リソースPKI(RPKI)
最終更新 2024年11月13日
公開 2015年2月25日
リソースPKI(RPKI)とは
リソースPKI (RPKI)は、 アドレス資源の割り振りや割り当てを証明するためのPKI (Public-Key Infrastructure:公開鍵基盤)で、 IPアドレスが正しく割り振られたものであるかどうかを確認できるほか、 BGPルータにおける誤ったインターネットの経路情報(Mis-Origination)を見つけるために使えます。 IPアドレスの割り振りや割り当てを証明するリソース証明書(Resource Certificate)と呼ばれる電子証明書はRPKIを使って発行されます。
BGPを使ったインターネットの経路制御では、 「IPアドレス」と「インターネット上のネットワークを識別する番号(Autonomous System Number: AS番号)」が情報交換されます。 リソース証明書は、 IPアドレスとAS番号の正しい組み合わせを示すデータ「Route Origin Authorization(ROA)」を生成するために使えます。
このROAを使いBGPルータにおいて、 伝わってきた経路情報のIPアドレスに対して、 オリジン(特定のIPのネットワークの経路情報を生成するAS)が当該IPアドレスの正当な分配先が指定したものになっているかどうかを検証する仕組みがROV (Route origin validation)」または「オリジン検証」です。 BGPそのものには、経路広告の正当性を確認する仕組みがありません。 そのため、オペレータのミスによる誤った設定などによって、 集まった経路情報の中には正しい経路情報とそうでないものとが入り交じることがあります。 BGPの経路制御にROVを導入すると、 経路情報中のIPアドレスとAS番号の組み合わせが正しいかどうかを、 ROAに基づいて検証できるようになります。
詳しくは、JPNICブログ「RPKIとは何か ~起源といま~」をご覧ください。
- リソースPKIとは(インターネット用語1分解説)
- ROAとは(インターネット用語1分解説)
- ROVとは(インターネット用語1分解説)
- BGPルータにおける誤ったインターネットの経路情報(Mis-Origination)
RPKIのROAを使ったインターネットにおける不正経路への対策ガイドライン
このガイドラインは、国内のISP等、 インターネットの接続性に関わる事業や技術的運用行っている組織の経営者及び技術者の方に向けたもので、 相互接続ネットワークであるインターネットにおける不正な経路情報への対策、 特にRPKIを使った対策の指針を示すものです。 不正な経路情報に起因する様々な不具合、 および不正な経路情報を用いた犯罪等を抑止するにあたり、 RPKI技術を用いた対策技術を各組織や個人において導入する判断に資する事項を示しています。
JPNICが提供するRPKI関連の仕組み
RPKIシステム
JPNICのRPKIシステムは、 IPアドレスやAS番号のデータベースに基づいて、 リソース証明書を発行するシステムです。 APNICのRPKIシステムと連携しており、 IPアドレスやAS番号の分配に応じてリソース証明書が発行されます。 発行されたリソース証明書を使ってROA (Route Origin Authorization)を発行することもできます。
登録方法 (ROAの作成と管理の方法) |
JPNIC ROA Webにアクセスする方法(IPアドレスの分配を受けている方) | |
---|---|---|
できること
|
||
必要なもの
|
||
RPKIシステムとBPKI接続する方法(IPアドレスの分配を受けている方) | ||
できること
|
||
必要なもの
|
||
ROAのダウンロード/ 経路情報の確認 |
ROAキャッシュを通じて利用する方法(どなたでもご利用できます) | |
RPKIシステムの発行したリソース証明書やROAを利用することができます。 詳しくは「ROAキャッシュサーバの設置方法」をご覧ください。 |
RPKI模擬環境
JPNICではRPKIを簡単に試す環境として、 RPKI模擬環境を提供しています。 模擬環境は、RPKIの使い方を体験できるシステムで、 APNICのRPKIテスト環境(APNICテストベッド)と連携しています。
RPKIを本格的に利用してゆくには、 リソース証明書に記載されるIPアドレスがIPレジストリシステムのデータベースに基づいたものである必要があると考えられます。 模擬環境では、RPKIの体験や技術検証のための環境であるため、 JPNICのRPKI担当者が、 模擬環境利用者の希望や状況に応じてIPアドレスの分配情報を入力しています。 利用者はROAの発行をWebから実行できます。 模擬環境で発行したROAは、 ROAパブリックキャッシュサーバ等へいくつかの処理を経た上で転送され、 BGPルータで検証が可能となっています。
RPKI模擬環境は、 IPアドレスの分配を受けている方がWebインタフェースを利用してROAを発行したり、 利用者側で立ち上げられたROAキャッシュでそれを処理したり、 といった技術的な操作を確認するために使えます。
またRPKIのリソース証明書を自組織で発行できるRPKIのプログラム(例:RPKI Tools)の設定をして、JPNICの模擬環境と接続し、 動作検証をすることも可能です。
ご利用をご希望の方はJPNIC RPKI担当 <[email protected]> までご連絡ください。
ROAパブリックキャッシュサーバ
ROAキャッシュサーバは、リソース証明書とROAを収集し、 それらの電子署名を検証するサーバです。 検証の結果、 正しいIPアドレスとAS番号の「組み合わせリスト」が出力されます。 BGPルータは、 ROAキャッシュサーバから組み合わせリストをrpki-rtrプロトコルを使って受け取り、 経路表に入る前に比較します。 この仕組みはOrigin Validation(経路広告元の検証)と呼ばれています。
JPNICのROAパブリックキャッシュサーバは、 国際的に発行されたROAを収集するとともに、 JPNICのRPKI模擬環境で発行されたROAも収集して扱っています。 なお、 JPNICが提供するこのパブリックキャッシュサーバは、 個々のBGPルータが、 「共通の」RPKIキャッシュサーバを参照する形です。 しかし、 ROAキャッシュサーバは個々のネットワークで個別に設けることが理想的です。
BGPルータで、ROAと経路情報の比較が行われると、 経路情報はValid (ROAと経路情報が整合している)、 Invalid (ROAと経路情報が整合していない)、 Not Found(経路情報に合致するROAが存在しない)の3種類に区分けします。 これによって、 誤った経路情報を検出できるようになります。 また区分けに応じて、その優先度を上げて採用されやすくしたり、 逆に優先度を極端に下げて、 無視されやすくする=ルーティングテーブルに載せない処理をしたりできます。
ROAパブリックキャッシュサーバのご利用方法については、 以下をご覧ください。
ROAは、ROAパブリックキャッシュサーバを利用するほかに、 ROAキャッシュサーバを立ち上げる方法があります。 詳細は以下をご覧ください。
RPKI基礎の解説動画
関連リンク
国内 | MF RPKI Project | インターネットマルチフィード株式会社のROAキャッシュサーバとRPKIのページです。 |
---|---|---|
RPKIの実装 | RPKI Tools | RPKIのCAや署名検証プログラムなどを実装したオープンソース のソフトウェアです。 |
BGP Secure Routing Extension (BGP-SRx) | ルーティングソフトウェアのQuaggaで動作するRPKI関連の実装です。 | |
RPSTIR | RPKIの署名検証プログラムです。 | |
RTRlib | RPKIの署名検証プログラムのC言語での実装です。 | |
Tools and Resources | このページにはRPKIの署名検証プログラムRPKI Validatorをはじめ、ルータの設定サンプルなどが掲載されています。 | |
RPKI Dashboard | 五つのRIRにおけるリソース証明書やROAの発行状況や経路情報との比較結果が閲覧できるWebサイトです。 | |
RIR | 各RIRにおける、RPKIに関するWebページです。 | |
RPKIの標準化 | IETF sidrops WG | RPKIに関する仕様の策定が行われています。 |
その他 | ケーロちゃん通信 Volume.1(193KB) | RPKIが気になる人とJPNICを結ぶ心のローカル紙 |