2016 Fiscal Year Annual Research Report
A Study of Client Based Efficient and Secure DNSSEC Validation By Resolver Separation
| Project/Area Number |
15K16002
|
|---|
| Research Institution | Tokyo Institute of Technology |
|---|
Principal Investigator |
金 勇 東京工業大学, 学術国際情報センター, 特任助教 (60725787)
|
|---|
| Project Period (FY) |
2015-04-01 – 2017-03-31
|
| Keywords | Client based DNSSEC / DNSSEC failure alert / DNS resolver separation |
|---|
| Outline of Annual Research Achievements |
安全なDNSサービスを提供するためにDNSSECが提案されているが、DNSフルリゾルバの負荷とDNSトラフィックの増加問題で導入が進んでない。また、DNSSECでの対策範囲は権威サーバとフルリゾルバ間であり、端末までは考慮してない。そこで本研究では、端末でのDNSSECにおける電子署名検証と利用するフルリゾルバの分散による安全かつ効率的な前解決機構の確立を目的とする。初年度では端末によるDNSSEC署名検証の負荷調査及び既存問題の解決の実現性を確認するために、端末によるDNSSEC署名検証とフルリゾルバによるDNSSEC署名検証の性能比較実験及び端末によるDNSSEC署名検証機能の導入を行った。既存のDNSSEC署名検証では、DNSSECを導入してないドメインの場合やDNSSEC署名検証に必要な鍵の設定問題で検証が失敗した場合、同じSERVFAILエラーを返すため、ユーザはその区別ができないとともに名前解決ができない問題がある。そのため、そのエラーの種類を具体化し、DNSSECを導入してない場合やDNSSEC署名検証が失敗した場合に名前解決結果を返すと共にユーザにそのことを伝える機能を追加した。28年度では、まず初年度に行った端末によるDNSSEC署名検証とフルリゾルバによるDNSSEC署名検証の性能比較実験の成果を国際会議にて発表した。次に、ローカル及び実環境で機能を評価し、その成果を含めて論文誌に投稿し採択された。それから、端末でのDNSSEC検証性能を向上させるために、端末での名前解決のキャッシュ機能を有効化する方法を提案し、その成果を国内研究会にて発表した。さらに、端末でDNSSEC検証を行う際にリゾルバを分散して使う方法を検討し、端末にプロキシを導入することで名前解決とDNSSEC検証のための問合せを2つリゾルバに分けることが可能であることを確認した。
|
