ホーム > 特許ランキング > 西日本電信電話株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5773925
(24)【登録日】2015年7月10日
(45)【発行日】2015年9月2日
(54)【発明の名称】情報登録及び取得システム
(51)【国際特許分類】
H04L 12/70 20130101AFI20150813BHJP
G06F 21/60 20130101ALI20150813BHJP
【FI】
H04L12/70 B
G06F21/60 320
【請求項の数】7
【全頁数】14
(21)【出願番号】特願2012-68948(P2012-68948)
(22)【出願日】2012年3月26日
(65)【公開番号】特開2013-201618(P2013-201618A)
(43)【公開日】2013年10月3日
【審査請求日】2014年8月11日
(73)【特許権者】
【識別番号】399041158
【氏名又は名称】西日本電信電話株式会社
(74)【代理人】
【識別番号】100074206
【弁理士】
【氏名又は名称】鎌田 文二
(74)【復代理人】
【識別番号】100130513
【弁理士】
【氏名又は名称】鎌田 直也
(74)【代理人】
【識別番号】100084858
【弁理士】
【氏名又は名称】東尾 正博
(74)【代理人】
【識別番号】100112575
【弁理士】
【氏名又は名称】田川 孝由
(72)【発明者】
【氏名】中川 知子
(72)【発明者】
【氏名】川邉 隆伸
(72)【発明者】
【氏名】宮奥 健人
【審査官】
安藤 一道
(56)【参考文献】
【文献】
特開2005−341006(JP,A)
【文献】
米国特許出願公開第2011/0138063(US,A1)
【文献】
特開2005−197936(JP,A)
【文献】
特開2000−341325(JP,A)
【文献】
米国特許出願公開第2005/0232266(US,A1)
【文献】
渡邉英伸、他1名,DNSによる簡易健康情報データベースの実現に関する一検討,電子情報通信学会技術研究報告 NS2007-89,日本,社団法人電子情報通信学会,2007年10月11日,第107巻 第261号,pp.51-56
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/70
G06F 21/60
(57)【特許請求の範囲】
【請求項1】
所定のデータベースサーバにネットワークを介して接続する情報登録手段と、
前記所定のデータベースサーバにインターネット経由で接続する情報取得手段とからなる情報登録及び取得システムにおいて、
前記データベースサーバは、DDNSサーバからなり、
前記情報登録手段は、
自己に割り当てられたホスト名と前記データベースサーバのIPアドレスを対応付けた登録先を記憶する登録側サーバ記憶部と、
前記情報取得手段で取得するための所定情報を暗号化する暗号器と、
前記登録先として記憶されたデータベースサーバのIPアドレスへ、前記暗号器で得られた暗号文をIPアドレスに見せかけたDNSの登録要求を送信する登録機能部とを有し、
前記情報取得手段は、
前記登録側サーバ記憶部と同一のホスト名を記憶する取得側ネーム記憶部と、
前記取得側ネーム記憶部に記憶されたホスト名の名前解決要求を送信するリゾルバと、
前記リゾルバが取得した前記見せかけのIPアドレスを前記所定情報に復号化する復号器とを有し、
前記情報登録手段は、グローバルIPアドレスをもち、
前記所定情報は、前記情報登録手段へのインターネットを介したリモートアクセスに用いるための接続情報からなることを特徴とする情報登録及び取得システム。
前記所定のデータベースサーバにインターネット経由で接続する情報取得手段とからなる情報登録及び取得システムにおいて、
前記データベースサーバは、DDNSサーバからなり、
前記情報登録手段は、
自己に割り当てられたホスト名と前記データベースサーバのIPアドレスを対応付けた登録先を記憶する登録側サーバ記憶部と、
前記情報取得手段で取得するための所定情報を暗号化する暗号器と、
前記登録先として記憶されたデータベースサーバのIPアドレスへ、前記暗号器で得られた暗号文をIPアドレスに見せかけたDNSの登録要求を送信する登録機能部とを有し、
前記情報取得手段は、
前記登録側サーバ記憶部と同一のホスト名を記憶する取得側ネーム記憶部と、
前記取得側ネーム記憶部に記憶されたホスト名の名前解決要求を送信するリゾルバと、
前記リゾルバが取得した前記見せかけのIPアドレスを前記所定情報に復号化する復号器とを有し、
前記情報登録手段は、グローバルIPアドレスをもち、
前記所定情報は、前記情報登録手段へのインターネットを介したリモートアクセスに用いるための接続情報からなることを特徴とする情報登録及び取得システム。
【請求項2】
前記情報登録手段は、前記リモートアクセス用に開ける待受けポート番号を所定時期の経過ごとに変更し、変更した待受けポート番号と有効期限とを含んだ前記所定情報を暗号化して前記DNSの登録要求を送信する請求項1に記載の情報登録及び取得システム。
【請求項3】
前記グローバルIPアドレスが、動的に割り当てられるIPv4アドレスである請求項1又は2に記載の情報登録及び取得システム。
【請求項4】
前記取得側ネーム記憶部は、前記登録側サーバ記憶部と同一の前記登録先を記憶し、
前記リゾルバは、前記取得側ネーム記憶部に記憶された前記データベースサーバのIPアドレスへ、当該IPアドレスに対応付けられたホスト名の名前解決要求を送信する請求項1から3のいずれか1項に記載の情報登録及び取得システム。
前記リゾルバは、前記取得側ネーム記憶部に記憶された前記データベースサーバのIPアドレスへ、当該IPアドレスに対応付けられたホスト名の名前解決要求を送信する請求項1から3のいずれか1項に記載の情報登録及び取得システム。
【請求項5】
前記データベースサーバは、前記名前解決要求に対するDNS応答をTTL0秒指定で返信する請求項1から3のいずれか1項に記載の情報登録及び取得システム。
【請求項6】
前記登録側サーバ記憶部は、複数の前記登録先を記憶し、
前記登録機能部は、前記暗号文を前記複数に分割し、各分割データから見せかけのIPアドレスを作成し、これら見せかけのIPアドレスを前記複数の登録先に1つずつ割り当てて前記登録要求を送信する請求項4に記載の情報登録及び取得システム。
前記登録機能部は、前記暗号文を前記複数に分割し、各分割データから見せかけのIPアドレスを作成し、これら見せかけのIPアドレスを前記複数の登録先に1つずつ割り当てて前記登録要求を送信する請求項4に記載の情報登録及び取得システム。
【請求項7】
前記登録側サーバ記憶部は、複数の前記ホスト名を記憶し、
前記登録機能部は、前記暗号文を前記複数に分割し、各分割データから見せかけのIPアドレスを作成し、これら見せかけのIPアドレスを前記複数の登録先に1つずつ割り当てて前記登録要求を送信する請求項1又は5に記載の情報登録及び取得システム。
前記登録機能部は、前記暗号文を前記複数に分割し、各分割データから見せかけのIPアドレスを作成し、これら見せかけのIPアドレスを前記複数の登録先に1つずつ割り当てて前記登録要求を送信する請求項1又は5に記載の情報登録及び取得システム。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、所定のデータベースサーバにネットワークを介してユーザの情報登録手段でデータ登録を行い、ユーザの情報取得手段で前記所定のデータベースサーバからインターネット経由でデータ取得を行うための情報登録及び取得システムに関する。
【背景技術】
【0002】
常時接続サービスを利用して自宅のPCなどをWebサーバとして公開する際に使用するアドレス解決方法としてDDNS(RFC2136で仕様化されたDynamic Updates in the Domain Name System)が利用されている。DDNSでは、人間に覚え辛い文字と数字の列であるIP(Internet Protocol)アドレスと、ユーザが一意に指定した理解容易な文字列からなるホスト名を紐付けてDDNSサーバで管理する。外部から自宅のPCなどにリモートアクセスをする端末は、DDNSサーバに名前解決を依頼し、ホスト名からIPアドレスを取得することができる。プロバイダからPCなど払い出されるIPアドレスが動的に割り当てられる場合、PCなどがプロバイダのインターネット接続サービス網に接続するたびに不規則に変更される可能性がある。その接続の都度、DDNSサーバへ新しく割り当てられたIPアドレスを登録することで、IPアドレスが変更されても同じホスト名でリモートアクセスすることが可能となる(例えば、特許文献1、2)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2011−108232号公報
【特許文献2】特開2004−120123号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、一般にDDNSはインターネットに対してオープンなサービスであり、DDNSサーバに登録されたIPアドレスは、ホスト名さえ知っていれば誰でも取得することが可能である。プライベートで使用しているVPNレスポンダのアドレスを外部から取得したい場合等、インターネットに対して秘匿したいがユーザ側がインターネット経由で取得したいプライベートな情報の場合、DDNSサーバのようにオープンなデータベースサーバへ係る情報を登録することは、セキュリティの観点から適当ではない。係る登録には、ユーザ認証機能付きのデータベースサーバを用意しなければならなかった。
【0005】
そこで、この発明が解決しようとする課題は、認証機能付きのデータベースサーバを用意することなく、ユーザのプライベートな情報を第三者に対して安全に登録しておき、インターネット経由で取得可能にすることである。
【課題を解決するための手段】
【0006】
上記の課題を解決するため、この発明は、要するに、データベースサーバとしてDDNSサーバを活用し、ユーザのプライベートな情報を第三者に対して安全にDDNSサーバに登録する仕組みを情報登録手段と情報取得手段に実装することにより、認証機能付きのデータベースサーバを不要にした。すなわち、情報登録手段は、自己のホスト名と、この登録先にするDDNSサーバのIPアドレスとを対応付けた登録先を記憶し、前記情報取得手段で取得するための所定情報を暗号化し、その暗号文を自己のホスト名に対応するIPアドレスに見せかけたDNSの登録要求を所定のDDNSサーバに送信する。このため、DDNSサーバには、情報登録手段に割り当てられたホスト名と、見せかけのIPアドレスが登録され、所定情報自体は登録されない。プライベートな所定情報であれば、情報登録手段のユーザと情報取得手段のユーザは、同じアクセス権限をもつ者に限定される。したがって、情報登録手段には、前記の登録先に関する情報の共有と、前記所定情報に復号化するための情報の保持を許すことができる。すなわち、情報取得手段は、情報登録手段に記憶された登録先と同一のホスト名を記憶し、記憶されたホスト名の名前解決要求をリゾルバで送信し、DNS(Domain Name System)を介し、所定のDDNSサーバに登録されている見せかけのIPアドレスを取得し、見せかけのIPアドレスを前記所定情報に復号化する。したがって、情報取得装置のユーザは、インターネット経由で前記所定情報を取得することができる。情報取得装置をもたない第三者は、何らかの端末から仮に情報登録手段のホスト名の名前解決を要求し得ても、無意味な見せかけのIPアドレスを入手できるだけであり、前記所定情報を知ることはできない。したがって、ユーザのプライベートな情報を第三者に対して安全にDDNSサーバに登録しておくことができる。
【0007】
前記リゾルバが前記ホスト名の名前解決要求を送信する問い合わせ先は、DNSに属しているネームサーバの中から任意に定めることができ、具体的には、DNSの最上位に位置するルートサーバ、ルートサーバより下位のドメインを管理するDNSサーバ、前記所定のDDNSサーバのいずれでもよい。所定のDDNSサーバを問い合わせ先にすると、ルートサーバから下位のDNSサーバへ再帰的に問い合わせを行う場合と比して、見せかけのIPアドレスを取得するまでの待ち時間を省力することができる。
【0008】
具体的には、前記情報取得手段が前記情報登録手段と同一の前記登録先、すなわち情報登録手段と同じ内容で前記ホスト名と前記DDNSサーバのIPアドレスを対応付けた情報を記憶し、前記リゾルバが前記所定のDDNSサーバに前記ホスト名の名前解決要求を送信すれば、前記の待ち時間を省力することができる。
【0009】
前記情報取得手段と前記DDNSサーバ間に他のDNSサーバが介在することを許容する場合、DDNSサーバは、前記名前解決要求に対するDNS応答において当該応答を中継保持するDNSサーバにおけるキャシュ時間であるTTL(Time To Live)を比較的短い値に指定して返信することが好ましい。特に、前記情報登録手段により頻繁に情報を更新する場合には、TTLを0とする。これにより、名前解決要求のDDNSサーバへの到達性は、他のDNSキャッシュサーバによるキャッシュ利用の応答で遮断される心配がないため、確実である。したがって、必ずDDNSサーバで解決されて情報取得手段へ返信されるので、情報取得手段は最新の見せかけのIPアドレスを確実に取得することができる。
【0010】
前記情報登録手段による登録先を複数にすれば、暗号文から複数の見せかけのIPアドレスを作り、複数の登録先へ暗号文を分散登録することができ、第三者による暗号文全文の取得が困難になる。また、IPアドレスサイズより大きな暗号文であっても、既存のDDNSサーバの利用が可能となる。前記登録先を複数作成するパターンとして、1個のホスト名と複数のDDNSサーバのIPアドレスとの組み合わせA、複数のホスト名と1個のDDNSサーバのIPアドレスとの組み合わせB、複数のホスト名と複数のDDNSサーバのIPアドレスとの1対1の組み合わせCが挙げられる。
【0011】
例えば、前記情報登録手段に記憶された登録先と同一の登録先を前記情報取得手段が記憶する場合、前記組み合わせA〜Cのいずれでも採用することが可能である。したがって、前記情報登録手段が、複数の前記登録先を記憶し、前記暗号文を前記複数に分割し、各分割データから見せかけのIPアドレスを作成し、これら見せかけのIPアドレスを前記複数の登録先に1つずつ割り当てて前記登録要求を送信することにより、前記の分散登録を実現することができる。
【0012】
一方、前記情報登録手段に記憶された登録先に係るホスト名のみを前記情報取得手段が記憶する場合、1個のホスト名しか利用できない前記組み合わせAを採用することはできない。この場合、組み合わせB又はCを採用すれば、登録先に係るDDNSサーバのIPアドレスを情報取得手段に記憶させずとも、前記の分散登録を実現することができる。具体的には、前記情報登録手段が、複数の前記ホスト名を記憶し、前記暗号文を前記複数に分割し、各分割データから見せかけのIPアドレスを作成し、これら見せかけのIPアドレスを前記複数の登録先に1つずつ割り当てて前記登録要求を送信することにより、前記の分散登録を実現することができる。
【0013】
この発明は、プライベートに用いる情報登録手段のグローバルIPアドレスへインターネットからアクセスするための方法としてDDNSを利用しつつ、当該グローバルIPアドレスへのアクセス権限をもたない第三者による情報登録手段へのアクセスを防ぐ目的に使用することができる。すなわち、前記情報登録手段は、グローバルIPアドレスをもち、前記所定情報は、前記情報登録手段へのインターネットを介したリモートアクセスに用いるための接続情報からなるようにすればよい。このように所定情報をリモートアクセス用の接続情報に限定すれば、暗号文のサイズを抑え、情報登録手段のために確保すべきホスト名の数やDDNSサーバのリソース消費を抑えることができる。情報登録手段のグローバルIPアドレスは動的、固定のいずれでもよいが、動的に割り当てられる場合であっても、情報登録手段はDDNSクライアントなので、グローバルIPアドレスの更新を契機に新たな所定情報を暗号化してDDNSサーバへ再登録する自動処理が可能である。
【0014】
例えば、情報登録手段は、リモートアクセス用に開ける待受けポート番号を所定時期の経過ごとに変更することが好ましい。これにより、外部から待受けポートへの攻撃を所定時期の経過でかわすことができる。情報登録手段が、変更した待受けポート番号と有効期限とを含む前記所定情報を暗号化して前記DNSの登録要求を送信するようにしておけば、動的な待受けポート番号であっても、情報取得手段は、復元した接続情報中の待受けポート番号及び有効期限から情報登録手段にアクセス可能な待受けポートを知ることができる。
【0015】
前記情報登録手段のグローバルIPアドレスが動的に割り当てられるIPv4アドレスの場合、普及している既存のIPv4ネットワークのDDNSを利用することができる。なお、グローバルIPアドレスが動的又は固定のIPv6アドレスである場合でも、IPv4用又はIPv6用のDDNSサーバを適宜に利用して、この発明を適用することができる。
【発明の効果】
【0016】
上述のように、この発明は、所定のデータベースサーバにネットワークを介して接続する情報登録手段と、前記所定のデータベースサーバにインターネット経由で接続する情報取得手段とからなる情報登録及び取得システムにおいて、前記データベースサーバは、DDNSサーバからなり、前記情報登録手段は、自己に割り当てられたホスト名と前記データベースサーバのIPアドレスを対応付けた登録先を記憶する登録側サーバ記憶部と、前記情報取得手段で取得するための所定情報を暗号化する暗号器と、前記登録先として記憶されたデータベースサーバのIPアドレスへ、前記暗号器で得られた暗号文をIPアドレスに見せかけたDNSの登録要求を送信する登録機能部とを有し、前記情報取得手段は、前記登録側サーバ記憶部と同一のホスト名を記憶する取得側ネーム記憶部と、前記取得側ネーム記憶部に記憶されたホスト名の名前解決要求を送信するリゾルバと、前記リゾルバが取得した前記見せかけのIPアドレスを前記所定情報に復号化する復号器とを有する構成の採用により、認証機能付きのデータベースサーバを用意することなく、ユーザのプライベートな情報を第三者に対して安全に登録しておき、インターネット経由で取得可能にすることができる。
【図面の簡単な説明】
【0017】
【図1】実施形態に係る情報登録及び取得システムの全体構成を示す機能ブロック図
【図2】実施形態に係る情報登録及び取得システムのネットワーク構造を模式的に示す図
【図3】実施形態に係る登録側サーバ記憶部、取得側ネーム記憶部の管理テーブルの概念図
【図4】実施形態に係る情報登録手段がDDNSサーバに登録するフローチャート図
【図5】実施形態に係る登録機能部がDDNSサーバへの登録を更新するフローチャート図
【図6】実施形態に係る情報取得手段が接続情報を取得するフローチャート図
【図7】実施形態に係る接続情報の情報伝達を示す機能ブロック図
【発明を実施するための形態】
【0018】
以下、この発明に係る情報登録及び取得システムの一実施形態(以下、単に「このシステム」と呼ぶ)を図面に基づいて説明する。このシステムは、図1、図2に示すように、所定のデータベースサーバとしてのDDNSサーバ1a、1b・・・にネットワークを介して接続する情報登録手段2と、前記所定のDDNSサーバ1a、1b・・・にインターネット経由で接続する情報取得手段3とからなる。
【0019】
情報登録手段2は、インターネットに接続される。情報登録手段2は、所定のホスト名をもち、PPPoE(PPP over Ethernet)接続やDHCP(Dynamic Host Configuration Protocol)によりグローバルIPアドレスを動的に割り当てられる(以下、このグローバルIPアドレスを単に「動的IPアドレス」と呼ぶ)。例えば、情報登録手段2は、ユーザ宅のパーソナルコンピュータ、ゲートウェイ装置といった通信機器からなる。情報登録手段2は、DDNSサーバ1a、1b・・・のサービスを利用するクライアント端末となり、インターネットを介して自己へリモートアクセスする情報取得手段3に対して自己に実装されたソフトウェア等の機能をプライベートに提供する目的でインターネットに公開されたサーバとなる。
【0020】
情報登録手段2は、待受けポート番号の変更を制御する待受けポート制御部4を有している。待受けポート番号は、情報取得手段3からのリモートアクセス用に開ける論理的ポートを特定する番号である(以下、単に「ポート番号」と呼ぶ)。待受けポート制御部4は、インターネットに開放する待受けポート番号を所定時期の経過ごとに変更する。具体的には、待受けポート制御部4は、情報登録手段2のWAN側通信ポートに設定可能な所定のポート番号の中で、情報取得手段3が情報登録手段2へのリモートアクセスに用いる待受けポートとして接続情報5に含められたポート番号を、接続情報5の有効期限までリモートアクセス用の待受けポートとして設定し、接続情報5の更新に合わせて待受けポート設定を更新する。
【0021】
接続情報5は、情報登録手段2に割り当てられた動的IPアドレスと、待受けポート番号を含み、他に、ルート情報、ユーザID、パスワード、それらが可変の場合には特定のために必要な鍵などを接続情報5に含めることができる。なお、ルート情報とは、特定のサーバを経由して目的のサーバにアクセスするルートの、特定のサーバのアドレスである。情報登録手段2は、割り当てられた動的IPアドレス、待受けポート制御部4によって設定された待受けポート番号、有効期限等の所要の情報を収集して接続情報5を生成する。
【0022】
また、情報登録手段2は、情報取得手段3で取得するための所定情報を暗号化する暗号器6を有している。所定情報は、生成した接続情報5からなる。この暗号化に必要な鍵情報は、情報登録手段2に登録されるようになっている。暗号化の方式は特に限定されない。
【0023】
また、情報登録手段2は、自己のホスト名とDDNSサーバ1a、1b・・・のIPアドレスを管理する登録側サーバ記憶部7を有している。情報登録手段2は、登録側サーバ記憶部7に対する情報登録手段2のホスト名の登録と、この登録先に対応するDDNSサーバのIPアドレスの登録とを情報登録手段2のユーザから入力されるようになっている。登録側サーバ記憶部7は、情報登録手段2に割り当てられたホスト名とDDNSサーバ1a、1b・・・のIPアドレスを対応付ける管理テーブルによって登録先を記憶する。その管理テーブルは、例えば図1、図3に示すように、情報登録手段2に割り当てられたホスト名(図中の項目名「ホスト名」)、ホスト名を登録するDDNSサーバのIPアドレス(図中の項目名「DDNSサーバアドレス」)を所有している。情報登録手段2のホスト名は、TCP/IPネットワークのフルドメイン名(FQDN)とする。登録側サーバ記憶部7は、管理テーブルによって、情報登録手段2に割り当てられた全てのホスト名について、ホスト名ごとに登録先を記憶する。また、管理テーブルは、図1の暗号器6で得られた暗号文を複数の登録先に分散登録するために用いる順序情報(図3中の項目名「No.」)も所有している。例えば、図3中「No.1」の登録先は、図3中「●●●1.co.jp」のホスト名と、これを登録する図1のDDNSサーバ1aのIPアドレスである図3中「10.10.1.1」を対応付けた情報になっている。図示例の登録先No.1〜No.3は、3個のホスト名と、3個のDDNSサーバのIPアドレスとの1対1の組み合わせ、登録先No.4〜No.5は、2個のホスト名と、1個のDDNSサーバのIPアドレスとの組み合わせの関係にあり、5個のホスト名に係る登録先No.1〜No.5によって接続情報5の暗号文を3個のDDNSサーバ1a、1b・・・に分散登録することを前提にしている。
【0024】
また、図1に示す情報登録手段2は、暗号器6で得られた暗号文を所定のDDNSサーバ1a、1b・・・へDNSに従った登録要求を送信する登録機能部8を有している。登録機能部8は、登録側サーバ記憶部7によって登録先として記憶されたDDNSサーバ1a、1b・・・のIPアドレスに対して、暗号文をIPアドレスに見せかけた前記登録要求を送信する。具体的には、登録機能部8は、暗号文を登録側サーバ記憶部7に記憶された登録先の数に分割し、各分割データから見せかけのIPアドレスを作成し、これら見せかけのIPアドレスを登録側サーバ記憶部7に記憶された「No」の順序に対応する登録先に1つずつ割り当てて、対応するDDNSサーバ1a、1b・・・のIPアドレスに対して登録要求を送信する。
【0025】
情報登録手段2がDDNSサーバ1a、1b・・・のIPアドレスへDNSの登録要求を送信するまでのフローチャートを図4に例示する。情報登録手段2は、接続情報5、接続情報5の有効期限を生成し、暗号器6に投入する(S1)。暗号器6は、投入された接続情報5等を暗号化した暗号文を作成し、登録機能部3に渡す(S2)。登録機能部3は、渡された暗号文のサイズを確認する(S3)。
【0026】
登録機能部3は、(S3)において暗号文「A.B.C.D.E.F.G.H.I.J」のサイズがIPアドレスより大きい場合、暗号文をIPアドレスのサイズ「A.B.C.D」、「E.F.G.H」、「G.H.1.1」に分割、不足部分に「1」を追加し(S4)、登録側サーバ記憶部7を参照して、各見せかけのIPアドレス(すなわち、暗号文の分割片)ごとに紐付けるホスト名を設定し、登録先であるDDNSサーバ1a、1b・・・のIPアドレスを取得し(S5)、各DDNSサーバ1a、1b・・・のIPアドレスに登録要求を送信する(S6)。
【0027】
また、登録機能部3は、(S3)において暗号文「A.B.C」のサイズがIPアドレスより小さい場合、暗号文の不足部分に「1」を足して暗号文をIPアドレスのサイズ「A.B.C.1」にする(S7)。以後、(S5)、(S6)の処理に進む。
【0028】
また、登録機能部3は、(S3)において暗号文「A.B.C、D」のサイズがIPアドレスと同じ場合、以後、(S5)、(S6)の処理に進む。
【0029】
情報登録手段2から登録要求を受信したDDNSサーバ1a、1b・・・は、通常と同じく、当該登録要求のメッセージ中に含まれたホスト名とIPアドレス(このIPアドレスは問う記録機能部8によって生成された見せかけのIPアドレス)を対応付けて自己のテーブルに登録し、このテーブルを参照して名前解決の応答メッセージに含める回答を生成する。
【0030】
前述のように、登録機能部3は、暗号文のサイズが1つのIPアドレスよりも大きくなった場合には、暗号文をIPアドレスサイズに分割し、複数のホスト名もしくは複数のDDNSサーバ1a、1b・・・に登録する。その際、ホスト名と登録先のDDNSサーバ1a、1b・・・のいずれか1つとの組合せは登録側サーバ記憶部7にて管理される。暗号文のサイズがIPアドレスよりも大きくなった場合、1つのDDNSサーバに登録される複数のホスト名に暗号文を分割して対応付ける方法、及び複数のDDNSサーバ1a、1b・・・に登録される同一のホスト名に暗号文を分割して対応付ける方法のいずれか一方を採用すること、又は、これら方法を併用することも可能である。
【0031】
また、登録機能部8は、接続情報中の項目の情報が更新された契機で、例えばDHCP等により情報登録手段2に割り当てられた動的IPアドレスが更新された契機で、前述の手順(S1)〜(S7)にて接続情報5等をDDNSサーバ1a、1b・・・へ再登録する
【0032】
また、登録機能部8は、図5にフローチャートを例示するように、随時、DDNSサーバ1a、1b・・・に登録した接続情報5の有効期限を監視し(S11)、当該有効期限の直前のタイミングにおいて、ポート番号情報および有効期限を変更し(S12)、前述の手順(S1)〜(S7)にて接続情報5等をDDNSサーバ1a、1b・・・へ再登録する(S13)機能をもっている。
【0033】
図1に示す待受けポート制御部4、暗号器6、登録側サーバ記憶部7、登録機能部8は、情報登録手段2にコンピュータプログラムとして実装されており、情報登録手段2の演算処理装置でコンピュータプログラムを実行することにより、情報登録手段2に備わる演算処理装置、記憶装置、ネットワークインターフェイスといったハードウェア資源上に暗号器6等が構成される。
【0034】
一方、図1、図2に示すように、情報取得手段3は、インターネットに接続される通信機器からなる。例えば、情報取得手段3は、携帯電話、パーソナルコンピュータ等といった端末からなる。情報取得手段3は、DDNSサーバ1a、1b・・・のサービスを利用するクライアント端末となり、インターネットを介してリモートアクセスする情報登録手段2の機能を利用するクライアントになる。
【0035】
情報取得手段3は、登録側サーバ記憶部7と同一の登録先を記憶する取得側ネーム記憶部9を有している。取得側ネーム記憶部9は、登録側サーバ記憶部7が記憶するものと同じ管理テーブル(図3参照)をもち、登録側サーバ記憶部7の各登録先は取得側ネーム記憶部9における各登録先と1対1で対応する。情報取得手段3は、取得側ネーム記憶部9に対する情報登録手段2のホスト名の登録と、この登録先に対応するDDNSサーバのIPアドレスの登録とを情報取得手段3のユーザから入力されるようになっている。情報取得手段3のユーザは、情報登録手段2のユーザと同じアクセス権限をもつ者、例えば同一人である。
【0036】
また、情報取得手段3は、取得側ネーム記憶部9に記憶された登録先のDDNSサーバ1a、1b・・・のIPアドレスに対して、当該DDNSサーバ1a、1b・・・のIPアドレスに対応付けられたホスト名の名前解決要求を送信するリゾルバ10を有している。リゾルバ10は、情報登録手段2が登録した全てのDDNSサーバ1a、1b・・・に名前解決要求を送信し、各応答メッセージに含まれたDNSのプロトコルに従ってIPアドレス(登録済みの見せかけのIPアドレス)を得て暗号文の全文を取得する。
【0037】
また、情報取得手段3は、リゾルバ10が取得した暗号文を復号化する復号器11を有している。復号化で得られた接続情報12は、接続情報5と同じ情報をもっている。復号化に必要な鍵情報は、情報取得手段3に登録されるようになっている。情報取得手段3は、接続情報12に含まれた各項目の情報を適宜に用いて情報登録手段2にリモートアクセスする。なお、情報取得手段3、情報登録手段2への鍵情報の登録は、登録済みの情報登録手段のユーザ配布、媒体又はダウンロードで実装されたプログラムによるインストール、ユーザ操作によるテキスト入力等の適宜の手段で行えばよい。
【0038】
情報取得手段3が接続情報12を取得するまでのフローチャートを図6に例示する。リゾルバ10は、取得側ネーム記憶部9を参照し、管理テーブルに登録先として記憶されたDDNSサーバ1a、1b・・・のIPアドレスを取得する(S21)。次に、リゾルバ10は、取得したDDNSサーバ1a、1b・・・のIPアドレスに対応付けられたホスト名の名前解決要求を送信する(S22)。DDNSサーバ1a、1b・・・は、自己の対応表を参照して要求されたIPアドレス(見せかけのIPアドレス)をリゾルバ10に応答する(S23)。情報取得手段3は、DDNSサーバ1a、1b・・・の応答メッセージに含まれたホスト名に対応するIPアドレス(見せかけのIPアドレス)を取得側ネーム記憶部9の順序「No.」に従って統合して、暗号文を復元する(S24)。情報取得手段3は、復元した暗号文を復号器11に投入する(S25)。復号器11は、登録済みの復号鍵を用いて暗号文を複合化し(S26)、これにより、情報取得手段3は、接続情報12を取得する(S27)。
【0039】
情報取得手段3は、情報登録手段2への接続を実施する都度、(S21)〜(S27)を実施する。また、リゾルバ10は、既に取得した接続情報12の有効期限を監視し、有効期限が切れた場合に再度(S21)からの処理を開始する機能をもっている。
【0040】
取得側ネーム記憶部9、リゾルバ10、復号器11は、情報取得手段3にコンピュータプログラムとして実装されており、情報取得手段3の演算処理装置でコンピュータプログラムを実行することにより、情報取得手段3に備わる演算処理装置、記憶装置、ネットワークインターフェイスといったハードウェア資源上に取得側ネーム記憶部9等が構成される。
【0041】
図1の実施形態をIPv4(Internet Protocol Version 4)のDDNSに適用した場合の接続情報5の登録から接続情報12の取得までの情報伝達を図1、図7に基いて説明する。この実施例に係る接続情報5、12は、ポート番号の有効期限、ポート番号、動的IPアドレス、ルート情報、ユーザID、パスワードからなる。ポート番号の有効期限は、3600秒間に設定した場合を例示している。ポート番号は、1024番に設定した場合を例示している。動的IPアドレスは、「192.168.24.1」に割り当てられた場合を例示している。ルート情報は、「192.168.24.3」に設定した場合を例示している。ユーザID、パスワードは、情報登録手段2でリモートアクセスの認証に用いる固有の識別情報であり、それぞれ「15」、「2947437」に設定した場合を例示している。情報登録手段2にホスト名A〜Dが割り当てられた場合を例示している。ホスト名AはNo.1のホスト名(図3を適宜参照のこと)、ホスト名Bは同じくNo.2のホスト名というように対応する。
【0042】
図1に示す情報登録手段2は、図7に示すように、ポート番号の有効期限「0E 10」、ポート番号「04 00」、割り当てられた動的IPアドレス「C0 A8 18 01」、ルート情報「C0 A8 18 03」、ユーザID「0F」、パスワード「2C F9 6D」を並べた情報を図中の平文とする。暗号器6は、この平文に図中の暗号鍵を桁対応をとって加算する暗号化により、図中の暗号文を生成する。登録機能部8は、暗号文をIPアドレスサイズ(IPv4の場合4バイト)に分けて、ホスト名Aの見せかけのIPアドレスとする「0F 12 07 04」、ホスト名Bの見せかけのIPアドレスとする「C5 AE 1F 09」、ホスト名Cの見せかけのIPアドレスとする「C9 B8 29 15」、ホスト名Dの見せかけのIPアドレスとする「22 40 01 0E」、ホスト名Eの見せかけのIPアドレスとする「C5 AE 1F 09」を生成する。登録機能部8は、ホスト名Aと見せかけのIPアドレス「0F 12 07 04」の登録要求を、登録側サーバ記憶部7において対付けられた登録先のDDNSサーバ1aのIPアドレスに送信し、ホスト名B等についても同様に送信する。その結果、図中の暗号文は、5つの登録先に分散登録される。
【0043】
図1に示す情報取得手段3は、図7に示すように、暗号鍵と同じ復号鍵と、登録側サーバ記憶部7の管理テーブルと同じ登録内容の取得側ネーム記憶部10とを保持している。リゾルバ10は、取得側ネーム記憶部9に登録先として記憶された所定のDDNSサーバ1a、1bの全てに、対応するホスト名A〜Eの名前解決要求を送信する。復号器11は、リゾルバ10が取得した5つの見せかけのIPアドレスを取得側ネーム記憶部9に記憶された統合順序に従って暗号文を復元し、復号鍵で減算する復号化により、平文すなわち接続情報12に戻す。
【0044】
上述のように、このシステムは、情報登録手段2へのリモートアクセスに用いる接続情報5、12のデータサイズがIPアドレスよりも大きくなった暗号文をDDNSサーバ1a、1b・・・への登録に適合したIPアドレスサイズにデータを分割し、暗号文を分散登録することにより、外部からは接続情報として機能しない文字列を、情報登録手段2に割り当てられたホスト名の見せかけのIPアドレスとして、既存のDDNSサーバ1a、1b・・・へ登録することができる。したがって、既存のDDNSサーバ1a、1b・・・への機能追加は不要であり、接続情報5、12の登録・取得をセキュアに行うことができ、既存のDDNSサーバ1a、1b・・・を利用する際、第三者からの情報登録手段2への不正アクセスを防ぐことができる。
【0045】
また、このシステムは、接続情報5、12に有効期限を設定し、有効期限が切れた場合にポート番号を変更した接続情報5、12の再度登録することにより、特定のポートを狙った攻撃から、情報登録手段2のネットワークインターフェイスの背後にある情報を守ることができる。
【0046】
このシステムの変更例を図8〜図10に基いて説明する。以下、変更点のみを述べるに留める。図8、図10に示すように、この変更例に係る取得側ネーム記憶部9は、図3の登録先No.1〜5に対応するホスト名のみを管理テーブルによって記憶している。
【0047】
図8、図9に示すように、リゾルバ10は、取得側ネーム記憶部9に記憶されたホスト名を取得すると(S21)、情報取得手段が具備されたPC(パーソナルコンピュータ)などにおいてデフォルトサーバとして事前設定された、あるいは、DHCPにより通知されたDNS上の任意のDNSサーバに対して、ホスト名の名前解決要求を送信する(S22)。図9に示すDDNSサーバ1a、1b・・・以外のDNSサーバは、それぞれインターネット上のDNSに属し、自ゾーンのドメインとIPアドレスを対応表で管理しているDNSコンテンツサーバ、又はフルリゾルバとなっている。DDNSサーバ1a、1b・・・は、名前解決要求に対するDNS応答において当該応答を中継保持するDNSサーバにおけるキャシュ時間:TTL(Time To Live)を0秒に指定して返信する。このため、DDNSサーバ1a、1b・・・の応答が他のDNSサーバにキャッシュされることがなく、リゾルバ10からの名前解決要求は、インターネット上の1個以上のDNSサーバを介し、最終的にDDNSサーバ1a、1b・・・に届けられ、DDNSサーバ1a、1b・・・からの返信も、同じくDNSサーバを介してリゾルバ10に到達する。したがって、情報取得手段3は、最新の見せかけのIPアドレスを確実に取得することができる。
【0048】
この変更例と図1、図3例のシステムとを比較すると、この変更例は、図10に示すように、取得側ネーム記憶部9にホスト名のみを記憶するだけで済む点で優れ、図1、図3例のシステムは、名前解決に際し、図9に示す如く、リゾルバ10とDDNSサーバ1a、1b・・・間に介在する各DNSサーバにおける検索、転送処理を無くし、接続情報12を復元するまでの時間を短くすることができる点で優れる。
【0049】
この発明の技術的範囲は、上述の実施形態に限定されず、特許請求の範囲の記載に基く技術的思想の範囲内での全ての変更を含むものである。例えば、このシステムに係るサービスを利用するユーザには、そのユーザが利用するホスト名、DDNSサーバのIPアドレス等を登録済みの登録側サーバ記憶部、取得側ネーム記憶部を予め保持している情報登録手段、情報取得手段を提供してもよい。また、ユーザが予め、情報登録手段、情報取得手段に対し、サービサーから提供する媒体又はサービサーからダウンロードされたプログラムの実行により、パーソナルコンピュータ、携帯電話に備わる所定のユーザインターフェイスを介した手動入力により、利用するホスト名、DDNSサーバ等を登録しても良い。なお、この場合は、ユーザが情報登録手段、情報取得手段に同じ管理テーブルの内容で登録することが前提になる。また、IPv6に対応するDDNSにこのシステムを適用することも可能である。
【符号の説明】
【0050】
1a、1b DDNSサーバ2 情報登録手段
3 情報取得手段
4 待受けポート制御部
5、12 接続情報
6 暗号器
7 登録側サーバ記憶部
8 登録機能部
9 取得側ネーム記憶部
10 リゾルバ
11 復号器