メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です
文字サイズ:

リソースPKI(RPKI)

2015年2月25日

リソースPKI(RPKI)とは

図:RPKIとROAの概要
図1 RPKIとROAの概要(クリックで拡大します)

リソースPKI(RPKI)は、 アドレス資源の割り振りや割り当てを証明するためのPKI(Public-Key Infrastructure:公開鍵基盤)で、 IPアドレスが正しく割り振られたものであるかどうかを確認できるほか、 BGPルータにおける誤ったインターネットの経路情報(Mis-Origination)を見つけるために使えます。 IPアドレスの割り振りや割り当てを証明するリソース証明書(Resource Certificate)と呼ばれる電子証明書はRPKIを使って発行されます。

BGPを使ったインターネットの経路制御では、 「IPアドレス」と「インターネット上のネットワークを識別する番号(Autonomous System Number: AS番号)」が情報交換されます。 リソース証明書は、 IPアドレスとAS番号の正しい組み合わせを示すデータ「Route Origin Authorization(ROA)」を生成するために使えます。

JPNICが提供するRPKI関連の仕組み

RPKIシステム

バナー:ケーロちゃん

JPNICのRPKIシステムは、 IPアドレスやAS番号のデータベースに基づいて、 リソース証明書を発行するシステムです。 APNICのRPKIシステムと連携しており、 IPアドレスやAS番号の分配に応じてリソース証明書が発行されます。 発行されたリソース証明書を使ってROA (Route Origin Authorization)を発行することもできます。

登録方法 JPNIC ROA Webにアクセスする方法(IPアドレスの分配を受けている方)

RPKIシステムにアクセス

できること
  • リソース証明書 自動発行の開始と停止
  • ROA発行代行機能(Webサーバ上でROA作成ができる機能)の利用
必要なもの
  • ご利用のWebブラウザに以下がインストールされている必要があります。
    1. 資源申請者証明書(Web申請システムにアクセスする際にご利用の電子証明書)
  • RPKIシステムのご利用条件」をご確認ください。
RPKIシステムとBPKI接続する方法(IPアドレスの分配を受けている方)
できること
  • 発行されたリソース証明書を使った、自組織でのリソース証明書管理
必要なもの
  • ご利用のWebブラウザに以下がインストールされている必要があります。
    1. 資源申請者証明書(Web申請システムにアクセスする際にご利用の電子証明書)
  • RPKIシステムのご利用条件」をご確認ください。
ROAのダウンロード/
経路情報の確認
ROAキャッシュを通じて利用する方法(どなたでもご利用できます)
RPKIシステムの発行したリソース証明書やROAを利用することができます。 詳しくは「ROAキャッシュサーバの設置方法」をご覧ください。

RPKI模擬環境

図:RPKI模擬環境を利用できる方と技術検証
図2 RPKI模擬環境を利用できる方と技術検証(クリックで拡大します)

JPNICではRPKIを簡単に試す環境として、 RPKI模擬環境を提供しています。 模擬環境は、RPKIの使い方を体験できるシステムで、 APNICのRPKIテスト環境(APNICテストベッド)と連携しています。

RPKIを本格的に利用してゆくには、 リソース証明書に記載されるIPアドレスがIPレジストリシステムのデータベースに基づいたものである必要があると考えられます。 模擬環境では、RPKIの体験や技術検証のための環境であるため、 JPNICのRPKI担当者が、 模擬環境利用者の希望や状況に応じてIPアドレスの分配情報を入力しています。 利用者はROAの発行をWebから実行できます。 模擬環境で発行したROAは、 ROAパブリックキャッシュサーバ等へいくつかの処理を経た上で転送され、 BGPルータで検証が可能となっています。

RPKI模擬環境は、 IPアドレスの分配を受けている方がWebインタフェースを利用してROAを発行したり、 利用者側で立ち上げられたROAキャッシュでそれを処理したり、 といった技術的な操作を確認するために使えます。

またRPKIのリソース証明書を自組織で発行できるRPKIのプログラム(例:RPKI Tools)の設定をして、JPNICの模擬環境と接続し、 動作検証をすることも可能です。

ご利用をご希望の方はJPNIC RPKI担当 <rpki-query@nic.ad.jp> までご連絡ください。

ROAパブリックキャッシュサーバ

図:ROAパブリックキャッシュとROAキャッシュの役割
図3 ROAパブリックキャッシュとROAキャッシュの役割(クリックで拡大します)

ROAキャッシュサーバは、リソース証明書とROAを収集し、 それらの電子署名を検証するサーバです。 検証の結果、 正しいIPアドレスとAS番号の「組み合わせリスト」が出力されます。 BGPルータは、 ROAキャッシュサーバから組み合わせリストをrpki-rtrプロトコルを使って受け取り、 経路表に入る前に比較します。 この仕組みはOrigin Validation(経路広告元の検証)と呼ばれています。

JPNICのROAパブリックキャッシュサーバは、 国際的に発行されたROAを収集するとともに、 JPNICのRPKI模擬環境で発行されたROAも収集して扱っています。 なお、 JPNICが提供するこのパブリックキャッシュサーバは、 個々のBGPルータが、 「共通の」RPKIキャッシュサーバを参照する形です。 しかし、 ROAキャッシュサーバは個々のネットワークで個別に設けることが理想的です。

BGPルータで、ROAと経路情報の比較が行われると、 経路情報はValid (ROAと経路情報が整合している)、 Invalid (ROAと経路情報が整合していない)、 Not Found(経路情報に合致するROAが存在しない)の3種類に区分けします。 これによって、 誤った経路情報を検出できるようになります。 また区分けに応じて、その優先度を上げて採用されやすくしたり、 逆に優先度を極端に下げて、 無視されやすくする=ルーティングテーブルに載せない処理をしたりできます。

ROAパブリックキャッシュサーバのご利用方法については、 以下をご覧ください。

ROAは、ROAパブリックキャッシュサーバを利用するほかに、 ROAキャッシュサーバを立ち上げる方法があります。 詳細は以下をご覧ください。

関連リンク

国内 MF RPKI Project インターネットマルチフィード株式会社のROAキャッシュサーバとRPKIのページです。
RPKIの実装 RPKI Tools RPKIのCAや署名検証プログラムなどを実装したオープンソース のソフトウェアです。
BGP Secure Routing Extension (BGP-SRx) ルーティングソフトウェアのQuaggaで動作するRPKI関連の実装です。
RPSTIR RPKIの署名検証プログラムです。
RTRlib RPKIの署名検証プログラムのC言語での実装です。
Tools and Resources このページにはRPKIの署名検証プログラムRPKI Validatorをはじめ、ルータの設定サンプルなどが掲載されています。
RPKI Dashboard 五つのRIRにおけるリソース証明書やROAの発行状況や経路情報との比較結果が閲覧できるWebサイトです。
RIR 各RIRにおける、RPKIに関するWebページです。
RPKIの標準化 IETF SIDR WG RPKIに関する仕様の策定が行われています。

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

▲頁先頭へ