経路情報の登録認可機構利用実験は、 2010年3月31日をもちまして終了いたしました。
経路情報の登録認可機構とは
経路情報の登録認可機構(以下、本機構と呼ぶ)は、 インターネットにおける経路制御の安全性向上のため、 JPIRRで提供される経路に関する情報(routeオブジェクト) の正当性の向上と維持を図るシステムです。 本機構を使うことで、 自組織以外のネットワークによるrouteオブジェクトの不正登録 (設定ミスを含む)を防ぎやすくなります。 JPIRRにおける登録情報を使ったインターネット上の不正な経路情報を、 より正確に検知できるようになり、 経路ハイジャック*1の予防等に役立ちます。
本機構の三つのポイントを以下に示します。
- ポイント1 - 割り振られたIPアドレスが経路広告で使われる組織の指定(認可登録)
- ポイント2 - JPIRRのオブジェクト登録者に対するユーザー認証の強化
- ポイント3 - 認可登録に基づいたJPIRRへのrouteオブジェクトの登録制限
これらの仕組みを実現するため、 本機構は当センターで運用されているJPNIC認証局、IPレジストリシステム、 JPIRRの三つと連携します。 本機構がどのようにこれらのシステムと連係動作するかについて、 図1に示します。
図1 経路情報の登録機構概念図
図1の中のIPレジストリシステムは、 IPアドレス管理指定事業者(以下、IP指定事業者)による IPアドレスの割り振り申請や割り当て報告などのために使われているシステムです。 「Web申請システム」と呼ばれるシステムは IPレジストリシステムによって提供されています。 一方、JPIRRはAS番号が割り振られている個人、 またはネットワーク運用組織によってオブジェクトの登録のために使われています。
本機構は、IP指定事業者に割り振られているIPアドレスに関する情報を IPレジストリシステムから取得し、 JPIRRに登録されるrouteオブジェクトの IPアドレスが正当なものであるかどうかをチェックします。 ここでいう正当性は、IPアドレスがIP指定事業者に割り振られているか、 ということに加え、割り振り先のIP指定事業者によって、 JPIRRのオブジェクト登録者であるメンテナーに対して、 その登録が認可されているかどうか、ということを意味しています。 この正当性の確認のため、 本機構は許可リストと呼ばれるデータベースを持ち、 IP指定事業者に対して認可登録のWebインタフェースを提供します。
以下、各々の仕組みについて説明します。
ポイント1
一つ目は、 IPアドレスを割り振られたIP指定事業者がその IPアドレスの利用をネットワーク運用組織に認可するための、 「許可リストと呼ばれるデータベースです。(ポイント1)。
本機構は、 IP指定事業者が認可登録を行うデータベース「許可リスト」を提供します。 許可リストは、IPアドレスがどのメンテナーに利用されるかを示すリストで、 どのメンテナーがどのIPアドレスを含むrouteオブジェクトの登録ができるか、 という情報を持ちます。 許可リストで認可登録のできるIPアドレスは、 その認可を行おうとしているIP指定事業者に割り振られたIPアドレスのみです。 さらに認可登録の追加項目として、AS番号を指定することもできます。 これによりインターネットにおいて特定のASから経路広告が行われるような認可登録ができます(図2)。
図2 許可リストを使った認可登録(ポイント1)
ポイント2
二つ目はJPIRRにおけるオブジェクト登録者に対するユーザー認証に、 電子証明書を使います(ポイント2)。
本機構では、JPIRRにおける情報登録者を、 「メンテナー管理者」と「オブジェクト登録者」 という二種類のユーザーとして認識します。 メンテナー管理者はJPIRRのメンテナーオブジェクトで admin-cやtech-cとして登録されているユーザーで、 次に述べるオブジェクト登録者の電子証明書を管理できます。 オブジェクト登録者は、 JPIRRにrouteオブジェクト等の登録ができるユーザーです。 どのユーザーも本機構から発行されたユーザー向けの電子証明書 (クライアント証明書)を使ってアクセスします。 本機構が提供するクライアント証明書を使うことで、 これまでの認証方式であるパスワードやPGPに比べ、 ユーザーの管理を適切に行いやすくなります。 本機構が持つ電子証明書の管理機能は、 悪意のある第三者による成りすまし行為が起こった場合に、 証明書を即時に失効させるなどの事後の対策を取りやすくしています(図3)。
図3 ユーザーの違いと役割(ポイント2)
メンテナー管理者はJPIRRのメンテナーオブジェクトを管理できるユーザーで、 メンテナーオブジェクトの内容を編集できます。 またオブジェクト登録者のクライアント証明書を発行/失効/更新ができます。 オブジェクト登録者のクライアント証明書は認証トークンに入っており、 この認証トークンを使って、これらの管理業務を行います(図4)。
図4 ユーザー毎の登録業務の違い(ポイント2)
ポイント3
三つ目は、許可リストを使った、JPIRRでのアクセス制御です。 許可されたメンテナーだけが、 特定のIPアドレスを含むrouteオブジェクトをJPIRRに登録できるようになります(ポイント3)*2。
本機構はJPIRRにrouteオブジェクトが登録される際、 申請データの内容を許可リストに基づいて検査し、 JPIRRに登録するか登録を拒否するかの制御を行います。 IP指定事業者によってメンテナーが指定されていないIPアドレスなどが、 JPIRRに登録されることを防ぎます(図5)。
図5 許可リストを使った登録のチェック
本機構を通じてrouteオブジェクトの正当性を維持することで、 JPIRRに不正なrouteオブジェクトが登録されることを防ぎます。 このことで、JPIRRが経路ハイジャックの検知等に、 より役立つようになります。
*1 経路ハイジャック - インターネット経路制御においてIPアドレスやAS番号を不正に利用し、 本来のネットワーク構成と異なる通信経路を確立しようとすること。 悪意のない、設定ミスであることがある。 インターネット経路制御は、 ISPがインターネットとの通信経路を確立する際に行われるネットワーク運用業務で、 経路ハイジャックによってISPと契約している全ての一般ユーザーがインターネットへの接続性を失ったり、 逆にインターネット側からの接続性を失ったりすることがある。
*2 現段階では、 基本的にJPNICからIP指定事業者に割り振られたPAアドレスが対象としており、 その他のアドレスを本機構に登録するには、 別途JPNICへの申請が必要となる。 ただし、今後、必要に応じて改良が行われていく予定である。