JP6763605B2 - データ通信システム、キャッシュdns装置及び通信攻撃防止方法 - Google Patents
データ通信システム、キャッシュdns装置及び通信攻撃防止方法 Download PDFInfo
- Publication number
- JP6763605B2 JP6763605B2 JP2016212296A JP2016212296A JP6763605B2 JP 6763605 B2 JP6763605 B2 JP 6763605B2 JP 2016212296 A JP2016212296 A JP 2016212296A JP 2016212296 A JP2016212296 A JP 2016212296A JP 6763605 B2 JP6763605 B2 JP 6763605B2
- Authority
- JP
- Japan
- Prior art keywords
- isp network
- dns
- key
- url
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本開示は、インターネットにおけるWebサーバとクライアント間通信において、サーバに対する通信攻撃や、クライアントに対する通信攻撃を防止するデータ通信方法に関する。
図1は、関連技術に係るインターネットを介したWebサーバとクライアント間の接続構成例を示す。図1では、理解の容易のため、第1のISP(Internet Service Provider)の管理するISP網91と、第2のISPの管理するISP網92と、がインターネット93を介して接続されている例を示す。クライアント12はISP網91内に接続されている端末の1つであり、ISP網91とインターネット93との境界にあるゲートウェイルータ(以下、GWと称する。)11に接続し、GW11はISP網91内のキャッシュDNSサーバ15と接続している。
Webサーバ22はISP網92内に接続されている端末の1つであり、ISP網92とインターネットとの境界にあるGW21に接続し、GW21はISP網92内の権威DNS(Domain Name System)サーバ23と接続している。なお、以下では、説明を簡易にするため、権威DNSサーバが管理するURLの範囲(ゾーン)に対応するWebサーバ22は、ISP網92に接続するWebサーバ22の範囲として説明する。
GW11及びGW21は、ISP網内からの発信はすべて通過させるが、外部からの発信は権威DNSサーバ及びWebサーバのIPアドレス宛の通信のみ、内部に転送する。GW11とGW21は、インターネット93を介して接続し、インターネット93はGW11及びGW21から受信したIPパケットのIPアドレスを参照し、宛先となるGW21及びGW11に転送する。
ASP(Application Service Provider)のIDS(Intrusion Detection System)サーバ14,24は、それぞれ、インターネット93に接続するWebサーバ間のリンク情報を用いて、各Webサーバに周期的に接続し、IDS技術を活用して、各Webサーバからクライアントへのマルウェア感染や、他Webサーバへの成りすましなどクライアントの安全を脅かす処理(通信攻撃)がないか調査し、危険な処理を行うWebサーバのURLのリスト(ブラックリスト)や安全なWebサーバのURLのリスト(ホワイトリスト)を管理する。ASPは、例えば、Google(登録商標)及びMicrosoft(登録商標)である。なお、図1では、Webサーバ22以外のWebサーバの図示を省略している。
クライアント12のWebブラウザは、IDSサーバ14,24と通信し、当該ブラックリストまたはホワイトリストを活用して発信の制御を行う。なお、2016年5月の時点で、Firefox(登録商標)、Safari(登録商標)、Chrome(登録商標)はGoogle(登録商標)社が提供するブラックリストを、Internet Explorer(登録商標)やEdge(登録商標)はMicrosoft(登録商標)社が提供するホワイトリストを使用することが可能である。以下、Firefox(登録商標)の処理概要について、公開情報を元に説明する。
Firefox(登録商標)は、Google Safe Browsing(登録商標)というAPI(Application Programming Interface)を利用し、当該ブラックリストをクライアント端末内にダウンロードする。ブラックリストは、危険なURLのそれぞれをハッシュしたリストである。ユーザが、クライアントのFirefox(登録商標)を用いて、ユーザが指定したURLとの接続を指示すると、Webブラウザは、当該URLのハッシュ値がブラックリストにある場合は、IDSサーバ14,24に当該URLを通知する。IDSサーバ14,24は当該URLがブラックリストにあるかどうかを、Firefox(登録商標)に応答する。当該URLがブラックリストにあった場合、Firefox(登録商標)はユーザに警告を表示し、ユーザは危険なWebサーバに接続することを控えることができる。接続先WebサーバのURLがブラックリストにない場合、クライアント(スタブリゾルバとも呼ばれる)は、当該URLに対応するWebサーバのIPアドレスをDNSクエリ(図2)により、キャッシュDNSサーバ(フルサービスリゾルバとも呼ばれる)に問い合わせる。URLがWebサーバ22のホスト名の場合、キャッシュDNSはDNSプロトコルにより、root DNSサーバや上位ドメインのDNSサーバに当該URLの対応する情報の管理を行っている権威DNSサーバ23のIPアドレスを再帰検索により入手し、当該権威DNSサーバ23にDNSクエリを転送する。ここで、権威DNSサーバ23は、コンテンツサーバとも呼ばれ、図の例ではISP網92の権威DNSサーバ23として機能する。なお図1では、root DNSサーバや上位ドメインのDNSサーバの表記を省略している。
権威DNSサーバ23は図3に示すように、Webサーバ22のIPアドレス(アンサー部)と、当該権威DNSサーバが持つゾーン署名鍵(公開鍵と秘密鍵のペアで構成)の公開鍵(DNSKEY(Domain Name System KEY)レコード)と当該公開鍵に対応する秘密鍵で当該IPアドレスのハッシュ値を暗号化した署名(RRSIG(Resource Record Signature)レコード)を含むDNSレスポンスをキャッシュDNSサーバ15に返送する。キャッシュDNSサーバ15は既存のDNSSEC(DNS SECurity Extensions)のプロトコル手順を用いて、root DNSサーバからの信頼性チェーンにより、キャッシュDNSサーバ15のゾーンに対応する署名鍵の本人性を確認する。次に当該公開鍵を用いて受信したDNSレスポンスの署名を復号して、署名範囲のハッシュ値と比較する。一致した場合署名範囲に改ざんがないと判断し、当該IPアドレスを含むDNSレスポンスをクライアント12に返却する。以上により、クライアント12は、Webサーバ22のIPアドレスを入手し、Webサーバ22とのIP通信が可能になる。
関連技術では、以下の課題がある。
第1の課題:ASPによる巡回調査の遅れ。2015年時点で世界中のドメイン数は3億を超過している。このため、1つのASPが全Webサーバを巡回して調査すると、調査間隔が長くなってしまい、調査の間に、攻撃者によりWebサーバが汚染され、クライアントにとって危険なWebサーバとなる可能性が無視できない。
第1の課題:ASPによる巡回調査の遅れ。2015年時点で世界中のドメイン数は3億を超過している。このため、1つのASPが全Webサーバを巡回して調査すると、調査間隔が長くなってしまい、調査の間に、攻撃者によりWebサーバが汚染され、クライアントにとって危険なWebサーバとなる可能性が無視できない。
第2の課題:リンクの無い悪意サーバの潜在化。クライアントに感染させたマルウェアと通信し、クライアント端末を遠隔操作するC&Cサーバなどの悪意サーバは、URLをDNSサーバに登録せず、他のWebサーバからのリンクもない場合がある。当該サーバについては、Webリンクによる巡回調査が出来ない問題がある。
第3の課題:クライアントの通信プライバシのASPへの流出。ブラックリストを攻撃者が解読すると攻撃のヒントになるため、クライアントは危険な可能性のあるURLをASPに通知し、ASPが最終的な判定を行っている。このため、クライアントは通信の安全性と引き換えに、通信プライバシの一部をASPに公開せざるを得ない問題がある。
第4の課題:クライアントの負荷。クライアントは、ブラックリストのASPからの入手や、ハッシュ照合などの処理が必要であり、またそのためには、PKI証明書の検証が必要である。センサなど電力や計算処理能力が低いマシン端末には負担が大きい。
本開示は、ASPによる巡回調査の遅れ、リンクの無い悪意のWebサーバの潜在化、柔軟な通信制御ができない、クライアントの通信プライバシのASPへの流出、及び、クライアントの負荷の課題を解決することを目的とする。
具体的には、本開示のデータ通信システムは、
第1のISP網に接続され、第1のISP網内の各端末に対する第1の通信許可ポリシーを保持し、第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNS装置から受信し、受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSレスポンスに記載のIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行うキャッシュDNS装置と、
第2のISP網に接続され、第2のISP網内に接続されている各URLの安全性評価結果を保持し、第1のISP網からDNSクエリを受信すると、DNSクエリに記載されているURLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを、第1のISP網のキャッシュDNS装置に送信する権威DNS装置と、
を備える。
第1のISP網に接続され、第1のISP網内の各端末に対する第1の通信許可ポリシーを保持し、第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNS装置から受信し、受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSレスポンスに記載のIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行うキャッシュDNS装置と、
第2のISP網に接続され、第2のISP網内に接続されている各URLの安全性評価結果を保持し、第1のISP網からDNSクエリを受信すると、DNSクエリに記載されているURLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを、第1のISP網のキャッシュDNS装置に送信する権威DNS装置と、
を備える。
具体的には、本開示のキャッシュDNS装置は、
自装置の接続されている第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを、第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNSから受信し、
第1のISP網内の各端末に対する第1の通信許可ポリシーを保持し、第2のISP網の権威DNSから受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSレスポンスに記載のIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う。
自装置の接続されている第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを、第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNSから受信し、
第1のISP網内の各端末に対する第1の通信許可ポリシーを保持し、第2のISP網の権威DNSから受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSレスポンスに記載のIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う。
具体的には、本開示の通信攻撃防止方法は、
第1のISP網のキャッシュDNSが、第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを、第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNSから受信する手順と、
第1のISP網のキャッシュDNSが、第1のISP網内の各端末に対する第1の通信許可ポリシーを参照し、権威DNSから受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSクエリで問い合わせのあったIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う手順と、
を備える。
第1のISP網のキャッシュDNSが、第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを、第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNSから受信する手順と、
第1のISP網のキャッシュDNSが、第1のISP網内の各端末に対する第1の通信許可ポリシーを参照し、権威DNSから受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSクエリで問い合わせのあったIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う手順と、
を備える。
本開示によれば、ASPによる巡回調査の遅れ、リンクの無い悪意のWebサーバの潜在化、クライアントの通信プライバシのASPへの流出、及び、クライアントの負荷の課題を解決することができる。
以下、本開示の実施形態について、図面を参照しながら詳細に説明する。なお、本開示は、以下に示す実施形態に限定されるものではない。これらの実施の例は例示に過ぎず、本開示は当業者の知識に基づいて種々の変更、改良を施した形態で実施することができる。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。
(実施形態1)
図4は、本実施形態に係るデータ通信システムの構成例である。本実施形態では、インターネット93を介したWebサーバ22とクライアント12間の接続構成例を示す。図1の構成に対して、ISP網92内にIDSサーバ24を追加設置する。また、Webサーバ22、キャッシュDNSサーバ15、権威DNSサーバ23及びGW11に以下の処理を行う手段を追加することで前述の第1の課題〜第4の課題を解決する。
図4は、本実施形態に係るデータ通信システムの構成例である。本実施形態では、インターネット93を介したWebサーバ22とクライアント12間の接続構成例を示す。図1の構成に対して、ISP網92内にIDSサーバ24を追加設置する。また、Webサーバ22、キャッシュDNSサーバ15、権威DNSサーバ23及びGW11に以下の処理を行う手段を追加することで前述の第1の課題〜第4の課題を解決する。
Webサーバ22はISP網92に接続すると、既存技術であるDDNS(Dynamic DNS)プロトコルなどを使用し、権威DNSサーバ23にURLとIPアドレスの対応を登録する。権威DNSサーバ23は、URLの登録を受け付けると、IDSサーバ24に当該URLを登録する。以降、当該IDSサーバ24は、ISP網92内の登録された全URLに対応するホストの信頼性レベルを、既存のIDS技術を活用して周期的に自動調査し、その評価結果をURL単位で権威DNSサーバ23に登録する。ここで、評価結果は、例えば、安全/危険、及び最新調査時期、過去の危険判定履歴が例示でき、以下、「安全性評価結果」と表記する。権威DNSサーバ23は、各URLに対応するIPアドレスに加えて、当該安全性評価結果をISP網92のゾーンの秘密鍵で署名して、保持する。
ISP網91の運用者は、キャッシュDNSサーバ15に通信許可ポリシーP1を登録しておく。通信許可ポリシーP1は、ISP網91の内部の各端末と外部ホスト間の通信を許可するポリシーである。ここで、ポリシーは、例えば、外部ホストが帰属するISPによる安全判定があり、最新調査時期が2日以内、過去の危険判定から1月以上経過、などであり、以下、「通信許可ポリシー」と表記する。
キャッシュDNSサーバ15は、クライアント12からDNSクエリを受信すると、DNSプロトコルにより、root DNSサーバや上位ドメインのDNSサーバに当該URLに対応する情報の管理を行っている権威DNSサーバ(図の例ではISP網92の権威DNSサーバ23)のIPアドレス及び本開示への対応の有無を再帰検索により入手する。なお、権威DNSサーバ23のIPアドレスを上位DNSサーバに登録時に本開示への対応有無も登録しておく。
キャッシュDNSサーバ15は、権威DNSサーバ23のIPアドレスを入手すると、図5に示すように、クライアント12から受信したDNSクエリに、クライアント側ゾーンのドメイン名とキャッシュDNSサーバ15のIPアドレスを追加する。また、クライアント側ゾーン署名鍵の秘密鍵を用いて当該IPアドレスとゾーン名に対する署名を作成し、当該DNSクエリに追加し、クライアント側ゾーン署名鍵の公開鍵を付与して、権威DNSサーバ23に送信する。ここで、署名は、例えば、署名範囲のハッシュ値を秘密鍵で暗号化したものを用いることができる。本実施形態におけるクライアント側ゾーン署名鍵は、キャッシュDNSサーバ15の接続されているISP網91のゾーン署名鍵である。
権威DNSサーバ23は、既存のDNSSECのプロトコル手順を用いて、root DNSサーバからの信頼性チェーンにより、キャッシュDNSサーバ15のゾーンに対応する署名鍵の本人性を確認する。次に当該公開鍵を用いて受信したDNSクエリの署名を復号して、署名範囲のハッシュ値と比較し、一致した場合署名範囲に改ざんがないと判断すると、当該URLに対応するAレコード(IPアドレス)と安全性評価結果、及びサーバ側ゾーン署名鍵の秘密鍵で作成した署名、そして、サーバ側ゾーン署名鍵の公開鍵を付与して、DNSレスポンスに格納して返送する(図6)。本実施形態におけるサーバ側ゾーン署名鍵は、権威DNSサーバ23の接続されているISP網92のゾーン署名鍵である。
キャッシュDNSサーバ15は、既存のDNSSECのプロトコル手順により、root DNSサーバからの信頼性チェーンにより、権威DNSサーバ23のゾーンに対応する署名鍵の本人性を確認する。次に当該公開鍵を用いてDNSレスポンスに付与された署名を判定し、Webサーバ22のIPアドレスとISP網92による安全性評価結果の改竄がない場合、当該情報をキャッシングするとともに、クライアント12にDNSレスポンスによりWebサーバ22のIPアドレスを返却する。また、キャッシュDNSサーバ15は、当該安全性評価結果と通信許可ポリシーP1を照合し、通信を許可する場合、GW11に当該IPアドレスへの発信許可を指示する。通信許可ポリシーの例を図7に示す。
安全性評価結果と通信許可ポリシーをDNSレスポンスへ格納する方法は既存のレスポンスプロトコルに準拠する。ただし、DNSパケットで伝送するリソースレコード(ドメイン名に関連するデータの種類)に、新たに、「安全性・ポリシーレコード」を定義し、リソースレコードの標準フォーマットに従い、それらをDNSパケットに格納する。
リソースレコードの標準フォーマットを図8に示す。ここで、「ドメイン名」はDNSクエリで問い合わせられたURL中のホスト名である。「タイプ」はリソースレコードの種類を示す値である。「クラス」はドメイン名が帰属する名前空間のことであり、現状インターネットのみが使用されている。「TTL」は当該リソースレコードの情報が有効な時間を示す。「RDATA」はリソースレコードの種類毎に定義される情報である。
「安全性・ポリシーレコード」では、新規にRDATAフォーマットを定義する。例を図9に示す。本例では、最大255個の安全性評価結果と、最大255個の通信許可ポリシーを伝送する。各安全性評価結果と通信許可ポリシーは、それぞれ項目コード(8bit)と、内容コード(8bit)の合計16bit固定である。各項目と内容の例及び、それらを評価する方法の例を図10に示す。なお通信許可ポリシーで指定する内容コードの値は、相手端末の安全性評価結果が同値または小さい場合に接続を許可する意味としている。
ISP網91のGW11は、発信許可を指示されたIPアドレスのリストを管理し、クライアント12からISP網91外宛のIPパケットを受信すると、当該リストを参照し、宛先がリストにないIPパケットはISP網91外に転送せず廃棄する。
以上説明したように、本実施形態は、Webサーバ22とクライアント12間通信において、Webサーバ22にURLを割り当てる第2のISP網92が、Webサーバ22の安全性を評価し、その結果である安全性評価結果を権威DNSサーバ23で公開する。そして、キャッシュDNSサーバ15が、権威DNSサーバ23から得た安全性評価結果と、当該キャッシュDNSサーバ15が予め持つセキュリティポリシーP1を比較し、当該キャッシュDNSサーバ15を利用するクライアント12に対し、Webサーバ22との通信を許可するか判定し、通信を許可したWebサーバ22宛のIPパケットのみ、インターネット93への発信を許可する。
ここで、本実施形態は、キャッシュDNSサーバ15がDNSクエリにキャッシュDNSサーバ15のIPアドレスとゾーン名を追加し、またそれらについて当該キャッシュDNSサーバ15のゾーンに対応するクライアント側ゾーン署名鍵で作成した署名を追加して、権威DNSサーバ23に送信する。ここで、署名は、例えば、署名対象のハッシュ値を秘密鍵で暗号化したものである。権威DNSサーバ23は、既存のDNSSECのプロトコル手順を用いて、root DNSサーバ(不図示)からの信頼性チェーンを用いて、当該ゾーンに対応するサーバ側ゾーン署名鍵の本人性を確認し、当該鍵を用いて当該署名を復号し、得られたハッシュ値を、署名範囲から計算したハッシュ値と比較して検証する。
本開示に係る第1の課題〜第4の課題のそれぞれを、本開示がどのように解決しているのか以下に説明する。
・第1の課題:ASPによる巡回調査の遅れについて。
本開示では、各ISP網がIDSサーバを備え、巡回調査をISP網毎に分散して実施する。このため、各ASPがそれぞれ独立してインターネット93内の全Webサーバを調査する場合と比較し、短い周期で、かつ精度の高い調査が可能となる。
・第2の課題:リンクの無い悪意のWebサーバの潜在化について。
本開示では、各ISP網が権威DNSサーバを備え、WebサーバにURLを割り当てるISP網が、当該ドメイン内のWebサーバのみを、分散して調査する。このため、各ASPが全世界のWebサーバを調査する既存技術に比べて、調査対象数が少ないため、迅速に調査を行うことができる。また、本開示では権威DNSサーバ23のレコードを参照して調査を行うため、URLを持つwebサーバやクライアントについて、調査漏れがない。また、クライアント側のISP網91が、URLを持たないWebサーバへの発信を遮断することで、悪意のWebサーバの潜在化を防止する。
・第3の課題:クライアントの通信プライバシのASPへの流出について。
本開示では、ASPに対して通信相手のURLを通知する必要が無い。
・第4の課題:クライアントの負荷
本開示では、クライアントによるブラックリストの管理や照合が不要である。
・第1の課題:ASPによる巡回調査の遅れについて。
本開示では、各ISP網がIDSサーバを備え、巡回調査をISP網毎に分散して実施する。このため、各ASPがそれぞれ独立してインターネット93内の全Webサーバを調査する場合と比較し、短い周期で、かつ精度の高い調査が可能となる。
・第2の課題:リンクの無い悪意のWebサーバの潜在化について。
本開示では、各ISP網が権威DNSサーバを備え、WebサーバにURLを割り当てるISP網が、当該ドメイン内のWebサーバのみを、分散して調査する。このため、各ASPが全世界のWebサーバを調査する既存技術に比べて、調査対象数が少ないため、迅速に調査を行うことができる。また、本開示では権威DNSサーバ23のレコードを参照して調査を行うため、URLを持つwebサーバやクライアントについて、調査漏れがない。また、クライアント側のISP網91が、URLを持たないWebサーバへの発信を遮断することで、悪意のWebサーバの潜在化を防止する。
・第3の課題:クライアントの通信プライバシのASPへの流出について。
本開示では、ASPに対して通信相手のURLを通知する必要が無い。
・第4の課題:クライアントの負荷
本開示では、クライアントによるブラックリストの管理や照合が不要である。
さらに、本開示では、Webサーバ22側の安全性評価結果や通信許可ポリシーを通知する相手を、DNSSECにより割り当てられたゾーン署名鍵をもつキャッシュDNSサーバ15に限定しかつIPアドレスの成りすましを防いでいるため、悪意者への漏洩を防ぐ事が可能である。このため、安全なWebサーバと未調査のWebサーバの区別を含む詳細な情報を、クライアント側のISP網91に通知することができ、クライアント側で柔軟な通信制御が可能である。
なお、サーバ側のISP網92がクライアント側のISP網91の成りすましを防ぐ方法として、PKI(Public Key Infrastructure)やSingle Sign Onなどの既存技術の適用が考えられるが、ISP網毎の公開鍵の管理やIdP(Identity Provider)アカウントの作成などISPの負担が大きく、また、既存のDNS手順以外に認証手順の追加が必要となり、処理性能や接続遅延が劣化する問題がある。一方、root DNSサーバが信頼性のルートとなり、DNSリプライデータの改竄防止に使用するゾーン署名鍵の本人性を保証するDNSSEC技術が普及しつつある。本開示は本鍵を流用し、DNSSECプロトコルを拡張することで、ISPの負担やDNS以外の手順の追加をせずに、DNSリクエストのIPアドレスの認証を実現することができる。
また、ISP網91とISP網92間の経路上で、DNSクエリやレスポンスを盗聴される可能性がある場合は、ISP網91及び92間のメッセージ数を増やさずに、キャッシュDNSサーバ15と権威DNSサーバ23間で共通鍵を共有し、暗号化することもできる。
なお、ISP網91とISP網92間の経路上で、DNSクエリやレスポンスの盗聴や改竄の危険がない場合は、共通鍵による暗号化を削除することで、DNSクエリ毎の署名作成や暗号化処理が不要となり、キャッシュDNSサーバ15や権威DNSサーバ23の性能への影響を少なくすることが出来る。
(実施形態2)
Webサーバ22のIPアドレスを知っている任意のクライアントからのIPパケットがWebサーバ22まで到着すると、悪意者からWebサーバ22が攻撃される可能性がある。本実施形態に係るデータ通信システムは、このようなWebサーバ22に対する攻撃の防止を実現する。
Webサーバ22のIPアドレスを知っている任意のクライアントからのIPパケットがWebサーバ22まで到着すると、悪意者からWebサーバ22が攻撃される可能性がある。本実施形態に係るデータ通信システムは、このようなWebサーバ22に対する攻撃の防止を実現する。
図11は、本実施形態に係るデータ通信システムの構成例である。本実施形態に係るデータ通信システムは、クライアント側のISP網91内に権威DNSサーバ13とIDSサーバ14を追加し、以下の処理を行う構成をさらに備える。これにより、本実施形態に係るデータ通信システムは、Webサーバ22に対する攻撃を防止する。
クライアント12がISP網91に接続すると、権威DNSサーバ13は、IDSサーバ22と同様に、クライアント12のURLとIPアドレスの対応を登録する。権威DNSサーバ13はURLの登録を受け付けると、権威DNSサーバ23と同様に、IDSサーバ14に当該URLを登録する。以降、当該IDSサーバ14は、ISP網91内の登録された全URLに対応するホストの信頼性レベルを既存のIDS技術を活用して全数、周期的に調査し、その調査結果をURL単位で安全性評価結果として権威DNSサーバ13に登録する。
ISP網92の運用者は、権威DNSサーバ23に、当該ISP網92内部と外部ホスト間の通信を許可する通信許可ポリシーP2を登録しておく。権威DNSサーバ23は、図12に示すように、Webサーバ22のIPアドレス(データ部中のアンサー部)及び実施形態1で生成した安全性評価結果に加え、通信許可ポリシーP2についてもサーバ側ゾーン署名鍵による署名を付けてDNSレスポンスに格納して返送する。
権威DNSサーバ23から受信したDNSレスポンスに通信許可ポリシーP2が含まれている場合、キャッシュDNSサーバ15は、権威DNSサーバ13をクライアント12のIPアドレスで検索し、当該クライアント12の安全性評価結果を読み取る。そして、Webサーバ22の安全性評価結果がISP網91の通信許可ポリシーP1を満たし、かつ、クライアント12の安全性評価結果がISP網92の通信許可ポリシーP2を満たした場合、キャッシュDNSサーバ15は、GW11に当該IPアドレスへの発信許可を指示する。通信許可ポリシーP1やP2を、ホスト毎あるいはホストの種類毎に分けることで、更に柔軟な通信制御が可能である。
以上説明したように、本実施形態は、Webサーバ22側のISPが、クライアント12に対して当該Webサーバ22との通信を許可する条件を権威DNSサーバ23で公開し、クライアント側のキャッシュDNSサーバ15が、クライアント側のISPが判定した当該クライアント12の安全性評価結果と比較し、通信を許可するか判定する。これにより、本実施形態は、Webサーバや着信側ISPに代行して、発信側のISPがクライアント12の安全性を判定し、Webサーバ22への接続可否を判断するため、Webサーバ22に対する攻撃を防止することができる。
(実施形態3)
本実施形態に係るデータ通信システムは、実施形態1又は実施形態2において、URLなどの情報を暗号化する。
本実施形態に係るデータ通信システムは、実施形態1又は実施形態2において、URLなどの情報を暗号化する。
図13に、本実施形態におけるDNSクエリの一例を示す。キャッシュDNSサーバ15は、DNSクエリのクエリ部を共通鍵で暗号化し、当該共通鍵をサーバ側ゾーン署名鍵の公開鍵で暗号化し、クライアント側ゾーン署名鍵の秘密鍵による署名を付けて、権威DNSサーバ23に送信する。ここで、共通鍵は、暗号アルゴリズムの識別情報を含む。
権威DNSサーバ23は、当該DNSクエリの署名を当該クライアント側ゾーン署名鍵の公開鍵で検証し、署名範囲に改ざんがないか確認する。改ざんがない場合、権威DNSサーバ23は、サーバ側ゾーン署名鍵の秘密鍵を用いて共通鍵を復号し、得た共通鍵を用いてクエリ部を復号する。
図14に、本実施形態におけるDNSレスポンスの一例を示す。権威DNSサーバ23は、復号して得られた問い合わせURLに対応するアンサー部を作成し、DNSレスポンスのクエリ部と、アンサー部の署名と署名鍵以外のレコードを、当該共通鍵で暗号化して、キャッシュDNSサーバ15に返送する。ここで、アンサー部は、URLのIPアドレス、Webサーバ22の安全性評価結果、及び通信許可ポリシーP2を含む。
本実施形態は、キャッシュDNSサーバ15がDNSクエリを送信時に、DNSクエリのクエリ部を共通鍵で暗号化し、当該共通鍵をサーバ側ゾーン署名鍵の公開鍵で暗号化し、クライアント側ゾーン署名鍵の秘密鍵による署名を付けて権威DNSサーバ23に送信する。一方、権威DNSサーバ23は、当該DNSクエリの署名を当該クライアント側ゾーン署名鍵の公開鍵で検証し、署名範囲に改ざんがない場合、当該サーバ側ゾーン署名鍵の秘密鍵で復号して得た共通鍵を用いてクエリ部を復号する。次に、復号して得られた問い合わせURLに対応するアンサー部を作成し、DNSレスポンスのクエリ部と、アンサー部の署名と署名鍵以外のレコードを、当該共通鍵で暗号化して当該キャッシュDNSサーバに返送する。したがって、本実施形態により、権威DNSサーバ23とキャッシュDNSサーバ15間の経路上での盗聴を防ぐことができる。
本開示は情報通信産業に適用することができる。
11、21:GW
12:クライアント
14、24:IDSサーバ
15:キャッシュDNSサーバ
22:Webサーバ
13、23:権威DNSサーバ
91、92:ISP網
93:インターネット
12:クライアント
14、24:IDSサーバ
15:キャッシュDNSサーバ
22:Webサーバ
13、23:権威DNSサーバ
91、92:ISP網
93:インターネット
Claims (9)
- 第1のISP網に接続され、第1のISP網内の各端末に対する第1の通信許可ポリシーを保持し、第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNS装置から受信し、受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSレスポンスに記載のIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行うキャッシュDNS装置と、
第2のISP網に接続され、第2のISP網内に接続されている各URLの安全性評価結果を保持し、第1のISP網からDNSクエリを受信すると、DNSクエリに記載されているURLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを、第1のISP網のキャッシュDNS装置に送信する権威DNS装置と、
を備えるデータ通信システム。 - 第1のISP網のキャッシュDNS装置は、自装置のIPアドレス及び第1のISP網のゾーン名に第1のISP網のゾーン署名鍵の秘密鍵を用いて署名を行ったもの、並びに、第1のISP網のゾーン署名鍵の公開鍵を、第1のISP網内の端末から受信したDNSクエリに追加して第2のISP網の権威DNS装置に送信し、
第2のISP網の権威DNS装置は、第1のISP網のゾーン署名鍵の公開鍵を用いてDNSクエリに記載されているIPアドレス及びゾーン名に改ざんがないことを確認する、
請求項1に記載のデータ通信システム。 - 第2のISP網の権威DNS装置は、DNSクエリに記載されているURLに対応するIPアドレス及び安全性評価結果に第2のISP網のゾーン署名鍵の秘密鍵を用いて署名を行ったもの、並びに、第2のISP網のゾーン署名鍵の公開鍵を、第1のISP網のキャッシュDNS装置に送信し、
第1のISP網のキャッシュDNS装置は、第2のISP網のゾーン署名鍵の公開鍵を用いてDNSレスポンスに記載されているIPアドレス及び安全性評価結果に改ざんがないことを確認する、
請求項1又は2に記載のデータ通信システム。 - 第1のISP網のキャッシュDNS装置は、DNSクエリに記載されているURLを共通鍵で暗号化し、当該共通鍵を第2のISP網のゾーン署名鍵の公開鍵で暗号化し、暗号化した共通鍵、自装置のIPアドレス及び第1のISP網のゾーン名に第1のISP網のゾーン署名鍵の秘密鍵を用いて署名を行ったもの、並びに、第1のISP網のゾーン署名鍵の公開鍵を、第1のISP網内の端末から受信したDNSクエリに追加して第2のISP網の権威DNS装置に送信し、
第2のISP網の権威DNS装置は、第1のISP網のゾーン署名鍵の公開鍵を用いてDNSクエリに記載されている暗号化した共通鍵、IPアドレス及びゾーン名に改ざんがないことを確認し、第2のISP網のゾーン署名鍵の秘密鍵を用いて暗号化されている共通鍵を復号し、復号化した共通鍵を用いて暗号化されているURLを復号する、
請求項1から3のいずれかに記載のデータ通信システム。 - 第2のISP網の権威DNS装置は、DNSクエリに記載されていた共通鍵を用いて、DNSレスポンスに記載されているURL、IPアドレス及び安全性評価結果を暗号化する、
請求項4に記載のデータ通信システム。 - 第2のISP網の権威DNS装置は、第2のISP網内の各端末に対する第2の通信許可ポリシーを、DNSレスポンスに追加して第1のISP網のキャッシュDNS装置に送信し、
第1のISP網のキャッシュDNS装置は、DNSレスポンスに記載されている安全性評価結果が第1の通信許可ポリシーを満たし、かつ、DNSクエリの送信元の端末がDNSレスポンスに記載されている第2の通信許可ポリシーを満たす場合、DNSレスポンスに記載されているIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う、
請求項1から5のいずれかに記載のデータ通信システム。 - 第2のISP網の権威DNS装置は、DNSクエリに記載されていた共通鍵を用いて第2の通信許可ポリシーを暗号化し、暗号化されている第2の通信許可ポリシーに第2のISP網のゾーン署名鍵の秘密鍵を用いて署名を行ったもの、並びに、第2のISP網のゾーン署名鍵の公開鍵を、第1のISP網のキャッシュDNS装置に送信し、
第1のISP網のキャッシュDNS装置は、第2のISP網のゾーン署名鍵の公開鍵を用いてDNSレスポンスに記載されている第2の通信許可ポリシーに改ざんがないことを確認する、
請求項6に記載のデータ通信システム。 - 自装置の接続されている第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを、第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNSから受信し、
第1のISP網内の各端末に対する第1の通信許可ポリシーを保持し、第2のISP網の権威DNSから受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSレスポンスに記載のIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う、
を備えるキャッシュDNS装置。 - 第1のISP網のキャッシュDNSが、第1のISP網とは異なる第2のISP網に接続されているWebサーバのURLに対応するIPアドレスを問い合わせるDNSクエリを、第1のISP網内の端末から受信すると、前記URLに対応するIPアドレス及び安全性評価結果を含むDNSレスポンスを第2のISP網の権威DNSから受信する手順と、
第1のISP網のキャッシュDNSが、第1のISP網内の各端末に対する第1の通信許可ポリシーを参照し、権威DNSから受信した安全性評価結果が第1の通信許可ポリシーを満たすか否かを判定し、第1の通信許可ポリシーを満たす場合、DNSクエリで問い合わせのあったIPアドレスへの発信許可をDNSクエリの送信元の端末に対して行う手順と、
を備える通信攻撃防止方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016212296A JP6763605B2 (ja) | 2016-10-28 | 2016-10-28 | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016212296A JP6763605B2 (ja) | 2016-10-28 | 2016-10-28 | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018074395A JP2018074395A (ja) | 2018-05-10 |
| JP6763605B2 true JP6763605B2 (ja) | 2020-09-30 |
Family
ID=62115889
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016212296A Active JP6763605B2 (ja) | 2016-10-28 | 2016-10-28 | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6763605B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7038165B2 (ja) * | 2020-06-08 | 2022-03-17 | ソフトバンク株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
| CN112989250B (zh) * | 2021-03-11 | 2024-01-12 | 北京百度网讯科技有限公司 | 一种Web服务响应方法、装置及电子设备 |
| CN114640649A (zh) * | 2022-03-16 | 2022-06-17 | Oppo广东移动通信有限公司 | 域名解析方法、业务终端、电子设备以及存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3887325B2 (ja) * | 2003-02-07 | 2007-02-28 | 日本電信電話株式会社 | データ通信網システムおよびデータ通信網接続制御方法 |
| WO2006067973A1 (ja) * | 2004-12-22 | 2006-06-29 | Matsushita Electric Industrial Co., Ltd. | アクセス制御装置 |
| EP1816812A1 (en) * | 2004-12-22 | 2007-08-08 | Matsushita Electric Industries Co., Ltd. | Access control device, and access control method |
| US9154472B2 (en) * | 2006-07-12 | 2015-10-06 | Intuit Inc. | Method and apparatus for improving security during web-browsing |
| JP5157626B2 (ja) * | 2008-05-09 | 2013-03-06 | 富士通株式会社 | ウェブサーバへのアクセス制限方法、フェムトセル基地局装置及びアクセス制限判断装置 |
| JP2013171371A (ja) * | 2012-02-20 | 2013-09-02 | Nippon Telegr & Teleph Corp <Ntt> | パケットフィルタリング方法及び装置 |
-
2016
- 2016-10-28 JP JP2016212296A patent/JP6763605B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018074395A (ja) | 2018-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6961783B1 (en) | DNS server access control system and method | |
| JP5346107B2 (ja) | インターネットのための対称鍵配信フレームワーク | |
| Borgolte et al. | Cloud strife: mitigating the security risks of domain-validated certificates | |
| Gangan | A review of man-in-the-middle attacks | |
| US8862871B2 (en) | Network with protocol, privacy preserving source attribution and admission control and method | |
| Wu et al. | A source address validation architecture (sava) testbed and deployment experience | |
| US10764263B2 (en) | Authentication of users in a computer network | |
| EP3328024A1 (en) | Accessing hosts in a computer network | |
| US20180115520A1 (en) | Dark virtual private networks and secure services | |
| Grothoff et al. | Toward secure name resolution on the internet | |
| Nowaczewski et al. | Securing Future Internet and 5G using Customer Edge Switching using DNSCrypt and DNSSEC. | |
| JP6763605B2 (ja) | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 | |
| US20180103037A1 (en) | Resource access control using named capabilities | |
| Van Der Toorn et al. | Addressing the challenges of modern DNS a comprehensive tutorial | |
| EP1836559B1 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
| CN112655186B (zh) | 可信dns解析设备和方法 | |
| JP4065850B2 (ja) | 移動ネットワーク環境におけるデータトラフィックの保護方法 | |
| US11582201B1 (en) | Establishing and maintaining trusted relationship between secure network devices in secure peer-to-peer data network based on obtaining secure device identity containers | |
| Mathi et al. | A new method for preventing man-in-the-middle attack in IPv6 network mobility | |
| Lin et al. | InviCloak: an end-to-end approach to privacy and performance in web content distribution | |
| Modares et al. | Enhancing security in mobile IPv6 | |
| JP2017201774A (ja) | 通信装置、通信方法、及びプログラム | |
| Krähenbühl et al. | Pervasive Internet-wide low-latency authentication | |
| Kelpen et al. | Privacy and Data Protection in the Domain Name System: Threats and Countermeasures | |
| Pahlevan | Signaling and policy enforcement for co-operative firewalls |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190917 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200722 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200811 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200907 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6763605 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |