CN105144642B - Dns服务器装置、网络机器、通信系统及通信方法 - Google Patents
Dns服务器装置、网络机器、通信系统及通信方法 Download PDFInfo
- Publication number
- CN105144642B CN105144642B CN201480016873.XA CN201480016873A CN105144642B CN 105144642 B CN105144642 B CN 105144642B CN 201480016873 A CN201480016873 A CN 201480016873A CN 105144642 B CN105144642 B CN 105144642B
- Authority
- CN
- China
- Prior art keywords
- net machine
- net
- domain name
- mailing address
- machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 69
- 238000000034 method Methods 0.000 claims abstract description 31
- 230000008569 process Effects 0.000 claims abstract description 30
- 230000004044 response Effects 0.000 claims description 16
- 238000007726 management method Methods 0.000 description 47
- 230000005540 biological transmission Effects 0.000 description 24
- 230000006870 function Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 6
- 238000009434 installation Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000007423 decrease Effects 0.000 description 3
- 240000002853 Nelumbo nucifera Species 0.000 description 2
- 235000006508 Nelumbo nucifera Nutrition 0.000 description 2
- 235000006510 Nelumbo pentapetala Nutrition 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000010129 solution processing Methods 0.000 description 1
- 239000011800 void material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
目的是在没有给网络机器用户或网络管理员增加过多工作负荷的情况下使得可以利用VPN实现高机密性数据通信。使得DNS服务器装置执行处理,在该处理中,以高级域对将域名和通信地址存储在主机装置的管理表中的网络机器进行分组,并且向多个网络机器所属的组中的每个网络机器通知属于该组的其他网络机器的通信地址,所述通信地址为用于建立虚拟通信路径的目的地的通信地址。
Description
技术领域
本发明涉及一种利用虚拟私人网络(VPN)来保证数据通信的机密性的技术。
背景技术
VPN指的是在公共网络(诸如因特网)上的网络机器(诸如路由器)之间建立用于加密通信的虚拟通信路径以保证数据通信的机密性的通信技术。与将专线用于网络机器之间的连接的情况相比,通过使用VPN,可以在抑制成本的同时保证数据通信的机密性。
当通过建立VPN来保证数据通信的机密性时,应当执行将作为虚拟通信路径的建立目的地的其他位置处的网络机器的通信地址没有遗漏地设置在每个网络机器中的工作。此外,在建立VPN之前,还必须进行对每个网络机器进行选择使其加入VPN中的工作或者对网络机器的通信地址进行检查的工作。现有技术中的这些工作由网络管理员人工执行,从而增加了网络管理员的工作负荷。因此,现有技术中已经提出了用于减少网络管理员工作负荷的多种不同的技术,并且其示例包括专利文献1和专利文献2所公开的技术。
在专利文献1所公开的技术中,通过执行将VPN连接装置信息登记在VPN连接管理装置中并对所述VPN连接装置自身进行认证,自动建立了内部位置(inter-location)VPN。下面将给出更详细的描述。通过将VPN连接装置的网络地址及标识符登记在VPN连接管理装置中,即使在VPN连接装置的互联网协议(IP)地址发生改变时,VPN连接管理装置也向VPN连接装置通知断开已建立的VPN连接的处理和使用新的IP地址重新连接的处理所需的信息,并自动建立VPN连接。在专利文献2所公开的技术中,利用路由器与安装在特定位置的控制服务器之间的IPsec来建立控制VPN,经由所述控制VPN从所述控制服务器获取与安装在另一位置的路由器的VPN连接设置,并根据所述VPN连接设置在每个路由器中建立VPN。
引用列表
专利文献
专利文献1:JP-A-2006-166028
专利文献2:JP-A-2005-012485
发明内容
技术问题
在专利文献1所公开的技术中,应当对加入VPN的网络机器(VPN连接装置)进行选择,并且应当将VPN连接装置的信息预先登记在VPN连接管理装置中。因此,选择工作所需的时间和精力并未减少。此外,在专利文献2所公开的技术中,需要建立安装在每个位置的路由器与控制服务器之间的控制VPN。因此,应当在每个位置的路由器中预先设置用于与控制服务器建立控制VPN的多种不同的信息(例如,密码)。此外,应当在控制服务器中设置用于建立控制VPN的信息。也即,在专利文献2所公开的技术中,产生了新的工作负荷,因此关于网络管理员的工作负荷整体是否减轻的仍然存在疑问。
鉴于上述问题而提出本发明,并且本发明的目的是在减少网络管理员工作负荷的同时利用VPN实现高机密性数据通信的技术。
解决问题的方案
为解决所述问题,本发明提供了一种域名系统(DNS)服务器装置,其包括其中将指定给网络机器的一个或多个域名与指定给所述网络机器的通信地址相关联地进行存储的管理表,并通过参考所述管理表来提供域名服务,所述DNS服务器装置包括分组装置,其用于针对包括在每个网络机器的域名中的每个高级域,对域名和通信地址存储在所述管理表中的网络机器进行分组,以产生多个组;以及建立目的地通知装置,其用于执行建立目的地通知处理,所述处理向所述分组装置所产生的多个组之中多个网络机器所属的组中的每个网络机器通知作为虚拟通信路径的建立目的地的属于该组的另一个网络机器的通信地址。
关于执行建立目的地通知处理的时间安排,对多种不同的方面进行考虑。例如,可考虑这样一个方面:在每次将一组通信地址和域名登记在管理表中时,执行建立目的地通知处理。根据这样的方面,即使在网络管理员不执行任何特定工作时,仅通过在DNS服务器中对加入VPN的每个网络机器的域名和通信地址进行登记,就可以建立各个网络机器之间的虚拟通信路径并且建立VPN。此外,除了(或代替)每次在管理表中对一组通信地址和域名进行登记时执行建立目的地通知处理之外,建立目的地通知装置还可以响应于来自网络机器的请求,向该网络机器所属的组中的每个网络机器通知作为所述虚拟通信路径的建立目的地的通信地址的另一个网络机器的通信地址。作为本发明的另一方面,可考虑这样的方面,在其中提供了使得计算机充当DNS服务器及各装置的程序。
这里,当建立了全网格型VPN时,可向属于包括了具有相同的高级域的多个网络机器的组的每个网络机器通知作为虚拟通信路径的建立目的地的属于该组的其他所有网络机器的通信地址,所述高级域通过从域名中除去特定于装置的装置特定标识符而获得。当建立了中心辐射型VPN时,可将具有相同的高级域的多个网络机器中的任意一个选为中心网络机器,可向中心网络机器通知作为虚拟通信路径的建立目的地的其他所有网络机器的通信地址,并且可向其他网络机器中的每一个通知中心网络机器的通信地址。另外,关于中心网络机器的选择可考虑多个不同的方面。例如,可考虑将具有最新的通信地址的网络机器选为中心网络机器的方面、或者将具有最高处理能力或最低处理负荷的网络机器选为中心网络机器的方面。
为了解决所述问题,本发明提供了一种网络机器,其包括:装置信息传输装置,其用于将指定给所述网络机器的通信地址和域名传输至域名系统(DNS)服务器装置,从而使所述通信地址和域名存储在DNS服务器装置中;以及虚拟通信路径建立装置,其基于由所述DNS服务器装置通知的另一个网络机器的通信地址,来建立所述网络机器与另一个网络机器之间的虚拟通信路径。当这样的网络机器安装在每个位置点并且连接至诸如互联网的公共网络、并且本发明的DNS服务器装置连接至所述公共网络时,向属于包括多个网络机器的组的每个网络机器通知作为虚拟通信路径的建立目的地的通信地址的属于该组的另一个网络机器的通信地址。
附图说明
图1是示出根据本发明的实施例的通信系统1的配置的示例的示图。
图2是示出通信系统1中包括的DNS服务器装置10的配置的示例的框图。
图3A示出了存储在DNS服务器装置10的非易失性存储单元144中的管理表144b的示例。
图3B示出了存储在DNS服务器装置10的非易失性存储单元144中的管理表144b的另一个示例。
图4A示出了在DNS服务器装置10的控制下实现的VPN的网络拓扑结构的示例(网格型VPN)。
图4B示出了在DNS服务器装置10的控制下实现的VPN的网络拓扑结构的示例(中心辐射型VPN)。
图5是示出通信系统1中包括的网络机器20A和网络机器20B的配置的示例的框图。
图6是示出通信系统1中的通信的流程和DNS服务器装置10、网络机器20A和网络机器20B的操作的流程图。
图7示出了在上述操作之后存储在DNS服务器装置10的非易失性存储单元144中的管理表144b的示例。
图8A是示出修改示例(3)的示图。
图8B是示出修改示例(3)的表格。
具体实施方式
下面,将参照附图来描述本发明的实施例。
(A:配置)
图1是示出根据本发明的实施例的通信系统1的配置的示例的示图。
通信系统1包括DNS服务器装置10、网络机器20A、以及网络机器20B。DNS服务器装置10、网络机器20A以及网络机器20B连接至作为通用公共网络(例如互联网)的通信网络30。
DNS服务器装置10是由DNS供应商进行操作和管理以提供域名系统(DNS;也即,将从客户端装置传输的域名转换为该域名被指定给的网络机器的IP地址并且返回该IP地址的服务)的计算机装置。此外,所述域名为一个字符串,其通过利用预定的定义符(例如,句点)将表示例如对网络机器进行操作的组织(例如,公司、学校或公共机构)的名称、类型或国家的每个字符串与表示指定给所述网络机器的名称的字符串进行连接而获得。下面,在域名中表示网络机器名称的部分被称作装置特定标识符,而其他部分被称作高级域。
网络机器20A和网络机器20B是由作为DNS的用户的组织(本实施例中为公司)进行操作和管理的路由器,并且它们被安装在各自的位置,例如所述公司的总部或分公司。网络机器20A和网络机器20B中的每一个将位于安装该网络机器的位置的局域网(LAN,图1未示出)连接至通信网络30,从而在该公司中形成公司内的内部信息系统。在本实施例中,通过建立网络机器20A与网络机器20B之间的虚拟通信路径以及建立VPN,保证了公司内部信息系统中数据通信的机密性。在本实施例中,由于网络机器20A的配置与网络机器20B的配置相同,因此若无需将网络机器20A与网络机器20B彼此区分开,则将网络机器20A和网络机器20B称作“网络机器20”。
利用PPPoE将在通信网络30中唯一地指示网络机器的全局IP地址(下文中被简称为“IP地址”)动态地指定给网络机器20的通信网络30侧的通信接口单元。此外,公司中的网络管理员将域名指定给网络机器20。如上所述,域名包括特定于网络机器20的装置特定标识符、以及表示拥有所述网络机器的组织的名称的高级域。域名及IP地址登记在DNS服务器装置10中且为DNS的应用目标。本实施例的特点在于:DNS服务器装置10以及网络机器20执行特定于本发明的处理,从而可以容易地建立网络机器20A与网络机器20B之间的虚拟通信路径,并且容易地建立VPN。下面将对显著示出本实施例特点的DNS服务器装置10和网络机器20进行主要描述。
图2是示出DNS服务器装置10的配置的示例的框图。
如图2所示,DNS服务器装置10包括控制单元110、通信接口(下面缩写为“I/F”)单元120、用户I/F单元130、存储单元140、以及对这类组件之间的数据交换进行中继(relay)的总线150。控制单元110为例如中央处理单元(CPU)。控制单元110对存储在存储单元140(更精确地,非易失性存储单元144)中的服务器程序144a进行执行以充当DNS服务器装置10的控制中心。下面将对控制单元110根据服务器程序144a所执行的处理进行阐述。
通信I/F单元120为例如网络接口卡(NIC),并且其连接至通信网络30。通信I/F单元120接收从通信网络30传输的数据块,将所述数据块传递给控制单元110,并且将从控制单元110传递的数据块传输至通信网络30。此外,所述数据块的示例包括根据IP传输或接收的包(packet)。用户I/F单元130包括显示装置(例如液晶显示器)以及输入装置(例如键盘或鼠标)。在用户I/F单元130的显示装置上对用于输入作为DNS应用目标的网络机器的域名或IP地址的输入屏幕进行显示。用户I/F单元130的输入装置将许多不同的指令、域名或IP地址输入至操作管理器。在本实施例中,虽然显示装置和输入装置这两者都包括在用户I/F单元130中,但是应当理解的是,输入装置和显示装置中的任意一种(或这两者)为连接至DNS服务器装置10的独立装置。
如图2所示,存储单元140包括易失性存储单元142以及非易失性存储单元144。易失性存储单元142为例如随机存取存储器(RAM)。控制单元110将易失性存储单元142作为执行多种不同的程序时的工作区域来使用。非易失性存储单元140为例如硬盘。服务器程序144a和管理表144b存储在非易失性存储单元144中。
图3A示出了管理表144b的示例。如图3A所示,针对每个高级域,将网络机器的域名中所包括的装置特定标识符和高级域、所述网络机器的IP地址、以及在关于所述网络机器是否为DNS的应用目标的认证时刻所使用的密码进行分组并存储在管理表144b中。在本实施例中,基于管理表144b中存储的内容来执行如上所述的DNS的规定。例如,当从客户端装置接收到用于对具有域名“router1.company.example.jp”的网络机器的IP地址进行查询的包时,DNS服务器装置10返回一个包,将与高级域“company.example.jp”相关联地存储在管理表144b中的IP地址(图3A所示的示例中的“A.A.A.A”)以及装置特定标识符“router1”写到该包中的有效负荷部分中。
按照以下步骤来逐步执行对管理表144b中的一个网络机器的多种不同信息(高级域、装置特定标识符、IP地址以及密码)的登记。当从DNS用户接收到对高级域的登记申请时,DNS提供者执行对预定登记要求的检查,来对与申请登记的高级域相同的高级域是否尚未登记、以及申请登记的高级域是否违背公共秩序和道德进行判定,并在满足登记要求时产生将要分发给用户的密码。另外,DNS提供者将所述密码和高级域彼此相关联地写入管理表144b,将所述密码写入对完成登记进行通知的文档,并将该文档返回给登记申请者。然后,在DNS服务器装置10中,在每次从登记申请者(即,DNS的用户)的网络机器接收登记请求包时执行装置信息登记处理,在所述登记请求包中的有效负荷部分中写入网络机器的域名以及通过预定的单向哈希(hash)函数根据域名和密码而产生的加密字符串(下文中,认证字符串)。在装置信息登记处理中,控制单元110首先对写入接收到的登记请求包的有效负荷部分中的域名和认证字符串进行读取,并利用该域名和认证字符串执行对传输源的认证。在对服务器程序144a的描述中将阐述这一认证处理的详细内容。另外,当获得了与DNS应用目标相关的认证结果时,控制单元110将包括在域名中的装置特定标识符以及包的传输源地址与包括在所述域名中的高级域相关联地写入管理表144b中。因此,获得了提供DNS时所需的全部信息(装置特定标识符、高级域以及IP地址),并且可利用DNS来提供具有所述信息的网络机器。
图3B示出了管理表144b的另一个具体示例。图3B所示的管理表144b与图3A所示的管理表144b的不同之处在于作为DNS的应用目标的网络机器的IP地址和密码信息与所述网络机器的域名相关联地进行存储,类似于通用DNS服务器中的管理表。虽然可将具有图3A所示结构的管理表和具有图3B所示结构的管理表中的任意一个作为管理表144b使用,但是在本实施例中使用具有图3A所示结构的管理表。此外,虽然图3A中没有详细示出,但是地址范围信息也与关于所述网络机器的信息(即,高级域、装置特定标识符、IP地址以及密码)相关联地存储在管理表144b中。地址范围信息是指这样的信息,其表示作为在网络机器所控制的LAN中使用的IP地址范围的由DNS服务器进行唯一指定的IP地址范围。
服务器程序144a是用于使控制单元110实现DNS的软件。控制单元110响应于对DNS服务器装置10的供电(未示出),将服务器程序144a从非易失性存储单元144读取至易失性存储单元142,然后开始执行服务器程序144a。根据服务器程序144a进行操作的控制单元110执行四种类型的处理:域名登记处理、装置信息登记处理、地址解决方案处理、以及建立目的地通知处理。
域名登记处理是使得操作管理员等对来自DNS用户的申请登记的高级域及上述密码进行登记的处理。根据服务器程序144a进行操作的控制单元110响应于开始执行经由用户I/F单元130的域名登记处理的指令来启动域名登记处理。在该域名登记处理中,控制单元110在显示装置上对要求输入高级域和密码信息的输入屏幕进行显示,并将高级域和密码信息的输入经由用户I/F单元130彼此相关联地写到管理表144b中。另外,当具有图3B所示结构的管理表作为管理表144使用时,可使得控制单元110执行这样的处理来作为域名登记处理,其要求DNS用户对包括装置特定标识符的域名而不是高级域进行登记,并将该域名和密码信息彼此相关联地写到管理表144b中。
如上所述,装置信息登记处理是响应于经由通信I/F单元120接收登记请求包而执行的处理。当控制单元110经由通信I/F单元120接收到登记请求包时,控制单元110对写入该包的有效负荷部分的域名及认证字符串进行读取,并且关于作为该包的传输源的网络机器是否为作为DNS的应用目标的装置来执行认证。
具体地,控制单元110将包括在从接收到的登记请求包的有效负荷部分所读取的域名中的高级域作为检索关键字来对管理表144b进行检索,以获取对应于所述高级域的密码。随后,控制单元110通过上述单向哈希(hash)函数(即,与所述网络机器中的单向哈希函数相同的单向哈希函数)根据域名和密码来产生认证字符串。控制单元110将通过这种方式产生的认证字符串与从接收到的登记请求包的有效部分所读取的认证字符串进行比较,并在两者相匹配时将登记请求包的传输源认证为DNS的应用目标。另外,当获得了表示传输源为DNS的应用目标的认证结果时,控制单元110将写入接收到的登记请求包的报头部分(header portion)的源地址以及包括在域名中的装置特定标识符与对应的一组高级域和密码相关联地写入管理表144b。在本实施例中,由于将具有图3A所示结构的管理表作为管理表144b使用,因此,通过执行装置信息登记处理,针对每个高级域对网络机器的域名和通信地址进行分组并存储在管理表144b中。也即,本实施例中的服务器程序144b使得控制单元110充当用于执行分组操作的分组装置。另外,当具有图3B所示结构的管理表作为管理表144b使用时,只有IP地址可根据认证结果进行登记,并且在执行下面将要描述的建立目的地通知处理时,上述分组操作可作为预处理进行执行。
地址解决方案处理是基于管理表144b的存储内容提供DNS(也即,将从客户端装置传输的域名转换为该域名被指定给的网络机器的IP地址,并将该IP地址返回的服务)的处理。由于这种地址解决方案处理与现有DNS服务器中的处理并没有特别的区别,因此将省略其详细描述。
建立目的地通知处理是每次在管理表144b中对一组域名和IP地址进行登记时(在本实施例中,每次执行装置信息登记处理时)执行的处理。在这种建立目的地通知处理中,控制单元110将多个网络机器所属的组(该组为属于该组的网络机器的数量增加或减少的组、或者包括了装置信息已发生变化的网络机器的组)作为处理目标使用,并向属于作为处理目标的该组的每个网络机器通知作为虚拟通信路径的建立目的地的通信地址的属于该组的另一网络机器的通信地址。也即,本实施例中的服务器程序144a使得控制单元110充当用于对显著示出本实施例特点的建立目的地通知处理进行执行的建立目的地通知装置。此外,当具有图3B所示结构的管理表作为管理表144使用时,可在执行装置信息登记处理之后执行基于高级域的分组,然后可执行建立目的地通知处理。
例如,当管理表144b的存储内容是如图3A所示的执行地址登记处理的结果时,控制单元110仅向具有高级域“university.example.jp”的网络机器通知虚拟通信路径的建立目的地。这是因为具有高级域“company.example.jp”的网络机器和具有高级域“club.example.jp”的网络机器中的每一个的数量仅为1。
这里,对向具有高级域“university.example.jp”的网络机器通知虚拟通信路径的建立目的地的方法的多个不同的方面进行考虑。例如,当建立如图4A所示的网格型VPN时,可向每个网络机器通知属于同一组的其他所有网络机器的IP地址和地址范围信息。另一方面,当建立如图4B所示的中心辐射型VPN时,可以向作为VPN的中心的网络机器(在图4B所示的示例中装置特定标识符为place1的网络机器)通知属于同一组的其他所有网络机器的IP地址和地址范围信息,并且可向其他网络机器中的每一个通知作为中心的网络机器的IP地址和地址范围信息。
另外,可考虑关于对作为中心辐射型VPN的中心的网络机器进行选择的多个不同的方面。例如,考虑对具有最新IP地址的网络机器进行选择的方面,或者对具有最后的字典顺序的装置特定标识符的网络机器进行选择的方面。此外,可使得网络机器20执行这样的处理,其除了用户名或密码信息之外还将表示所述网络机器的处理能力的信息或表示所述网络机器的处理负荷的信息写入登记请求包的有效负荷部分中,并对所述登记请求包进行传输。在装置信息登记处理中,可将表示处理能力(或处理负荷)的信息写入管理表144b中,并且可将具有最高处理能力的网络机器(或具有最低处理能力的网络机器)选择为中心辐射型VPN的中心。
以上为DNS服务器装置10的配置。
接下来,将参照图5对网络机器20的配置进行描述。
如图5所示,网络机器20包括控制单元210、第一通信I/F单元220、第二通信I/F单元230、存储单元240、以及对这些组件之间的数据交换进行中继的总线150。与控制单元110类似,控制单元210为CPU,并充当网络机器20的控制中心。与通信I/F单元120类似,第一通信I/F单元220和第二通信I/F单元230为NIC。第一通信I/F单元220连接至通信网络30,并且第二通信I/F单元230连接至位于安装网络机器20的位置的LAN。与存储单元140类似,存储单元240包括易失性存储单元242和非易失性存储单元244。
客户端程序244a存储在非易失性存储单元244中。客户端程序244a是这样的程序,其使得控制单元210对实现网络机器20的原有功能(在本实施例中,使得网络管理员等对用于在通信网络30上执行数据通信的多种不同的参数进行设置的设置支持处理,以及基于包传输目的地地址的传输控制处理)的处理进行执行。此外,用于在通信网络30上执行数据通信的多种不同的参数的具体示例包括DNS服务器装置10的IP地址、指定给网络机器20的域名(装置特定标识符和高级域)、以及密码。通过设置支持处理而设置的这些参数存储在非易失性存储单元244中。响应于网络机器20的供电(未示出),控制单元210将客户端程序244a从非易失性存储单元244读取至易失性存储单元242,然后开始执行客户端程序244a。除了设置操作处理和传输控制处理之外,根据客户端程序244a进行操作的控制单元210还执行装置信息传输处理和虚拟通信路径建立处理。
设置支持处理是响应于来自与网络机器20所连接的LAN相连接的另一计算机装置(例如,个人计算机)的参数设置指令而执行的处理,而传输控制处理是响应于经由第一通信I/F单元220或第二通信I/F单元230的对包进行的接收而执行的处理。由于设置支持处理和传输控制处理与通用路由器中的这两种处理并没有很大区别,因此将省略其详细描述。
装置信息传输处理是响应于对上述登记请求包进行传输的指令而执行的处理。可从与网络机器20所连接的LAN相连接的另一计算机装置经由所述LAN给出该传输指令。在该装置信息传输处理中,控制单元210产生如上所述的登记请求包,并利用第一通信I/F单元220将所述登记请求包传输至通信网络30。将作为传输目的地地址的DNS服务器装置10的IP地址以及作为传输源地址的利用PPPoE等指定给第一通信I/F单元220的IP地址写到登记请求包的报头部分。将表示指定给网络机器20的域名的字符串数据以及密码写到登记请求包的有效负荷部分。
虚拟通信路径建立处理是这样的处理,其将DNS服务器装置10所通知的IP地址作为虚拟通信路径的建立目的地呈现给网络管理员,使得网络管理员对利用建立目的地来建立虚拟通信路径时使用的多种不同的参数进行设置,并且根据所述参数建立虚拟通信路径。在每次由DNS服务器装置10来通知虚拟通信路径的的建立目的地的IP地址时,执行该虚拟通信路径建立处理,并在通知了多个IP地址时针对每个IP地址执行这种处理。
以上为网络机器20的配置。
(B:操作)
接下来,将对本实施例的操作进行描述。在下面描述的操作示例中,假设已经对拥有网络机器20A与网络机器20B的公司的高级域(company.example.jp)进行了登记、也已经对网络机器20A的装置信息进行了登记、并且图3A所示的管理表存储在DNS服务器装置10的非易失性存储单元144中。下面,将对在这种情况下登记网络机器20B的装置信息的示例进行描述。另外,假设已通过上述设置支持处理在网络机器20B中对DNS服务器装置10的IP地址、指定给网络机器20B的域名(router2.company.example.jp)以及DNS提供者分发的密码(“password”)进行了设置,并且已经利用PPPoE将“B.B.B.B”设置为第一通信I/F单元220的IP地址。
如图6所示,网络机器20B的控制单元210响应于对来自网络管理员等的登记请求包进行传输的指令,执行装置信息传输处理(步骤SA100)。在这种装置信息传输处理中,网络机器20B的控制单元210对存储在非易失性存储单元244中的网络机器和DNS服务器装置10的域名、密码以及IP地址进行读取,产生上述登记请求包,并且利用第一通信I/F单元220将登记请求包传输至通信网络30。如上所述,已经将作为传输目的地地址的DNS服务器装置10的IP地址以及作为传输源地址的IP地址“B.B.B.B”写入登记请求包的报头部分,并且将表示网络机器20B的域名的字符串(router2.company.example.jp)以及通过单向哈希函数利用域名与密码(“password”)而产生的认证字符串写入登记请求包的有效负荷部分。利用通信网络30中包括的另一网络机器对以这种方式从网络机器20B传输的登记请求包进行发送,并使其到达DNS服务器装置10。
当DNS服务器装置10的控制单元110经由通信I/F单元120接收登记请求包时,控制单元110利用登记请求包的有效负荷部分所包括的域名和密码信息来执行对传输源的认证(步骤SB100)。如上所述,在这种认证处理中,控制单元100通过对利用单向哈希函数而产生的认证字符串与包括在接收到的登记请求包的有效负荷部分中的认证字符串进行比较,来执行对登记请求包的传输源的认证,所述单向哈希函数利用包括在接收到的登记请求包的有效负荷部分中的域名以及与包括在所述域名中的高级域相关联地进行存储的密码,来产生所述认证字符串。
在本操作示例中,包括在控制单元110从网络机器20B接收的登记请求包的有效负荷部分中的域名为“router2.company.example.jp”,并且包括在该域名中的高级域为“company.example.jp”。此外,通过由单向哈希函数利用所述域名和密码“password”,来产生包括在所述有效负荷部分中的认证字符串。同时,与高级域“company.example.jp”相关联地存储在管理表144b中的密码为“password”,如图3A所示。在本实施例中,在DNS服务器装置10和网络机器20B中使用同一个单向哈希函数。因此,在本操作示例中,包括在控制单元110从网络机器20B接收的登记请求包的有效负荷部分中的认证字符串与在认证处理中产生的认证字符串相匹配。因此,步骤SB100中的判定结果为“是”(也即,通过认证),并且控制单元110执行装置信息登记处理(步骤SB110)。因此,将管理表144b的存储内容更新为图7所示的内容。
此外,控制单元110执行如上所述的建立目的地通知处理(步骤SB120)。作为将管理表144b的存储内容更新为图7所示内容的结果,具有域名“university.example.jp”的一组网络机器以及具有高级域“company.example.jp”的一组网络机器中的每一组成为一个“包括多个网络机器的组”。然而,如同在图3A与图7的比较中显而易见的那样,在前一组中,属于该组的网络机器的数量没有增加或减少,并且装置信息没有发生变化。因此,只有后一组成为处理目标组,并且执行虚拟通信路径的建立目的地的通知。下面将给出更详细的描述。如图6所示,向网络机器20A通知网络机器20B的IP地址和地址范围信息,并向网络机器20B通知网络机器20A的IP地址和地址范围信息。另外,在网络机器20A和网络机器20B的每一个中,基于DNS服务器装置10所通知的信息来执行虚拟通信路径建立处理(步骤SA110A和SA110B),并且在网络机器20A与网络机器20B之间建立虚拟通信路径。
作为执行上述操作的结果,在网络机器20A与网络机器20B之间建立虚拟通信路径,并且建立VPN。这里,应当注意到,即使在引入新的网络机器时,网络管理员也无需执行诸如对作为虚拟通信路径的建立目的地的网络机器进行选择或者对指定给处于每个网络机器控制下的通信装置的地址范围进行检查之类的工作,如同上述操作示例中的那样。因此,即使在新安装网络机器20时,网络管理员也能够将环境建立委托给具有有限网络知识的用户(例如,在每个位置工作的普通用户)。此外,由于现有位置的设置也会自动变化,因此在新安装网络机器时,网络管理员无需去往另一地点并改变设置。
此外,即使在网络机器20的IP地址由于例如PPPoE会话超时而发生变化时,也可响应于IP地址的变化而从网络机器20传输登记请求包,并且响应于管理表144b的更新而再次执行建立目的地通知处理。因此,VPN自动重建而无需网络管理员执行特别的工作。
(C:修改)
虽然上面已经描述了本发明的实施例,但是应当理解,可以对实施例进行如下修改。(1)虽然在上述实施例中,通信系统1中包括两个网络机器(网络机器20A和网络机器20B),但是应当理解,可包括三台以上的网络机器。此外,虽然在上述实施例中,已经对利用从指定给每个网络机器的域名中排除了装置特定标识符的高级域来对网络机器进行分组的情况进行了描述,但是也可以只利用表示拥有所述网络机器的组织名称的域名对网络机器进行分组。简言之,在一个方面,可利用指定给网络机器的域名中所包括的域名对网络机器进行分组。
(2)虽然在上述实施例中,多个网络机器所属的组(其是网络机器数量增加或减少的组或者包括了装置信息已发生变化的网络机器的组)是处理目标组,但是所述多个网络机器所属的组可以一直为处理目标组,而无论属于该组的网络机器的数量是否增加或减少、或者装置信息是否发生变化。此外,虽然在上述实施例中,使得控制单元110响应于执行装置信息登记处理(也即,对管理表144b的内容进行更新)而执行建立目的地通知处理,但是可以使得控制单元110响应于从网络机器20接收到请求执行建立目的地通知处理的包而将网络机器20所属的组用作处理目标组来执行建立目的地通知处理。在这种情况下,可以利用来自网络管理员等的传输所述包的指令作为触发,来使得网络机器20的控制单元210执行包的传输,并且可使得网络机器20的控制单元210在每次经过特定时间后(也即,周期性地)执行包的传输。
(3)在上述实施例中,已经对一个域名指定给一个网络机器20的情况进行描述。然而,可以将多个域名指定给一个网络机器20,并且可将一个IP地址与所述多个域名(或者构成每个域名的高级域与装置特定标识符的组合)相关联地存储在管理表144b中。即使当多个域名指定给一个网络机器20时,在DNS条款(也即,从域名到通信地址的转换)中也不存在任何问题。此外,通过对包括了与已经指定的域名中所包括的高级域不同的高级域的域名进行新的指定,在具有不同高级域的VPN之间建立了虚拟通信路径,并实现了可获得新VPN的效果。
例如,在管理表144b的存储内容为图7所示内容、并且已建立了图8A所示的中心辐射型VPN的情况下,响应于从网络机器20A接收包括域名“place5.university.example.jp”和对应于高级域“university.example.jp”的密码信息的登记请求包,如图8B所示地对管理表144b的存储内容进行更新,并且基于在更新之后存储在管理表144b中的存储内容对VPN进行重建,来额外建立图8A中用虚线表示的虚拟通信路径。此外,在预定的周期允许这样的域名登记(例如,使得控制单元110在距登记过去一定时间之后执行删除域名的处理),从而可以仅在预定的周期内在具有高级域“university.example.jp”的组织与具有高级域“company.example.jp”的组织之间执行保证了机密性的数据通信。
(4)在上述实施例中,已经对这样的情况进行了描述:对域名和IP地址存储在表144b中且高级域相同的网络机器进行分组,并且针对每个组建立VPN。然而,当建立中心辐射型VPN时,可针对每个子域名对高级域进行分组,可以在每次子域名相同时首先建立VPN,并且可建立各VPN之间的虚拟通信路径以将各VPN集成为一个VPN。
(5)在上述实施例中,将使得DNS服务器装置10的控制单元110对显著示出本发明特点的处理进行执行的服务器程序预先存储在非易失性存储单元144中。然而,可将所述程序写入计算机可读记录介质(例如只读光盘(CD-ROM))并对其进行分发。此外,可通过经由电子通信线路(例如互联网)下载的方式对所述程序进行分发。通过根据以这种方式分发的程序对计算机进行操作,可以使得通用计算机充当本实施例中的DNS服务器装置10。类似地,可将客户端程序244a写入计算机可读记录介质并对其进行分发。此外,可通过经由电子通信线路(例如互联网)下载的方式对客户端程序244a进行分发。
本申请基于2013年3月18日提交的日本专利申请No.2013-055744,该申请的全部内容以引用方式并入本文中。
工业应用
根据本发明,可以在减轻网络管理员工作负荷的同时利用VPN实现高机密性的数据通信。
附图标记列表
10:DNS服务器装置
20A和20B:网络装置
110和210:控制单元
120:通信I/F单元
220:第一通信I/F单元
230:第二通信I/F单元
140和240:存储单元
142和242:易失性存储单元
144和244:非易失性存储单元
150和250:总线
30:通信网络
Claims (15)
1.一种域名系统(DNS)服务器装置,其包括其中将指定给网络机器的一个或多个域名与指定给所述网络机器的通信地址相关联地进行存储的管理表,并通过参考所述管理表来提供域名服务,所述DNS服务器装置包括:
分组装置,其用于针对包括在每个网络机器的域名中的每个高级域,对域名和通信地址存储在所述管理表中的网络机器进行分组,以产生多个组;以及
建立目的地通知装置,其用于执行建立目的地通知处理,所述处理向所述分组装置所产生的多个组之中多个网络机器所属的一个组中的每个网络机器通知作为虚拟通信路径的建立目的地的通信地址的属于该组的另一个网络机器的通信地址。
2.根据权利要求1所述的DNS服务器装置,其中所述建立目的地通知装置响应于来自网络机器的请求,向该网络机器所属的组中的每个网络机器通知作为所述虚拟通信路径的建立目的地的通信地址的另一个网络机器的通信地址。
3.根据权利要求1或2所述的DNS服务器装置,其中在所述管理表中与指定给所述网络机器的通信地址和域名相关联地存储优先级数据,所述优先级数据在所述网络机器的处理能力较高或所述网络机器的处理负荷较低时指示较高优先级,并且
所述建立目的地通知装置确定每个网络机器的虚拟通信路径的建立目的地,使得在执行了与建立虚拟私人网络(VPN)相关的设置的组中所属的各个网络机器中,具有所述优先级数据所指示的最高优先级的网络机器成为中心辐射型拓扑结构的中心。
4.一种网络机器,包括:
装置信息传输装置,其用于将指定给所述网络机器的通信地址和域名传输至根据包括在网络机器的域名中的高级域对多个网络机器进行分组的域名系统(DNS)服务器装置,使所述通信地址和域名存储在DNS服务器装置中;以及
虚拟通信路径建立装置,其基于由所述DNS服务器装置通知的所述网络机器所属的组中的另一个网络机器的通信地址,来建立所述网络机器与另一个网络机器之间的虚拟通信路径。
5.根据权利要求4所述的网络机器,其中所述装置信息传输装置将所述通信地址和域名添加到登记请求中,并将所述登记请求传输至所述DNS服务器装置,并且
所述虚拟通信路径建立装置接收另一个网络机器的通信地址作为对所述登记请求的响应。
6.根据权利要求4所述的网络机器,其中所述装置信息传输装置将所述通信地址和域名、以及所述网络机器的处理能力或处理负荷添加到登记请求中,并将所述登记请求传输至所述DNS服务器装置。
7.根据权利要求5所述的网络机器,其中,所述装置信息传输装置还将所述网络机器的处理能力或处理负荷添加到所述登记请求中。
8.一种通信系统,包括:
根据权利要求1至3中的任意一项所述的DNS服务器装置;以及
多个根据权利要求4至7中的任意一项所述的网络机器。
9.一种域名系统(DNS)服务器装置中的通信方法,所述域名系统服务器装置包括其中将指定给网络机器的一个或多个域名与指定给所述网络机器的通信地址相关联地进行存储的管理表,并通过参考所述管理表来提供域名服务,所述通信方法包括:
针对包括在每个网络机器的域名中的每个高级域,对域名和通信地址存储在所述管理表中的网络机器进行分组,以产生多个组;以及
向所产生的多个组之中多个网络机器所属的一个组中的每个网络机器通知作为虚拟通信路径的建立目的地的通信地址的属于该组的另一个网络机器的通信地址。
10.根据权利要求9所述的通信方法,其中响应于来自网络机器的请求,向该网络机器所属的组中的每个网络机器通知作为所述虚拟通信路径的建立目的地的通信地址的另一个网络机器的通信地址。
11.根据权利要求9或10所述的通信方法,其中在所述管理表中与指定给所述网络机器的通信地址和域名相关联地存储优先级数据,所述优先级数据在所述网络机器的处理能力较高或所述网络机器的处理负荷较低时指示较高优先级,并且
确定每个网络机器的虚拟通信路径的建立目的地,使得在执行了与建立虚拟私人网络(VPN)相关的设置的组中所属的各个网络机器中,具有所述优先级数据所指示的最高优先级的网络机器成为中心辐射型拓扑结构的中心。
12.一种网络机器中的通信方法,包括:
将指定给所述网络机器的通信地址和域名传输至根据包括在网络机器的域名中的高级域对多个网络机器进行分组的域名系统(DNS)服务器装置,使所述通信地址和域名存储在DNS服务器装置中;以及
基于由所述DNS服务器装置通知的所述网络机器所属的组中的另一个网络机器的通信地址,来建立所述网络机器与另一个网络机器之间的虚拟通信路径。
13.根据权利要求12所述的通信方法,其中将所述通信地址和域名添加到登记请求中,并将所述登记请求传输至所述DNS服务器装置,并且
接收另一个网络机器的通信地址作为对所述登记请求的响应。
14.根据权利要求12所述的通信方法,其中将所述通信地址和域名、以及所述网络机器的处理能力或处理负荷添加到登记请求中,并将所述登记请求传输至所述DNS服务器装置。
15.根据权利要求13所述的通信方法,其中还将所述网络机器的处理能力或处理负荷添加到所述登记请求中。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013-055744 | 2013-03-18 | ||
| JP2013055744A JP6127622B2 (ja) | 2013-03-18 | 2013-03-18 | Dnsサーバ装置、ネットワーク機器、および通信システム |
| PCT/JP2014/057310 WO2014148483A1 (ja) | 2013-03-18 | 2014-03-18 | Dnsサーバ装置、ネットワーク機器、通信システム、および通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105144642A CN105144642A (zh) | 2015-12-09 |
| CN105144642B true CN105144642B (zh) | 2018-06-15 |
Family
ID=51580161
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480016873.XA Active CN105144642B (zh) | 2013-03-18 | 2014-03-18 | Dns服务器装置、网络机器、通信系统及通信方法 |
Country Status (3)
| Country | Link |
|---|---|
| JP (1) | JP6127622B2 (zh) |
| CN (1) | CN105144642B (zh) |
| WO (1) | WO2014148483A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102015205406A1 (de) * | 2015-03-25 | 2016-09-29 | Siemens Aktiengesellschaft | Vorrichtung, Verfahren und System zur Erfassung und Auflösung von Zeitinformationen unterschiedlicher administrativer Domänen |
| US9769193B2 (en) * | 2015-06-18 | 2017-09-19 | Microsoft Technology Licensing, Llc | Advanced security for domain names |
| US9930004B2 (en) | 2015-10-13 | 2018-03-27 | At&T Intellectual Property I, L.P. | Method and apparatus for expedited domain name system query resolution |
| CN108183896A (zh) * | 2017-12-26 | 2018-06-19 | 珠海市君天电子科技有限公司 | 浏览器的页面获取方法、装置和电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1701573A (zh) * | 2003-07-04 | 2005-11-23 | 日本电信电话株式会社 | 远程访问虚拟专用网络中介方法和中介装置 |
| JP2008034983A (ja) * | 2006-07-26 | 2008-02-14 | Matsushita Electric Works Ltd | 遠隔監視制御システム |
| CN101197856A (zh) * | 2007-12-27 | 2008-06-11 | 北京交通大学 | Vpn网络间ip地址空间免规划及私有域名访问的方法 |
| CN101238453A (zh) * | 2003-09-19 | 2008-08-06 | 摩托罗拉公司 | 建立用于归属到归属通信的名字解析系统 |
| JP4339234B2 (ja) * | 2004-12-07 | 2009-10-07 | 株式会社エヌ・ティ・ティ・データ | Vpn接続構築システム |
-
2013
- 2013-03-18 JP JP2013055744A patent/JP6127622B2/ja active Active
-
2014
- 2014-03-18 WO PCT/JP2014/057310 patent/WO2014148483A1/ja active Application Filing
- 2014-03-18 CN CN201480016873.XA patent/CN105144642B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1701573A (zh) * | 2003-07-04 | 2005-11-23 | 日本电信电话株式会社 | 远程访问虚拟专用网络中介方法和中介装置 |
| CN101238453A (zh) * | 2003-09-19 | 2008-08-06 | 摩托罗拉公司 | 建立用于归属到归属通信的名字解析系统 |
| JP4339234B2 (ja) * | 2004-12-07 | 2009-10-07 | 株式会社エヌ・ティ・ティ・データ | Vpn接続構築システム |
| JP2008034983A (ja) * | 2006-07-26 | 2008-02-14 | Matsushita Electric Works Ltd | 遠隔監視制御システム |
| CN101197856A (zh) * | 2007-12-27 | 2008-06-11 | 北京交通大学 | Vpn网络间ip地址空间免规划及私有域名访问的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014148483A1 (ja) | 2014-09-25 |
| JP6127622B2 (ja) | 2017-05-17 |
| JP2014183415A (ja) | 2014-09-29 |
| CN105144642A (zh) | 2015-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100484125C (zh) | 对地址询问的回答方法和回答装置 | |
| US8605582B2 (en) | IP network system and its access control method, IP address distributing device, and IP address distributing method | |
| CN105577723B (zh) | 虚拟化网络中实现负载分担的方法和装置 | |
| CN101964799B (zh) | 点到网隧道方式下地址冲突的解决方法 | |
| CN105144642B (zh) | Dns服务器装置、网络机器、通信系统及通信方法 | |
| US20100146148A1 (en) | Using routing protocols to optimize resource utilization | |
| US7774438B2 (en) | Parameter provisioning | |
| CN109525684A (zh) | 报文转发方法和装置 | |
| WO2018045992A1 (zh) | 地址管理方法及装置 | |
| CN108965036A (zh) | 配置跨公网设备互访方法、系统、服务器及存储介质 | |
| US9467416B2 (en) | Methods and systems for dynamic domain name system (DDNS) | |
| US20080177868A1 (en) | Address Provisioning | |
| JP2016048854A (ja) | データ転送システム及び方法 | |
| CN110537354A (zh) | 虚拟专用网关中的服务端点互连 | |
| US20250080378A1 (en) | Scalable distribution of identity information in overlay networks with identity-based policies | |
| US7711780B1 (en) | Method for distributed end-to-end dynamic horizontal scalability | |
| RU2006104109A (ru) | Подсказки о маршруте | |
| US20240333680A1 (en) | Management of domain name services across multiple device and software configurations | |
| CN101938527B (zh) | 通信装置及其控制方法 | |
| US20100146121A1 (en) | Using static routing to optimize resource utilization | |
| JPWO2010071175A1 (ja) | 電子メール配信システム | |
| CN107124310A (zh) | 一种权限的配置方法及装置 | |
| Cisco | Configuring Network Proximity | |
| CN106331123B (zh) | 一种嵌入式联网系统负载均衡的方法 | |
| CN104836678A (zh) | 基于网络选择及时间安排的消息传输方法及节点设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |