2015 Fiscal Year Research-status Report
DNSSECの電子署名検証をリゾルバ分散により端末で高速・安全に実現する研究
| Project/Area Number |
15K16002
|
|---|
| Research Institution | Tokyo Institute of Technology |
|---|
Principal Investigator |
金 勇 東京工業大学, 学術国際情報センター, 特任助教 (60725787)
|
|---|
| Project Period (FY) |
2015-04-01 – 2017-03-31
|
| Keywords | 端末でのDNSSEC検証 / DNSSEC検証の性能 / DNSSEC検証性能の比較 |
|---|
| Outline of Annual Research Achievements |
本年度は、主に端末によるDNSSEC署名検証の負荷調査及び既存問題の解決の実現性を確認するために、端末によるDNSSEC署名検証とフルリゾルバによるDNSSEC署名検証の性能比較実験と簡単な端末によるDNSSEC署名検証機能の導入を行った。まず、3台の端末にそれぞれ別途リゾルバをインストールして端末でのDNSSEC署名検証実験を行い、既存のフルリゾルバを使ったDNSSEC署名検証と性能比較を行った。その結果、フルリゾルバと端末上でキャッシュを一切使わない状況では、2台以上の端末を同時に使う場合端末の合計性能がフルリゾルバを上回ることが確認できた。また、キャッシュ機能を使う例として一部の問合せに対してキャッシュを使った状況では、3台の端末を同時に使う場合端末の合計性能がフルリゾルバを上回ることが確認できた。これらの結果はフルリゾルバを使う主な理由であるキャッシュ機能を使わない場合はともかく、キャッシュ機能を使う場合でもキャッシュの利用割合によって端末の合計性能が更に高くなる可能性を示している。次に、端末にDNSSEC署名検証機能を導入するために、DNSSEC署名検証のエラー処理を具体化する方法を提案し、実装及び機能評価を行った。既存のDNSSEC署名検証では、DNSSECを導入してないドメインの場合やDNSSEC署名検証に必要な鍵の設定問題で検証が失敗した場合、同じSERVFAILエラーを返すため、ユーザはその区別ができないとともに名前解決ができない問題がある。そのため、そのエラーの種類を具体化し、DNSSECを導入してない場合やDNSSEC署名検証が失敗した場合に名前解決結果を返すと共にユーザにそのことを伝えるシステムを提案した。その結果、端末上でDNSSEC署名検証を行い、署名検証に失敗した場合やDNSSECを導入してない場合でも名前解決の結果をユーザに返し、警告メッセージに基づいてユーザがその利用について判断可能なことが確認できた。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
交付申請書に書いてある平成27年度の研究計画の目標をおおむね達成している。端末におけるDNSSEC署名検証の負荷は、3台の端末を使って各端末に独自のリゾルバをインストールし、それらを使って一定規模の名前空間に対してDNSSEC署名検証を行うことにより調査することができた 。また、同じ規模の名前空間において組織フルリゾルバを使ったDNSSEC署名検証の負荷と比較を行い、キャッシュを使う場合と使わない場合でも端末でのDNSSEC署名検証の効率がフルリゾルバを上回ることが確認でき、本研究計画の実現性を確認することができた。次に、端末へのDNSSEC署名検証機能の追加にあたり、まず、端末上でDNSSEC署名検証を行う際のエラー処理の設計を行った。既存のDNSSEC署名検証では、検証が失敗した場合やDNSSECを導入してないドメインに対する問合せの場合SERVFAILエラーのみを返し、問合せ結果は返さないようになっている。この問題を解決するために、上記のSERVFAILの場合、問合せ結果を返すと同時に警告メッセージをユーザに表示し、ユーザがその利用を判断するような方法を検討し、試作システムを作って機能確認を行った。これにより、端末によるDNSSEC署名検証の負荷調査と端末へのDNSSEC署名検証機能の追加検討ができ、初年度の達成度がおおむね順調に進展していると考えている。
|
| Strategy for Future Research Activity |
本年度の実験結果を基に、端末上でDNSSEC署名検証を行う仕組みの実装を行う予定である。具体的には、端末での名前解決に組織のフルリゾルバを使用し、DNSSEC署名検証は端末で行う仕組みの作成を行う。組織フルリゾルバの負荷を削減し、端末までDNSSECによる安全な名前解決を提供することが可能になるよう開発を行う。次に、端末上に2台のフルリゾルバを設定し、同時に利用可能な機能を追加する。既存の仕組みでは、端末に2台のフルリゾルバを設定することが可能だが、2台目は主にバックアップとして使われる。本機能により2台のフルリゾルバを同時に使うことで名前解決の性能向上ができるよう進めていく。さらに、端末上の2台のフルリゾルバを経由して異なるレコードの問合せを同時に行う機能を追加する。具体的には、DNSSEC署名検証において、名前解決用のフルリゾルバと署名検証に必要なレコードの問合せ用のフルリゾルバを分けて同時に使うことである。最後に、上記の開発が終わったら、ローカル環境において機能及び性能評価実験を計画している。これに加えて、既存手法とDNSSEC署名検証の性能を比較し、端末上での検証性能が上回ることを確認することで、提案手法の有効性を確認したいと考えている。
|
| Causes of Carryover |
本研究の目標を達成することに当たって、必要な参考書籍を注文したが、出版の時期が延期されたため購入できなかった。
|
| Expenditure Plan for Carryover Budget |
計画通りに出版時期に合わせて購入し、他の必要な参考書籍の購入にも使う予定である。
|
Research Products
(2 results)
