MF RPKI プロジェクト

RPKIとは？

RPKIとは、Resource Public Key Infrastructureの略で、IPアドレスやAS番号リソースに関して、正しい保有者が誰なのかを証明するための認証基盤です。あるIPアドレスリソースが不正利用された場合でも、証明書により正しい保有者が誰なのかを証明することが可能となります。RPKIは各地域のインターネットレジストリによって運用されています。アジア太平洋地域では現在APNICが正式に運用を行っており、日本ではJPNICが実験的にRPKIの運用を2013年より行っています。

なぜやるのか

インターネットにおけるBGP経路情報の交換では、AS運用者の設定ミスや悪意のある不正な経路広告によって、正しい宛先ネットワークに到達出来なくなる可能性があります。2008年に発生した、YouTubeが世界中から参照できなくなった事例のように、不正な経路情報がインターネット全体に蔓延し、世界中の通信に悪影響が及ぼされる事例も多く発生しています。

このような状況の中、インターネットマルチフィード社(MF)では、これまでJPNICや大手ルータベンダ各社等と連携し、インターネットの経路制御の信頼性向上を目指し、将来ISPの皆様が利用されるRPKI技術に関して、2012年よりROAキャッシュサーバの構築およびそれを参照するルータの動作検証を実施し、業界へフィードバックして参りました。

2014年10月1日より、日本のISPの皆様が今後RPKIの運用を本格化することを念頭に、ROAキャッシュサーバの運用を開始し、本格的にRPKI運用技術の習得およびインターネット全体の信頼性向上を目指し、より安心・安全なネットワーク環境を提供できるよう、インターネットの発展に貢献して参ります。

ROAとは？

ROAとは、Route Origin Authorizationの略で、BGPの経路情報に記述されているPrefix情報とAS番号の正しい組み合わせを一定期間証明するデータです。今回MFが提供するROAパブリックキャッシュ情報とは、MFからパブリックに提供されるこのROA情報のことを表します。ROAには複数のPrefixを記述することが可能で、このROAをルータが参照することにより、インターネットから広告されてきたBGP経路情報が本当に正しい経路情報か否かを判別することが可能となります。またROAには maxlen(maximum prefix length)という概念が存在します。通常のBGP経路情報に記述されているPrefixとOriginASに加えて、どのPrefix長まで経路広告を許可するかを記述した情報です。これにより、longer-prefixについても1つのROAデータで記述することが可能となります。

BGP Origin Validationとは？

BGP Origin Validationとは、BGPルータがPrefix情報を受信する際に、そのOriginAS情報の信憑性を確認(Validation)することを表します。

RPKI-RTRとは？

RPKI-RTRとは、RPKI-to-Routerを表し、RPKIの基盤上で提供されるROA情報(の一部)をルータへ伝搬するためのプロトコルで、RFC6810にて定義されています。このプロトコルにより、ルータがBGP Origin Validationを行うために必要な情報を取得することが可能となります。