatus having a function of forwarding the received packet to another node, and results of the name resolution by a name resolution response message A name resolution system including a name resolution server that returns a name resolution request message transmitted from a client to the name resolution server. The name resolution request message is temporarily received by the packet forwarding device, and the name forwarding request is received by the packet forwarding device. Attribute information about the user who is the sender of the message is acquired based on a source address included in the name resolution request message, and after the attribute information is added to the name resolution request message, the name resolution request message is added to the name resolution request message. Sent to the name resolution server, the name resolution server Based on the attribute information included in the name resolution request transmitted by the packet transfer device, a name resolution response message that is a result of the name resolution is returned, and the name resolution response message is transmitted through the packet transfer device. It is returned to the client.
請求項2の本発明の名前解決システムは、前記パケット転送装置は、前記属性情報が格納されたユーザ情報データベースを内部要素として備え、前記名前解決要求メッセージの送信者であるユーザに関する属性情報を、前記ユーザ情報データベースから取得することを特徴とする。 In the name resolution system of the present invention of claim 2, the packet transfer device includes a user information database in which the attribute information is stored as an internal element, and attribute information about a user who is a sender of the name resolution request message. Obtained from the user information database.
請求項3の本発明の名前解決システムは、前記パケット転送装置は、前記属性情報が格納されたユーザ情報データベースを備える外部のデータベースサーバから、前記属性情報を取得することを特徴とする。 The name resolution system according to a third aspect of the present invention is characterized in that the packet transfer apparatus acquires the attribute information from an external database server including a user information database in which the attribute information is stored.
請求項4の本発明の名前解決システムは、前記パケット転送装置は、前記外部のデータベースサーバからの前記属性情報の取得において、名前解決要求メッセージを用いることを特徴とする。 The name resolution system of the present invention of claim 4 is characterized in that the packet transfer apparatus uses a name resolution request message in acquiring the attribute information from the external database server.
請求項5の本発明の名前解決システムは、前記外部のデータベースサーバが、外部に設置された名前解決サーバであることを特徴とする。 The name resolution system of the present invention according to claim 5 is characterized in that the external database server is a name resolution server installed outside.
請求項6の本発明の名前解決システムは、前記パケット転送装置は、自ノードに接続するクライアントにおけるユーザを識別、認証するユーザ認証部と、認証時に得られた前記ユーザに関する属性情報に基づいて、前記ユーザ情報データベースの内容を更新するユーザ情報更新部とを備えたことを特徴とする。 In the name resolution system of the present invention according to claim 6, the packet forwarding apparatus is based on a user authentication unit for identifying and authenticating a user in a client connected to the node, and attribute information about the user obtained at the time of authentication. And a user information update unit for updating the contents of the user information database.
請求項7の本発明は、クライアントが送信した名前解決要求メッセージに対して、名前解決サーバが名前解決を行い、名前解決応答メッセージによって前記名前解決の結果を返す名前解決方法であって、前記クライアントから前記名前解決サーバへ送信された名前解決要求メッセージは、前記クライアントと前記名前解決サーバとの間に存在する、受信したパケットを他のノードに転送する機能を備えるパケット転送装置によって一旦受信され、前記パケット転送装置により、前記名前解決要求メッセージの送信者であるユーザに関する属性情報が、前記名前解決要求メッセージに含まれる送信元アドレスに基づいて取得され、前記属性情報を前記名前解決要求メッセージに付加された後に前記名前解決要求メッセージを前記名前解決サーバへ送信され、前記名前解決サーバは、前記パケット転送装置によって送信された前記名前解決要求に含まれる前記属性情報に基づいて、前記名前解決の結果である名前解決応答メッセージを返し、前記名前解決応答メッセージは、前記パケット転送装置を介して前記クライアントへ返されることを特徴とする。 The present invention of claim 7 is a name resolution method in which a name resolution server performs name resolution on a name resolution request message sent by a client and returns the result of the name resolution by a name resolution response message. The name resolution request message transmitted from the client to the name resolution server is temporarily received by a packet forwarding apparatus that exists between the client and the name resolution server and has a function of forwarding a received packet to another node, Attribute information about the user who is the sender of the name resolution request message is acquired by the packet transfer device based on a source address included in the name resolution request message, and the attribute information is added to the name resolution request message. After the name resolution request message is sent to the name resolution server And the name resolution server returns a name resolution response message as a result of the name resolution based on the attribute information included in the name resolution request transmitted by the packet transfer apparatus, and the name resolution response message Is returned to the client via the packet transfer device.
本発明の第1の名前解決サーバは、名前解決要求メッセージを送信したユーザの属性情報が登録されているユーザ情報データベースを参照することにより、名前解決要求メッセージを送信したユーザの属性情報を取得するユーザ情報取得部と、取得した属性情報に基づいて名前解決をきめ細かにカスタマイズする応答作成部を有する。このような構成を採用することにより、本発明の第1の名前解決サーバは、受信した名前解決要求メッセージには含まれていない該メッセージ送信者の属性情報を用いて名前解決をカスタマイズすることができるため、クライアントは名前解決サーバが名前解決をカスタマイズするために必要な属性情報を該メッセージに含める必要はない。すなわち現在のユーザ環境(ユーザが利用する端末やOS、アプリケーションソフトウェアなど)を変更する必要なく、名前解決サーバにおいて多様な属性情報に基づく名前解決のカスタマイズが可能になる。したがって本発明の第1の目的を達成することができる。 The first name resolution server of the present invention acquires attribute information of the user who transmitted the name resolution request message by referring to the user information database in which the attribute information of the user who transmitted the name resolution request message is registered. A user information acquisition unit and a response creation unit that finely customizes name resolution based on the acquired attribute information. By adopting such a configuration, the first name resolution server of the present invention can customize name resolution using the attribute information of the message sender that is not included in the received name resolution request message. The client does not need to include in the message the attribute information that the name resolution server needs to customize name resolution. That is, name resolution based on various attribute information can be customized in the name resolution server without changing the current user environment (terminal, OS, application software, etc. used by the user). Therefore, the first object of the present invention can be achieved.
本発明の第2の名前解決サーバは、本発明の第1の名前解決サーバの構成に加えて、ユーザ情報管理部を含む。ユーザ情報管理部は、認証サーバが収集した属性情報及びログイン状況についての情報を認証サーバから取得する認証情報取得部と、さらに取得した属性情報及びログイン状況についての情報に基づいて、ユーザ情報データベースに属性情報を動的に登録したり、またはユーザ情報データベースから属性情報を動的に削除したりするユーザ情報管理部とを有する。このような構成を採用し、名前解決の際に参照される属性情報の登録または削除をユーザ情報データベースに対して自動的に行うことにより、本発明の第2の目的を達成することができる。 The second name resolution server of the present invention includes a user information management unit in addition to the configuration of the first name resolution server of the present invention. The user information management unit stores the attribute information and login status information collected by the authentication server from the authentication server, and further stores the acquired attribute information and login status information in the user information database. A user information management unit that dynamically registers attribute information or dynamically deletes attribute information from a user information database. By adopting such a configuration and automatically registering or deleting attribute information referred to in name resolution in the user information database, the second object of the present invention can be achieved.
本発明の第3の名前解決サーバは、名前に対応する接続先と該接続先へのパケット転送方法との両方が登録されている応答用データベースを参照し、名前解決要求メッセージにより問い合わされた名前に対応する接続先と該接続先へのパケット転送方法との両方を含む名前解決応答メッセージを作成する応答作成部を有する。このような構成を採用し、名前解決要求メッセージ受信した場合は、問い合わされた名前に対応する接続先と該接続先へのパケット転送方法を含む名前解決応答メッセージをクライアントに送信することにより、本発明のパケット転送装置が該名前解決応答メッセージに含まれるパケット転送方法を利用することが可能となる。したがって本発明の第3の目的を達成することができる。 The third name resolution server of the present invention refers to the response database in which both the connection destination corresponding to the name and the packet transfer method to the connection destination are registered, and the name inquired by the name resolution request message A response creation unit that creates a name resolution response message including both the connection destination corresponding to the packet and the packet transfer method to the connection destination. When such a configuration is adopted and a name resolution request message is received, a name resolution response message including a connection destination corresponding to the inquired name and a packet transfer method to the connection destination is transmitted to the client. The packet transfer apparatus of the invention can use the packet transfer method included in the name resolution response message. Therefore, the third object of the present invention can be achieved.
本発明のパケット転送装置は、名前解決要求メッセージを送信したユーザの属性情報を取得するユーザ情報取得部と、ユーザ情報取得部が取得した属性情報を名前解決要求メッセージに埋め込み、さらに本発明の第2の名前解決サーバが送信した名前解決応答メッセージからパケット転送方法を抜き取り、これをルーティングテーブルに保存するDNSプロキシ部とを有する。このような構成を採用し、パケットを転送する際には、本発明の第2の名前解決サーバが送信した名前解決応答メッセージから抽出したパケット転送方法を参照することにより、本発明の第4の目的を達成することができる。 The packet transfer apparatus of the present invention includes a user information acquisition unit that acquires attribute information of a user who has transmitted a name resolution request message, and embedding the attribute information acquired by the user information acquisition unit in the name resolution request message. And a DNS proxy unit that extracts the packet transfer method from the name resolution response message transmitted by the name resolution server 2 and stores it in the routing table. When such a configuration is adopted and a packet is transferred, the packet transfer method extracted from the name resolution response message transmitted by the second name resolution server of the present invention is referred to, so that the fourth Aim can be achieved.
第1の効果は、クライアントにおけるリゾルバの変更なしに、名前解決サーバにおける名前解決応答を、名前解決要求メッセージの送信者(ユーザ)の任意の属性情報に基づいて柔軟にカスタマイズできる。 The first effect is that the name resolution response in the name resolution server can be flexibly customized based on arbitrary attribute information of the sender (user) of the name resolution request message without changing the resolver in the client.
その理由は、本発明の第1の名前解決サーバが、ユーザ属性情報が格納されたユーザ情報データベースを保持し、名前解決要求メッセージ受信時に、該データベースを参照することにより、ユーザ属性情報を考慮した名前解決処理のカスタマイズを行うことができるからである。 The reason is that the first name resolution server of the present invention holds a user information database in which user attribute information is stored, and considers the user attribute information by referring to the database when receiving the name resolution request message. This is because the name resolution process can be customized.
第2の効果は、名前解決サーバにおいて、名前解決応答をカスタマイズするために用いる名前解決要求メッセージの送信者に関するユーザ属性情報を含むデータベースを自動的に作成・管理することができる。 The second effect is that the name resolution server can automatically create and manage a database including user attribute information related to the sender of the name resolution request message used to customize the name resolution response.
その理由は、本発明の第2の名前解決サーバが認証サーバと連携し、該認証サーバから該ユーザ属性情報を動的に取得し、該データベースに対して該ユーザ属性情報の登録・削除を自動的に行うことができるからである。 The reason is that the second name resolution server of the present invention cooperates with the authentication server, dynamically acquires the user attribute information from the authentication server, and automatically registers and deletes the user attribute information from the database. It is because it can be performed.
第3の効果は、名前解決サーバがクライアントに対して送信する名前解決応答メッセージに含まれる情報を、クライアントだけではなく、クライアントとDNSサーバ間に設置されているパケット転送装置も利用することが可能になる。 The third effect is that the information included in the name resolution response message sent from the name resolution server to the client can be used not only by the client but also by a packet transfer apparatus installed between the client and the DNS server. become.
その理由は、本発明の名前解決サーバがクライアントに名前解決応答メッセージを送信する際に、通常の名前解決応答とともに該応答に対応する本発明のパケット転送装置におけるパケット転送方法も埋めこんで送信し、さらに本発明のパケット転送装置は該応答メッセージがクライアントに到達する前に該応答メッセージを一旦受信し、該応答メッセージ内に埋めこまれたパケット転送方法を抽出して自ノード内のルーティングテーブルに対応するエントリを作成するからである。 The reason is that when the name resolution server of the present invention transmits a name resolution response message to the client, the packet transfer method in the packet transfer apparatus of the present invention corresponding to the response is embedded together with the normal name resolution response. Further, the packet transfer apparatus of the present invention receives the response message once before the response message reaches the client, extracts the packet transfer method embedded in the response message, and stores it in the routing table in its own node. This is because a corresponding entry is created.
次に、本発明の実施の形態について図面を参照して詳細に説明する。
図1を参照すると、本発明の第1の実施の形態は、クライアントA1と名前解決サーバであるDNSサーバB1とによって実現される。クライアントA1とDNSサーバB1はネットワークC1を介して接続されている。DNSサーバB1は、DNSにおける名前解決機能をもつサーバだけではなく、他の用途における名前解決機能をもつサーバとして一般化することもできる。他の用途における名前解決機能をもつサーバの例として、WINS(Windows(登録商標) Internet Name Service)サーバやNIS(Network Information Service)サーバが挙げられる。ただし、以下では名前解決機能を持つサーバとしてDNSサーバを例にとり説明する。
Next, embodiments of the present invention will be described in detail with reference to the drawings.
Referring to FIG. 1, the first embodiment of the present invention is realized by a client A1 and a DNS server B1 which is a name resolution server. The client A1 and the DNS server B1 are connected via the network C1. The DNS server B1 can be generalized not only as a server having a name resolution function in DNS but also as a server having a name resolution function in other applications. Examples of a server having a name resolution function in other applications include a WINS (Windows (registered trademark) Internet Name Service) server and a NIS (Network Information Service) server. However, a DNS server will be described as an example of a server having a name resolution function below.
クライアントA1は、「www.biglobe.ne.jp」や、「ftp.nec.com」など、ネットワーク上のノードのFQDNに対応するIPアドレスを解決するため、あるいは逆にあるIPアドレスに対応するFQDNを解決するためにDNSサーバB1に対して名前解決要求メッセージとしてDNSクエリメッセージを送信する。他にも、クライアントA1がDNSサーバB1を利用する目的の例としては、RFC2782に記載されているような、ftpやhttpなどのサービス名に対応する該サービスを提供するホストとポート番号の解決や、RFC2916に記載されているような、電話番号に対応するURI(Universal Resource Identifier)の解決などが挙げられる。ただし、以下、DNSサーバB1によってFQDNからIPアドレスの解決またはIPアドレスからFQDNの解決を行なう場合を中心にして説明する。 The client A1 resolves the IP address corresponding to the FQDN of the node on the network, such as “www.biglobe.ne.jp” or “ftp.nec.com”, or the FQDN corresponding to the IP address in the opposite direction. In order to resolve this, a DNS query message is transmitted as a name resolution request message to the DNS server B1. Other examples of the purpose of the client A1 using the DNS server B1 include resolution of a host and a port number that provide the service corresponding to a service name such as ftp or http as described in RFC2782. As described in RFC 2916, a URI (Universal Resource Identifier) corresponding to a telephone number can be used. However, the following description will focus on the case where the DNS server B1 resolves the IP address from the FQDN or resolves the FQDN from the IP address.
クライアントA1は、送信したDNSクエリメッセージに対して、DNSサーバB1から返される名前解決応答メッセージとしてDNS応答メッセージを受信する。DNS応答メッセージには、名前解決の結果が含まれる。 In response to the transmitted DNS query message, the client A1 receives the DNS response message as a name resolution response message returned from the DNS server B1. The DNS response message includes the result of name resolution.
クライアントA1の例としては、一般的にはPC(Personal Computer)や携帯端末、ワークステーションなどの端末ノード(利用端末)が挙げられるが、その他、DNSサーバB1以外の別のDNSサーバが何らかの名前解決を行うためにDNSサーバB1に対して再帰的なDNSクエリを行う場合もあり、このようなDNSサーバをクライアントA1に含めて考えることができる。 An example of the client A1 is generally a terminal node (use terminal) such as a PC (Personal Computer), a portable terminal, or a workstation. In addition, another DNS server other than the DNS server B1 has some name resolution. In some cases, a recursive DNS query is performed on the DNS server B1 in order to perform the above, and such a DNS server can be included in the client A1.
DNSサーバB1は、クエリ受信部B11と、ユーザ情報識別部B12と、ユーザ情報取得部B13と、ユーザ情報データベースB14と、応答作成部B15と、応答用データベースB16と、応答送信部B17とを含む。 The DNS server B1 includes a query reception unit B11, a user information identification unit B12, a user information acquisition unit B13, a user information database B14, a response creation unit B15, a response database B16, and a response transmission unit B17. .
DNSサーバB1は、従来のDNSサーバの構成と比べ、ユーザ情報識別部12と、ユーザ情報取得部B13と、ユーザ情報データベースB14とを新たに有する点が大きく異なる。 The DNS server B1 is significantly different from the conventional DNS server in that it includes a user information identification unit 12, a user information acquisition unit B13, and a user information database B14.
クエリ受信部B11は、クライアントA1が送信したDNSクエリメッセージを受信し、それをユーザ情報識別部B12に渡す。 The query receiving unit B11 receives the DNS query message transmitted by the client A1, and passes it to the user information identifying unit B12.
ユーザ情報識別部B12は、DNSクエリメッセージを受け取ると、該メッセージ内に、該メッセージの送信者であるユーザのユーザ属性情報が含まれているかを調べ、含まれている場合は該ユーザ属性情報を読み取って識別する。もし含まれていない場合は、ユーザ情報取得部B13を介してユーザ情報データベースB14からDNSクエリメッセージの送信者のユーザ属性情報を取得する処理を行う。 Upon receiving the DNS query message, the user information identification unit B12 checks whether the user attribute information of the user who is the sender of the message is included in the message, and if it is included, displays the user attribute information. Read and identify. If not included, a process is performed for acquiring user attribute information of the sender of the DNS query message from the user information database B14 via the user information acquisition unit B13.
また、ユーザ情報識別部B12は、ユーザ属性情報を取得できた場合は、ユーザ属性情報とDNSクエリメッセージを応答作成部B15に渡す。ユーザ属性情報を取得できなかった場合は、DNSクエリメッセージのみを応答作成部B15に渡す。 In addition, when the user attribute identification unit B12 can acquire the user attribute information, the user information identification unit B12 passes the user attribute information and the DNS query message to the response creation unit B15. When the user attribute information cannot be acquired, only the DNS query message is passed to the response creation unit B15.
ここで、ユーザ属性情報とは、例えばユーザ(クライアントA1)のユーザID、位置情報、趣味若しくは行動履歴などの嗜好に関する情報、携帯電話やPDA(Personal Digital Assistants)、ノートパソコンといった利用端末種別、利用端末にインストールされているOS(Operating System)、装備されているネットワークインタフェースやCPU速度、メモリ量といった利用端末に関する情報、利用端末のIPアドレスおよびMACアドレス、ADSL(Asymmetric Digital Subscriber Line)やISDN(Integrated Services Digital Network)といった接続回線種別、接続回線速度、接続しているNAS(Network Access Server)のIPアドレスといったネットワークへの接続状況に関する情報などの、ユーザに関する情報全般を指す。 Here, the user attribute information is, for example, the user ID of the user (client A1), location information, information on preferences such as hobbies or behavior history, the type of terminal used such as a mobile phone, PDA (Personal Digital Assistants), and a notebook computer. OS (Operating System) installed in the terminal, installed network interface, CPU speed, information on the used terminal such as the amount of memory, IP address and MAC address of the used terminal, ADSL (Asymmetric Digital Subscriber Line) and ISDN (Integrated) Service line type (Services Digital Network), connection line speed, connected NAS (N Such as information about the connection status to twork Access Server) IP address, such as network, refer to the information in general about the user.
ユーザ情報取得部B13は、DNSサーバB1が受信したDNSクエリメッセージ内に該メッセージの送信者のユーザ属性情報が含まれていない場合に、ユーザ情報識別部B12から渡された情報(該メッセージのソースIPアドレスまたはソースMACアドレスなど)を基にユーザ情報データベースB14から該ユーザ属性情報を取得し、ユーザ情報識別部B12へ渡す。 When the user attribute information of the sender of the message is not included in the DNS query message received by the DNS server B1, the user information acquisition unit B13 receives the information passed from the user information identification unit B12 (the source of the message The user attribute information is acquired from the user information database B14 based on the IP address or the source MAC address, etc., and passed to the user information identification unit B12.
ユーザ情報データベースB14には、DNSサーバB1に対して名前解決を行うユーザのユーザ属性情報及びユーザ属性情報を取得するための参照先が登録されている。ユーザ情報データベースB14には、必要に応じて任意のユーザ属性情報を登録しておくことができる。 In the user information database B14, user attribute information of a user who performs name resolution with respect to the DNS server B1 and a reference destination for acquiring the user attribute information are registered. Arbitrary user attribute information can be registered in the user information database B14 as necessary.
ユーザ情報データベースB14の内容例を図2に示す。図2のユーザ情報データベースB14では、ISP(Internet Service Provider)が運営するネットワークへのログインID、利用端末のIPアドレス、接続回線種別、接続しているNASのIPアドレス、及びユーザ情報データベースB14には直接登録されていないが外部のサーバから必要なユーザ属性情報が取得できる場合に、該ユーザ属性情報を取得するための参照先が登録されている。 An example of the contents of the user information database B14 is shown in FIG. In the user information database B14 of FIG. 2, the login ID to the network operated by the ISP (Internet Service Provider), the IP address of the terminal used, the type of connection line, the IP address of the connected NAS, and the user information database B14 When necessary user attribute information can be acquired from an external server although not directly registered, a reference destination for acquiring the user attribute information is registered.
図2において「―」は、該当する項目の内容がこのユーザ情報データベースB14に登録されていないことを示している。例えば1番目のエントリでは参照先が「―」となっており、このエントリに属性情報が登録されているユーザに関してはこれ以上の属性情報を得るための参照先が不明または存在しないことを示している。また2番目のエントリは、接続回線種別が不明であることが示されており、登録されていないユーザ属性情報については参照先に登録されているIPアドレス「8.9.1.4」で指定されるノードを参照することで取得可能であることが示されている。さらに3番目のエントリでは、利用端末のIPアドレスが「123.45.1.0/24」の範囲にあるユーザ属性情報を、IPアドレスが「9.9.9.9」で指定されるノードを参照することで取得可能であることが示されている。 In FIG. 2, “-” indicates that the content of the corresponding item is not registered in the user information database B14. For example, in the first entry, the reference destination is “-”, and for a user whose attribute information is registered in this entry, it indicates that the reference destination for obtaining more attribute information is unknown or does not exist. Yes. The second entry indicates that the connection line type is unknown, and the user attribute information that is not registered is designated by the IP address “8.9.1.4” registered in the reference destination. It is shown that it can be obtained by referring to the node to be executed. Furthermore, in the third entry, the user attribute information whose IP address of the using terminal is in the range of “123.45.1.0/24” is specified, and the node whose IP address is specified by “9.9.9.9” It is shown that it can be obtained by referring to.
応答作成部B15は、応答用データベースB16を参照し、DNSクエリメッセージにより要求されたFQDN→IPアドレスまたは、IPアドレス→FQDNなどの名前解決処理を行う。ここで、ユーザ情報識別部B12からDNSクエリメッセージと共に、ユーザ属性情報を渡された場合は、ユーザ属性情報を考慮した名前解決処理を行う。ユーザ属性情報を考慮することにより、例えばユーザが動画の配信を行っているサーバのFQDN→IPアドレスの名前解決を要求した際、同一のFQDNに関するDNSクエリであっても、例えば接続回線種別がADSL回線であるユーザには広帯域で配信を行っているサーバのIPアドレスを解決したり、接続回線種別がISDN回線であるユーザには狭帯域で配信を行っているサーバのIPアドレスを解決したりするといったユーザ毎の名前解決処理のカスタマイズを行うことができる。 The response creation unit B15 refers to the response database B16 and performs name resolution processing such as FQDN → IP address or IP address → FQDN requested by the DNS query message. Here, when the user attribute information is transferred together with the DNS query message from the user information identification unit B12, the name resolution process considering the user attribute information is performed. By considering the user attribute information, for example, when the user requests the name resolution of the FQDN → IP address of the server that distributes the video, even if the DNS query is related to the same FQDN, for example, the connection line type is ADSL For users who are on the line, resolve the IP address of the server that distributes in a wide band, or for users whose connection line type is an ISDN line, resolve the IP address of the server that distributes in a narrow band It is possible to customize name resolution processing for each user.
応答用データベースB16には、ユーザの属性毎にFQDN→IPアドレス及び、IPアドレス→FQDNなどの解決方法を示すエントリが登録されている。ユーザ属性情報に依存しないデフォルトの名前解決方法も登録されている。 In the response database B16, entries indicating solutions such as FQDN → IP address and IP address → FQDN are registered for each user attribute. A default name resolution method that does not depend on user attribute information is also registered.
応答用データベースB16の例を図3に示す。図3に示した応答用データベースB16は2種類のテーブルから構成される。一つはFQDN→IPアドレスなどの具体的な名前解決方法が登録されているテーブル(ゾーンファイル)であり、ゾーンファイル202及び203が該当する。このゾーンファイル202、203に登録される主な情報には、エントリの種類を示すTYPE、名前解決のキーとなるFQDN、名前解決により応答するデータを示すDATAがある。用いられるTYPEの例としては、あるFQDNに対応するIPアドレスの解決を示すAレコード、あるFQDNに対応するメールサーバのアドレスの解決を示すMXレコード、あるFQDNの別名を示すCNAMEレコードなどがある。ここで、ゾーンファイル202の1番目のエントリを参照すると、エントリの種類(TYPE)がFQDNからIPアドレスの解決を示すAレコードであり、FQDN:www.aaa.comに対応するIPアドレス(DATA)が「9.8.7.6」であることが示されている。 An example of the response database B16 is shown in FIG. The response database B16 shown in FIG. 3 includes two types of tables. One is a table (zone file) in which specific name resolution methods such as FQDN → IP address are registered, and zone files 202 and 203 correspond thereto. The main information registered in the zone files 202 and 203 includes TYPE indicating the type of entry, FQDN as a key for name resolution, and DATA indicating data responding by name resolution. Examples of TYPE used include an A record indicating resolution of an IP address corresponding to a certain FQDN, an MX record indicating resolution of a mail server address corresponding to a certain FQDN, and a CNAME record indicating an alias of a certain FQDN. Here, referring to the first entry of the zone file 202, the entry type (TYPE) is an A record indicating the resolution of the IP address from the FQDN, and the FQDN: www. aaa. It is shown that the IP address (DATA) corresponding to “com” is “9.8.7.6”.
もう一つは、ユーザ属性情報及びドメイン空間毎に名前解決方法の参照先が登録されているテーブル(名前解決テーブル)であり、名前解決テーブル201が該当する。名前解決テーブル201では、ユーザIPアドレス、ユーザID、接続回線種別及びNASのIPアドレスといったユーザ属性情報の組み合わせ毎に、名前解決方法の参照先が登録されている。 The other is a table (name resolution table) in which reference destinations of name resolution methods are registered for each user attribute information and domain space, and corresponds to the name resolution table 201. In the name resolution table 201, reference destinations of name resolution methods are registered for each combination of user attribute information such as user IP address, user ID, connection line type, and NAS IP address.
名前解決テーブル201において、「−」は名前解決の際に考慮しないユーザ属性情報を示している。例えば1番目のエントリでは、ユーザ属性情報のうち、ユーザIPアドレス及びユーザIDは考慮されず、接続回線種別およびNASアドレスのみが考慮されることになる。1番目のエントリは、ユーザIPアドレス及びユーザIDが任意であって、接続回線種別がADSL回線でありかつ、接続しているNASのIPアドレスが「30.30.30.30」であるユーザが、ドメイン空間aaa.comに属するFQDNの問い合わせを行った際に、ゾーンファイルadsl_aaa_com.dat(ゾーンファイル202)が参照されることを示している。同様に、3番目のエントリは、ユーザ属性情報のうち、ユーザIPアドレス、アクセス回線種別及びNASのIPアドレスが任意で、ユーザIDが「jiro」のユーザが、ドメイン空間bbb.comに属するFQDNの問い合わせを行った際に、ゾーンファイルjiro_bbb_com.datが参照されることを示している。また、4番目のエントリは、IPアドレス「123.45.1.5」から、ドメイン空間bbb.comに属するFQDNのDNSクエリがあった場合は、IPアドレス「1.2.3.4」で指定される他のDNSサーバにおいて名前解決処理が行われることを示している。 In the name resolution table 201, “-” indicates user attribute information that is not considered in name resolution. For example, in the first entry, the user IP address and the user ID are not considered in the user attribute information, but only the connection line type and the NAS address are considered. The first entry is for a user whose user IP address and user ID are arbitrary, the connection line type is an ADSL line, and the IP address of the connected NAS is “30.30.30.30”. , Domain space aaa. When the FQDN belonging to the FQDN is inquired, the zone file adsl_aaa_com. dat (zone file 202) is referred to. Similarly, in the third entry, the user IP address, the access line type, and the NAS IP address are arbitrary in the user attribute information, and the user whose user ID is “jiro” is the domain space bbb. When the FQDN belonging to the FQDN is inquired, the zone file jiro_bbb_com. dat is referred to. The fourth entry includes an IP address “123.45.1.5” and a domain space bbb. When there is a DNS query of FQDN belonging to “com”, it indicates that name resolution processing is performed in another DNS server specified by the IP address “1.2.3.4”.
また、最後のエントリ(DEFAULT)にはユーザ属性情報に依存しないデフォルトのIPアドレスの解決方法が登録されている。このエントリは、ユーザ属性情報が名前解決テーブル201に登録されているユーザ属性情報のいずれにも該当しない場合、またはユーザ情報識別部B12においてDNSクエリメッセージに対応するユーザ属性情報が取得できなかった場合に参照される。 In the last entry (DEFAULT), a default IP address resolution method that does not depend on user attribute information is registered. This entry is when the user attribute information does not correspond to any of the user attribute information registered in the name resolution table 201, or when the user attribute information corresponding to the DNS query message cannot be acquired in the user information identification unit B12 To be referenced.
応答送信部B17は、応答作成部B15から渡された名前解決の処理結果を元にDNS応答メッセージを生成し、クライアントA1へ送信する。 The response transmission unit B17 generates a DNS response message based on the name resolution processing result passed from the response creation unit B15, and transmits the DNS response message to the client A1.
次に、図4を参照して、本実施の形態において、DNSサーバB1がDNSクエリメッセージを受信してから応答メッセージを送信するまでの動作について詳細に説明する。 Next, with reference to FIG. 4, in this Embodiment, the operation | movement until it transmits a response message after the DNS server B1 receives a DNS query message is demonstrated in detail.
クエリ受信部B11は、クライアントA1からDNSクエリメッセージを受信すると(図4のステップS101)、該メッセージをユーザ情報識別部B12に渡す。 When receiving a DNS query message from the client A1 (step S101 in FIG. 4), the query receiving unit B11 passes the message to the user information identifying unit B12.
ユーザ情報識別部B12は、DNSクエリメッセージを受け取ると、該メッセージの送信者のユーザ属性情報の取得処理を行う(ステップS102)。 When receiving the DNS query message, the user information identification unit B12 performs a process of acquiring user attribute information of the sender of the message (step S102).
ここで、図5を参照して、ステップS102のユーザ属性情報の取得処理を詳細に説明する。 Here, the user attribute information acquisition process in step S102 will be described in detail with reference to FIG.
まず、ユーザ情報識別部B12は、受信したDNSクエリメッセージに、ユーザ属性情報が埋め込まれているか否かを判断する(図5のステップS1021)。ユーザ属性情報が埋め込まれている場合はこれを読み出して取得し(ステップS1022)、ユーザ属性情報の取得処理は終了する。 First, the user information identification unit B12 determines whether user attribute information is embedded in the received DNS query message (step S1021 in FIG. 5). If the user attribute information is embedded, it is read out and acquired (step S1022), and the user attribute information acquisition process ends.
ステップS1021でユーザ属性情報が埋め込まれていない場合は、受信したDNSクエリメッセージはユーザ情報識別部B12からユーザ情報取得部B13へ渡され、ユーザ情報取得部B13は該メッセージを送信したユーザを特定する手がかりとなる情報を抽出する(ステップS1023)。抽出する手がかりとなる情報の例としては、DNSクエリメッセージのソースIPアドレスが挙げられる。クライアントA1がユーザ利用端末のリゾルバである場合、DNSクエリメッセージのソースIPアドレスはユーザの利用端末のIPアドレスであるためである。また、クライアントA1がユーザ利用端末のリゾルバであり、クライアントA1とDNSサーバB1が途中にルータを介さず直接接続されている場合は、クライアントA1のソースMACアドレスも同様にDNSクエリメッセージを送信したユーザを特定する手がかりとして利用することができる。 If the user attribute information is not embedded in step S1021, the received DNS query message is passed from the user information identification unit B12 to the user information acquisition unit B13, and the user information acquisition unit B13 identifies the user who transmitted the message. Information serving as a clue is extracted (step S1023). As an example of information to be extracted, a source IP address of a DNS query message can be given. This is because when the client A1 is the resolver of the user using terminal, the source IP address of the DNS query message is the IP address of the user using terminal. In addition, when the client A1 is a resolver of a user terminal and the client A1 and the DNS server B1 are directly connected without a router in the middle, the source MAC address of the client A1 is also the same as the user who transmitted the DNS query message. It can be used as a clue to specify.
次に、ユーザ情報取得部B13は、ユーザ情報データベースB14からステップS1023で抽出した情報に該当するエントリを検索する(ステップS1024)。 Next, the user information acquisition unit B13 searches for an entry corresponding to the information extracted in step S1023 from the user information database B14 (step S1024).
ステップS1024において、対応するエントリが存在しない場合は、ステップS103の取得処理は終了する(ステップS1025)。 If there is no corresponding entry in step S1024, the acquisition process in step S103 ends (step S1025).
ステップS1024において、対応するエントリが存在した場合、ユーザ情報取得部B13は、対応するエントリの内容をもとに、ユーザ属性情報をローカルのユーザ情報データベースB14以外の情報源も参照して取得すべきか否かを判断する(ステップS1025、S1026)。ユーザ属性情報をローカルのユーザ情報データベースB14以外の他の情報源を参照して取得する必要がないと判断した場合は、ユーザ情報取得部B13はステップS1025で発見したエントリからユーザ属性情報を取得する(ステップS1027)。 If there is a corresponding entry in step S1024, should the user information acquisition unit B13 acquire user attribute information with reference to an information source other than the local user information database B14 based on the contents of the corresponding entry? It is determined whether or not (steps S1025 and S1026). If it is determined that the user attribute information need not be acquired with reference to another information source other than the local user information database B14, the user information acquisition unit B13 acquires the user attribute information from the entry found in step S1025. (Step S1027).
他の情報源も参照してユーザ属性情報を取得すべきと判断した場合は、ユーザ情報取得部B13はステップS1025で発見したエントリからユーザ属性情報を取得するのに加えて、更にユーザ情報データベースB14以外の情報源も参照してユーザ属性情報の取得処理を行う。(ステップS1028)。 When it is determined that the user attribute information should be acquired with reference to other information sources, the user information acquisition unit B13 acquires user attribute information from the entry found in step S1025, and further includes the user information database B14. User attribute information acquisition processing is performed with reference to other information sources. (Step S1028).
上記において、ローカルのユーザ情報データベースB14以外の情報源も参照して取得すべきか否かは、ユーザ情報データベースB14に外部のサーバ等の参照先が登録されているかどうかによって判断する。 In the above, whether or not to acquire by referring to information sources other than the local user information database B14 is determined by whether or not a reference destination such as an external server is registered in the user information database B14.
例えば、ユーザ情報データベースB14が図2に示す内容である場合のステップS1025〜S1028の例を述べる。DNSクエリメッセージからユーザを特定する手がかりとなる情報としてソースIPアドレスを抽出し、そのIPアドレスが「123.45.0.2」であった場合、ユーザ情報取得部B13は、ユーザ情報データベースB14からIPアドレスが「123.45.0.2」となっているエントリを検索する(ステップS1025)。この場合発見されるエントリは1番目のエントリであり、その参照先は「―」となっているため、ユーザ情報取得部B13は、他のノード(外部のサーバ等)を参照せず、ユーザ情報データベースB14のみを参照して取得すると判断し(ステップS1026)、1番目のエントリに示されているユーザ属性情報を取得する(ステップS1027)。 For example, an example of steps S1025 to S1028 when the user information database B14 has the contents shown in FIG. 2 will be described. When the source IP address is extracted from the DNS query message as information for identifying the user, and the IP address is “123.45.0.2”, the user information acquisition unit B13 reads from the user information database B14. An entry whose IP address is “123.45.0.2” is searched (step S1025). In this case, the found entry is the first entry, and the reference destination is “-”. Therefore, the user information acquisition unit B13 does not refer to other nodes (external servers, etc.), and the user information Judgment is made by referring only to the database B14 (step S1026), and the user attribute information indicated in the first entry is obtained (step S1027).
DNSクエリメッセージのソースIPアドレスが「123.45.0.4」であった場合は、2番目のエントリが発見される。その参照先には、参照先のノードのIPアドレスが登録されているため、ユーザ情報取得部B13は、他のノードを参照すべきだと判断し(ステップS1026)、2番目のエントリに登録されているユーザ属性情報を取得するとともに、登録されているIPアドレスのノードが保持するユーザ属性情報のデータベースからもユーザ属性情報を取得する(ステップS1028)。 If the source IP address of the DNS query message is “123.45.0.4”, the second entry is found. Since the IP address of the reference destination node is registered in the reference destination, the user information acquisition unit B13 determines that another node should be referred to (step S1026) and is registered in the second entry. The user attribute information is also acquired from the database of user attribute information held by the node of the registered IP address (step S1028).
図4のフローチャートの説明に戻る。ユーザ情報識別部B12は、ステップS102におけるユーザ属性情報取得処理の後、DNSサーバB1が受信したDNSクエリメッセージと該メッセージ送信者のユーザ属性情報とを一緒に応答作成部B15へ渡す。ステップS102において、該メッセージ送信者のユーザ属性情報が取得できなかった場合は、対応するユーザ属性情報はないものとして該メッセージを取り扱い、該DNSクエリメッセージだけを応答作成部B15へ渡す。 Returning to the flowchart of FIG. After the user attribute information acquisition process in step S102, the user information identification unit B12 passes the DNS query message received by the DNS server B1 and the user attribute information of the message sender together to the response creation unit B15. If the user attribute information of the message sender cannot be acquired in step S102, the message is handled as having no corresponding user attribute information, and only the DNS query message is passed to the response creation unit B15.
応答作成部B15は、DNSクエリメッセージと対応するユーザ属性情報を一緒に渡された場合、DNSクエリメッセージで問い合わされたFQDN又はIPアドレス、及びユーザ属性情報に該当するエントリを、応答用データベースB16を参照して検索する(ステップS103)。DNSクエリメッセージだけを受け取った場合は、受け取ったDNSクエリメッセージで問い合わされたFQDN又はIPアドレスに該当するデフォルトのエントリを、応答用データベースB16を参照して検索する(ステップS103)。 When the response creation unit B15 is passed together with the DNS query message and the corresponding user attribute information, the response creation unit B15 displays the FQDN or IP address inquired in the DNS query message and the entry corresponding to the user attribute information in the response database B16. Search by referring to (step S103). When only the DNS query message is received, a default entry corresponding to the FQDN or IP address inquired by the received DNS query message is searched with reference to the response database B16 (step S103).
応答作成部B15は、検索したエントリの内容から名前解決が他のDNSサーバで行われるべきか否かを判断する(ステップS104)。ここでは、図3に示す応答用データベースB16の名前解決テーブル201の参照先として他のDNSサーバのアドレスが登録されている場合に、名前解決が他のDNSサーバで行われるべきと判断される。 The response creation unit B15 determines whether name resolution should be performed by another DNS server from the contents of the retrieved entry (step S104). Here, when the address of another DNS server is registered as a reference destination of the name resolution table 201 of the response database B16 shown in FIG. 3, it is determined that the name resolution should be performed by the other DNS server.
ステップS104において、他のDNSサーバで行われるべきであると判断した場合は、名前解決処理が他のDNSサーバによって行なわれるように処理する(ステップS106)。名前解決処理が他のDNSサーバで行われるように処理する方法の例として、以下の二つの方法が挙げられる。 In step S104, when it is determined that it should be performed by another DNS server, the name resolution process is performed by another DNS server (step S106). The following two methods can be given as examples of a method for performing the name resolution processing so that it is performed by another DNS server.
第1の方法は、他のDNSサーバに、ユーザ情報識別部B12から渡されたユーザ属性情報とDNSクエリメッセージの両方またはDNSクエリメッセージのみを、転送する方法である。この方法を採用する場合の応答作成部B15の構成を図6に示す。 The first method is a method of transferring both the user attribute information passed from the user information identifying unit B12 and the DNS query message or only the DNS query message to another DNS server. FIG. 6 shows the configuration of the response creation unit B15 when this method is adopted.
図6を参照すると、応答作成部B15は応答作成メイン部B151とリゾルバ部B152とを含む。応答作成メイン部B151は、上記のステップS103及びステップS104の処理を行い、ステップS104において名前解決が他のDNSサーバで行われるべきであると判断した場合、リゾルバ部B152に対して、ユーザ情報識別部B12から渡されたユーザ属性情報とDNSクエリメッセージの両方またはDNSクエリメッセージのみを渡し、さらに名前解決が行われるべき他のDNSサーバを通知する。リゾルバ部B152は、応答作成メイン部B151から渡された情報を元に、ユーザ属性情報とDNSクエリメッセージの両方またはDNSクエリメッセージのみの転送を行う。 Referring to FIG. 6, the response creation unit B15 includes a response creation main unit B151 and a resolver unit B152. When the response generation main unit B151 performs the processing of steps S103 and S104 described above and determines in step S104 that name resolution should be performed by another DNS server, the response generation main unit B151 identifies the user information to the resolver unit B152. Both the user attribute information passed from the part B12 and the DNS query message or only the DNS query message are passed, and other DNS servers to be subjected to name resolution are notified. The resolver unit B152 transfers both the user attribute information and the DNS query message or only the DNS query message based on the information passed from the response creation main unit B151.
リゾルバ部B152がユーザ属性情報とDNSクエリメッセージの両方を他のDNSサーバへ転送する方法としては、例えばDNSクエリメッセージをDNSメッセージのフォーマットに従って構築し、その中にユーザ属性情報を埋め込んで送信する方法が考えられる。DNSメッセージのフォーマットには、付加的な情報を埋め込むために付加情報部と呼ばれるフィールドが用意されており、付加情報部には任意の情報をDNSの資源レコードの形式で埋め込むことができる。 As a method for the resolver unit B152 to transfer both the user attribute information and the DNS query message to another DNS server, for example, a DNS query message is constructed according to the DNS message format, and the user attribute information is embedded in the DNS message and transmitted. Can be considered. In the DNS message format, a field called an additional information section is prepared for embedding additional information. Arbitrary information can be embedded in the DNS resource record format in the additional information section.
この方法では、受け取ったユーザ属性情報を資源レコードの形式にエンコードし、それをDNSクエリメッセージの付加情報部に埋め込み、他のDNSサーバに転送する(ステップS106)。そしてリゾルバ部B152は、該DNSクエリメッセージを転送した他のDNSサーバから、対応するDNS応答メッセージを受信すると、それを応答送信部B17に渡し、応答送信部B17が該応答メッセージをクライアントA1へ転送する(ステップS107)。 In this method, the received user attribute information is encoded into a resource record format, embedded in the additional information part of the DNS query message, and transferred to another DNS server (step S106). When the resolver unit B152 receives the corresponding DNS response message from the other DNS server that has transferred the DNS query message, the resolver unit B152 passes it to the response transmission unit B17, and the response transmission unit B17 transfers the response message to the client A1. (Step S107).
この転送方法をとることで、ユーザ属性情報が埋め込まれたDNSクエリメッセージを従来のDNSサーバにおいて処理することも可能となるため、本発明によるDNSサーバB1とそれ以外の従来からのDNSサーバの共存を図ることができる。 By using this transfer method, it is possible to process a DNS query message in which user attribute information is embedded in a conventional DNS server, so that the DNS server B1 according to the present invention and other conventional DNS servers coexist. Can be achieved.
第2の方法は、クライアントA1に、名前解決が他のDNSサーバで行われるべき旨を通知するメッセージをDNS応答メッセージとして返し、通知を受け取ったクライアントA1が改めて他のDNSサーバにDNSクエリメッセージを送信する方法である。この場合、応答送信部B17は、クライアントA1が改めてDNSクエリメッセージを送信すべき他のDNSサーバのIPアドレスを含むDNS応答メッセージをクライアントA1へ送信する(ステップS107)。 In the second method, a message notifying client A1 that name resolution should be performed by another DNS server is returned as a DNS response message, and client A1 receiving the notification again sends a DNS query message to another DNS server. How to send. In this case, the response transmission unit B17 transmits to the client A1 a DNS response message including the IP address of another DNS server to which the client A1 should transmit a DNS query message again (step S107).
一方、ステップS104において、応答作成部B15が、自サーバにおいて名前解決を行うべきであると判断した場合は、検索したエントリの内容に従って、FQDN→IPアドレスまたはIPアドレス→FQDNの名前解決を行い(ステップS105)、その結果を応答送信部B17に渡す。 On the other hand, in step S104, if the response creation unit B15 determines that the name resolution should be performed in its own server, the name resolution of FQDN → IP address or IP address → FQDN is performed according to the contents of the searched entry ( Step S105), and the result is passed to the response transmitter B17.
応答送信部B17は、受け取った名前解決結果を元にDNS応答メッセージを生成し、それをクライアントA1へ送信する(ステップS107)。 The response transmission unit B17 generates a DNS response message based on the received name resolution result, and transmits it to the client A1 (step S107).
以上の第1の実施の形態の説明においては、DNSサーバB1はユーザ情報データベースB14をその構成要素として含むものであった。他の構成として、ユーザ情報データベースB14がDNSサーバB1内ではなく別のサーバ内に保持される形態も考えられる。この場合の構成を第1の実施の形態の他例として図7に示す。 In the above description of the first embodiment, the DNS server B1 includes the user information database B14 as its component. As another configuration, a mode in which the user information database B14 is held not in the DNS server B1 but in another server is also conceivable. The configuration in this case is shown in FIG. 7 as another example of the first embodiment.
この他例では、先に示した図1の構成と比べ、先に示したDNSサーバB1の代わりに、ユーザ情報データベースB14を含まないDNSサーバB2が用いられ、さらに、ユーザ情報データベースD11をその構成要素として含むデータベースサーバD1が用いられる。 In this other example, a DNS server B2 that does not include the user information database B14 is used in place of the DNS server B1 shown above, compared to the configuration shown in FIG. A database server D1 included as an element is used.
図7に示す構成におけるDNSサーバB2の動作については、上述したDNSサーバB1の動作においてユーザ情報データベースB14をユーザ情報データベースD11と置きかえることにより同様に考えることができる。 The operation of the DNS server B2 in the configuration shown in FIG. 7 can be similarly considered by replacing the user information database B14 with the user information database D11 in the above-described operation of the DNS server B1.
データベースサーバD1の機能は、専用のノードにより実現することも、他のDNSサーバB1またはB2の一機能として実現することも可能である。後者の場合、ユーザ情報データベースD11は応答用データベースB16として管理され、ユーザ情報取得部B13は当該他のDNSサーバB1またはB2に対してDNSメッセージを用いてユーザ属性情報を取得することになる。 The function of the database server D1 can be realized by a dedicated node, or can be realized as a function of another DNS server B1 or B2. In the latter case, the user information database D11 is managed as a response database B16, and the user information acquisition unit B13 acquires user attribute information from the other DNS server B1 or B2 using a DNS message.
この場合の応答用データベースB16の内容例を図8に示す。図8に示す名前解決テーブル301は、図3に示した名前解決テーブル201と同様の形式をとっており、ユーザ属性情報は3番目のエントリを参照することで取得される。3番目のエントリは、ユーザ属性情報がファイルuser_com.dat(ゾーンファイル302)に格納されていることを示している。ゾーンファイル302には、図2に示したユーザ情報データベースB14と同じユーザ属性情報が格納されており、ユーザ属性情報はユーザの利用端末のIPアドレスを含むFQDNをキーとして、DNSの資源レコードの一種であるTXTレコードの形で格納されている。 An example of the contents of the response database B16 in this case is shown in FIG. The name resolution table 301 shown in FIG. 8 has the same format as the name resolution table 201 shown in FIG. 3, and the user attribute information is acquired by referring to the third entry. The third entry has user attribute information of the file user_com. It is stored in dat (zone file 302). The zone file 302 stores the same user attribute information as the user information database B14 shown in FIG. 2, and the user attribute information is a kind of DNS resource record using the FQDN including the IP address of the user's terminal as a key. Is stored in the form of a TXT record.
例えば、ゾーンファイル302の1番目のエントリからは、利用端末のIPアドレスが「123.45.0.2」であるユーザのユーザ属性情報として、ログインIDがtaro(login id=taro)、接続回線種別がADSL回線(access media=ADSL)、接続しているNASのIPアドレスが「30.30.30.30」(NAS address=30.30.30.30)であることが分かる。ユーザ情報取得部B13は、利用端末のIPアドレスが「123.45.0.2」であるユーザのユーザ属性情報を取得したい場合、データベースサーバD1に対して、ドメイン名が「123.45.0.2.user.com」のTXTレコードを要求するDNSクエリメッセージを送信する。 For example, from the first entry of the zone file 302, the login ID is taro (login id = taro) as the user attribute information of the user whose use terminal IP address is “123.45.0.2”, the connection line It can be seen that the type is an ADSL line (access media = ADSL) and the IP address of the connected NAS is “30.30.30.30” (NAS address = 30.30.30.30). When the user information acquisition unit B13 wants to acquire user attribute information of the user whose IP address of the use terminal is “123.45.0.2”, the domain name is “123.45.0” for the database server D1. .2.user.com "sends a DNS query message requesting a TXT record.
次に第1の実施の形態の効果について説明する。 Next, the effect of the first embodiment will be described.
本実施の形態では、DNSサーバB1が、ユーザ属性情報が管理されているユーザ情報データベースB14を参照することにより、ユーザ属性情報を考慮した名前解決処理のカスタマイズを行う。ユーザ情報データベースB14に予めユーザ属性情報を登録しておけば、DNSサーバB1は、ユーザ情報データベースB14を参照することで、任意のユーザ属性情報を考慮した名前解決処理を行うことができる。 In the present embodiment, the DNS server B1 refers to the user information database B14 in which user attribute information is managed, thereby customizing the name resolution process considering the user attribute information. If user attribute information is registered in the user information database B14 in advance, the DNS server B1 can perform name resolution processing considering arbitrary user attribute information by referring to the user information database B14.
前述のように、従来の技術では、DNSサーバがユーザに関する属性情報として利用できるのは、受信したDNSクエリメッセージのソースIPアドレスだけであった。もしくは、その他の属性情報も利用しようとする場合は、クライアントが送信するDNSクエリメッセージ内に必要な属性情報を全て埋めこむ必要があり、クライアントにおけるリゾルバの変更が必要であった。 As described above, in the conventional technique, the DNS server can use only the source IP address of the received DNS query message as attribute information regarding the user. Alternatively, when other attribute information is to be used, it is necessary to embed all necessary attribute information in the DNS query message transmitted by the client, and it is necessary to change the resolver in the client.
本実施の形態では、DNSサーバB1はユーザ情報データベースB14を参照することにより、クライアントにおけるリゾルバの変更の必要がない。また、DNSサーバごとに考慮するユーザ属性情報の種類が異なる場合でも、従来技術では対応が困難であったが、本実施の形態によりユーザ情報データベースB14に登録するユーザ属性情報の種類をDNSサーバごとに変えるだけで柔軟かつ容易に実現できる。 In this embodiment, the DNS server B1 refers to the user information database B14, so that there is no need to change the resolver in the client. Further, even if the type of user attribute information considered for each DNS server is different, it was difficult to cope with the conventional technology, but the type of user attribute information registered in the user information database B14 according to this embodiment is different for each DNS server. It can be realized flexibly and easily just by changing to.
次に、本発明の第2の実施の形態について図面を参照して詳細に説明する。 Next, a second embodiment of the present invention will be described in detail with reference to the drawings.
図9を参照すると、本発明の第2の実施の形態は、図1の第1の実施の形態で示されたクライアントA1とネットワークC1に加え、本発明によるDNSサーバB3と認証サーバE1とを備えて実現される。 Referring to FIG. 9, the second embodiment of the present invention includes a DNS server B3 and an authentication server E1 according to the present invention in addition to the client A1 and the network C1 shown in the first embodiment of FIG. Realized in preparation.
本発明の第2の実施の形態では、ユーザ情報データベースB14の管理を、DNSサーバB3の構成要素であるユーザ情報管理部B18が認証サーバE1と連携することによって自動的に行う点が、本発明の第1の実施の形態と異なる。以下、クライアントA1、DNSサーバB3、認証サーバE1から構成されるシステムを本システムと呼ぶ。 In the second embodiment of the present invention, the management of the user information database B14 is automatically performed by the user information management unit B18, which is a component of the DNS server B3, in cooperation with the authentication server E1. This is different from the first embodiment. Hereinafter, a system including the client A1, the DNS server B3, and the authentication server E1 is referred to as this system.
認証サーバE1は、システム内のユーザ(クライアントA1)の認証要求に応じてユーザ認証を行い、ユーザのシステムへのログインを許可または禁止する。ここでのシステムとは、本システムに限らず、例えばISPが運営するネットワークやASP(Application Service Provider)が運営する会員制WEBサービスなど、利用する際にユーザ認証が行われるもの全般を指す。本システム内のユーザは、ここでのシステムのユーザの一部若しくは全てである。 The authentication server E1 performs user authentication in response to an authentication request of a user (client A1) in the system, and permits or prohibits the user from logging into the system. The system here is not limited to this system, but refers to all of the systems where user authentication is performed when using, for example, a network operated by an ISP or a membership-based WEB service operated by an ASP (Application Service Provider). The users in this system are some or all of the users of the system here.
認証サーバE1は、ユーザ認証を行うとともに、認証要求を送信したユーザ(クライアントA1)がシステムにログインしたのかログアウトしたのかというユーザのログイン状況を把握し、さらにユーザ属性情報を収集し、これらの情報をログとして保持する。認証サーバE1が収集するユーザ属性情報の例としては、第1の実施の形態の説明で述べたのと同様に、ユーザ(クライアントA1)の位置情報、趣味若しくは行動履歴などの嗜好に関する情報、携帯電話やPDA、ノートパソコンといった利用端末種別、利用端末にインストールされているOS、装備されているネットワークインタフェースやCPU速度、メモリ量といった利用端末に関する情報、利用端末のIPアドレス、ADSL回線やISDN回線といった接続回線種別、接続回線速度、接続しているNASのIPアドレスといったネットワークへの接続状況に関する情報などが挙げられる。 The authentication server E1 performs user authentication, grasps the login status of the user whether the user (client A1) who transmitted the authentication request has logged in or logged out of the system, collects user attribute information, and collects these information. As a log. As an example of the user attribute information collected by the authentication server E1, as described in the description of the first embodiment, information on preferences such as location information, hobby or behavior history of the user (client A1), mobile Types of terminals used such as telephones, PDAs, notebook computers, OS installed on terminals, information on terminals used such as installed network interface, CPU speed, memory capacity, IP addresses of terminals used, ADSL lines, ISDN lines, etc. For example, information on the connection status to the network, such as connection line type, connection line speed, and IP address of the connected NAS.
認証サーバE1の例としては、ISP等でユーザ認証および課金処理に広く利用されているRADIUSサーバが挙げられる。RADIUSサーバは、RADIUSプロトコルによるユーザ認証処理において、ユーザから受信した認証要求に含まれるIDとパスワードを元にユーザの認証を行い、ユーザのログインを許可または禁止する。RADIUSプロトコルは、ISPが運用するネットワークに限らず、多くのネットワークシステムにおいてユーザ認証に用いられている。 As an example of the authentication server E1, there is a RADIUS server widely used for user authentication and billing processing by an ISP or the like. The RADIUS server authenticates the user based on the ID and password included in the authentication request received from the user in the user authentication processing by the RADIUS protocol, and permits or prohibits the user login. The RADIUS protocol is used for user authentication not only in a network operated by an ISP but also in many network systems.
また、RADIUSサーバには、ユーザがネットワークシステムにログインまたはログアウトする度に、ユーザのログイン状況及びユーザ属性情報が、NASなどのRADIUSクライアントから送信される。RADIUSサーバは、これらの情報を課金やバックトレースの目的で収集し、Account Logとして保持する。RADIUSクライアントがRADIUSサーバに送信するユーザ属性情報としては、例えばユーザのISPのログインID、ユーザが利用している端末のIPアドレス、ユーザが接続しているNASのIPアドレス、接続回線種別などが含まれる。 In addition, whenever a user logs in or logs out of the network system, the RADIUS server sends a user login status and user attribute information to the RADIUS server. The RADIUS server collects such information for the purpose of billing and backtrace, and holds it as an Account Log. The user attribute information transmitted from the RADIUS client to the RADIUS server includes, for example, the login ID of the user's ISP, the IP address of the terminal used by the user, the IP address of the NAS to which the user is connected, and the connection line type. It is.
ユーザ情報管理部B18は、認証情報取得部B181とユーザ情報更新部B182とを含む。 The user information management unit B18 includes an authentication information acquisition unit B181 and a user information update unit B182.
認証情報取得部B181は、ユーザのログイン状況の変化を検出し、認証サーバE1からユーザのログイン状況を示す情報及びユーザ属性情報を取得し、これらの情報をユーザ情報更新部B182に渡す。ユーザのログイン状況の変化の検出と、ユーザのログイン状況を示す情報及びユーザ属性情報の取得を実現する方法の例として、次の2つの方法が挙げられる。 The authentication information acquisition unit B181 detects a change in the login status of the user, acquires information indicating the login status of the user and user attribute information from the authentication server E1, and passes these pieces of information to the user information update unit B182. The following two methods can be cited as examples of methods for detecting a change in the login status of a user and acquiring information indicating the login status of the user and user attribute information.
第1の方法は、認証サーバE1がユーザのログイン状況の変化を検出した際に、ユーザのログイン状況を示す情報とユーザ属性情報とを認証サーバE1から認証情報取得部B181に通知してもらう方法である。 In the first method, when the authentication server E1 detects a change in the login status of the user, the authentication server E1 notifies the authentication information acquisition unit B181 of information indicating the login status of the user and user attribute information. It is.
第2の方法は、認証情報取得部B181が、認証サーバE1にユーザのログイン状況を問い合わせることによって、ユーザのログイン状況の変化を検出し、ログイン状況の変化を検出した際に、認証サーバE1からユーザのログイン状況を示す情報とユーザ属性情報を取得する方法である。 The second method is that when the authentication information acquisition unit B181 inquires the authentication server E1 about the login status of the user to detect a change in the login status of the user, This is a method of acquiring information indicating user login status and user attribute information.
第1の方法では、認証情報取得部B181は認証サーバE1からの通知を待つという受動的な処理で、ユーザのログイン状況の変化を検出するのに対し、第2の方法では、ユーザのログイン状況の変化を検出するために、認証情報取得部B181が認証サーバE1にユーザのログイン状況を問い合わせるという能動的な処理を行う。 In the first method, the authentication information acquisition unit B181 detects a change in the login status of the user by a passive process of waiting for a notification from the authentication server E1, whereas in the second method, the login status of the user is detected. In order to detect this change, the authentication information acquisition unit B181 performs an active process of inquiring the login status of the user to the authentication server E1.
以下、それぞれの方法の具体例について述べる。 Hereinafter, specific examples of each method will be described.
まず、第1の方法の具体例としては、RADIUSプロトコルのProxy機能及びRelay機能を利用する方法が挙げられる。Proxy機能は、RADIUSサーバがRADIUSクライアントからユーザのログイン状況及びユーザ属性情報を受信する度に、これらの情報を他のノードへ転送する機能である。Proxy機能は標準化された機能であり、現在利用されているRADIUSサーバのほぼ全てに実装されている。 First, as a specific example of the first method, there is a method using the Proxy function and Relay function of the RADIUS protocol. The Proxy function is a function for transferring the information to another node every time the RADIUS server receives the user login status and user attribute information from the RADIUS client. The Proxy function is a standardized function and is implemented in almost all RADIUS servers currently used.
Proxy機能を用いてユーザのログイン状況及び属性情報を取得する場合のシーケンスの例を図10に示す。図10ではユーザがシステムにログインした際のシーケンス例を示している。なお、図10において認証サーバE1はRADIUSサーバである。ユーザ認証が成功し、ユーザがシステムにログインすると、RADIUSクライアントから認証サーバE1に対して、Accounting Requestメッセージが送信される。 FIG. 10 shows an example of a sequence when the user login status and attribute information are acquired using the Proxy function. FIG. 10 shows a sequence example when the user logs in to the system. In FIG. 10, the authentication server E1 is a RADIUS server. When the user authentication is successful and the user logs in to the system, an Accounting Request message is transmitted from the RADIUS client to the authentication server E1.
Accounting Requestメッセージには、ユーザ属性情報が、属性=属性値の形で含まれている。図に示した例では、Accounting Requestメッセージに、ユーザIDがtaro((1)User Name = taro)、NASのIPアドレスが「30.30.30.30」((4)NAS−IP−Address = 30.30.30.30)、ユーザ利用端末のIPアドレスが123.45.0.2((8)Framed−IP−Address = 123.45.0.2)、接続回線種別がADSL((61)NAS−Port−Type=ADSL)であることを示す情報が含まれる。また、ユーザがシステムにログインした旨を示す情報((40)Acct−Status−Type=Start )も含まれる。 In the Accounting Request message, user attribute information is included in the form of attribute = attribute value. In the example shown in the figure, in the Accounting Request message, the user ID is taro ((1) User Name = taro), and the NAS IP address is “30.30.30.30” ((4) NAS-IP-Address = 30.30.30.30), the IP address of the user terminal is 123.45.0.2 ((8) Framed-IP-Address = 123.45.0.2), and the connection line type is ADSL ((61 ) NAS-Port-Type = ADSL). Also included is information ((40) Acct-Status-Type = Start) indicating that the user has logged into the system.
認証サーバE1はAccounting Requestメッセージを受信すると、Proxy機能を利用して、受信したAccounting Requestメッセージをユーザ情報管理部B18へ送信する。ユーザ情報管理部B18は受信したAccounting Requestメッセージからユーザ属性情報を取得する。ユーザ情報管理部B18は、Accounting Requestメッセージを受信後、認証サーバE1に対してAccounting Responseメッセージを送信する。 Upon receiving the Accounting Request message, the authentication server E1 uses the Proxy function to transmit the received Accounting Request message to the user information management unit B18. The user information management unit B18 acquires user attribute information from the received Accounting Request message. After receiving the Accounting Request message, the user information management unit B18 transmits an Accounting Response message to the authentication server E1.
次に、Relay機能を用いたユーザ情報の取得について説明する。Relay機能は、Account Logに新たなログが追加されるたびに、RADIUSサーバがそれを他のノードへ送信する機能である。Relay機能はデファクト化された機能であり、多くのRADIUSサーバに実装されている。 Next, acquisition of user information using the Relay function will be described. The Relay function is a function in which a RADIUS server transmits it to another node each time a new log is added to the Account Log. The Relay function is a de facto function and is implemented in many RADIUS servers.
Relay機能を用いてユーザのログイン状況及び属性情報を取得する場合のシーケンスの例を図11に示す。図11では、ユーザがシステムにログインした際のシーケンスを示している。なお、図11において認証サーバE1はRADIUSサーバである。ユーザ認証が成功し、ユーザがシステムにログインすると、認証サーバE1が保持するAccount Logに新たなログが追加される。認証サーバE1は新たに追加されたログを元に、Accounting Requestメッセージを生成し、これをユーザ情報管理部B18へ送信する。 FIG. 11 shows an example of a sequence in the case where the login status and attribute information of the user are acquired using the Relay function. FIG. 11 shows a sequence when the user logs in to the system. In FIG. 11, the authentication server E1 is a RADIUS server. When the user authentication is successful and the user logs in to the system, a new log is added to the Account Log held by the authentication server E1. The authentication server E1 generates an Accounting Request message based on the newly added log and transmits it to the user information management unit B18.
図11では、Accounting Requestメッセージに、ユーザIDがtaro((1)User Name = taro)、NASのIPアドレスが「30.30.30.30」((4)NAS−IP−Address = 30.30.30.30)、ユーザ利用端末のIPアドレスが123.45.0.2((8)Framed−IP−Address = 123.45.0.2)、接続回線種別がADSL((61)NAS−Port−Type=ADSL)であることを示す情報が含まれる。また、ユーザがシステムにログインした旨を示す情報((40)Acct−Status−Type=Start )も含まれる。ユーザ情報管理部B18は受信したAccounting Requestメッセージからユーザ属性情報を取得する。ユーザ情報管理部B18は、Accounting Requestメッセージを受信後、認証サーバE1に対してAccounting Responseメッセージを送信する。 In FIG. 11, in the Accounting Request message, the user ID is taro ((1) User Name = taro), and the NAS IP address is “30.30.30.30” ((4) NAS-IP-Address = 30.30). .30.30), the IP address of the user terminal is 123.45.0.2 ((8) Framed-IP-Address = 123.45.0.2), and the connection line type is ADSL ((61) NAS- Port-Type = ADSL) is included. Also included is information ((40) Acct-Status-Type = Start) indicating that the user has logged into the system. The user information management unit B18 acquires user attribute information from the received Accounting Request message. After receiving the Accounting Request message, the user information management unit B18 transmits an Accounting Response message to the authentication server E1.
次に、第2の方法の具体例を説明する。認証情報取得部B181は、定期的にユーザのログイン状況を問い合わせるメッセージを認証サーバE1に送信し、ユーザのログイン状況に変化があるか否かを確認する。ユーザのログイン状況に変化がある場合には、認証サーバE1に対して、ユーザのログイン状況を示す情報とユーザ属性情報の送信を要求する。 Next, a specific example of the second method will be described. The authentication information acquisition unit B181 periodically transmits a message for inquiring about the login status of the user to the authentication server E1, and checks whether there is a change in the login status of the user. When there is a change in the user login status, the authentication server E1 is requested to transmit information indicating the user login status and user attribute information.
第2の方法の更に具体的な例としては、NFS(Network File System)機能を用いる方法とSNMP(Simple Network Management Protocol)を用いる方法が挙げられる。NFSは、TCP/IP環境で一般的に使用されるネットワーク経由のファイルサービスであり、ネットワークで接続されている他のノードが保持するファイルを、自ノード上にマウントすることにより、あたかもローカルファイルのように扱えるようにする機能を持つ。NFS機能を用いる方法では、ユーザ情報管理部B18が、認証サーバE1が保持するユーザのログイン状況とユーザ属性情報を含むログファイルを、マウントする。認証情報取得部B181は、自ノード上にマウントされているログファイルを定期的にチェックすることにより、ユーザのログイン状況の変化を検出する。ユーザのログイン状況の変化を検出した場合は、マウントされているログファイルから、ログイン状況が変化したユーザ属性情報を取得する。 More specific examples of the second method include a method using an NFS (Network File System) function and a method using an SNMP (Simple Network Management Protocol). NFS is a file service via a network that is generally used in a TCP / IP environment. By mounting a file held by another node connected to the network on its own node, it is as if a local file is stored. It has a function that can be handled. In the method using the NFS function, the user information management unit B18 mounts a log file including the user login status and user attribute information held by the authentication server E1. The authentication information acquisition unit B 181 detects a change in the login status of the user by periodically checking the log file mounted on the own node. When a change in the login status of the user is detected, user attribute information whose login status has changed is acquired from the mounted log file.
一方、SNMPはTCP/IPネットワーク環境で、他のノードの管理及び監視を行うためのプロトコルである。管理する側の「SNMPマネージャ」と管理される側の「SNMPエージェント」の2つでMIB(Management Information Base)と呼ばれる管理情報を交換することで、他のノードの管理が行なわれる。SNMPを用いる方法では、認証情報取得部B181がSNMPマネージャとなり、認証サーバE1をSNMPエージェントとして、認証サーバE1のMIBのうち、ユーザのログイン状況を示す部分を定期的にチェックする。ユーザのログイン状況の変化を検出した場合は、認証サーバE1のMIBから、ログイン状況が変化したユーザ属性情報に該当する部分を取得する。 On the other hand, SNMP is a protocol for managing and monitoring other nodes in a TCP / IP network environment. Management of other nodes is performed by exchanging management information called MIB (Management Information Base) between the “SNMP manager” on the management side and the “SNMP agent” on the management side. In the method using SNMP, the authentication information acquisition unit B181 serves as an SNMP manager, and the authentication server E1 is used as an SNMP agent to periodically check the portion indicating the login status of the user in the MIB of the authentication server E1. When a change in the login status of the user is detected, a part corresponding to the user attribute information whose login status has changed is acquired from the MIB of the authentication server E1.
ユーザ情報更新部B182は、認証情報取得部B182から渡された情報を基に、ユーザ情報データベースB14の管理を行う。例えば、本システムにログインしたユーザのユーザ属性情報をユーザ情報データベースB14に追加したり、逆にログアウトしたユーザのユーザ属性情報をユーザ情報データベースB14から削除したりする。 The user information update unit B182 manages the user information database B14 based on the information passed from the authentication information acquisition unit B182. For example, user attribute information of a user who has logged in to the system is added to the user information database B14, and user attribute information of a user who has logged out is deleted from the user information database B14.
次に、第2の実施の形態の動作を図面を参照して詳細に説明する。なお、DNSサーバB1がクライアントA1からDNSクエリメッセージを受信してからDNS応答メッセージを送信するまでの動作は、図4で示した第1の実施の形態における動作と同一のため説明は省略する。以下、図12を参照して、ユーザ情報管理部B18における、ユーザ情報データベースB14の管理について詳細に説明する。 Next, the operation of the second embodiment will be described in detail with reference to the drawings. The operation from when the DNS server B1 receives the DNS query message from the client A1 to when it transmits the DNS response message is the same as the operation in the first embodiment shown in FIG. Hereinafter, the management of the user information database B14 in the user information management unit B18 will be described in detail with reference to FIG.
認証情報取得部B181は、ユーザのログイン状況の変化を検出すると(図12のステップS201)、当該ログイン状況の変化がユーザのログインかログアウトかを判断する(ステップS202)。 When the authentication information acquisition unit B181 detects a change in the login status of the user (step S201 in FIG. 12), the authentication information acquisition unit B181 determines whether the change in the login status is a user login or logout (step S202).
ユーザがシステムへログインした場合は、認証サーバE1からユーザのログイン状況を示す情報とユーザ属性情報を取得し、これらの情報をユーザ情報更新部B182に渡す(ステップS203)。ユーザ情報更新部B182は、ユーザのログイン状況を示す情報を調査し、ユーザ属性情報をユーザ情報データベースB14に追加登録する(ステップS204)。 When the user logs in to the system, information indicating the login status of the user and user attribute information are acquired from the authentication server E1, and these pieces of information are passed to the user information update unit B182 (step S203). The user information update unit B182 investigates information indicating the login status of the user, and additionally registers user attribute information in the user information database B14 (step S204).
ステップS202で、ユーザがシステムからログアウトした場合は、認証情報取得部B181が認証サーバE1からユーザのログイン状況を示す情報とユーザ属性情報を取得し、これらの情報をユーザ情報更新部B182に渡し(ステップS205)、ユーザ情報更新部B182がユーザ属性情報を元にユーザ情報データベースB14からユーザに該当するエントリを検索し、そのエントリを削除する(ステップS206)。 If the user logs out from the system in step S202, the authentication information acquisition unit B181 acquires information indicating the login status of the user and user attribute information from the authentication server E1, and passes these information to the user information update unit B182 ( In step S205, the user information update unit B182 searches the user information database B14 for an entry corresponding to the user based on the user attribute information, and deletes the entry (step S206).
以上の第2の実施の形態の説明において、DNSサーバB1はユーザ情報データベースB14をその構成要素として含むものであった。他の構成として、第1の実施の形態と同様に、ユーザ情報データベースB14がDNSサーバB1内ではなく別のサーバ内に保持される形態も考えられる。この場合の構成を第2の実施の形態の他例として図13に示す。 In the above description of the second embodiment, the DNS server B1 includes the user information database B14 as its component. As another configuration, as in the first embodiment, a mode in which the user information database B14 is held in another server instead of the DNS server B1 is also conceivable. The configuration in this case is shown in FIG. 13 as another example of the second embodiment.
図13に示す構成では、先に示した図9の構成と比べ、先に示したDNSサーバB3の代わりに、ユーザ情報データベースB14を含まないDNSサーバB4が用いられ、さらに、ユーザ情報データベースD11をその構成要素として含むデータベースサーバD1が用いられている。 In the configuration shown in FIG. 13, a DNS server B4 that does not include the user information database B14 is used instead of the DNS server B3 shown above, compared to the configuration shown in FIG. A database server D1 included as a component is used.
なお、図13に示す構成において、従来のDNSサーバまたは本発明におけるDNSサーバB1、B2、B3、B4(後述する第3の実施の形態におけるDNSサーバB5も含む)をデータベースサーバD1の用途として用いてもよい。この場合、DNSサーバにおける応答用データベースB16がユーザ情報データベースD11として用いられる。 In the configuration shown in FIG. 13, the conventional DNS server or the DNS servers B1, B2, B3, and B4 (including the DNS server B5 in the third embodiment to be described later) in the present invention are used as the database server D1. May be. In this case, the response database B16 in the DNS server is used as the user information database D11.
また、この場合、ユーザ情報更新部B182がユーザ情報データベースD11に対してユーザ属性情報を更新する方法として、DNS Dynamic Updateを用いる方法が考えられる。DNS Dynamic Updateとは、DNSサーバが保持するデータベースに対して、エントリの追加及び削除を他のノードから行うための方式である。DNS Dynamic Updateを行うノードは、追加または削除を行う情報をDNSで規定されている資源レコードの形式にエンコードし、これを埋め込んだメッセージをDNSサーバに送信する。DNSサーバはメッセージを受信すると、保持する応答用データベースに対してエントリの追加または削除を行う。 In this case, as a method for updating the user attribute information in the user information database D11 by the user information update unit B182, a method using DNS Dynamic Update is conceivable. DNS Dynamic Update is a method for adding and deleting entries from other nodes to the database held by the DNS server. A node that performs DNS Dynamic Update encodes information to be added or deleted into a resource record format defined by DNS, and transmits a message in which the information is embedded to the DNS server. When the DNS server receives the message, the DNS server adds or deletes an entry to the held response database.
DNS Dynamic Updateを用いる方法では、ユーザ情報更新部B182が、認証情報取得部B181から渡されたユーザ属性情報をDNSの資源レコードにエンコードし、これを埋め込んだメッセージをDNSサーバに送信する。DNSサーバは、メッセージを受信すると、応答用データベース(ユーザ情報データベースD11に対応)に対して、メッセージに埋め込まれた資源レコードに該当するエントリを追加または削除する。作成される応答用データベース内のエントリの例として、図8に示したゾーンファイル302が挙げられる。 In the method using the DNS Dynamic Update, the user information update unit B182 encodes the user attribute information passed from the authentication information acquisition unit B181 into a DNS resource record, and transmits a message in which this is embedded to the DNS server. When the DNS server receives the message, the DNS server adds or deletes an entry corresponding to the resource record embedded in the message from the response database (corresponding to the user information database D11). An example of an entry in the response database to be created is the zone file 302 shown in FIG.
図13に示す構成におけるDNSサーバB4の動作については、上述したDNSサーバB3の動作において、ユーザ情報データベースB14をユーザ情報データベースD11と置き換えることにより、同様に考えることができる。 The operation of the DNS server B4 in the configuration shown in FIG. 13 can be similarly considered by replacing the user information database B14 with the user information database D11 in the above-described operation of the DNS server B3.
次に、第2の実施の形態の効果について説明する。 Next, the effect of the second embodiment will be described.
DNSサーバが名前解決をカスタマイズするために必要なユーザ属性情報を取得して管理するにあたって、該属性情報を人的に管理するのは非常に手間とコストがかかることになる。 When the DNS server acquires and manages user attribute information necessary for customizing name resolution, it is very laborious and costly to manage the attribute information manually.
例えば、ISP(Internet Service Provider)網には膨大な数のユーザが存在し、さらに個々のユーザの属性情報(位置、IPアドレス、接続回線種別など)は動的に変化するため、これを人的に管理するのは極めて困難となる。 For example, an ISP (Internet Service Provider) network has a huge number of users, and attribute information (location, IP address, connection line type, etc.) of each user changes dynamically. It is extremely difficult to manage.
本実施の形態では、ユーザ情報管理部B18が、認証サーバE1と連携することにより、ユーザ情報データベースB14の管理を行う。ユーザ情報データベースB14に対するユーザ属性情報の登録及び削除が、ユーザ情報管理部B18により自動的に行われる。このため、ユーザ情報データベースB14の設定管理(ユーザ属性情報の登録及び削除)に要する手間やコストを第1の実施の形態と比較して低減することができる。 In the present embodiment, the user information management unit B18 manages the user information database B14 in cooperation with the authentication server E1. Registration and deletion of user attribute information in the user information database B14 is automatically performed by the user information management unit B18. For this reason, the effort and cost required for setting management (registration and deletion of user attribute information) of the user information database B14 can be reduced as compared with the first embodiment.
また、本実施の形態では、認証情報取得部B181は認証サーバE1からユーザ情報を取得するが、ユーザ情報の取得にあたり、認証サーバに特別な機能を必要とならない。ユーザ情報を取得する方法として、上記ではRADIUSサーバのProxy機能またはRelay機能を用いる方法、NFSを用いる方法及びSNMPを用いる方法を例として示したが、これらの機能は標準化またはデファクト化された機能であり、今日利用されている多くの認証サーバにおいて設定変更を行うのみで利用可能な機能である。したがって本システムを既存のシステムに導入する際、新たな認証サーバを設置したり、既存の認証サーバを専用の認証サーバに置き換えたりするなどの導入コストが必要ない。また、本システム導入後も、同一の認証サーバで認証処理やログの収集が行われるため、既存のシステムにおける認証処理や課金処理などの運用形態を変更するためのコストが発生しない。 In the present embodiment, the authentication information acquisition unit B181 acquires user information from the authentication server E1, but no special function is required for the authentication server when acquiring user information. As a method for acquiring user information, the method using the proxy function or relay function of the RADIUS server, the method using NFS, and the method using SNMP are shown as examples. However, these functions are functions that are standardized or de facto. Yes, it is a function that can be used only by changing the settings in many authentication servers used today. Therefore, when this system is introduced into an existing system, there is no need for installation costs such as installing a new authentication server or replacing the existing authentication server with a dedicated authentication server. Further, even after the introduction of this system, authentication processing and log collection are performed by the same authentication server, so there is no cost for changing the operation mode such as authentication processing and billing processing in the existing system.
次に、本発明の第3の実施の形態について図面を参照して詳細に説明する。 Next, a third embodiment of the present invention will be described in detail with reference to the drawings.
図14を参照すると、本発明の第3の実施の形態は、図9の第2の実施の形態で示されたクライアントA1と認証サーバE1に加え、DNSサーバB5とパケット転送装置F1とを備えて実現される。DNSサーバB5と認証サーバE1とパケット転送装置F1は、ネットワークC1によって相互接続される。クライアントA1がネットワークC1側と送受信するパケットは、必ずパケット転送装置E1を経由する。ここでパケット転送装置とは、イーサネット(登録商標)スイッチ、ATMスイッチ、ルータ、レイヤ4スイッチ、レイヤ7スイッチなど、パケットの転送処理機能をもつ装置全般を指す。 Referring to FIG. 14, the third embodiment of the present invention includes a DNS server B5 and a packet transfer device F1 in addition to the client A1 and the authentication server E1 shown in the second embodiment of FIG. Realized. The DNS server B5, the authentication server E1, and the packet transfer device F1 are interconnected by a network C1. Packets transmitted and received by the client A1 with the network C1 always pass through the packet transfer device E1. Here, the packet transfer device refers to all devices having a packet transfer processing function, such as an Ethernet (registered trademark) switch, an ATM switch, a router, a layer 4 switch, and a layer 7 switch.
DNSサーバB5は、図1に示した第1の実施の形態におけるDNSサーバB1の構成と比べ、ユーザ情報取得部B13およびユーザ情報データベースB14をその構成要素として必要としない点が異なる。以下、DNSサーバB5を含む構成について説明するが、DNSサーバB5の代わりに第1、第2の実施の形態で示したDNSサーバB1、B2、B3、B4のいずれかを用いてもよい。 The DNS server B5 is different from the configuration of the DNS server B1 in the first embodiment shown in FIG. 1 in that the user information acquisition unit B13 and the user information database B14 are not required as components. Hereinafter, although the configuration including the DNS server B5 will be described, any of the DNS servers B1, B2, B3, and B4 shown in the first and second embodiments may be used instead of the DNS server B5.
また、応答用データベースB16において登録される内容例を図15に示す。この応答用データベースB16には、名前解決テーブル401、ゾーンファイル402、403が含まれている。名前解決テーブル401およびゾーンファイル402(または403)はそれぞれ、本発明の第1の実施の形態において説明した図3における名前解決テーブル201およびゾーンファイル202(または203)に対応するものである。 An example of contents registered in the response database B16 is shown in FIG. The response database B16 includes a name resolution table 401 and zone files 402 and 403. The name resolution table 401 and the zone file 402 (or 403) respectively correspond to the name resolution table 201 and the zone file 202 (or 203) in FIG. 3 described in the first embodiment of the present invention.
ここで、第3の実施の形態では、ユーザ属性情報として、第1、第2の実施の形態で述べたユーザ属性情報の例に加えて、パケット転送装置に関する属性情報を含めて取り扱うものとする。すなわち、名前解決テーブル401は、名前解決テーブル201と比べ、ユーザ属性情報として、ユーザIDや接続回線種別といった属性情報だけではなく、パケット転送装置F1に関する属性情報を含み、このパケット転送装置F1に関する属性情報毎にも名前解決方法の参照先が登録できる点が異なる。ここで、パケット転送装置F1に関する属性情報の例として、パケット転送装置F1の識別子(ID)、パケット転送装置F1がサポートする転送方法(例として、イーサネット(登録商標)のvlanをサポートするか、URLベースのスイッチングをサポートするか、など)などの情報が挙げられる。 Here, in the third embodiment, as the user attribute information, in addition to the example of the user attribute information described in the first and second embodiments, the attribute information related to the packet transfer device is handled. . That is, the name resolution table 401 includes not only attribute information such as a user ID and connection line type but also attribute information related to the packet transfer device F1 as user attribute information, as compared to the name resolution table 201. The point that the reference destination of the name resolution method can be registered also for each information is different. Here, as an example of attribute information related to the packet transfer device F1, an identifier (ID) of the packet transfer device F1, a transfer method supported by the packet transfer device F1 (for example, support of vlan of Ethernet (registered trademark), URL Information such as whether to support base switching).
図15に示す名前解決テーブル401では、ユーザ属性として、ユーザID、接続回線種別、グループIDといった属性情報だけではなく、パケット転送装置IDを含み、このパケット転送装置ID毎にも名前解決方法の参照先が登録できるようになっている。また、ゾーンファイル402(または403)は、ゾーンファイル202(または203)で示したフィールド(Type,FQDN,Data)に加え、各エントリにおける付加的な情報を格納するフィールド(Additional Data)をもつ点が異なる。 The name resolution table 401 shown in FIG. 15 includes not only attribute information such as a user ID, a connection line type, and a group ID as a user attribute, but also a packet transfer device ID, and the name resolution method is referenced for each packet transfer device ID. The destination can be registered. The zone file 402 (or 403) has a field (Additional Data) for storing additional information in each entry in addition to the fields (Type, FQDN, and Data) shown in the zone file 202 (or 203). Is different.
本実施の形態では、この付加的な情報を格納するフィールドを、パケット転送装置F1におけるパケットに対する転送方法を格納するために用いる。パケットに対する転送方法の例として、該パケットを転送する優先度(パケット転送優先度)、該パケットが転送されるべき論理ネットワーク(VPN(Virtual Private Network)、vlanなど)のID(論理ネットワークID)、該パケットが転送される論理チャネル(ATMのVCI(Virtual Channel Identifier)、MPLS(MultiProtocol Label Switching)のLSP(Label Switched Path)など)のID、該パケットのヘッダに対する書き換え・追加・削除の方法、などが挙げられる。 In this embodiment, the field for storing this additional information is used for storing a transfer method for the packet in the packet transfer apparatus F1. As an example of a transfer method for a packet, a priority for transferring the packet (packet transfer priority), an ID (logical network ID) of a logical network (VPN (Virtual Private Network), vlan, etc.) to which the packet is to be transferred, ID of logical channel (VCI (Virtual Channel Identifier) of ATM), MPLS (Multi Protocol Label Switching) of MPLS (Label Switched Path), etc., rewrite / addition / deletion method for the header of the packet, etc. Is mentioned.
ゾーンファイル402における1番目のエントリでは、www.ddd.comに対するAレコードの応答は「20.1.1.1」であり、さらに、クライアントA1が該エントリを参照した結果送信する、宛先IPアドレスが「20.1.1.1」であるパケットに対して、パケット転送装置F1において、ソースIPアドレス(SrcIPAddr)を「40.1.1.1」に書換え、MACヘッダ内のvlan−ID(vlanID)を「111」に書換え、出力ポート21から、通常の転送優先度(priority)で転送するという転送方法を用いるということを示している。 In the first entry in the zone file 402, www. ddd. The response of the A record to com is “20.1.1.1”, and further, a packet with the destination IP address “20.1.1.1” transmitted as a result of the client A1 referring to the entry On the other hand, in the packet transfer apparatus F1, the source IP address (SrcIPAddr) is rewritten to “40.1.1.1”, the vlan-ID (vlanID) in the MAC header is rewritten to “111”, and the output port 21 It shows that a transfer method of transferring at a normal transfer priority (priority) is used.
応答作成部B15は、DNSクエリメッセージに対するDNS応答メッセージを作成するときに、参照される応答用データベースB16内のエントリにおいてAdditional Dataフィールドが登録されている場合は、作成されるDNS応答メッセージ内に、Additional Dataに記されている内容を格納する。この格納方法として、先に述べたDNSメッセージにおける付加情報部にAdditional Dataに記されている内容を格納するなどの方法が挙げられる。 When creating the DNS response message for the DNS query message, if the Additional Data field is registered in the entry in the response database B16 that is referred to, the response creating unit B15 creates a DNS response message in the created DNS response message. The contents written in Additional Data are stored. As this storage method, there is a method of storing the contents described in the Additional Data in the additional information part in the DNS message described above.
DNS応答メッセージにおける付加情報部にAdditional Dataに記されている内容を格納することにより、該応答メッセージは、クライアントA1から問合わせされたFQDNに対するIPアドレス(またはその他のリソースレコードデータ)だけではなく、パケット転送装置F1におけるクライアントA1から該IPアドレス宛てに送信されたパケットに対する転送方法も同時に含むことができる。 By storing the contents described in the Additional Data in the additional information section of the DNS response message, the response message is not only the IP address (or other resource record data) for the FQDN inquired from the client A1, A transfer method for a packet transmitted from the client A1 to the IP address in the packet transfer apparatus F1 can be included at the same time.
パケット転送装置F1は、ユーザ認証部F11と、ユーザ情報更新部F12と、ユーザ情報データベースF13と、ユーザ情報取得部F14と、DNSプロキシ部F15と、ルーティングテーブルF16と、フォワーディング部F17とを含む。 The packet transfer device F1 includes a user authentication unit F11, a user information update unit F12, a user information database F13, a user information acquisition unit F14, a DNS proxy unit F15, a routing table F16, and a forwarding unit F17.
ユーザ認証部F11は、パケット転送装置F1に対して接続するクライアントA1におけるユーザを識別、認証する機能を有する。さらに、認証時に得られたユーザのさまざまなユーザ属性情報を、ユーザ情報更新部F12を介してユーザ情報データベースF13に格納する。パケット転送装置F1においてユーザ認証を行う代表的な例として、イーサネット(登録商標)スイッチにおいて標準化されているユーザ認証機構であるIEEE 802.1xが挙げられる。 The user authentication unit F11 has a function of identifying and authenticating a user in the client A1 connected to the packet transfer apparatus F1. Furthermore, various user attribute information of the user obtained at the time of authentication is stored in the user information database F13 via the user information update unit F12. A typical example of performing user authentication in the packet transfer apparatus F1 is IEEE 802.1x which is a user authentication mechanism standardized in an Ethernet (registered trademark) switch.
パケット転送装置F1がIEEE 802.1xをサポートする場合、クライアントA1上のユーザのユーザID、パスワードなどの情報を基にして、ユーザ認証部F11が認証サーバC1とRADIUSプロトコルを用いて通信を行って認証を行うことにより、クライアントA1がネットワークC1側と通信することを許可すべきかどうか判定する。 When the packet transfer apparatus F1 supports IEEE 802.1x, the user authentication unit F11 communicates with the authentication server C1 using the RADIUS protocol based on information such as the user ID and password of the user on the client A1. By performing authentication, it is determined whether or not the client A1 should be allowed to communicate with the network C1 side.
ユーザ情報更新部F12は、ユーザ認証部F11から渡された情報を基に、ユーザ情報データベースF13の管理を行う。例えば、パケット転送装置F1にログインして通信を行うユーザのユーザ属性情報をユーザ情報データベースF13に追加し、逆にログアウトしたユーザのユーザ属性情報をユーザ情報データベースF13から削除するといった処理を行なう。 The user information update unit F12 manages the user information database F13 based on the information passed from the user authentication unit F11. For example, the user attribute information of the user who logs in to the packet transfer apparatus F1 and performs communication is added to the user information database F13, and the user attribute information of the logged out user is deleted from the user information database F13.
ユーザ情報データベースF13は、ユーザ認証部F11が認証したユーザのユーザ属性情報を格納するデータベースである。ユーザ情報データベースF13に格納されるユーザ属性情報の例は、第1の実施の形態で述べたユーザ属性情報の例と同様である。ユーザ情報データベースの例を、図16のユーザ情報データベース501に示す。ユーザ情報データベース501では、パケット転送装置F1が受信したパケットに対応する入力ポートおよびソースMACアドレスに対して、該パケットのユーザID,接続回線種類、接続回線速度、グループIDが記述されている。 The user information database F13 is a database that stores user attribute information of a user authenticated by the user authentication unit F11. An example of user attribute information stored in the user information database F13 is the same as the example of user attribute information described in the first embodiment. An example of the user information database is shown in a user information database 501 in FIG. In the user information database 501, the user ID, connection line type, connection line speed, and group ID of the packet are described for the input port and source MAC address corresponding to the packet received by the packet transfer apparatus F1.
例えば、1番目のエントリでは、入力ポートが「02」で、ソースMACアドレスが「00:12:34:56:78:9a」であるパケットに対しては、該パケットの送信者のユーザIDが「taro」であり、接続している回線の種類がイーサネット(登録商標)であり、その速度が100Mbpsであり、該パケット送信者が含まれるグループのIDが「silver」であることを示している。 For example, in the first entry, for a packet whose input port is “02” and the source MAC address is “00: 12: 34: 56: 78: 9a”, the user ID of the sender of the packet is “Taro”, the type of the connected line is Ethernet (registered trademark), the speed is 100 Mbps, and the ID of the group including the packet sender is “silver”. .
ユーザ情報取得部F14は、DNSプロキシ部F15内のクエリ書換部F151において受信したDNSクエリメッセージの送信者に対応するユーザ属性情報を、ユーザ情報データベースF13から取得し、該ユーザ属性情報をクエリ書換部F151へ渡す機能を有する。 The user information acquisition unit F14 acquires, from the user information database F13, user attribute information corresponding to the sender of the DNS query message received by the query rewriting unit F151 in the DNS proxy unit F15, and the user attribute information is the query rewriting unit. It has a function to pass to F151.
DNSプロキシ部F15は、クライアントA1とDNSサーバB5との間に流れるDNSクエリメッセージおよびDNS応答メッセージに対してその内容を読み込んで解析し、メッセージの内容を書きかえて送信する機能を有する。DNSプロキシ部F15は、その構成要素として、クエリ書換部F151と応答解析部F152とを含む。 The DNS proxy unit F15 has a function of reading and analyzing the contents of a DNS query message and a DNS response message flowing between the client A1 and the DNS server B5, and rewriting and transmitting the contents of the message. The DNS proxy unit F15 includes a query rewriting unit F151 and a response analysis unit F152 as its components.
クエリ書換部F151は、クライアントA1がDNSサーバB5へ向けて送信したDNSクエリメッセージに対して、該DNSクエリメッセージを送信したユーザに関するユーザ属性情報を該DNSクエリメッセージに対して付加してDNSサーバB5へ送信する機能を有する。この際に必要に応じてユーザ属性情報にパケット転送装置F1に関する属性情報を含めることができる。ここで、該DNSクエリメッセージを送信したユーザに関するユーザ属性情報は、ユーザ情報取得部F14を介してユーザ情報データベースF13から取得され、必要に応じてパケット転送装置F1に関する属性情報が付加される。 The query rewriting unit F151 adds, to the DNS query message, user attribute information related to the user who transmitted the DNS query message to the DNS query message transmitted from the client A1 to the DNS server B5. It has a function to transmit to. At this time, attribute information related to the packet transfer apparatus F1 can be included in the user attribute information as necessary. Here, the user attribute information related to the user who transmitted the DNS query message is acquired from the user information database F13 via the user information acquisition unit F14, and attribute information related to the packet transfer apparatus F1 is added as necessary.
応答解析部F152は、DNSサーバB5がクライアントA1へ向けて送信したDNS応答メッセージから、該メッセージ内に埋めこまれたパケット転送方法を抽出する機能を有する。さらに、抽出したパケット転送方法に対応するエントリをルーティングテーブルF16に登録する。 The response analysis unit F152 has a function of extracting the packet transfer method embedded in the message from the DNS response message transmitted from the DNS server B5 to the client A1. Further, an entry corresponding to the extracted packet transfer method is registered in the routing table F16.
ルーティングテーブルF16は、フォワーディング部F17が受信したパケットの転送方法が格納されたデータベースである。ルーティングテーブルF16が示すテーブルの例として、ルータにおける受信パケットの転送方法が格納されたテーブル、イーサネット(登録商標)スイッチにおけるスイッチング方法が格納されたテーブル、などが挙げられる。ルーティングテーブルF16内のエントリは、従来のように、静的に設定されたりあるいはルーティングプロトコルによって動的に得られた情報を基に作成される方法の他に、応答解析部F152によって作成されることも可能である。 The routing table F16 is a database that stores a method for transferring packets received by the forwarding unit F17. Examples of the table indicated by the routing table F16 include a table storing a transfer method of a received packet in a router, a table storing a switching method in an Ethernet (registered trademark) switch, and the like. The entry in the routing table F16 is created by the response analysis unit F152 in addition to a method that is statically set or created based on information dynamically obtained by a routing protocol as in the prior art. Is also possible.
ルーティングテーブルF16の内容例を図17に示す。ルーティングテーブルF16における2番目のエントリでは、パケット転送装置F1が受信したパケットの入力ポート、ソースMACアドレス、宛先IPアドレス、vlan−IDがそれぞれ「11」、「00:bc:de:f0:12:34」、「60.1.1.1」、「200」である場合に、該パケットに対して、ソースIPアドレス、宛先IPアドレス、vlan−IDをそれぞれ、「40.1.1.1」、「90.1.1.1」、「333」に書換え、出力ポート「31」から送信するということを示している。さらに、優先度が「優先」となっており、パケット転送の優先度を高くして送信することを示している。 An example of the contents of the routing table F16 is shown in FIG. In the second entry in the routing table F16, the input port, source MAC address, destination IP address, and vlan-ID of the packet received by the packet transfer device F1 are “11”, “00: bc: de: f0: 12: 34 ”,“ 60.1.1.1 ”, and“ 200 ”, the source IP address, the destination IP address, and the vlan-ID are respectively“ 40.1.1.1 ”for the packet. , “90.1.1.1”, “333”, and transmission from the output port “31”. Furthermore, the priority is “priority”, which indicates that transmission is performed with a higher packet transfer priority.
フォワーディング部F17は、パケット転送装置F1が受信したパケットの転送方法を解決し、該転送方法に基づいて該パケットを転送する機能を有する。ここで受信したパケットの転送方法は、ルーティングテーブルF16を参照することにより解決される。 The forwarding unit F17 has a function of solving the transfer method of the packet received by the packet transfer device F1 and transferring the packet based on the transfer method. The transfer method of the received packet here is solved by referring to the routing table F16.
次に、本実施の形態において、クライアントA1がDNSクエリメッセージをDNSサーバB5に対して送信し、対応するDNS応答メッセージがクライアントA1へ返されるまでのパケット転送装置F1およびDNSサーバB5の動作を図面を参照して詳細に説明する。 Next, in the present embodiment, the operations of the packet transfer apparatus F1 and the DNS server B5 until the client A1 transmits a DNS query message to the DNS server B5 and the corresponding DNS response message is returned to the client A1 are illustrated. Will be described in detail with reference to FIG.
まず、クライアントA1がDNSサーバB5へDNSクエリメッセージを送信した際のパケット転送装置F1における動作を図18のフローチャートを参照して説明する。 First, the operation of the packet transfer apparatus F1 when the client A1 transmits a DNS query message to the DNS server B5 will be described with reference to the flowchart of FIG.
クライアントA1がDNSクエリメッセージをネットワークC1側へ送信すると、パケット転送装置F1は該メッセージを検出し、該メッセージを受信する。パケット転送装置F1によって受信されたDNSクエリメッセージは、DNSプロキシ部F15内のクエリ書換部F151へと渡される(図18のステップS301)。 When the client A1 transmits a DNS query message to the network C1 side, the packet transfer apparatus F1 detects the message and receives the message. The DNS query message received by the packet transfer device F1 is passed to the query rewriting unit F151 in the DNS proxy unit F15 (step S301 in FIG. 18).
ここで、該メッセージには、宛先IPアドレスとしてDNSサーバB5のIPアドレスが指定されているため、該メッセージだけを通常のパケットと同様に転送せずにクエリ書換部F151へ渡す方法が必要となる。この方法として、DNSクエリメッセージであることを示す特定のポート番号をもつパケットだけをクエリ書換部F151へ渡す(一般的にDNSクエリメッセージは宛先ポート番号53番であるパケットであることを基に識別できる)、などの方法がある。 Here, since the IP address of the DNS server B5 is designated as the destination IP address in the message, a method of passing only the message to the query rewriting unit F151 without transferring it in the same manner as a normal packet is required. . As this method, only a packet having a specific port number indicating that it is a DNS query message is passed to the query rewriting unit F151 (in general, a DNS query message is identified based on a packet having a destination port number of 53). Can be).
次に、クエリ書換部F151において、受信したDNSクエリメッセージの送信者のユーザ属性情報をユーザ情報データベースF13を参照することにより検索する(ステップS302)。 Next, the query rewriting unit F151 searches for user attribute information of the sender of the received DNS query message by referring to the user information database F13 (step S302).
例えば、ユーザ情報データベースF13が、図16に示したユーザ情報データベース501と同じエントリを格納しているとすると、ポート11から受信し、ソースMACアドレスが「00:bc:de:f0:12:34」であるDNSクエリメッセージは、ユーザ情報データベースF13を参照することにより、送信者のユーザIDが「hanako」であり、接続回線の種類がイーサネット(登録商標)であり、接続回線の速度が10Mbps等のユーザ属性情報が検索される。グループIDの項目は「―」となっており、グループIDが不明であるか、あるいは取得する必要のない属性であることを示している。 For example, if the user information database F13 stores the same entry as the user information database 501 shown in FIG. 16, it is received from the port 11 and the source MAC address is “00: bc: de: f0: 12: 34”. The DNS query message “” refers to the user information database F13 so that the user ID of the sender is “hanako”, the type of connection line is Ethernet (registered trademark), the speed of the connection line is 10 Mbps, etc. User attribute information is retrieved. The group ID item is “-”, indicating that the group ID is unknown or an attribute that does not need to be acquired.
ステップS302におけるユーザ属性情報の検索の結果、受信したDNSクエリメッセージの送信者に対応するユーザ属性情報が存在する場合、クエリ書換部F151で対応するユーザ属性情報を該DNSクエリメッセージに付加し、該メッセージをDNSサーバB5へ送信する(ステップS303、S304)。 If there is user attribute information corresponding to the sender of the received DNS query message as a result of the search for user attribute information in step S302, the corresponding user attribute information is added to the DNS query message by the query rewriting unit F151, The message is transmitted to the DNS server B5 (steps S303 and S304).
ステップS304において、ユーザ情報データベースF13を参照して解決したユーザ属性情報の他、ユーザ属性情報としてパケット転送装置F1に関する属性情報を該DNSクエリメッセージに対して付加する必要があれば、パケット転送装置F1に関する属性情報も該メッセージに付加し、DNSサーバB5へ送信する。例えば、ユーザ情報データベースF13を参照して解決したユーザ属性情報の他に、パケット転送装置F1のIDを該メッセージに対して付加する。 In step S304, in addition to the user attribute information resolved with reference to the user information database F13, if it is necessary to add attribute information related to the packet transfer device F1 to the DNS query message as user attribute information, the packet transfer device F1 Is added to the message and transmitted to the DNS server B5. For example, in addition to the user attribute information resolved with reference to the user information database F13, the ID of the packet transfer device F1 is added to the message.
ステップS302におけるユーザ属性情報の検索の結果、受信したDNSクエリメッセージの送信者に対応するユーザ属性情報が存在しなかった場合、クエリ書換部F131は該メッセージに対しては何も情報を付加することなくそのままDNSサーバB5へ送信する(ステップS303、S305)。 If the user attribute information corresponding to the sender of the received DNS query message does not exist as a result of the search for the user attribute information in step S302, the query rewriting unit F131 adds any information to the message. Instead, it is transmitted to the DNS server B5 as it is (steps S303 and S305).
次に、DNSサーバB5がパケット転送装置F1を経由してDNSクエリメッセージを受信した際のDNSサーバB5における動作について図19を参照して説明する。 Next, the operation in the DNS server B5 when the DNS server B5 receives the DNS query message via the packet transfer device F1 will be described with reference to FIG.
まず、クエリ受信部B11がDNSクエリメッセージを受信すると(図19のステップS401)、該メッセージをユーザ情報識別部B12へ渡す。 First, when the query receiving unit B11 receives a DNS query message (step S401 in FIG. 19), the query receiving unit B11 passes the message to the user information identifying unit B12.
ユーザ情報識別部B12は、受け取ったDNSクエリメッセージ内に、送信者のユーザ属性情報が埋めこまれているかどうかを識別する(ステップS402)。 The user information identification unit B12 identifies whether the user attribute information of the sender is embedded in the received DNS query message (step S402).
ステップS402の結果、該メッセージ内に、送信者のユーザ属性情報が埋めこまれている場合は、埋めこまれている送信者のユーザ属性情報を読み出し識別し、識別したユーザ属性情報と一緒に該メッセージを応答作成部B15へ渡す(ステップS403)。 As a result of step S402, when the user attribute information of the sender is embedded in the message, the user attribute information of the embedded sender is read and identified, and the message is sent together with the identified user attribute information. The message is passed to the response creation unit B15 (step S403).
ステップS402の結果、該メッセージ内に、送信者のユーザ属性情報が埋めこまれていない場合は、該メッセージに対応する送信者のユーザ属性情報はないものとして該メッセージを応答作成部B15へ渡す。 As a result of step S402, if the sender's user attribute information is not embedded in the message, the message is passed to the response creating unit B15 on the assumption that there is no sender's user attribute information corresponding to the message.
ステップS402、S403の後、ステップS404〜ステップS408の動作については、第1の実施の形態において説明した図4のステップS103〜ステップS107と同様である。 After Steps S402 and S403, the operations of Steps S404 to S408 are the same as Steps S103 to S107 of FIG. 4 described in the first embodiment.
また、ステップS408では、応答作成部B15が作成したDNS応答メッセージにおいて、パケット転送装置F1におけるパケット転送方法も同時に付加されている場合、応答送信部B17はパケット転送装置F1におけるパケット転送方法を含むDNS応答メッセージをクライアントA1に対して送信する。 In step S408, if the packet transfer method in the packet transfer device F1 is also added to the DNS response message generated by the response generation unit B15, the response transmission unit B17 includes the DNS including the packet transfer method in the packet transfer device F1. A response message is transmitted to the client A1.
次に、パケット転送装置F1がDNSサーバB5からDNS応答メッセージを受信したときの動作を図20のフローチャートを参照して説明する。 Next, the operation when the packet transfer apparatus F1 receives a DNS response message from the DNS server B5 will be described with reference to the flowchart of FIG.
DNSサーバB5がDNS応答メッセージをクライアントA1へ送信すると、パケット転送装置F1は該メッセージを検出し、該メッセージを受信する。パケット転送装置F1によって受信されたDNS応答メッセージは、DNSプロキシ部F15内の応答解析部F152へと渡される(図20のステップS501)。 When the DNS server B5 transmits a DNS response message to the client A1, the packet transfer device F1 detects the message and receives the message. The DNS response message received by the packet transfer device F1 is passed to the response analysis unit F152 in the DNS proxy unit F15 (step S501 in FIG. 20).
ここで、該メッセージには、宛先IPアドレスとしてクライアントA1のアドレスが指定されているため、該メッセージだけを通常のパケットと同様に転送せずに応答解析部F152へ渡す方法が必要となるが、この方法に関しては、図18のステップS301の動作の説明で述べた方法と同様に考えられる(DNS応答メッセージはソースポート番号53番であるパケットであることを基に識別できる)。 Here, since the address of the client A1 is specified as the destination IP address in the message, it is necessary to provide a method of passing only the message to the response analysis unit F152 without transferring it in the same manner as a normal packet. This method can be considered in the same way as the method described in the explanation of the operation in step S301 in FIG. 18 (the DNS response message can be identified based on the packet having the source port number 53).
次に、応答解析部F152は、受信したDNS応答メッセージの内容を調べ、該メッセージにパケット転送装置F1におけるパケット転送方法が埋めこまれているかどうかを調べる(ステップS502)。 Next, the response analysis unit F152 checks the content of the received DNS response message, and checks whether or not the packet transfer method in the packet transfer device F1 is embedded in the message (step S502).
ステップS502の結果、パケット転送方法が埋めこまれている場合、応答解析部F152は埋めこまれたパケット転送方法を読み出す(ステップS503)。以下、DNSサーバB5において、図15に示したゾーンファイル402における1番目のエントリを用いてDNS応答メッセージが作成され、該メッセージがDNSサーバB5からクライアントA1へ送信された場合について説明する。 As a result of step S502, when the packet transfer method is embedded, the response analysis unit F152 reads the embedded packet transfer method (step S503). Hereinafter, a description will be given of a case where a DNS response message is created in the DNS server B5 using the first entry in the zone file 402 shown in FIG. 15, and the message is transmitted from the DNS server B5 to the client A1.
次に、応答解析部F132はルーティングテーブルF16内に登録されているエントリを参照し、受信したDNS応答メッセージ内に埋めこまれたパケット転送方法から作成されるエントリと同一のエントリが存在するかどうか調べる(ステップS504、S505)。 Next, the response analysis unit F132 refers to the entry registered in the routing table F16 and determines whether there is an entry identical to the entry created from the packet transfer method embedded in the received DNS response message. Check (steps S504 and S505).
ステップS505の結果、同一の転送方法を示すエントリが存在しない場合、応答解析部F152は、ルーティングテーブルF16に対して、受信したDNS応答メッセージ内に埋めこまれたパケット転送方法に対応するエントリを作成する(ステップS506)。 If there is no entry indicating the same transfer method as a result of step S505, the response analysis unit F152 creates an entry corresponding to the packet transfer method embedded in the received DNS response message in the routing table F16. (Step S506).
ここで、ルーティングテーブルF16に対してパケット転送方法を示すエントリを作成する例を示す。DNSサーバB5が、図15に示した応答用データベースB16におけるゾーンファイル402の1番目のエントリを用いてDNS応答メッセージを作成し、クライアントA1へ向けて送信された該メッセージをパケット転送装置F1が受信したとする。さらに、該メッセージの送信先であるクライアントA1のMACアドレスが「00:12:34:56:78:9a」であり、クライアントA1とパケット転送装置F1との間は、パケット転送装置F1のポート「02」を経由し、vlan−IDが「100」のイーサネット(登録商標)vlanを用いて転送されるとすると、図17に示したルーティングテーブルF16における1番目のエントリが作成される。 Here, an example of creating an entry indicating the packet transfer method in the routing table F16 is shown. The DNS server B5 creates a DNS response message using the first entry of the zone file 402 in the response database B16 shown in FIG. 15, and the packet transfer apparatus F1 receives the message transmitted to the client A1. Suppose that Further, the MAC address of the client A1 that is the transmission destination of the message is “00: 12: 34: 56: 78: 9a”, and the port “of the packet transfer device F1 between the client A1 and the packet transfer device F1 is“ When the data is transferred using the Ethernet (registered trademark) vlan whose vlan-ID is “100” via “02”, the first entry in the routing table F16 illustrated in FIG. 17 is created.
ステップS505の結果、同一の転送方法を示すエントリが存在する場合は、重複するエントリを作成することを避けるために、ステップS506の動作はスキップする。 If there are entries indicating the same transfer method as a result of step S505, the operation of step S506 is skipped in order to avoid creating duplicate entries.
次に、応答解析部F152は、受信したDNS応答メッセージ内に埋めこまれたパケット転送方法を該メッセージから削除し(ステップS507)、該メッセージをクライアントA1に対して転送する(ステップS508)。 Next, the response analysis unit F152 deletes the packet transfer method embedded in the received DNS response message from the message (step S507), and transfers the message to the client A1 (step S508).
ステップS502の結果、パケット転送方法が埋めこまれていない場合は、応答解析部F152は、受信したDNS応答メッセージをそのままクライアントA1に対して転送する(ステップS508)。 If it is determined in step S502 that the packet transfer method is not embedded, the response analysis unit F152 transfers the received DNS response message to the client A1 as it is (step S508).
以上で図14を用いて説明した本実施の形態において、パケット転送装置F1内のユーザ情報データベースF13は、ユーザ認証部F11と認証サーバE1との間での認証時に得られたユーザ属性情報をユーザ認証部F11がユーザ情報更新部F12を介して格納することによって作成された。この他にも、パケット転送装置F1の管理者などによって、外部から手動でユーザ情報データベースF13内にユーザ属性情報が書きこまれる形態も考えられる。この場合、ユーザ認証部F11およびユーザ情報更新部F12および認証サーバE1は本実施の形態における構成要素としては必要ない。 In the present embodiment described above with reference to FIG. 14, the user information database F13 in the packet transfer apparatus F1 uses the user attribute information obtained during authentication between the user authentication unit F11 and the authentication server E1 as the user. It was created by storing the authentication unit F11 via the user information update unit F12. In addition, a mode in which user attribute information is manually written in the user information database F13 from the outside by an administrator of the packet transfer apparatus F1 or the like is also conceivable. In this case, the user authentication unit F11, the user information update unit F12, and the authentication server E1 are not necessary as components in the present embodiment.
また、図14を用いて説明した第3の実施の形態において、パケット転送装置F1はユーザ情報データベースF13をその構成要素として含むものであった。他の構成として、ユーザ情報データベースF13がパケット転送装置F1内ではなく、他のサーバ(外部データベースなど)内に保持される形態も考えられる。この場合の構成を第3の実施の形態の他例として図21に示す。 In the third embodiment described with reference to FIG. 14, the packet transfer apparatus F1 includes the user information database F13 as its component. As another configuration, a form in which the user information database F13 is held not in the packet transfer device F1 but in another server (external database or the like) is also conceivable. The configuration in this case is shown in FIG. 21 as another example of the third embodiment.
図21に示す構成では、先に示した図14の構成に比べ、先に示したパケット転送装置F1に代わりに、ユーザ情報データベースF13を含まないパケット転送装置F2が用いられ、さらに、第1の実施の形態の説明において図7で示したデータベースサーバD1が用いられる。データベースサーバD1の機能は、第1の実施の形態で説明したのと同様に、DNSサーバB1、B2あるいはB5の一機能として実現することも可能である。この場合、ユーザ情報取得部F14はDNSメッセージを用いてユーザ属性情報の取得を行う。 In the configuration shown in FIG. 21, a packet transfer device F2 that does not include the user information database F13 is used instead of the packet transfer device F1 shown above, compared to the configuration shown in FIG. In the explanation of the embodiment, the database server D1 shown in FIG. 7 is used. The function of the database server D1 can be realized as one function of the DNS server B1, B2, or B5, as described in the first embodiment. In this case, the user information acquisition unit F14 acquires user attribute information using a DNS message.
図21に示す構成におけるパケット転送装置F2の動作については、上述したパケット転送装置F1の動作の説明において、ユーザ情報データベースF13をユーザ情報データベースD11と置きかえることにより同様に考えることができる。 The operation of the packet transfer apparatus F2 in the configuration shown in FIG. 21 can be similarly considered by replacing the user information database F13 with the user information database D11 in the description of the operation of the packet transfer apparatus F1 described above.
さらに、図14を用いて説明した本実施の形態において、パケット転送装置のDNSプロキシ部F15がクエリ書換部F151と応答解析部F152との両方を有する構成について説明したが、DNSプロキシ部F15が、クエリ書換部F151または応答解析部F152のいずれか一方のみを有する構成も考えられる。 Furthermore, in the present embodiment described with reference to FIG. 14, the configuration in which the DNS proxy unit F15 of the packet transfer apparatus includes both the query rewriting unit F151 and the response analysis unit F152 has been described. A configuration having only one of the query rewriting unit F151 and the response analysis unit F152 is also conceivable.
DNSプロキシ部F15がクエリ書換部F151のみを有するパケット転送装置F3の構成例を図22に示す。この構成の場合、パケット転送装置F3は、クライアントA1から受信したDNSクエリメッセージに対して送信者のユーザ属性情報を埋めこみ、DNSサーバB5へ送信する一方、DNSサーバB5から返されたDNS応答メッセージに対しては、そのままクライアントA1へ送信する。 FIG. 22 shows a configuration example of the packet transfer device F3 in which the DNS proxy unit F15 includes only the query rewriting unit F151. In the case of this configuration, the packet transfer device F3 embeds the user attribute information of the sender in the DNS query message received from the client A1 and transmits it to the DNS server B5, while in the DNS response message returned from the DNS server B5. On the other hand, it transmits to the client A1 as it is.
また、DNSプロキシ部F15が応答解析部F152のみを有するパケット転送装置F4の構成例を図23に示す。この構成の場合、パケット転送装置F4は、クライアントA1から受信したDNSクエリメッセージに対してはそのままDNSサーバB5へ送信する一方、DNSサーバB5から返されたDNS応答メッセージに対しては、埋めこまれたパケット転送方法を抽出し、ルーティングテーブルに対してエントリの作成を行う。 FIG. 23 shows a configuration example of the packet transfer device F4 in which the DNS proxy unit F15 includes only the response analysis unit F152. In the case of this configuration, the packet transfer device F4 transmits the DNS query message received from the client A1 as it is to the DNS server B5, while embedding the DNS response message returned from the DNS server B5. The packet transfer method is extracted and an entry is created in the routing table.
次に、第3の実施の形態の効果について説明する。 Next, the effect of the third embodiment will be described.
本実施の形態では、クライアントA1がDNSサーバB5に対して送信したDNSクエリメッセージを、パケット転送装置F1が途中で一旦受信し、該DNSクエリメッセージを送信したユーザに関するユーザ属性情報を該DNSクエリメッセージに埋め込む。この際に必要に応じてユーザ属性情報としてパケット転送装置F1に関する属性情報をも埋め込みDNSサーバB5へ転送する。さらに、DNSサーバB5は該DNSクエリメッセージを受信すると、該DNSクエリメッセージ内に埋め込まれたユーザ属性情報を基に、DNS応答および該応答に対応するパケット転送装置F1におけるパケット転送方法をDNS応答メッセージに埋めこみクライアントA1へ送信する。パケット転送装置F1は、該応答メッセージを一旦受信し、該応答メッセージ内に埋めこまれたパケット転送方法を抽出してルーティングテーブルF16に対応するエントリを作成する。 In the present embodiment, the DNS query message transmitted from the client A1 to the DNS server B5 is temporarily received by the packet transfer apparatus F1, and the user attribute information relating to the user who transmitted the DNS query message is stored in the DNS query message. Embed in. At this time, attribute information related to the packet transfer device F1 is also embedded as user attribute information as necessary and transferred to the DNS server B5. Further, when the DNS server B5 receives the DNS query message, the DNS server B5 determines the DNS response and the packet transfer method in the packet transfer apparatus F1 corresponding to the response based on the user attribute information embedded in the DNS query message. Embedded in and transmitted to the client A1. The packet transfer device F1 receives the response message once, extracts the packet transfer method embedded in the response message, and creates an entry corresponding to the routing table F16.
従来、DNSサーバからクライアントに対して送信されたDNS応答メッセージは、クライアントが利用するものであったが、本実施の形態により、クライアントだけではなく、クライアントとDNSサーバ間に設置されているパケット転送装置も該DNS応答メッセージ内に格納された情報を利用することが可能になる。 Conventionally, the DNS response message transmitted from the DNS server to the client has been used by the client. However, according to the present embodiment, not only the client but also the packet transfer installed between the client and the DNS server. The device can also use the information stored in the DNS response message.
本実施の形態では、該DNS応答メッセージ内に、該応答メッセージを受信した結果クライアントが送信するパケットに対するパケット転送装置F1における転送方法が埋めこまれる。これにより、例えばWebのアプリケーションの場合、クライアントA1に負荷の低いWebサーバに接続させると同時に、パケット転送装置F1においてクライアントA1と該Webサーバ間の接続上を通過するパケットに対して優先的に転送させる、などといった制御をDNSサーバが行うことが可能になる。 In the present embodiment, the transfer method in the packet transfer apparatus F1 for the packet transmitted by the client as a result of receiving the response message is embedded in the DNS response message. Thus, for example, in the case of a Web application, the client A1 is connected to a Web server with a low load, and at the same time, the packet transfer device F1 preferentially transfers a packet passing over the connection between the client A1 and the Web server The DNS server can perform control such as making
さらに、本発明の第1の実施の形態で述べたDNS応答のカスタマイズ機能により、パケット転送装置F1における転送方法の制御も同様にユーザ属性情報およびパケット転送装置F1に関する属性情報を基にカスタマイズすることが可能である。例えば、特権ユーザの送受信するパケットは優先的に転送したり、特権ユーザ用のvlanを用いて転送するなどの制御を行うことが可能となる。 Further, by the DNS response customization function described in the first embodiment of the present invention, the transfer method control in the packet transfer apparatus F1 is similarly customized based on the user attribute information and the attribute information related to the packet transfer apparatus F1. Is possible. For example, it is possible to perform control such that a packet transmitted / received by a privileged user is preferentially transferred or transferred using a vlan for the privileged user.
次に、本発明の第1の実施例を、図面を参照して説明する。かかる実施例は本発明の第1の実施の形態に対応するものである。また、本実施例は図1に示した構成をとるものとする。実施例において、クライアントA1は、DNSサーバB1に対して名前解決を要求するユーザが利用する端末である。また、DNSサーバB1は図2に示した内容をユーザ情報データベースB14として保持し、図3に示した名前解決テーブル201、ゾーンファイル202、203を応答用データベースB16として保持するものとする。 Next, a first embodiment of the present invention will be described with reference to the drawings. This example corresponds to the first embodiment of the present invention. In addition, the present embodiment assumes the configuration shown in FIG. In the embodiment, the client A1 is a terminal used by a user who requests name resolution from the DNS server B1. The DNS server B1 holds the contents shown in FIG. 2 as the user information database B14, and holds the name resolution table 201 and the zone files 202 and 203 shown in FIG. 3 as the response database B16.
今、IPアドレスが「123.45.0.2」である端末を利用するユーザ1と、IPアドレスが「123.45.0.4」である端末を利用するユーザ2がFQDN:www.aaa.comの名前解決をDNSサーバB1に要求したとする。www.aaa.comは、地域情報を提供するウェブサイトのFQDNであり、かかるウェブサイトでは、アクセスしてくるユーザの位置情報(接続しているNASのIPアドレス)とネットワークへの接続回線種別を考慮し、これらのユーザ属性情報に適したウェブページを表示するサービスが提供されているものとする。 Now, the user 1 who uses the terminal whose IP address is “123.45.0.2” and the user 2 who uses the terminal whose IP address is “123.45.0.4” are FQDN: www. aaa. Suppose that the DNS server B1 is requested to resolve the name of the com. www. aaa. com is a FQDN of a website that provides regional information. In such a website, the location information of the accessing user (IP address of the connected NAS) and the type of connection line to the network are considered. It is assumed that a service for displaying a web page suitable for the user attribute information is provided.
具体的に川崎市からネットワーク接続しているユーザ(以下では、IPアドレスが「30.30.30.30」のNASに接続しているユーザが川崎市からネットワーク接続しているユーザであるものとする)には、川崎市の地域情報が提供され、横浜市からネットワーク接続しているユーザ(以下では、IPアドレスが「20.20.20.20」のNASに接続しているユーザが横浜市からネットワーク接続しているユーザであるものとする)には、横浜市の地域情報が提供される。 Specifically, a user connected to the network from Kawasaki City (hereinafter, a user connected to the NAS whose IP address is “30.30.30.30” is a user connected to the network from Kawasaki City. Is provided with local information of Kawasaki City, and users connected to the network from Yokohama City (in the following, users connected to NAS with IP address “20.20.20.20” are Yokohama City) The local information of Yokohama city is provided to the user who is connected to the network.
また、ADSL回線で接続しているユーザには、地域情報が、広帯域アクセスに適したマルチメディアコンテンツを主とするウェブページにより表示され、逆にISDN回線でネットワークに接続しているユーザに対しては、狭帯域アクセスに適したテキストベースのコンテンツを主とするウェブページにより表示される。これらのウェブページは異なるウェブサーバにホスティングされているものとし、以下では、川崎市からADSL回線によりネットワーク接続しているユーザ向けのウェブページはIPアドレス「9.8.7.6」のウェブサーバにホスティングされており、また、横浜市からISDN回線によりネットワーク接続しているユーザ向けのウェブページはIPアドレス「9.8.7.3」のウェブサーバにホスティングされているものとする。 For users connected via an ADSL line, regional information is displayed on a web page mainly composed of multimedia contents suitable for broadband access, and conversely for users connected to a network via an ISDN line. Is displayed by a web page mainly composed of text-based content suitable for narrowband access. These web pages are assumed to be hosted on different web servers, and in the following, the web page for users connected to the network from Kawasaki City via an ADSL line is the web server with the IP address “9.8.7.6”. In addition, it is assumed that a web page for a user who is network-connected from Yokohama City via an ISDN line is hosted on a web server having an IP address “9.8.7.3”.
まず、ユーザ1及びユーザ2はそれぞれの利用端末を通じてDNSサーバB1にDNSクエリメッセージを送信する。DNSサーバB1のクエリ受信部B11は、受信したDNSクエリメッセージをユーザ情報識別部B12に渡す。DNSクエリメッセージには、ユーザ属性情報が埋め込まれていないため、ユーザ情報識別部B12は、DNSクエリメッセージをユーザ情報取得部B13に渡す。ユーザ情報取得部B13は、まず受け取ったDNSクエリメッセージのソースIPアドレスを調査する。この場合、ユーザ1の送信したDNSクエリメッセージのソースIPアドレスは「123.45.0.2」であり、ユーザ2の送信したDNSクエリメッセージのソースIPアドレスは「123.45.0.4」である。 First, the user 1 and the user 2 transmit a DNS query message to the DNS server B1 through their use terminals. The query reception unit B11 of the DNS server B1 passes the received DNS query message to the user information identification unit B12. Since the user attribute information is not embedded in the DNS query message, the user information identification unit B12 passes the DNS query message to the user information acquisition unit B13. The user information acquisition unit B13 first checks the source IP address of the received DNS query message. In this case, the source IP address of the DNS query message transmitted by the user 1 is “123.45.0.2”, and the source IP address of the DNS query message transmitted by the user 2 is “123.45.0.4”. It is.
次にソースIPアドレスを元に、ユーザ情報データベースB14からユーザ1及びユーザ2に該当するエントリを検索する。この場合、ユーザ1に該当するエントリは、図2に示したユーザ情報データベースB14の1番目のエントリであり、ユーザ1の属性情報として、ログインIDが「taro」、接続回線種別がADSL回線、接続しているNASのIPアドレスが「30.30.30.30」であるという情報が得られる。 Next, based on the source IP address, the user information database B14 is searched for entries corresponding to the user 1 and the user 2. In this case, the entry corresponding to the user 1 is the first entry in the user information database B14 shown in FIG. 2. As the attribute information of the user 1, the login ID is “taro”, the connection line type is the ADSL line, the connection The information that the IP address of the NAS being “30.30.30.30” is obtained.
また、ユーザ2に該当するエントリは、ユーザ情報データベースB14の2番目のエントリであり、ユーザ2の属性情報として、ログインIDがhanako、IPアドレスが「123.45.0.4」、接続しているNASのIPアドレスが「20.20.20.20」であるという情報が得られる。更に、IPアドレスが「8.9.1.4」であるノードを参照することで、他の属性情報が得られることが分かる。ここでは、ユーザ情報取得部B13が、IPアドレス「8.9.1.4」のノードを参照し、ユーザ2の属性情報として更に接続回線種別がISDN回線であるという情報を得られたとする。 The entry corresponding to the user 2 is the second entry in the user information database B14. As the attribute information of the user 2, the login ID is hanako and the IP address is “123.45.0.4”. The information that the IP address of the existing NAS is “20.20.20.20” is obtained. Furthermore, it can be seen that other attribute information can be obtained by referring to the node whose IP address is “8.9.1.4”. Here, it is assumed that the user information acquisition unit B13 refers to the node having the IP address “8.9.1.4” and obtains information that the connection line type is an ISDN line as the attribute information of the user 2.
ユーザ情報取得部B13は、上記のようにして得られたユーザ1及びユーザ2の属性情報を、ユーザ情報識別部B12に渡し、さらに、ユーザ情報識別部B12は、ユーザ1及びユーザ2の属性情報と、クエリ受信部B11から渡されたユーザ1及びユーザ2が送信したDNSクエリメッセージを応答作成部B15に渡す。応答作成部B15は、ユーザ属性情報及び問い合わせのあったFQDNに該当するエントリを応答用データベースB16から検索する。 The user information acquisition unit B13 passes the attribute information of the user 1 and the user 2 obtained as described above to the user information identification unit B12, and the user information identification unit B12 further transmits the attribute information of the user 1 and the user 2 Then, the DNS query message transmitted from the user 1 and the user 2 passed from the query receiving unit B11 is passed to the response creating unit B15. The response creation unit B15 searches the response database B16 for an entry corresponding to the user attribute information and the FQDN for which an inquiry has been made.
この場合、ユーザ1からのDNSクエリに該当するエントリとして、図3に示した名前解決テーブル201の1番目のエントリが発見され、さらに、名前解決方法として、ゾーンファイル202の1番目のエントリが発見される。この結果、ユーザ1のFQDN:www.aaa.comに対するDNSクエリに対しては、IPアドレス「9.8.7.6」が名前解決される。 In this case, the first entry in the name resolution table 201 shown in FIG. 3 is found as an entry corresponding to the DNS query from the user 1, and the first entry in the zone file 202 is found as a name resolution method. Is done. As a result, the FQDN of the user 1: www. aaa. For the DNS query to com, the IP address “9.8.7.6” is resolved.
また、ユーザ2のDNSクエリメッセージに該当するエントリとして、名前解決テーブル201の2番目のエントリが発見され、さらに、名前解決方法として、ゾーンファイル203の1番目のエントリが発見される。この結果、ユーザ2のFQDN:www.aaa.comに対するDNSクエリに対しては、IPアドレス「9.8.7.3」が名前解決される。 In addition, a second entry in the name resolution table 201 is found as an entry corresponding to the DNS query message of the user 2, and a first entry in the zone file 203 is found as a name resolution method. As a result, user 2's FQDN: www. aaa. For the DNS query to com, the IP address “9.8.7.3” is resolved.
応答作成部B17は名前解決結果を応答送信部B17に渡す。応答送信部B17は、受け取った名前解決結果をDNS応答メッセージの中に埋め込み、ユーザ1及びユーザ2に送信する。 The response creation unit B17 passes the name resolution result to the response transmission unit B17. The response transmission unit B17 embeds the received name resolution result in the DNS response message and transmits it to the user 1 and the user 2.
ユーザ1は、DNSサーバB1からDNS応答メッセージを受信すると、IPアドレスが「9.8.7.6」のウェブサーバにアクセスすることになる。前述した通り、IPアドレスが「9.8.7.6」のウェブサーバには、川崎市からADSL回線によりネットワーク接続しているユーザに適したウェブページがホスティングされており、ユーザ1にはユーザ1の属性に適したウェブページが表示されることになる。 When the user 1 receives the DNS response message from the DNS server B1, the user 1 accesses the web server whose IP address is “9.8.7.6”. As described above, the web server with the IP address “9.8.7.6” hosts a web page suitable for a user connected to the network from the Kawasaki city through an ADSL line. A web page suitable for one attribute is displayed.
また、ユーザ2も同様に、DNSサーバB1からDNS応答メッセージを受信すると、IPアドレスが「9.8.7.3」のウェブサーバにアクセスすることになる。前述した通り、IPアドレスが「9.8.7.3」のウェブサーバには、横浜市からISDN回線によりネットワーク接続しているユーザに適したウェブページがホスティングされており、ユーザ2にはユーザ2の属性に適したウェブページが表示されることになる。 Similarly, when the user 2 receives the DNS response message from the DNS server B1, the user 2 accesses the web server whose IP address is “9.8.7.3”. As described above, the web server with the IP address “9.8.7.3” hosts a web page suitable for a user connected to the network from the city of Yokohama via an ISDN line. A web page suitable for the second attribute is displayed.
次に第2の実施例を、図面を参照して説明する。かかる実施例は、第2の実施の形態に対応するものである。また、本実施例は図9に示した構成をとるものとする。本実施例において、認証サーバE1はRADIUSサーバであり、ISPが運営しているネットワークにログインするユーザのユーザ認証および課金処理に利用されているものとする。また、クライアントA1は、上記ISPが運営するネットワークにログインするユーザの利用端末であり、このユーザはクライアントA1を利用してDNSサーバB3に対して名前解決を要求するものとする。 Next, a second embodiment will be described with reference to the drawings. Such an example corresponds to the second embodiment. Further, the present embodiment assumes the configuration shown in FIG. In this embodiment, the authentication server E1 is a RADIUS server, and is used for user authentication and billing processing of a user who logs in to a network operated by an ISP. The client A1 is a terminal used by a user who logs in to a network operated by the ISP. The user requests the DNS server B3 for name resolution using the client A1.
今、ユーザがISPの運営するネットワークにログインしたとする。図9に示すようにユーザがログインすると、認証サーバE1はRADIUSクライアントからAccounting Requestメッセージを受信し、Proxy機能を利用して受信したAccounting RequestメッセージをDNSサーバB3に転送する。ここで、Accounting Requestメッセージには、図9に示すように、ユーザ属性情報として、ユーザのログインIDがtaro、接続しているNASのIPアドレスが30.30.30.30、ユーザの利用端末(クライアントA1)のIPアドレスが123.45.0.2、接続性回線種別がADSL回線であることが記載されており、またユーザがネットワークにログインした旨が記載されているものとする。 Now, assume that a user logs in to a network operated by an ISP. As shown in FIG. 9, when the user logs in, the authentication server E1 receives the Accounting Request message from the RADIUS client, and transfers the received Accounting Request message to the DNS server B3 using the Proxy function. Here, in the Accounting Request message, as shown in FIG. 9, as the user attribute information, the user's login ID is taro, the connected NAS's IP address is 30.30.30.30, and the user's terminal ( It is described that the IP address of the client A1) is 123.45.0.2, the connection line type is an ADSL line, and that the user has logged into the network.
ユーザ情報管理部B18の認証情報取得部B181は、Accounting Requestメッセージを受信すると、これをユーザ情報管理部B182に渡す。この場合、Accounting Requestメッセージには、ユーザがネットワークにログインした旨が記載されているため、ユーザ情報管理部B182は、Accounting Requestメッセージに記載されたユーザ属性情報をユーザ情報データベースB14に登録する。この結果、ユーザ情報データベースB14には、例えば図2に示すユーザ情報データベースの1番目のエントリが追加される。なお、ユーザがネットワークにログイン後、DNSサーバB1に名前解決を要求した場合の動作は、前述した第1の実施例と同様である。 When the authentication information acquisition unit B181 of the user information management unit B18 receives the Accounting Request message, it passes it to the user information management unit B182. In this case, since the Accounting Request message describes that the user has logged in to the network, the user information management unit B182 registers the user attribute information described in the Accounting Request message in the user information database B14. As a result, for example, the first entry of the user information database shown in FIG. 2 is added to the user information database B14. The operation when the user requests name resolution from the DNS server B1 after logging in to the network is the same as in the first embodiment described above.
次に、本発明の第3の実施例を、図面を参照して説明する。かかる実施例は本発明の第3の実施の形態に対応するものである。また、本実施例は図14に示した構成をとるものとする。実施例において、クライアントA1は、DNSサーバB5に対して名前解決を要求するユーザが利用する端末である。また、DNSサーバB5は図15に示した名前解決テーブル401、ゾーンファイル402、403を応答用データベースB16として保持し、パケット転送装置F1はNAT(Network Address Translation)機能を有し、図16に示す内容をユーザ情報データベースF13として保持するものとする。また、パケット転送装置F1の識別子(ID)は「switch99」であるとする。 Next, a third embodiment of the present invention will be described with reference to the drawings. Such an example corresponds to the third embodiment of the present invention. Further, the present embodiment assumes the configuration shown in FIG. In the embodiment, the client A1 is a terminal used by a user who requests name resolution from the DNS server B5. The DNS server B5 holds the name resolution table 401 and zone files 402 and 403 shown in FIG. 15 as a response database B16, and the packet transfer device F1 has a NAT (Network Address Translation) function, as shown in FIG. The contents are held as a user information database F13. Further, it is assumed that the identifier (ID) of the packet transfer device F1 is “switch99”.
今、MACアドレスが「00:12:34:56:78:9a」であり、パケット転送装置F1のポート「02」にvlanIDが「100」のvlanで接続されている端末を利用するユーザ1と、MACアドレスが「00:bc:de:f0:12:34」であり、パケット転送装置F1のポート「11」にvlanIDが「200」のvlanで接続されている端末を利用するユーザ2の各々が、http://www.ddd.com/index.htmlのURLをもつWebサイトにアクセスするものとする。 Now, with the user 1 who uses a terminal connected with a vlan whose MAC address is “00: 12: 34: 56: 78: 9a” and the port “02” of the packet transfer apparatus F1 is vlanID “100”. , Each of the users 2 using the terminals connected to the port “11” of the packet transfer apparatus F1 with the vlan ID “200” and the vlan ID “200: bc: de: f0: 12: 34”. Http: // www. ddd. com / index. Assume that a user accesses a Web site having an html URL.
まず、ユーザ1またはユーザ2が利用する端末に対応するクライアントA1は、FQDN:www.ddd.comに対するIPアドレスを解決すべくDNSサーバB5にDNSクエリメッセージを送信する。該DNSクエリメッセージがパケット転送装置F1を経由する際に、パケット転送装置F1では、DNSメッセージの宛先ポート番号(53)にマッチするパケットをDNSプロキシ部F15内のクエリ書換部F151に渡す。クエリ書換部F151は、該クエリメッセージの送信者に対応するユーザ属性情報をユーザ取得部F14を介してユーザ情報データベースF13から取得する。 First, the client A1 corresponding to the terminal used by the user 1 or the user 2 has an FQDN: www. ddd. com to send a DNS query message to the DNS server B5. When the DNS query message passes through the packet transfer device F1, the packet transfer device F1 passes a packet that matches the destination port number (53) of the DNS message to the query rewriting unit F151 in the DNS proxy unit F15. The query rewriting unit F151 acquires user attribute information corresponding to the sender of the query message from the user information database F13 via the user acquisition unit F14.
ユーザ1の場合、ユーザ情報データベース501の1番目のエントリにマッチし、ユーザ2の場合、2番目のエントリにマッチする。クエリ書換部F151は、受信したDNSクエリメッセージの付加情報部に取得したユーザ属性情報およびパケット転送装置F1のID(「switch99」)を埋めこみ、DNSサーバB5へ転送する。 For user 1, it matches the first entry in user information database 501, and for user 2, it matches the second entry. The query rewriting unit F151 embeds the acquired user attribute information and the ID (“switch99”) of the packet transfer device F1 in the additional information part of the received DNS query message, and transfers them to the DNS server B5.
DNSサーバB5は、ユーザ属性情報が埋めこまれたDNSクエリメッセージを受信すると、ユーザ情報識別部B12で該DNSクエリメッセージ内に埋めこまれたユーザ属性情報を識別し、応答作成部B15で該ユーザ属性情報およびクエリの内容に対応するエントリを検索する。ユーザ1からのDNSクエリメッセージの場合は、応答用データベースB16内の名前解決テーブル401の1番目のエントリにマッチし、さらに名前解決方法としてゾーンファイル402の1番目のエントリにマッチする。 When the DNS server B5 receives the DNS query message in which the user attribute information is embedded, the user information identification unit B12 identifies the user attribute information embedded in the DNS query message, and the response creation unit B15 Search for entries corresponding to attribute information and query contents. In the case of a DNS query message from the user 1, it matches the first entry of the name resolution table 401 in the response database B16, and further matches the first entry of the zone file 402 as the name resolution method.
この結果、ユーザ1のFQDN:www.ddd.comに対するDNSクエリメッセージに対して応答されるDNS応答メッセージには、IPアドレス20.1.1.1が応答部に入れられ、さらに対応するパケットに対するパケット転送装置F1における転送方法である、「SrcIPAddr=40.1.1.1,vlanID=111,outport=21,priority=0」が付加情報部に入れられる。また、ユーザ2のDNSクエリメッセージの場合は、名前解決テーブル401の3番目のエントリにマッチし、さらに名前解決方法としてゾーンファイル403の1番目のエントリにマッチする。 As a result, the FQDN of the user 1: www. ddd. In the DNS response message returned in response to the DNS query message to com, the IP address 20.1.1.1 is entered in the response unit, and “SrcIPAddr” is a transfer method in the packet transfer apparatus F1 for the corresponding packet. = 40.1.1.1, vlanID = 111, output = 21, priority = 0 ”is entered in the additional information section. In the case of the DNS query message of the user 2, it matches the third entry of the name resolution table 401, and further matches the first entry of the zone file 403 as the name resolution method.
この結果、ユーザ2のFQDN:www.ddd.comに対するDNSクエリメッセージに対して応答されるDNS応答メッセージには、IPアドレス「60.1.1.1」が応答部に入れられ、さらに対応するパケットに対するパケット転送装置F1における転送方法である、「SrcIPAddr=40.1.1.1,DestIPAddr=90.1.1.1,vlanID=333,outport=31,priority=1」が付加情報部に入れられる。応答作成部B15で作成されたDNS応答メッセージは応答送信部B17によってクライアントA1(ユーザ1またはユーザ2)へ送信される。 As a result, user 2's FQDN: www. ddd. In the DNS response message that is replied to the DNS query message to com, the IP address “60.1.1.1” is entered in the response unit, and the packet transfer apparatus F1 transfers the corresponding packet. “SrcIPAddr = 40.1.1.1, DestIPAddr = 90.1.1.1, vlanID = 333, output = 31, priority = 1” is entered in the additional information section. The DNS response message created by the response creation unit B15 is transmitted to the client A1 (user 1 or user 2) by the response transmission unit B17.
DNSサーバB5からクライアントA1へ送信されたDNS応答メッセージは、途中でパケット転送装置F1を経由する。該応答メッセージがパケット転送装置F1を経由する際に、パケット転送装置F1では、DNSメッセージのソースポート番号(53)にマッチするパケットをDNSプロキシ部F15内の応答解析部F152に渡す。応答解析部F152は、該応答メッセージに含まれている情報を解析し、該情報に基づいてルーティングテーブルF16にエントリを作成する。 The DNS response message transmitted from the DNS server B5 to the client A1 passes through the packet transfer device F1 on the way. When the response message passes through the packet transfer device F1, the packet transfer device F1 passes a packet matching the source port number (53) of the DNS message to the response analysis unit F152 in the DNS proxy unit F15. The response analysis unit F152 analyzes the information included in the response message and creates an entry in the routing table F16 based on the information.
ユーザ1へのDNS応答メッセージの場合、該応答メッセージの応答部および付加情報部に含まれている情報に基づいて、図17に示す内容例の1番目のエントリがルーティングテーブルF16に作成される。また、ユーザ2へのDNS応答メッセージの場合、該応答メッセージの応答部および付加情報部に含まれている情報に基づいて、図17に示す内容例の2番目のエントリがルーティングテーブルF16に作成される。 In the case of the DNS response message to the user 1, the first entry of the content example shown in FIG. 17 is created in the routing table F16 based on the information included in the response part and the additional information part of the response message. Also, in the case of a DNS response message to the user 2, the second entry of the content example shown in FIG. 17 is created in the routing table F16 based on the information included in the response part and additional information part of the response message. The
応答解析部F152は、ルーティングテーブルF16へのエントリ作成を行うと、受信したDNS応答メッセージ内の付加情報部フィールドを削除し、クライアントA1へ転送する。 When the response analysis unit F152 creates an entry in the routing table F16, the response analysis unit F152 deletes the additional information unit field in the received DNS response message and transfers it to the client A1.
クライアントA1は、送信したDNSクエリメッセージに対応するDNS応答メッセージを受信すると、該応答メッセージによって応答されたwww.ddd.comのIPアドレスに対して、HTTPコネクションを確立し、該コネクション上でリクエスト処理等を行う。ユーザ1の場合は、IPアドレス「20.1.1.1」に対してHTTPコネクションを確立し、ユーザ2の場合はIPアドレス「60.1.1.1」に対してHTTPコネクションを確立する。これらのコネクション上を流れるパケットは全てパケット転送装置F1を通過する。 When the client A1 receives the DNS response message corresponding to the transmitted DNS query message, the client A1 responds to the www. ddd. An HTTP connection is established with respect to the IP address of com, and a request process or the like is performed on the connection. For user 1, an HTTP connection is established for IP address “20.1.1.1”, and for user 2, an HTTP connection is established for IP address “60.1.1.1”. . All of the packets flowing on these connections pass through the packet transfer device F1.
この際、ユーザ1とIPアドレス「20.1.1.1」との間のコネクション上を流れるパケットに関しては、図17のルーティングテーブル601における1番目のエントリに基づく転送方法が適用され、ユーザ2とIPアドレス「60.1.1.1」との間のコネクション上を流れるパケットに関しては、ルーティングテーブルF16における2番目のエントリに基づく転送方法が適用される。 At this time, for the packet flowing on the connection between the user 1 and the IP address “20.1.1.1”, the transfer method based on the first entry in the routing table 601 of FIG. And the IP address “60.1.1.1”, a transfer method based on the second entry in the routing table F16 is applied.
例えば、ユーザ1が送信したパケットは、ルーティングテーブルF16において、転送優先度が「通常」となっているため、通常の転送優先度で転送が行われるが、ユーザ1が送信したパケットは、転送優先度が「優先」となっているため、通常の転送優先度で転送されるパケットと比べ優先的に転送が行われる。すなわち、ユーザ2はユーザ1と比べてスムーズなWeb接続を行えると期待される。 For example, the packet transmitted by the user 1 is transferred with the normal transfer priority because the transfer priority is “normal” in the routing table F16. However, the packet transmitted by the user 1 is transferred with the transfer priority. Since the priority is “priority”, the transfer is performed with priority over packets transferred with the normal transfer priority. That is, it is expected that the user 2 can make a smooth Web connection compared to the user 1.
本実施例によって、DNSサーバB5およびパケット転送装置F1を用いることにより、従来のDNSサーバが提供するFQDNからIPアドレスへの解決機能だけではなく、クライアントA1が送信したパケットが通過するパケット転送装置F1におけるパケット転送方法も同時に制御できることが分かる。 According to the present embodiment, by using the DNS server B5 and the packet transfer device F1, not only the FQDN to IP address resolution function provided by the conventional DNS server but also the packet transfer device F1 through which the packet transmitted by the client A1 passes. It can be seen that the packet transfer method in FIG.
本発明のDNSサーバおよびパケット転送装置は、構成要素である各装置の機能をハードウェア的に実現することは勿論として、上記した各装置の機能を実行して名前解決処理を行う名前解決プログラム(アプリケーション)をDNSサーバを実現するコンピュータ処理装置のメモリにロードして実行することで実現することができる。すなわち、上述したDNSサーバおよびパケット転送装置の機能をソフトウェアによって実現することができる。この名前解決プログラムプログラムは、磁気ディスク、半導体メモリその他の記録媒体に格納され、その記録媒体からコンピュータ処理部にロードされ、コンピュータ処理部の動作を制御することにより、上述した各機能を実現する。 The DNS server and packet transfer apparatus of the present invention realizes the function of each component, which is a component, in hardware, as well as the name resolution program that executes the function of each device described above and performs name resolution processing ( Application) is loaded into a memory of a computer processing apparatus that implements the DNS server and executed. That is, the functions of the DNS server and the packet transfer apparatus described above can be realized by software. The name resolution program is stored in a magnetic disk, a semiconductor memory, or other recording medium, loaded from the recording medium to a computer processing unit, and controls the operation of the computer processing unit, thereby realizing each function described above.
以上好ましい実施の形態及び実施例をあげて本発明を説明したが、本発明は必ずしも上記実施の形態及び実施例に限定されるものではなく、その技術的思想の範囲内において様々に変形して実施することができる。 Although the present invention has been described with reference to the preferred embodiments and examples, the present invention is not necessarily limited to the above-described embodiments and examples, and various modifications can be made within the scope of the technical idea. Can be implemented.
A1:クライアント
B1:DNSサーバ
B11:クエリ受信部
B12:ユーザ情報識別部
B13:ユーザ情報取得部
B14:ユーザ情報データベース
B15:応答作成部
B151:応答作成メイン部
B152:リゾルバ部
B16:応答用データベース
B17:応答送信部
B18:ユーザ情報管理部
B181:認証情報取得部
B182:ユーザ情報管理部
B2:DNSサーバ
B3:DNSサーバ
B4:DNSサーバ
B5:DNSサーバ
C1:ネットワーク
D1:データベースサーバ
D11:ユーザ情報データベース
E1:認証サーバ
F1:パケット転送装置
F11:ユーザ認証部
F12:ユーザ情報更新部
F13:ユーザ情報データベース
F14:ユーザ情報取得部
F15:DNSプロキシ部
F151:クエリ書換部
F152:応答解析部
F16:ルーティングテーブル
F17:フォワーディング部
F2:パケット転送装置
201:名前解決テーブル
202:ゾーンファイル
203:ゾーンファイル
301:名前解決テーブル
302:ゾーンファイル
401:名前解決テーブル
402:ゾーンファイル
403:ゾーンファイル
601:ルーティングテーブル
A1: Client B1: DNS server B11: Query reception unit B12: User information identification unit B13: User information acquisition unit B14: User information database B15: Response creation unit B151: Response creation main unit B152: Resolver unit B16: Response database B17 : Response transmission unit B18: User information management unit B181: Authentication information acquisition unit B182: User information management unit B2: DNS server B3: DNS server B4: DNS server B5: DNS server C1: Network D1: Database server D11: User information database E1: Authentication server F1: Packet transfer device F11: User authentication unit F12: User information update unit F13: User information database F14: User information acquisition unit F15: DNS proxy unit F151: Query rewriting unit F1 2: Response analysis unit F16: Routing table F17: Forwarding unit F2: Packet forwarding device 201: Name resolution table 202: Zone file 203: Zone file 301: Name resolution table 302: Zone file 401: Name resolution table 402: Zone file 403 : Zone file 601: Routing table
Claims (17)
受信した名前解決要求メッセージに対して名前解決を行い、名前解決応答メッセージによって前記名前解決の結果を返す名前解決サーバと
を備える名前解決システムであって、
クライアントから前記名前解決サーバへ送信された名前解決要求メッセージは、前記パケット転送装置によって一旦受信され、
前記名前解決要求メッセージを一旦受信し、前記名前解決要求メッセージの送信者に関する属性情報を取得し、前記属性情報を付加した前記名前解決要求メッセージを前記名前解決サーバへ送信するDNSプロキシ部とを有し、
前記名前解決サーバは、前記パケット転送装置によって送信された前記名前解決要求に含まれる前記属性情報に基づいて、前記名前解決の結果である名前解決応答メッセージを返す、ことを特徴とする名前解決システム。 A packet transfer apparatus having a function of transferring a received packet to another node;
A name resolution system comprising: a name resolution server that performs name resolution on a received name resolution request message and returns a result of the name resolution by a name resolution response message;
The name resolution request message transmitted from the client to the name resolution server is once received by the packet transfer device,
A DNS proxy unit that temporarily receives the name resolution request message, acquires attribute information about a sender of the name resolution request message, and transmits the name resolution request message to which the attribute information is added to the name resolution server; And
The name resolution server, based on the attribute information contained in the name resolution request sent by the packet transfer device, name resolution the name will be returned to the name resolution response message is the result of solving, characterized in that system.
前記属性情報が格納されたユーザ情報データベースを内部要素として備え、
前記名前解決要求メッセージの送信者であるユーザに関する属性情報を、前記ユーザ情報データベースから取得することを特徴とする請求項1に記載の名前解決システム。 The packet transfer device includes:
A user information database storing the attribute information is provided as an internal element,
The name resolution system according to claim 1, wherein attribute information related to a user who is a sender of the name resolution request message is acquired from the user information database.
自ノードに接続するクライアントにおけるユーザを識別、認証するユーザ認証部と、
認証時に得られた前記ユーザに関する属性情報に基づいて、前記ユーザ情報データベースの内容を更新するユーザ情報更新部とを備えたことを特徴とする請求項1から請求項5のいずれか1項に記載の名前解決システム。 The packet transfer apparatus further includes a user authentication unit for identifying and authenticating a user in a client connected to the own node;
6. The apparatus according to claim 1, further comprising: a user information update unit that updates contents of the user information database based on attribute information about the user obtained at the time of authentication. Name resolution system.
前記クライアントから前記名前解決サーバへ送信された名前解決要求メッセージを、前記クライアントと前記名前解決サーバとの間に存在する、受信したパケットを他のノードに転送する機能を備えるパケット転送装置が一旦受信し、
前記パケット転送装置により、前記名前解決要求メッセージの送信者であるユーザに関する属性情報が、前記名前解決要求メッセージに含まれる送信元アドレスに基づいて取得され、前記属性情報を前記名前解決要求メッセージに付加された後に前記名前解決要求メッセージを前記名前解決サーバへ送信され、
前記名前解決サーバは、前記パケット転送装置によって送信された前記名前解決要求に含まれる前記属性情報に基づいて、前記名前解決の結果である名前解決応答メッセージを返す、ことを特徴とする名前解決方法。 A name resolution method in which a name resolution server performs name resolution on a name resolution request message sent by a client and returns a result of the name resolution by a name resolution response message.
A packet transfer apparatus having a function of transferring a received packet to another node, which exists between the client and the name resolution server, is received once by the name resolution request message transmitted from the client to the name resolution server. And
Attribute information about the user who is the sender of the name resolution request message is acquired by the packet transfer device based on a source address included in the name resolution request message, and the attribute information is added to the name resolution request message. The name resolution request message is sent to the name resolution server after
The name resolution server, based on the attribute information contained in the name resolution request sent by the packet transfer device, name resolution the name will be returned to the name resolution response message is the result of solving, characterized in that Method.
クライアントから名前解決サーバへ送信された名前解決要求メッセージの送信者に関する属性情報を取得するユーザ情報取得部と、A user information acquisition unit that acquires attribute information about the sender of the name resolution request message sent from the client to the name resolution server;
前記名前解決要求メッセージを一旦受信し、前記名前解決要求メッセージの送信者に関する属性情報を前記ユーザ情報取得部を介して取得し、前記属性情報を付加した前記名前解決要求メッセージを前記名前解決サーバへ送信するDNSプロキシ部とを有することを特徴とするパケット転送装置。 The name resolution request message is received once, attribute information about the sender of the name resolution request message is acquired via the user information acquisition unit, and the name resolution request message with the attribute information added is sent to the name resolution server. A packet transfer device comprising a DNS proxy unit for transmission.
前記名前解決要求メッセージの送信者であるユーザに関する属性情報を、前記ユーザ情報データベースから前記ユーザ情報取得部を介して取得することを特徴とする請求項9に記載のパケット転送装置。 The packet transfer apparatus according to claim 9, wherein attribute information relating to a user who is a sender of the name resolution request message is acquired from the user information database via the user information acquisition unit.
認証時に得られた前記ユーザに関する属性情報に基づいて、前記ユーザ情報データベースの内容を更新するユーザ情報更新部とを有することを特徴とする請求項9から請求項13のいずれか1項に記載のパケット転送装置。 The user information update part which updates the content of the said user information database based on the attribute information regarding the said user obtained at the time of authentication, The any one of Claims 9-13 characterized by the above-mentioned. Packet transfer device.
クライアントから名前解決サーバへ送信された名前解決要求メッセージを一旦受信し、前記名前解決要求メッセージの送信者に関する属性情報を取得し、前記属性情報を付加した前記名前解決要求メッセージを前記名前解決サーバへ送信する、ことを特徴とするパケット転送方法。The name resolution request message transmitted from the client to the name resolution server is temporarily received, the attribute information about the sender of the name resolution request message is acquired, and the name resolution request message with the attribute information added is sent to the name resolution server. A packet transfer method characterized by transmitting.
クライアントから名前解決サーバへ送信された名前解決要求メッセージの送信者に関する属性情報を取得するユーザ情報取得部と、A user information acquisition unit that acquires attribute information about the sender of the name resolution request message sent from the client to the name resolution server;
前記名前解決要求メッセージを一旦受信し、前記名前解決要求メッセージの送信者に関する属性情報を前記ユーザ情報取得部を介して取得し、前記属性情報を付加した前記名前解決要求メッセージを前記名前解決サーバへ送信するDNSプロキシ部として機能させること特徴とするパケット転送プログラム。 The name resolution request message is received once, attribute information about the sender of the name resolution request message is acquired via the user information acquisition unit, and the name resolution request message with the attribute information added is sent to the name resolution server. A packet transfer program that functions as a DNS proxy unit for transmission.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007030119A JP4269343B2 (en) | 2007-02-09 | 2007-02-09 | Name resolution server and packet transfer device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007030119A JP4269343B2 (en) | 2007-02-09 | 2007-02-09 | Name resolution server and packet transfer device |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005180014A Division JP4013967B2 (en) | 2005-06-20 | 2005-06-20 | Name resolution server and packet transfer device |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2007166659A JP2007166659A (en) | 2007-06-28 |
JP2007166659A5 JP2007166659A5 (en) | 2007-08-16 |
JP4269343B2 true JP4269343B2 (en) | 2009-05-27 |
Family
ID=38248943
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007030119A Expired - Fee Related JP4269343B2 (en) | 2007-02-09 | 2007-02-09 | Name resolution server and packet transfer device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4269343B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5323861B2 (en) * | 2008-01-23 | 2013-10-23 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Method and apparatus for pooling network resources |
JP2012113359A (en) * | 2010-11-19 | 2012-06-14 | Kyocera Mita Corp | Image forming system, image forming apparatus and image forming method |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002368781A (en) * | 2001-06-07 | 2002-12-20 | Nippon Telegr & Teleph Corp <Ntt> | User location management domain name conversion system |
JP3564435B2 (en) * | 2001-07-18 | 2004-09-08 | 株式会社エヌ・ティ・ティ・データ | Access guidance device and method |
-
2007
- 2007-02-09 JP JP2007030119A patent/JP4269343B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2007166659A (en) | 2007-06-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2004266568A (en) | Name resolution server and packet transfer apparatus | |
US8762573B2 (en) | Reverse DNS lookup with modified reverse mappings | |
JP5167225B2 (en) | Technology that allows multiple virtual filers on one filer to participate in multiple address spaces with overlapping network addresses | |
JP4154615B2 (en) | SIP server sharing module device, SIP message relay method, and program | |
EP2323346B1 (en) | Adaptive multi-interface use for content networking | |
KR100416541B1 (en) | Method for accessing to home-network using home-gateway and home-portal sever and apparatus thereof | |
US10938951B2 (en) | Content centric message forwarding | |
JPWO2006067951A1 (en) | Access control apparatus and access control method | |
US8917629B2 (en) | Method and apparatus for detecting devices on a local area network | |
JP2013541235A (en) | Control device, communication system, communication method, and recording medium for recording communication program | |
Xie et al. | Supporting seamless virtual machine migration via named data networking in cloud data center | |
KR20140007363A (en) | Site-aware distributed file system access from outside enterprise network | |
US8873569B2 (en) | User centric virtual network and method of establishing the same | |
JP6540063B2 (en) | Communication information control apparatus, relay system, communication information control method, and communication information control program | |
KR20140045180A (en) | Convergence network based on identification and communication method using it | |
JP4013967B2 (en) | Name resolution server and packet transfer device | |
JP4269343B2 (en) | Name resolution server and packet transfer device | |
WO2012075768A1 (en) | Method and system for monitoring locator/identifier separation network | |
JP5438230B2 (en) | Internet connection system | |
JP5668503B2 (en) | Hazardous site filtering system and filtering method | |
JP2010056666A (en) | User identification type reverse proxy device, data relaying method thereof, and program thereof | |
Hwang et al. | Resource name-based routing in the network layer | |
CN118018513A (en) | Multi-service channel DNS query method and device based on port binding | |
JP5073616B2 (en) | User identification type reverse proxy device, data relay method thereof, and program thereof | |
JP3708085B2 (en) | DNS inquiry device and DNS inquiry method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070627 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090122 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090202 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090215 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120306 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4269343 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120306 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130306 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130306 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140306 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |