JP6763605B2 - データ通信システム、キャッシュdns装置及び通信攻撃防止方法 - Google Patents
データ通信システム、キャッシュdns装置及び通信攻撃防止方法 Download PDFInfo
- Publication number
- JP6763605B2 JP6763605B2 JP2016212296A JP2016212296A JP6763605B2 JP 6763605 B2 JP6763605 B2 JP 6763605B2 JP 2016212296 A JP2016212296 A JP 2016212296A JP 2016212296 A JP2016212296 A JP 2016212296A JP 6763605 B2 JP6763605 B2 JP 6763605B2
- Authority
- JP
- Japan
- Prior art keywords
- isp network
- dns
- key
- url
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
第1の課題:ASPによる巡回調査の遅れ。2015年時点で世界中のドメイン数は3億を超過している。このため、1つのASPが全Webサーバを巡回して調査すると、調査間隔が長くなってしまい、調査の間に、攻撃者によりWebサーバが汚染され、クライアントにとって危険なWebサーバとなる可能性が無視できない。
第1のISP網に接続され、第1のISP網内の各端末に対する第1の通信許可ポリシーを保持し、第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNS装置から受信し、受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSレスポンスに記載のIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行うキャッシュDNS装置と、
第2のISP網に接続され、第2のISP網内に接続されている各URLの安全性評価結果を保持し、第1のISP網からDNSクエリを受信すると、DNSクエリに記載されているURLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを、第1のISP網のキャッシュDNS装置に送信する権威DNS装置と、
を備える。
自装置の接続されている第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを、第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNSから受信し、
第1のISP網内の各端末に対する第1の通信許可ポリシーを保持し、第2のISP網の権威DNSから受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSレスポンスに記載のIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う。
第1のISP網のキャッシュDNSが、第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを、第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNSから受信する手順と、
第1のISP網のキャッシュDNSが、第1のISP網内の各端末に対する第1の通信許可ポリシーを参照し、権威DNSから受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSクエリで問い合わせのあったIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う手順と、
を備える。
図4は、本実施形態に係るデータ通信システムの構成例である。本実施形態では、インターネット93を介したWebサーバ22とクライアント12間の接続構成例を示す。図1の構成に対して、ISP網92内にIDSサーバ24を追加設置する。また、Webサーバ22、キャッシュDNSサーバ15、権威DNSサーバ23及びGW11に以下の処理を行う手段を追加することで前述の第1の課題〜第4の課題を解決する。
・第1の課題:ASPによる巡回調査の遅れについて。
本開示では、各ISP網がIDSサーバを備え、巡回調査をISP網毎に分散して実施する。このため、各ASPがそれぞれ独立してインターネット93内の全Webサーバを調査する場合と比較し、短い周期で、かつ精度の高い調査が可能となる。
・第2の課題:リンクの無い悪意のWebサーバの潜在化について。
本開示では、各ISP網が権威DNSサーバを備え、WebサーバにURLを割り当てるISP網が、当該ドメイン内のWebサーバのみを、分散して調査する。このため、各ASPが全世界のWebサーバを調査する既存技術に比べて、調査対象数が少ないため、迅速に調査を行うことができる。また、本開示では権威DNSサーバ23のレコードを参照して調査を行うため、URLを持つwebサーバやクライアントについて、調査漏れがない。また、クライアント側のISP網91が、URLを持たないWebサーバへの発信を遮断することで、悪意のWebサーバの潜在化を防止する。
・第3の課題:クライアントの通信プライバシのASPへの流出について。
本開示では、ASPに対して通信相手のURLを通知する必要が無い。
・第4の課題:クライアントの負荷
本開示では、クライアントによるブラックリストの管理や照合が不要である。
Webサーバ22のIPアドレスを知っている任意のクライアントからのIPパケットがWebサーバ22まで到着すると、悪意者からWebサーバ22が攻撃される可能性がある。本実施形態に係るデータ通信システムは、このようなWebサーバ22に対する攻撃の防止を実現する。
本実施形態に係るデータ通信システムは、実施形態1又は実施形態2において、URLなどの情報を暗号化する。
12:クライアント
14、24:IDSサーバ
15:キャッシュDNSサーバ
22:Webサーバ
13、23:権威DNSサーバ
91、92:ISP網
93:インターネット
Claims (9)
- 第1のISP網に接続され、第1のISP網内の各端末に対する第1の通信許可ポリシーを保持し、第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNS装置から受信し、受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSレスポンスに記載のIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行うキャッシュDNS装置と、
第2のISP網に接続され、第2のISP網内に接続されている各URLの安全性評価結果を保持し、第1のISP網からDNSクエリを受信すると、DNSクエリに記載されているURLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを、第1のISP網のキャッシュDNS装置に送信する権威DNS装置と、
を備えるデータ通信システム。 - 第1のISP網のキャッシュDNS装置は、自装置のIPアドレス及び第1のISP網のゾーン名に第1のISP網のゾーン署名鍵の秘密鍵を用いて署名を行ったもの、並びに、第1のISP網のゾーン署名鍵の公開鍵を、第1のISP網内の端末から受信したDNSクエリに追加して第2のISP網の権威DNS装置に送信し、
第2のISP網の権威DNS装置は、第1のISP網のゾーン署名鍵の公開鍵を用いてDNSクエリに記載されているIPアドレス及びゾーン名に改ざんがないことを確認する、
請求項1に記載のデータ通信システム。 - 第2のISP網の権威DNS装置は、DNSクエリに記載されているURLに対応するIPアドレス及び安全性評価結果に第2のISP網のゾーン署名鍵の秘密鍵を用いて署名を行ったもの、並びに、第2のISP網のゾーン署名鍵の公開鍵を、第1のISP網のキャッシュDNS装置に送信し、
第1のISP網のキャッシュDNS装置は、第2のISP網のゾーン署名鍵の公開鍵を用いてDNSレスポンスに記載されているIPアドレス及び安全性評価結果に改ざんがないことを確認する、
請求項1又は2に記載のデータ通信システム。 - 第1のISP網のキャッシュDNS装置は、DNSクエリに記載されているURLを共通鍵で暗号化し、当該共通鍵を第2のISP網のゾーン署名鍵の公開鍵で暗号化し、暗号化した共通鍵、自装置のIPアドレス及び第1のISP網のゾーン名に第1のISP網のゾーン署名鍵の秘密鍵を用いて署名を行ったもの、並びに、第1のISP網のゾーン署名鍵の公開鍵を、第1のISP網内の端末から受信したDNSクエリに追加して第2のISP網の権威DNS装置に送信し、
第2のISP網の権威DNS装置は、第1のISP網のゾーン署名鍵の公開鍵を用いてDNSクエリに記載されている暗号化した共通鍵、IPアドレス及びゾーン名に改ざんがないことを確認し、第2のISP網のゾーン署名鍵の秘密鍵を用いて暗号化されている共通鍵を復号し、復号化した共通鍵を用いて暗号化されているURLを復号する、
請求項1から3のいずれかに記載のデータ通信システム。 - 第2のISP網の権威DNS装置は、DNSクエリに記載されていた共通鍵を用いて、DNSレスポンスに記載されているURL、IPアドレス及び安全性評価結果を暗号化する、
請求項4に記載のデータ通信システム。 - 第2のISP網の権威DNS装置は、第2のISP網内の各端末に対する第2の通信許可ポリシーを、DNSレスポンスに追加して第1のISP網のキャッシュDNS装置に送信し、
第1のISP網のキャッシュDNS装置は、DNSレスポンスに記載されている安全性評価結果が第1の通信許可ポリシーを満たし、かつ、DNSクエリの送信元の端末がDNSレスポンスに記載されている第2の通信許可ポリシーを満たす場合、DNSレスポンスに記載されているIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う、
請求項1から5のいずれかに記載のデータ通信システム。 - 第2のISP網の権威DNS装置は、DNSクエリに記載されていた共通鍵を用いて第2の通信許可ポリシーを暗号化し、暗号化されている第2の通信許可ポリシーに第2のISP網のゾーン署名鍵の秘密鍵を用いて署名を行ったもの、並びに、第2のISP網のゾーン署名鍵の公開鍵を、第1のISP網のキャッシュDNS装置に送信し、
第1のISP網のキャッシュDNS装置は、第2のISP網のゾーン署名鍵の公開鍵を用いてDNSレスポンスに記載されている第2の通信許可ポリシーに改ざんがないことを確認する、
請求項6に記載のデータ通信システム。 - 自装置の接続されている第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを、第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNSから受信し、
第1のISP網内の各端末に対する第1の通信許可ポリシーを保持し、第2のISP網の権威DNSから受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSレスポンスに記載のIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う、
を備えるキャッシュDNS装置。 - 第1のISP網のキャッシュDNSが、第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを、第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNSから受信する手順と、
第1のISP網のキャッシュDNSが、第1のISP網内の各端末に対する第1の通信許可ポリシーを参照し、権威DNSから受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSクエリで問い合わせのあったIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う手順と、
を備える通信攻撃防止方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016212296A JP6763605B2 (ja) | 2016-10-28 | 2016-10-28 | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016212296A JP6763605B2 (ja) | 2016-10-28 | 2016-10-28 | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018074395A JP2018074395A (ja) | 2018-05-10 |
JP6763605B2 true JP6763605B2 (ja) | 2020-09-30 |
Family
ID=62115889
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016212296A Active JP6763605B2 (ja) | 2016-10-28 | 2016-10-28 | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6763605B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7038165B2 (ja) * | 2020-06-08 | 2022-03-17 | ソフトバンク株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
CN112989250B (zh) * | 2021-03-11 | 2024-01-12 | 北京百度网讯科技有限公司 | 一种Web服务响应方法、装置及电子设备 |
CN114640649A (zh) * | 2022-03-16 | 2022-06-17 | Oppo广东移动通信有限公司 | 域名解析方法、业务终端、电子设备以及存储介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3887325B2 (ja) * | 2003-02-07 | 2007-02-28 | 日本電信電話株式会社 | データ通信網システムおよびデータ通信網接続制御方法 |
WO2006067973A1 (ja) * | 2004-12-22 | 2006-06-29 | Matsushita Electric Industrial Co., Ltd. | アクセス制御装置 |
EP1816812A1 (en) * | 2004-12-22 | 2007-08-08 | Matsushita Electric Industries Co., Ltd. | Access control device, and access control method |
US9154472B2 (en) * | 2006-07-12 | 2015-10-06 | Intuit Inc. | Method and apparatus for improving security during web-browsing |
JP5157626B2 (ja) * | 2008-05-09 | 2013-03-06 | 富士通株式会社 | ウェブサーバへのアクセス制限方法、フェムトセル基地局装置及びアクセス制限判断装置 |
JP2013171371A (ja) * | 2012-02-20 | 2013-09-02 | Nippon Telegr & Teleph Corp <Ntt> | パケットフィルタリング方法及び装置 |
-
2016
- 2016-10-28 JP JP2016212296A patent/JP6763605B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018074395A (ja) | 2018-05-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6961783B1 (en) | DNS server access control system and method | |
JP5346107B2 (ja) | インターネットのための対称鍵配信フレームワーク | |
Borgolte et al. | Cloud strife: mitigating the security risks of domain-validated certificates | |
Gangan | A review of man-in-the-middle attacks | |
US8862871B2 (en) | Network with protocol, privacy preserving source attribution and admission control and method | |
Wu et al. | A source address validation architecture (sava) testbed and deployment experience | |
US10764263B2 (en) | Authentication of users in a computer network | |
EP3328024A1 (en) | Accessing hosts in a computer network | |
US20180115520A1 (en) | Dark virtual private networks and secure services | |
Grothoff et al. | Toward secure name resolution on the internet | |
Nowaczewski et al. | Securing Future Internet and 5G using Customer Edge Switching using DNSCrypt and DNSSEC. | |
JP6763605B2 (ja) | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 | |
US20180103037A1 (en) | Resource access control using named capabilities | |
Van Der Toorn et al. | Addressing the challenges of modern DNS a comprehensive tutorial | |
EP1836559B1 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
CN112655186B (zh) | 可信dns解析设备和方法 | |
JP4065850B2 (ja) | 移動ネットワーク環境におけるデータトラフィックの保護方法 | |
US11582201B1 (en) | Establishing and maintaining trusted relationship between secure network devices in secure peer-to-peer data network based on obtaining secure device identity containers | |
Mathi et al. | A new method for preventing man-in-the-middle attack in IPv6 network mobility | |
Lin et al. | InviCloak: an end-to-end approach to privacy and performance in web content distribution | |
Modares et al. | Enhancing security in mobile IPv6 | |
JP2017201774A (ja) | 通信装置、通信方法、及びプログラム | |
Krähenbühl et al. | Pervasive Internet-wide low-latency authentication | |
Kelpen et al. | Privacy and Data Protection in the Domain Name System: Threats and Countermeasures | |
Pahlevan | Signaling and policy enforcement for co-operative firewalls |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190917 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200722 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200811 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200907 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6763605 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |