リソースPKI (RPKI; Resource Public Key Infrastructure) - JPNIC

メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

リソースPKI(RPKI)

最終更新 2024年11月13日
公開 2015年2月25日

リソースPKI(RPKI)とは

図:RPKIとROAの概要
図1 RPKIとROAの概要(クリックで拡大します)

リソースPKI (RPKI)は、 アドレス資源の割り振りや割り当てを証明するためのPKI (Public-Key Infrastructure:公開鍵基盤)で、 IPアドレスが正しく割り振られたものであるかどうかを確認できるほか、 BGPルータにおける誤ったインターネットの経路情報(Mis-Origination)を見つけるために使えます。 IPアドレスの割り振りや割り当てを証明するリソース証明書(Resource Certificate)と呼ばれる電子証明書はRPKIを使って発行されます。

BGPを使ったインターネットの経路制御では、 「IPアドレス」と「インターネット上のネットワークを識別する番号(Autonomous System Number: AS番号)」が情報交換されます。 リソース証明書は、 IPアドレスとAS番号の正しい組み合わせを示すデータ「Route Origin Authorization(ROA)」を生成するために使えます。

このROAを使いBGPルータにおいて、 伝わってきた経路情報のIPアドレスに対して、 オリジン(特定のIPのネットワークの経路情報を生成するAS)が当該IPアドレスの正当な分配先が指定したものになっているかどうかを検証する仕組みがROV (Route origin validation)」または「オリジン検証」です。 BGPそのものには、経路広告の正当性を確認する仕組みがありません。 そのため、オペレータのミスによる誤った設定などによって、 集まった経路情報の中には正しい経路情報とそうでないものとが入り交じることがあります。 BGPの経路制御にROVを導入すると、 経路情報中のIPアドレスとAS番号の組み合わせが正しいかどうかを、 ROAに基づいて検証できるようになります。

詳しくは、JPNICブログ「RPKIとは何か ~起源といま~」をご覧ください。

RPKIのROAを使ったインターネットにおける不正経路への対策ガイドライン

このガイドラインは、国内のISP等、 インターネットの接続性に関わる事業や技術的運用行っている組織の経営者及び技術者の方に向けたもので、 相互接続ネットワークであるインターネットにおける不正な経路情報への対策、 特にRPKIを使った対策の指針を示すものです。 不正な経路情報に起因する様々な不具合、 および不正な経路情報を用いた犯罪等を抑止するにあたり、 RPKI技術を用いた対策技術を各組織や個人において導入する判断に資する事項を示しています。

JPNICが提供するRPKI関連の仕組み

RPKIシステム

バナー:ケーロちゃん

JPNICのRPKIシステムは、 IPアドレスやAS番号のデータベースに基づいて、 リソース証明書を発行するシステムです。 APNICのRPKIシステムと連携しており、 IPアドレスやAS番号の分配に応じてリソース証明書が発行されます。 発行されたリソース証明書を使ってROA (Route Origin Authorization)を発行することもできます。

登録方法
(ROAの作成と管理の方法)
JPNIC ROA Webにアクセスする方法(IPアドレスの分配を受けている方)

RPKIシステムにアクセス

できること
  • リソース証明書 自動発行の開始と停止
  • ROA発行代行機能(Webサーバ上でROA作成ができる機能)の利用
必要なもの
  • ご利用のWebブラウザに以下がインストールされている必要があります。
    1. 資源申請者証明書(Web申請システムにアクセスする際にご利用の電子証明書)
  • RPKIシステムのご利用条件」をご確認ください。
RPKIシステムとBPKI接続する方法(IPアドレスの分配を受けている方)
できること
  • 発行されたリソース証明書を使った、自組織でのリソース証明書管理
必要なもの
  • ご利用のWebブラウザに以下がインストールされている必要があります。
    1. 資源申請者証明書(Web申請システムにアクセスする際にご利用の電子証明書)
  • RPKIシステムのご利用条件」をご確認ください。
ROAのダウンロード/
経路情報の確認
ROAキャッシュを通じて利用する方法(どなたでもご利用できます)
RPKIシステムの発行したリソース証明書やROAを利用することができます。 詳しくは「ROAキャッシュサーバの設置方法」をご覧ください。

RPKI模擬環境

図:RPKI模擬環境を利用できる方と技術検証
図2 RPKI模擬環境を利用できる方と技術検証(クリックで拡大します)

JPNICではRPKIを簡単に試す環境として、 RPKI模擬環境を提供しています。 模擬環境は、RPKIの使い方を体験できるシステムで、 APNICのRPKIテスト環境(APNICテストベッド)と連携しています。

RPKIを本格的に利用してゆくには、 リソース証明書に記載されるIPアドレスがIPレジストリシステムのデータベースに基づいたものである必要があると考えられます。 模擬環境では、RPKIの体験や技術検証のための環境であるため、 JPNICのRPKI担当者が、 模擬環境利用者の希望や状況に応じてIPアドレスの分配情報を入力しています。 利用者はROAの発行をWebから実行できます。 模擬環境で発行したROAは、 ROAパブリックキャッシュサーバ等へいくつかの処理を経た上で転送され、 BGPルータで検証が可能となっています。

RPKI模擬環境は、 IPアドレスの分配を受けている方がWebインタフェースを利用してROAを発行したり、 利用者側で立ち上げられたROAキャッシュでそれを処理したり、 といった技術的な操作を確認するために使えます。

またRPKIのリソース証明書を自組織で発行できるRPKIのプログラム(例:RPKI Tools)の設定をして、JPNICの模擬環境と接続し、 動作検証をすることも可能です。

ご利用をご希望の方はJPNIC RPKI担当 <rpki-query@nic.ad.jp> までご連絡ください。

ROAパブリックキャッシュサーバ

図:ROAパブリックキャッシュとROAキャッシュの役割
図3 ROAパブリックキャッシュとROAキャッシュの役割(クリックで拡大します)

ROAキャッシュサーバは、リソース証明書とROAを収集し、 それらの電子署名を検証するサーバです。 検証の結果、 正しいIPアドレスとAS番号の「組み合わせリスト」が出力されます。 BGPルータは、 ROAキャッシュサーバから組み合わせリストをrpki-rtrプロトコルを使って受け取り、 経路表に入る前に比較します。 この仕組みはOrigin Validation(経路広告元の検証)と呼ばれています。

JPNICのROAパブリックキャッシュサーバは、 国際的に発行されたROAを収集するとともに、 JPNICのRPKI模擬環境で発行されたROAも収集して扱っています。 なお、 JPNICが提供するこのパブリックキャッシュサーバは、 個々のBGPルータが、 「共通の」RPKIキャッシュサーバを参照する形です。 しかし、 ROAキャッシュサーバは個々のネットワークで個別に設けることが理想的です。

BGPルータで、ROAと経路情報の比較が行われると、 経路情報はValid (ROAと経路情報が整合している)、 Invalid (ROAと経路情報が整合していない)、 Not Found(経路情報に合致するROAが存在しない)の3種類に区分けします。 これによって、 誤った経路情報を検出できるようになります。 また区分けに応じて、その優先度を上げて採用されやすくしたり、 逆に優先度を極端に下げて、 無視されやすくする=ルーティングテーブルに載せない処理をしたりできます。

ROAパブリックキャッシュサーバのご利用方法については、 以下をご覧ください。

ROAは、ROAパブリックキャッシュサーバを利用するほかに、 ROAキャッシュサーバを立ち上げる方法があります。 詳細は以下をご覧ください。

RPKI基礎の解説動画

関連リンク

国内 MF RPKI Project インターネットマルチフィード株式会社のROAキャッシュサーバとRPKIのページです。
RPKIの実装 RPKI Tools RPKIのCAや署名検証プログラムなどを実装したオープンソース のソフトウェアです。
BGP Secure Routing Extension (BGP-SRx) ルーティングソフトウェアのQuaggaで動作するRPKI関連の実装です。
RPSTIR RPKIの署名検証プログラムです。
RTRlib RPKIの署名検証プログラムのC言語での実装です。
Tools and Resources このページにはRPKIの署名検証プログラムRPKI Validatorをはじめ、ルータの設定サンプルなどが掲載されています。
RPKI Dashboard 五つのRIRにおけるリソース証明書やROAの発行状況や経路情報との比較結果が閲覧できるWebサイトです。
RIR 各RIRにおける、RPKIに関するWebページです。
RPKIの標準化 IETF sidrops WG RPKIに関する仕様の策定が行われています。
その他 ケーロちゃん通信 Volume.1(193KB) RPKIが気になる人とJPNICを結ぶ心のローカル紙

ガイドラインに関するお問い合わせ先

rpki-query@nic.ad.jp

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2024 Japan Network Information Center. All Rights Reserved.