Dns服务器装置、网络机器、通信系统及通信方法
【技术领域】
[0001]本发明涉及一种利用虚拟私人网络(VPN)来保证数据通信的机密性的技术。
【背景技术】
[0002]VPN指的是在公共网络(诸如因特网)上的网络机器(诸如路由器)之间建立用于加密通信的虚拟通信路径以保证数据通信的机密性的通信技术。与将专线用于网络机器之间的连接的情况相比,通过使用VPN,可以在抑制成本的同时保证数据通信的机密性。
[0003]当通过建立VPN来保证数据通信的机密性时,应当执行将作为虚拟通信路径的建立目的地的其他位置处的网络机器的通信地址没有遗漏地设置在每个网络机器中的工作。此外,在建立VPN之前,还必须进行对每个网络机器进行选择使其加入VPN中的工作或者对网络机器的通信地址进行检查的工作。现有技术中的这些工作由网络管理员人工执行,从而增加了网络管理员的工作负荷。因此,现有技术中已经提出了用于减少网络管理员工作负荷的多种不同的技术,并且其示例包括专利文献I和专利文献2所公开的技术。
[0004]在专利文献I所公开的技术中,通过执行将VPN连接装置信息登记在VPN连接管理装置中并对所述VPN连接装置自身进行认证,自动建立了内部位置(inter-locat1n)VPN0下面将给出更详细的描述。通过将VPN连接装置的网络地址及标识符登记在VPN连接管理装置中,即使在VPN连接装置的互联网协议(IP)地址发生改变时,VPN连接管理装置也向VPN连接装置通知断开已建立的VPN连接的处理和使用新的IP地址重新连接的处理所需的信息,并自动建立VPN连接。在专利文献2所公开的技术中,利用路由器与安装在特定位置的控制服务器之间的IPsec来建立控制VPN,经由所述控制VPN从所述控制服务器获取与安装在另一位置的路由器的VPN连接设置,并根据所述VPN连接设置在每个路由器中建立VPN。
[0005]引用列表
[0006]专利文献
[0007]专利文献1:JP-A-2006-166028
[0008]专利文献2 JP-A-2OO5-OlM85
【发明内容】
[0009]技术问题
[0010]在专利文献I所公开的技术中,应当对加入VPN的网络机器(VPN连接装置)进行选择,并且应当将VPN连接装置的信息预先登记在VPN连接管理装置中。因此,选择工作所需的时间和精力并未减少。此外,在专利文献2所公开的技术中,需要建立安装在每个位置的路由器与控制服务器之间的控制VPN。因此,应当在每个位置的路由器中预先设置用于与控制服务器建立控制VPN的多种不同的信息(例如,密码)。此外,应当在控制服务器中设置用于建立控制VPN的信息。也即,在专利文献2所公开的技术中,产生了新的工作负荷,因此关于网络管理员的工作负荷整体是否减轻的仍然存在疑问。
[0011]鉴于上述问题而提出本发明,并且本发明的目的是在减少网络管理员工作负荷的同时利用VPN实现高机密性数据通信的技术。
[0012]解决问题的方案
[0013]为解决所述问题,本发明提供了一种域名系统(DNS)服务器装置,其包括其中将指定给网络机器的一个或多个域名与指定给所述网络机器的通信地址相关联地进行存储的管理表,并通过参考所述管理表来提供域名服务,所述DNS服务器装置包括分组装置,其用于针对包括在每个网络机器的域名中的每个高级域,对域名和通信地址存储在所述管理表中的网络机器进行分组,以产生多个组;以及建立目的地通知装置,其用于执行建立目的地通知处理,所述处理向所述分组装置所产生的多个组之中多个网络机器所属的组中的每个网络机器通知作为虚拟通信路径的建立目的地的属于该组的另一个网络机器的通信地址。
[0014]关于执行建立目的地通知处理的时间安排,对多种不同的方面进行考虑。例如,可考虑这样一个方面:在每次将一组通信地址和域名登记在管理表中时,执行建立目的地通知处理。根据这样的方面,即使在网络管理员不执行任何特定工作时,仅通过在DNS服务器中对加入VPN的每个网络机器的域名和通信地址进行登记,就可以建立各个网络机器之间的虚拟通信路径并且建立VPN。此外,除了(或代替)每次在管理表中对一组通信地址和域名进行登记时执行建立目的地通知处理之外,建立目的地通知装置还可以响应于来自网络机器的请求,向该网络机器所属的组中的每个网络机器通知作为所述虚拟通信路径的建立目的地的通信地址的另一个网络机器的通信地址。作为本发明的另一方面,可考虑这样的方面,在其中提供了使得计算机充当DNS服务器及各装置的程序。
[0015]这里,当建立了全网格型VPN时,可向属于包括了具有相同的高级域的多个网络机器的组的每个网络机器通知作为虚拟通信路径的建立目的地的属于该组的其他所有网络机器的通信地址,所述高级域通过从域名中除去特定于装置的装置特定标识符而获得。当建立了中心辐射型VPN时,可将具有相同的高级域的多个网络机器中的任意一个选为中心网络机器,可向中心网络机器通知作为虚拟通信路径的建立目的地的其他所有网络机器的通信地址,并且可向其他网络机器中的每一个通知中心网络机器的通信地址。另外,关于中心网络机器的选择可考虑多个不同的方面。例如,可考虑将具有最新的通信地址的网络机器选为中心网络机器的方面、或者将具有最高处理能力或最低处理负荷的网络机器选为中心网络机器的方面。
[0016]为了解决所述问题,本发明提供了一种网络机器,其包括:装置信息传输装置,其用于将指定给所述网络机器的通信地址和域名传输至域名系统(DNS)服务器装置,从而使所述通信地址和域名存储在DNS服务器装置中;以及虚拟通信路径建立装置,其基于由所述DNS服务器装置通知的另一个网络机器的通信地址,来建立所述网络机器与另一个网络机器之间的虚拟通信路径。当这样的网络机器安装在每个位置点并且连接至诸如互联网的公共网络、并且本发明的DNS服务器装置连接至所述公共网络时,向属于包括多个网络机器的组的每个网络机器通知作为虚拟通信路径的建立目的地的通信地址的属于该组的另一个网络机器的通信地址。
【附图说明】
[0017]图1是示出根据本发明的实施例的通信系统I的配置的示例的示图。
[0018]图2是示出通信系统I中包括的DNS服务器装置10的配置的示例的框图。
[0019]图3A示出了存储在DNS服务器装置10的非易失性存储单元144中的管理表144b的示例。
[0020]图3B示出了存储在DNS服务器装置10的非易失性存储单元144中的管理表144b的另一个不例。
[0021]图4A示出了在DNS服务器装置10的控制下实现的VPN的网络拓扑结构的示例(网格型VPN)。
[0022]图4B示出了在DNS服务器装置10的控制下实现的VPN的网络拓扑结构的示例(中心辐射型VPN)。
[0023]图5是示出通信系统I中包括的网络机器20A和网络机器20B的配置的示例的框图。
[0024]图6是示出通信系统I中的通信的流程和DNS服务器装置10、网络机器20A和网络机器20B的操作的流程图。
[0025]图7示出了在上述操作之后存储在DNS服务器装置10的非易失性存储单元144中的管理表144b的示例。
[0026]图8A是示出修改示例(3)的示图。
[0027]图8B是示出修改示例⑶的表格。
【具体实施方式】
[0028]下面,将参照附图来描述本发明的实施例。
[0029](A:配置)
[0030]图1是示出根据本发明的实施例的通信系统I的配置的示例的示图。
[0031]通信系统I包括DNS服务器装置10、网络机器20A、以及网络机器20B。DNS服务器装置10、网络机器20A以及网络机器20B连接至作为通用公共网络(例如互联网)的通信网络30。
[0032]DNS服务器装置10是由DNS供应商进行操作和管理以提供域名系统(DNS ;也即,将从客户端装置传输的域名转换为该域名被指定给的网络机器的IP地址并且返回该IP地址的服务)的计算机装置。此外,所述域名为一个字符串,其通过利用预定的定义符(例如,句点)将表示例如对网络机器进行操作的组织(例如,公司、学校或公共机构)的名称、类型或国家的每个字符串与表示指定给所述网络机器的名称的字符串进行连接而获得。下面,在域名中表示网络机器名称的部分被称作装置特定标识符,而其他部分被称作高级域。
[0033]网络机器20A和网络机器20B是由作为DNS的用户的组织(本实施例中为公司)进行操作和管理的路由器,并且它们被安装在各自的位置,例如所述公司的总部或分公司。网络机器20A和网络机器20B中的每一个将位于安装该网络机器的位置的局域网(LAN,图1未示出)连接至通信网络30,从而在该公司中形成公司内的内部信息系统。在本实施例中,通过建立网络机器20A与网络机器20B之间的虚拟通信路径以及建立VPN,保证了公司内部信息系统中数据通信的机密性。在本实施例中,由于网络机器20A的配置与网络机器20B的配置相同,因此若无需将网络机器20A与网络机器20B彼此区分开,则将网络机器20A和网络机器20B称作“网络机器20”。
[0034]利用PPPoE将在通信网络30中唯一地指示网络机器的全局IP地址(下文中被简称为“IP地址”)动态地指定给网络机器20的通信网络30侧的通信接口单元。此外,公司中的网络管理员将域名指定给网络机器20。如上所述,域名包括特定于网络机器20的装置特定标识符、以及表示拥有所述网络机器的组织的名称的高级域。域名及IP地址登记在DNS服务器装置10中且为DNS的应用目标。本实施例的特点在于:DNS服务器装置10以及网络机器20执行特定于本发明的处理,从而可