経路ハイジャック検知方法
【課題】自律システム内部で発生する経路ハイジャックを自動的に検知する。
【解決手段】ホストR2が、IGP経路情報、EGP経路情報と、経路識別情報とのレコード登録を自律システム内に設けられた経路データベースサーバ101に要求し、経路データベースサーバ101は、IGP経路情報及びこれに固有かつ非公開の経路識別情報を関連付けて登録する自己のデータベースから、対応する登録情報を検索し、IGP経路の場合、未発見のとき、登録を拒否し、経路交換時には、受信側ホストR1が、IGP経路情報の発信元を示すプレフィックス及びホスト名からなる発信元特定情報を当該経路交換相手から取得し、経路データベースサーバ101に対して発信元特定情報の認証を要求し、当該認証要求された発信元特定情報に一致する登録経路情報及びホスト名を含んだ登録情報を検索し、発見したとき、認証し、発見しなかったとき、認証を拒否するようにした。
【解決手段】ホストR2が、IGP経路情報、EGP経路情報と、経路識別情報とのレコード登録を自律システム内に設けられた経路データベースサーバ101に要求し、経路データベースサーバ101は、IGP経路情報及びこれに固有かつ非公開の経路識別情報を関連付けて登録する自己のデータベースから、対応する登録情報を検索し、IGP経路の場合、未発見のとき、登録を拒否し、経路交換時には、受信側ホストR1が、IGP経路情報の発信元を示すプレフィックス及びホスト名からなる発信元特定情報を当該経路交換相手から取得し、経路データベースサーバ101に対して発信元特定情報の認証を要求し、当該認証要求された発信元特定情報に一致する登録経路情報及びホスト名を含んだ登録情報を検索し、発見したとき、認証し、発見しなかったとき、認証を拒否するようにした。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、ルーティング設定の誤りにより本来のルートと異なるルートが発生する経路ハイジャックを検知する方法に関する。
【背景技術】
【0002】
従来、自律システム間の経路ハイジャックを検知する技術として、IRR(Internet Routing Registry)サーバが利用されている。IRRサーバに正しい経路情報を予め登録しておくことで、ISPが他の自律システムから経路情報を受信するときに、IRRに登録されている正しい経路情報と比較することで、不正な経路情報の選択を予防するようになっている(非特許文献1)。
【0003】
IRR上では、OriginASにより正当性を判定するため、検出ポイントも自律システムの境界に限定され、発信元の正当性を識別できず、経路ハイジャックが発生し得る。また、手動登録されたプレフィックス(Prefix Adress)とAS番号で経路確認を実施しているため、パンチングホールをハイジャックと誤検知する。
【0004】
パンチングホールを経路ハイジャックと誤検知しないようにするため、経路検出装置がIRRとパンチングホールリストを用いて、ハイジャック経路とパンチングホールを識別する技術がある(特許文献1)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006−025088号公報
【非特許文献】
【0006】
【非特許文献1】経路ハイジャックの検知・回復・予防に関する研究開発(http://www.soumu.go.jp/menu_seisaku/ictseisaku/ictR−D/jigyou_ichiran_h18_2.html)
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、特許文献1の経路検出装置でも、IRRを利用するため、やはりハイジャック検出ポイントが自律システムの境界に限定されてしまう。したがって、自律システム内部で、すなわち、自律システムに属するノードや閉域網でハイジャックを検知することができない問題がある。
【0008】
そこで、この発明の課題は、自律システム内部で発生する経路ハイジャックを自動的に検知することにある。
【課題を解決するための手段】
【0009】
上記の課題を解決するため、自律システムに属するホストは、設定するIGP経路のプレフィックスからなるIGP経路情報、及び当該IGP経路情報に付された経路識別情報の登録を、当該自律システム内に設けられた経路データベースサーバに要求し、当該経路データベースサーバは、IGP経路情報及びこれに固有かつ非公開の経路識別情報を関連付けて登録する自己のデータベースから、当該登録要求されたIGP経路情報に一致する登録経路情報と、当該登録要求された経路識別情報に所定に対応する登録経路識別情報とが関連付けられた登録情報を検索し、発見したとき、当該登録要求されたIGP経路情報及び経路識別情報を関連付けて当該自己のデータベースに登録し、発見しなかったとき、当該登録を拒否する経路ハイジャック検知方法を採用した。ここで、「IGP」とは、自律システム内で用いるルーティングプロトコル(Interior Gateway Protocol)を意味する。「プレフィックス」とは、プレフィックスアドレス(Prefix Adress)の略称であり、IPアドレスのうち、プレフィックス長に基づいて定まるネットワークアドレスのことをいう。
【0010】
自律システムに属するホストは、経路設定段階で経路データベースにてIGP経路情報に固有かつ非公開の経路識別情報を確認し、経路データベースは、所定に対応する経路識別情報が付されていないIGP経路情報のとき、登録を拒否する。自律システムの管理者は、経路データベースサーバを設けることにより、経路データベースサーバの制御下にあるデータベースに正規のIGP経路を集約して管理することができる。新規のIGP経路の登録は、経路ハイジャックの問題がないので、正規のIGP経路と見做すことができる。したがって、経路データベースサーバのデータベースを検索しても登録要求されたIGP経路を発見しなかったときは、登録要求されたIGP経路情報と、これに付された経路識別情報とを、固有かつ非公開に関連付けて登録することができる。自律システム内の登録済みIGP経路を設定したホスト以外の他のホストが、登録済みのIGP経路情報のプレフィックスと自己のホスト名とからなるIGP経路を誤設定しようとしても、そのホスト側では、その正規のIGP経路情報に固有かつ非公開に関連付けられた経路識別情報を知ることはできないから、所定に対応する経路識別情報を付すことはできない。したがって、登録要求を受けた経路データベースサーバは、経路識別情報の不当性から自己のデータベースへの登録を拒否することができる。この登録拒否の発生により、経路データベースサーバ、他のホストのそれぞれにおいて、自律システム内部で発生する経路ハイジャックを検知することができる。
【0011】
前記自律システムに属する境界ホストは、設定するEGP経路のプレフィックスとAS番号とからなるEGP経路情報、及び当該EGP経路情報に付された経路識別情報の登録を前記経路データベースサーバに要求し、前記経路データベースサーバは、EGP経路情報及びこれに固有かつ非公開の経路識別情報を関連付けて登録する自己のデータベースから、当該登録要求されたEGP経路情報のプレフィックスに一致する登録プレフィックスを検索し、発見した場合、当該登録プレフィックスに関連付けられた登録経路識別情報と、当該登録要求された経路識別情報とが所定に対応するか否かを判定し、対応するとき、当該登録要求されたEGP経路情報及び経路識別情報を関連付けて当該自己のデータベースに登録し、対応しなかったとき、当該登録を拒否し、発見しなかった場合、前記自律システムの属する上位ネットワークに設けられた経路管理サーバに対して、当該登録要求されたEGP経路情報の認証を要求し、当該経路管理サーバは、EGP経路情報を登録する自己のデータベースから、当該認証要求されたEGP経路情報に一致する登録経路情報を検索し、発見した登録経路情報のプレフィックスと、当該経路データベースサーバのIPアドレスとを比較し、当該IPアドレスが当該プレフィックスの範囲内にあるとき、認証し、範囲外のとき、認証を拒否し、当該経路データベースサーバは、当該認証を受信したとき、当該登録要求されたEGP経路情報及び経路識別情報を関連付けて当該自己のデータベースに登録し、当該認証の拒否を受信したとき、当該登録を拒否することが好ましい。ここで、「AS番号」とは、自律システム(Autonomous System)を識別するために割り当てられた全世界で一意の番号をいう。「EGP」とは、自律システム間の経路情報をやり取りするルーティングプロトコル(Exterior Gateway Protocol)を意味する。
【0012】
経路データベースサーバのデータベースに正規のEGP経路情報及び経路識別情報が登録済みであれば、自律システムに属する境界ホストがEGP経路情報を設定するとき、IGP経路のときと同様に、当該境界ホスト(すなわち、自律システムの境界)において、経路識別情報で経路ハイジャックの発生を検知することができる。また、経路管理サーバのデータベースに正規のEGP経路情報を予め手動登録しておけば、経路データベースサーバのデータベースに未登録のEGP経路の登録要求があったときでも、経路管理サーバによる認証で、その登録要求されたEGP経路の正当性を確認してから、経路データベースサーバのデータベースに登録することができる。ここで、経路管理サーバは、従来のIRRサーバと異なり、認証要求をした経路データベースサーバのIPアドレスと、手動登録された正規のEGP経路のプレフィックスとの一致性から認証の可否を決定するため、EGP経路の発信元の正当性を確認することになる。したがって、経路管理サーバに登録済みのEGP経路情報と異なるプレフィックス及びAS番号が割り当てられた自律システムの経路データベースサーバから認証要求をしたことになる場合、経路管理サーバが認証を拒否し、認証の拒否を受信した経路データベースサーバが登録を拒否するので、当該境界ホスト、経路管理サーバ、当該経路データベースサーバのそれぞれにおいて、経路ハイジャックの発生を検知することができる。経路データベースサーバでは、登録済みのプレフィックス及び経路識別情報を用いて登録要求されたEGP経路の正当性を確認し、経路管理サーバでは、登録済みのプレフィックス及び認証要求元の経路データベースサーバのIPアドレスを用いて認証するため、各サーバのデータベースには、プレフィックスと、任意のAS番号の組合せで登録できる。したがって、パンチングホールを経路ハイジャックと誤検知しないようにすることもできる。
【0013】
前記経路データベースサーバは、前記登録要求されたEGP経路情報を登録するとき、当該登録要求元のホスト名を関連付けて前記自己のデータベースに登録し、前記経路管理サーバは、前記認証したEGP経路情報及び当該認証に用いたIPアドレスを関連付けて前記自己のデータベースに登録し、前記境界ホストは、経路交換相手から配信されたEGP経路情報の発信元を示すAS番号、プレフィックス及びホスト名からなる発信元特定情報を当該経路交換相手から取得する処理と、前記経路データベースサーバに対して、前記経路管理サーバに登録済みのIPアドレスであって、かつ当該発信元特定情報のプレフィックスに一致する登録済みのプレフィックスに関連付けられたIPアドレスの送信を要求する処理とを実行し、当該経路データベースサーバは、当該IPアドレスを当該経路管理サーバから取得することに失敗したとき、当該送信を拒否し、一方、当該境界ホストは、当該経路データベースサーバから当該IPアドレスを受信したとき、当該IPアドレスを割り当てられた経路データベースサーバに対して、当該発信元特定情報の認証を要求し、当該認証要求先の経路データベースサーバは、EGP経路情報、これに固有かつ非公開の経路識別情報及びホスト名を関連付けて登録する自己のデータベースから、当該認証要求された発信元特定情報に一致する登録経路情報及びホスト名が関連付けられた登録情報を検索し、発見したとき、認証し、発見しなかったとき、認証を拒否することがより好ましい。
【0014】
一般に、正規の経路として経路交換が成立する限り、経路情報を配信された受信側のホストが、その経路情報の発信元を示すAS番号、プレフィックス及びホスト名からなる発信元特定情報を記憶するように設定しておくことが可能である。このため、境界ホストは、EGP経路情報を配信される受信側のホストになるとき、経路交換相手の配信側ホストから、配信されたEGP経路情報の発信元を示すAS番号、プレフィックス及びホスト名からなる発信元特定情報を取得することができる。経路データベースサーバは、登録要求されたEGP経路情報を登録するとき、当該登録要求元のホスト名を関連付けて自己のデータベースに登録し、経路管理サーバは、認証したEGP経路情報及び当該認証に用いたIPアドレスを関連付けて自己のデータベースに登録するので、発信元特定情報を取得した受信側の境界ホストは、自己の属する自律システムの経路データベースサーバに対して、経路管理サーバに登録済みのIPアドレスであって、かつ発信元特定情報のプレフィックスに一致する登録済みのプレフィックスに関連付けられたIPアドレスの送信を要求することができる。当該IPアドレスである限り、正規のEGP経路の発信元になる経路データベースサーバのIPアドレスといえる。したがって、当該経路データベースサーバが経路管理サーバから当該IPアドレスの取得に失敗すれば、それは配信されたEGP経路情報が不正であることを意味するから、当該経路データベースサーバが送信を拒否することになる。この拒否により、EGP経路情報が配信された受信側の境界ホスト(すなわち、自律システムの境界)、当該経路データベースサーバのそれぞれにおいて、経路ハイジャックを検知することができる。一方、当該受信側の境界ホストは、当該経路データベースサーバから当該IPアドレスを受信したとき、当該IPアドレスを割り当てられた経路データベースサーバに対して、当該発信元特定情報の認証を要求することができる。認証要求先の経路データベースサーバは、EGP経路情報、これに固有かつ非公開の経路識別情報及びホスト名を関連付けて登録する自己のデータベースから、認証要求された発信元特定情報に一致する登録経路情報及びホスト名が関連付けられた登録情報を検索し、発見したとき、認証し、発見しなかったとき、認証を拒否することができる。この拒否により、自律システム間でのEGP経路交換時、受信側の境界ホスト、認証要求先の経路データベースサーバのそれぞれにおいて、経路ハイジャックを検知することができる。なお、「経路管理サーバから当該IPアドレスの取得」とは、経路データベースサーバが当該IPアドレスを経路管理サーバから毎回取得する態様に限定する意味ではなく、自己のキャッシュに記憶している当該IPアドレスの送信で済まし、キャッシュにない場合に限り、経路管理サーバから取得する態様をも含む意味である。
【0015】
前記境界ホストは、設定するEGP経路情報のプレフィックスに属する経路データベースサーバに対して、当該設定するEGP経路情報の登録を要求し、当該登録要求先の経路データベースサーバは、EGP経路情報及びこれに固有かつ非公開の経路識別情報を関連付けて登録する自己のデータベースから、当該登録要求されたEGP経路情報に一致する登録経路情報を検索し、発見した場合、当該発見した登録経路情報に関連付けられた登録経路識別情報と所定に対応する経路識別情報が当該登録要求されたEGP経路情報に付されているか否かを判定し、付されていないとき、当該登録を拒否することが好ましい。
【0016】
境界ホストが、設定するEGP経路情報のプレフィックスに属する経路データベースサーバに対して、当該設定するEGP経路情報の登録を要求すれば、設定するEGP経路情報が自己に関しない限り、異なる自律システムの経路データベースサーバがその登録要求先になる。したがって、登録要求先の経路データベースサーバにおいて、同じEGP経路が登録済みであるとしても、これに固有かつ非公開に関連付けられた経路識別情報に所定に対応する経路識別情報を、境界ホストが設定するEGP経路情報に付すことはできず、登録要求先の経路データベースサーバは登録を拒否することになる。したがって、境界ホスト(すなわち、自律システムの境界)、登録要求先の経路データベースサーバのそれぞれにおいて、経路ハイジャックの発生を検知することができる。また、自己の属する自律システムの経路データベースサーバを利用しないので、上述のように経路管理サーバの認証を利用して経路ハイジャックを検知するか否かによらず、経路ハイジャックの発生を検知することができる。仮に、上述の経路管理サーバの認証がなされ得る場合でも、登録要求先の経路データベースサーバによって経路ハイジャックの発生を検知できるので、これらを併用することがより好ましい。
【0017】
前記境界ホストは、前記設定するEGP経路情報の配信前に、前記経路データベースサーバに対する登録要求を実行し、当該登録の拒否を受信したとき、その配信を停止することが好ましい。
【0018】
EGP経路の配信前に経路ハイジャックを検知するので、その配信を停止することにより、自律システム間の経路ハイジャックを自動的に予防することができる。
【0019】
前記境界ホストは、前記配信されたEGP経路情報を自己に反映する前に、前記発信元特定情報の認証を要求する処理を実行し、前記認証の拒否を受信したとき、その反映を停止することが好ましい。
【0020】
受信側の境界ホストが配信されたEGP経路を自己に反映する前に経路ハイジャックを検知するので、その反映を停止することにより、受信側の境界ホストにおいて、自律システム境界間の経路ハイジャックを自動的に予防することができる。
【0021】
前記境界ホストは、前記設定するEGP経路情報の配信前に、前記登録要求先の経路データベースサーバに対する登録要求を実行し、当該登録の拒否を受信したとき、その配信を停止することが好ましい。
【0022】
EGP経路の配信前に経路ハイジャックを検知するので、その配信を停止することにより、自律システム境界間の経路ハイジャックを自動的に予防することができる。
【0023】
前記自律システムに属するホストは、経路交換相手から配信されたIGP経路情報の発信元を示すプレフィックス及びホスト名からなる発信元特定情報を当該経路交換相手から取得する処理と、前記経路データベースサーバに対して当該発信元特定情報の認証を要求する処理とを実行し、前記経路データベースサーバは、前記自己のデータベースから、当該認証要求された発信元特定情報に一致する登録経路情報及びこれに関連付けられたホスト名を含んだ登録情報を検索し、発見したとき、認証し、発見しなかったとき、認証を拒否することが好ましい。
【0024】
一般に、IGP経路交換においても、IGP経路情報を配信された受信側のホストが、その経路情報の発信元を示すプレフィックス及びホスト名からなる発信元特定情報を記憶するように設定しておくことが可能である。このため、IGP経路情報が配信される受信側のホストになるとき、このホストは、経路交換相手の配信側ホストから、配信されたIGP経路情報の発信元を示すプレフィックス及びホスト名からなる発信元特定情報を取得し、経路データベースサーバに対して当該発信元特定情報の認証を要求することができる。経路データベースサーバは、前記自己のデータベースから、当該認証要求された発信元特定情報に一致する登録経路情報及びこれに関連付けられたホスト名を含んだ登録情報を検索し、発見したとき、認証し、発見しなかったとき、認証を拒否するので、この拒否により、自律システム内部でのIGP経路交換時、受信側のホスト、経路データベースサーバのそれぞれにおいて、経路ハイジャックを検知することができる。
【0025】
前記自律システムに属するホストは、前記配信されたIGP経路情報を自己に反映する前に、前記発信元特定情報の認証を要求する処理を実行し、前記認証の拒否を受信したとき、その反映を停止することが好ましい。
【0026】
受信側のホストが配信されたIGP経路を自己に反映する前に経路ハイジャックを検知するので、その反映を停止することにより、受信側のホストにおいて、自律システム内部における経路ハイジャックを自動的に予防することができる。
【0027】
前記自律システムに属するホストは、前記自己に設定するIGP経路情報の配信前に、前記経路データベースサーバに対する登録要求を実行し、当該登録の拒否を受信したとき、その配信を停止することが好ましい。
【0028】
IGP経路の配信前に経路ハイジャックを検知するので、その配信を停止することにより、自律システム内部における経路ハイジャックを自動的に予防することができる。
【0029】
なお、IGP経路かEGP経路かによらず、前記経路交換相手が前記発信元ホストのとき、前記発信元特定情報を取得する処理を省略することにより、高速化を図ることができる。
【発明の効果】
【0030】
上述のように、この発明は、自律システムに属するホストがIGP経路のプレフィックスとホスト名とからなるIGP経路情報及びこれに付された経路識別情報の登録を当該自律システム内の経路データベースサーバに要求し、経路データベースサーバが、IGP経路情報及びこれに固有かつ非公開の経路識別情報を関連付けて登録する自己のデータベースに、登録要求されたIGP経路情報に一致する登録経路情報と、登録要求された経路識別情報に所定に対応する登録経路識別情報とが関連付けられた登録情報を発見したとき、登録要求されたIGP経路情報及び経路識別情報を関連付けて当該データベースに登録し、発見しなかったとき、登録を拒否するようにしたので、自律システム内部で発生する経路ハイジャックを自動的に検知することができる。
【図面の簡単な説明】
【0031】
【図1】(a)は、この発明の実施形態に係るAS内部での設定登録時のハイジャック検知方法を示す概略図、(b)は、AS内部での経路交換時のハイジャック検知方法を示す概略図
【図2】この発明の実施形態に係るAS境界での設定登録時のハイジャック検知方法を示す概略図
【図3】この発明の実施形態に係るホストの機能ブロック図
【図4】図3の記憶部内の発信元リストの概念図
【図5】この発明の実施形態に係る経路データベースサーバのデータベースの概念図
【図6】この発明の実施形態に係るAS内部でのハイジャック検知方法を示すシステムフロー図
【図7】この発明の実施形態に係る経路データベースサーバへの登録処理のフロー図
【図8】この発明の実施形態に係るホストの隣接判定処理のフロー図
【図9】この発明の実施形態に係る経路データベースサーバの経路認証処理のフロー図
【図10】この発明の実施形態に係るAS境界でのハイジャック検知方法を示すシステムフロー図
【図11】この発明の実施形態に係る経路管理サーバの認証処理を示すフロー図
【図12】この発明の実施形態に係る確認先経路データベースサーバのIPアドレス取得の処理を示すフロー図
【図13】この発明の実施形態に係るAS境界での経路交換時のハイジャック検知方法を示す概略図
【図14】この発明の第二実施形態に係るAS境界での設定登録時のハイジャック検知方法を示す概略図
【発明を実施するための形態】
【0032】
以下、この発明の実施形態を添付図面に基づいて説明する。図1、図2に示すように、実施形態は、共通の上位ネットワークに属する複数の自律システム100〜400(以下、「自律システム」を「AS」と称する)を前提としている。AS100の内部には、経路データベースサーバ101が1台だけ設けられている。同様に、上位ネットワークに属する他のAS200〜400にも、それぞれ経路データベースサーバ201〜401が1台だけ設けられている。また、上位ネットワークには、経路管理サーバ10が1台だけ設けられている。
【0033】
共通の上位ネットワークに属する複数のAS100〜400は、経路データベースサーバ101〜401、経路管理サーバ10を用いた共通のポリシーにより、IGP経路及びEGP経路の経路ハイジャックの検知及び予防を行うようになっている。したがって、あるASで成立することは、他のASにおいても同様の作用効果が成立する。以下、AS100を代表例にAS内部のポリシーを説明する。
【0034】
AS100には、複数のホストR1〜R4、R100が属している。各ホストR1〜R4、R100は、ルータからなる。なお、各ホストR1〜R4は、AS100に属する閉域網の境界になった例を示している。各ホストR1〜R4は、固有のホスト名:R1〜R4を有する。ホスト名は、IPアドレスに変換することができるインターネットホスト名からなる。ホストR100は、AS100の境界に位置するエッジルータとなっている。ホストR100は、固有のホスト名:R100.hoge1.hoge1を有する(いわゆるドメイン名)。AS100のポリシーとして、経路ハイジャック検知及び予防に関する処理で用いる経路データベースサーバ101のIPアドレスは、各ホストR1〜R4、R100に予め登録するようになっている。また、AS100のポリシーとして、経路ハイジャック検知及び予防に関する処理で用いる経路管理サーバ10のIPアドレスは、境界ホストR100に予め登録するようになっている。各AS100、200には、それぞれのASに関する経路情報を集束させるため、経路データベースサーバ101、201が1台だけ設けられている。また、上位ネットワークにおけるAS間の経路情報を集束させるため、経路管理サーバ10は、上位ネットワークに1台だけ設けられている。
【0035】
各ホストR1〜R4、R100に用いるルータは、図3に機能ブロックを示すように、IGP及びEGP並びにこれらに関連するプロトコルに従った処理を行うルーティング処理部を有する。また、このルータは、経路管理サーバ10との間で行う経路データベース検索処理、経路交換相手である隣接ホストとの間で発信元の特定に関する検索処理、並びに経路管理サーバ10と又は経路データベースサーバ101との間で行う登録、認証及びその他の検索処理を制御する経路確認部を有する。また、このルータは、自己に反映したIGP経路の発信元特定情報を登録するルート発信元リスト、及び自己に反映したEGP経路の発信元特定情報を登録するAS発信元リストの読み出し、書き込みを制御する記憶部を有する。ルート発信元リストの項目は、図4に示すように、図中のPrefixとPrefix-Lengthとで意味をもつプレフィックス、及びホスト名(IPアドレスとも考えられる)とからなる。また、AS発信元リストの項目は、前記のプレフィックス及びホスト名と、AS番号とからなる。したがって、IGP経路及びEGP経路のそれぞれの発信元特定情報は、対応するリストの同一レコード内の全項目に登録された情報からなる。
【0036】
なお、この実施形態では、各AS内部で採用し得るIGPとして、RIP(Routing Information Protocol)やOSPF(Open Shortest Path First)の採用を予定している。各AS内部で採用できるIGPを統一してもよい。EGPには、AS番号の使用を前提とするため、BGP(Border Gateway Protocol)が採用されている。より具体的には、RFC4271で定義されるBGP−4(BGP version4)が採用されている。
【0037】
図2に示す経路データベースサーバ101は、1のIPアドレス(図中では10.0.0.100)を割り当てられた1台のデータベースサーバ、及び自己のデータベースを管理するデータベースマネジメントシステムとして機能する。経路データベースサーバ101のデータベースは、図5に示す経路管理データベースからなる。経路データベースサーバ101のデータベースは、項目として、AS番号と、図中のPrefixとPrefix-Lengthとで意味をもつプレフィックスと、ホスト名(IPアドレスとも考えられる)と、上述の経路識別情報としての経路管理番号と、NWタイプとからなるレコードとで構成されている。NWタイプの「Local」はIGP経路を意味し、NWタイプの「AS」はEGP経路を意味する。経路データベースサーバ101の項目に従い、IGP経路情報はプレフィックスからなり、EGP経路情報は、プレフィックスとAS番号とからなる。経路識別情報としての経路管理番号は、先頭2桁が経路発信元識別ID(1台目:00、2台目以降:01〜99)として割り当てられ、残り4桁(0000〜9999)は経路管理番号の属性定義に割り当てられている。経路管理番号(経路識別情報)は、AS100内で管理する番号であり、かつIGP経路情報を新規に登録するとき、及びEGP経路情報を新規に登録するときのそれぞれにおいて各経路情報に固有の値として経路データベースサーバ101により自動的に付与されるようになっている。経路データベースサーバ101のデータベースは、経路データベースサーバ101の管理者権限でのみアクセスすることができ、それ以外に対して非公開になっている。したがって、経路データベースサーバ101のデータベースは、IGP経路情報、これに固有かつ非公開の経路識別情報を関連付けて登録し、また、EGP経路情報、これに固有かつ非公開の経路識別情報及びホスト名を関連付けて登録するデータベースになっている。なお、両経路情報を別々のデータベースに分けて管理することもできる。
【0038】
図2に示すように、経路管理サーバ10のデータベースは、項目として、AS番号と、図中のPrefixとPrefix-Lengthとで意味をもつプレフィックスと、IPアドレスとからなるレコードで構成されている。したがって、経路管理サーバ10のデータベースは、EGP経路情報と、経路データベースサーバ101、201のIPアドレスとを関連付けて登録するデータベースになっている。経路管理サーバ10のデータベースに対するEGP経路情報の最初の登録は、手動登録で行う。手動登録では、従来のIRRサーバで管理しているプレフィックスと、AS番号とを登録することができる。したがって、経路管理サーバ10のデータベースには、IRRを利用することができる。
【0039】
次に、図1(a)に示すAS100を代表例として、AS100に属する各ホストR1〜R4、R100のいずれかからIGP経路を経路データベースサーバ101のデータベースに登録する方法を説明する。その方法のシステムフローを例示する図6では、IGP経路を設定するホストを、ホストR1〜R4のいずれかである閉域網ルータ1(発信元)とし、これの経路交換相手になるホストを閉域網ルータ2(隣接)とし、閉域網ルータ1と閉域網ルータ2との経路交換以後にも経路交換が生じる多段接続時の最終的な交換相手を、境界ホストR100からなるAS境界ルータ3としている。
【0040】
図6、図7に示すように、先ず、閉域網ルータ1は、設定するIGP経路を上記ルーティング処理部に入力される。閉域網ルータ1の上記経路確認部は、経路データベースサーバ101に対してネットワーク情報の登録を要求する(S10)。登録要求項目の閉域網ルータ1への入力は、手動入力、自動入力のいずれでもよい。自動入力は、経路交換により配信されたルーティング情報、AS発信元リスト、ルーティング発信元リストからの情報取得で足りる登録要求項目で済むときに採用することができる。
【0041】
経路データベースサーバ101は、登録要求された経路情報がAS間のEGP経路情報の登録か否かを判定する(S11)。この判定は、登録要求された経路情報にAS番号を含むか否か、又は、NWタイプが「AS」か否かを採用することができる。
【0042】
新規に設定するIGP経路の登録を要求する場合、設定するIGP経路のプレフィックスからなるIGP経路情報に付すべき経路管理番号が存在しない。経路ハイジャックの対象になるIGP経路がそもそも存在しないから、経路管理番号による誤登録の防止を図る必要がない。したがって、ネットワーク情報の登録要求項目としては、少なくとも新規に設定するIGP経路のプレフィックスからなるIGP経路情報を含めばよい。(S11)の判定にNWタイプを採用する場合、登録要求項目に追加する。(S11)の判定にAS番号を含むか否かを採用する場合、経路データベース101が自動的にNWタイプ「Local」を登録するように変更することもできる。
【0043】
閉域網ルータ1が、経路データベースサーバ101のデータベースのレコードに記録された登録経路情報を更新する経路を設定する場合、登録経路情報の不正な更新を防止する。このため、(S10)におけるネットワーク情報の登録要求項目としては、少なくとも設定するIGP経路のプレフィックスからなるIGP経路情報、及び当該IGP経路情報に付された経路識別情報を含む。
【0044】
登録要求項目を受信した経路データベースサーバ101は、自己のデータベースから、登録要求されたIGP経路情報のプレフィックスに一致する登録経路情報を検索する(S12)。
【0045】
経路データベースサーバ101は、(S12)で前記一致する登録経路情報を発見しなかったとき、経路データベースサーバ101は、登録要求されたIGP経路情報、及びこれに固有の経路管理番号(経路識別情報として)を所定の規則に従って決定し、これらを関連付けて新規レコードに登録する処理、閉域網ルータ1に登録完了を送信する処理と、決定された経路管理番号を送信する処理とを実行する(S20)。ここで、新規のIGP経路登録なので、閉域網ルータ1を送信先とするIGP経路は、1経路しか存在しない。したがって、所定の規則は、少なくとも新規に登録するIGP経路情報に固有の値となるようにすることである。実施形態では、閉域網ルータ1を送信先とするIGP経路を2以上設定する冗長化にも対応できるようにするため、所定の規則として、新規に登録するIGP経路情報のとき、経路管理番号の先頭から2桁を「00」と定めることが含まれている。
【0046】
経路データベースサーバ101は、(S12)で前記一致する登録経路情報を発見したとき、登録要求された経路管理番号(経路識別情報として)と、その登録経路情報に関連付けられた登録経路管理番号(登録経路識別情報として)とが所定の規則に対応するか否かを判定する(S14、S15)。実施形態では、前記のように冗長化に対応するため、二段階に分けて判定するようにしている。
【0047】
すなわち、所定の規則には、第一段階の判定用規則として、「登録経路管理番号+1」が含まれている。経路データベースサーバ101は、この第一段階の判定用規則を満足する値か否かを判定し(S14)、満足するとき、登録経路情報を削除の上、登録要求されたIGP経路情報等を新規のレコードに登録する処理、閉域網ルータ1に登録完了を送信する処理を実行する(S21)。
【0048】
また、所定の規則には、第二段階の判定用規則として、「登録経路管理番号+10000」が含まれている。経路データベースサーバ101は、(S14)で満足しないと判定したとき、この第二段階の判定用規則を満足する値か否かを判定し(S15)、満足するとき、登録要求されたIGP経路情報等を新規のレコードに登録する処理、閉域網ルータ1に登録完了を送信する処理を実行し(S22)、満足しなかったとき、登録を拒否する処理と、この拒否を閉域網ルータ1に送信する処理とを実行する(S23)。
【0049】
上述の(S12)、(S14)及び(S15)の処理は、これらを合わせて経路データベースサーバ101が自己のデータベースから、登録要求されたIGP経路情報に一致する登録経路情報と、登録要求された経路管理番号に所定に対応する登録経路管理番号とが関連付けられた登録情報を検索する処理といえ、また、(S21)、(S22)の処理は、発見したとき、登録要求されたIGP経路情報及び経路管理番号を関連付けて自己のデータベースに登録する処理といえ、また、(S23)の処理は、発見しなかったとき、当該登録を拒否する処理といえる。
【0050】
図6から明らかなように、経路データベースサーバ101及び閉域網ルータ1は、(S20)〜(S23)の処理を、閉域網ルータ1が設定するIGP経路情報の配信を開始する前に実行する。閉域網ルータ1の上記経路確認部は、(S23)の登録の拒否を受信したとき、上記ルーティング処理部に対して、その配信を停止する命令を送信し、(S20)〜(S22)の登録完了を受信したとき、その配信を開始する命令を送信する。
【0051】
図1(a)に示すように、「10.0.1.0/24:R2:000021」をレコードに含んだ登録情報、「10.0.2.0/24:R4:000018」をレコードに含んだ登録情報が経路データベースサーバ101のデータベースに登録されている状態で、ホストR4がIGP経路「10.0.1.0/24」を設定する場合を代表例として、AS100内部における経路ハイジャック検知及び経路ハイジャック予防を説明する。この例では、AS100内に新たに設定するIGP経路をホストR4が最初に発信するので、ホストR4が図6における閉域網ルータ1に相当する。
【0052】
図1(a)中に(経路追加1)で示すように、ホストR4が設定するIGP経路「10.0.1.0/24」は、R2が設定した正規のIGP経路「10.0.1.0/24」にとって経路ハイジャックになり得る誤設定である。ホストR4は、図中に(経路登録2)で示すように、IGP経路情報として「10.0.1.0/24」の登録を経路データベース101に要求する。ここで、ホストR4側にとって、既知の経路管理番号は「000018」しかなく、正規のIGP経路情報に固有かつ非公開に関連付けられた経路管理番号「000021」は未知である。このため、ホストR4側で「10.0.1.0/24:R4」に付し得る経路管理番号は、「000019」又は「010018」であり、いずれにせよ、登録経路情報「10.0.1.0/24」に関連付けられた経路管理番号「000021」に所定の規則に対応する「000022」又は「010021」を付すことができない。したがって、経路データベースサーバ101は、ホストR4からのIGP経路情報「10.0.1.0/24」の登録を拒否し、ホストR4に登録の拒否を送信する。したがって、仮に、ホストR4とホストR3間で図中の(経路交換3)が成立し、ホストR3のルーティング処理部が記憶部内のルーティングマップを書き換える反映処理を実行したとしても、経路データベースサーバ101、ホストR4のそれぞれにおいて、経路ハイジャックを検知することができる。
【0053】
特に、ホストR4が、ホストR3に誤設定のIGP経路情報を配信する前に、登録の拒否を受信し、その配信を停止するようになっているので、ホストR3が誤設定を反映することはない。したがって、実施形態によれば、AS100内部におけるIGP経路の経路ハイジャックを自動的に予防することができる。
【0054】
図6に示すように、(S20)〜(S22)のいずれかにより登録完了を受信した閉域網ルータ1の上記ルーティング処理部は、経路交換相手である閉域網ルータ2にルーティング情報を配信する(S30)。このルーティング情報は、IGPに従う情報なので、IGP経路情報、及び発信元である閉域網ルータ1のホスト名(IPアドレス)を含んでいる。
【0055】
閉域網ルータ2の経路確認部は、配信されたルーティング情報を自己のルーティング処理部で処理し、このルーティング情報に基づいて閉域網ルータ1が発信元ホストであるか否かを判定する。この判定は、発信元ホストである閉域網ルータ1が、閉域網ルータ2に隣接するか否かを判定するのと同じことである。実施形態では、AS100内部で複数のIGPを採用し得るので、閉域網ルータ2の経路確認部は、図8に示すように、各種のIGPに基づいて、ルーティング情報から順次に閉域網ルータ1が隣接するか否かを判定する(S31〜S34)。AS内部で採用し得るIGPがRIPとOSPFなので、閉域網ルータ2の経路確認部は、閉域網ルータ1から配信されたルーティング情報に含まれたRIPのHop数が「1」か否かを判定し、「1」のとき、隣接と判定し、「その他」のとき、次の種類のIGPであるOSPFに基く判定に移る(S31)。次に、閉域網ルータ2の経路確認部は、OSPFに含まれた自己のインターフェース(IF)と同一ネットワークのアドレスか否かを判定し、「同一」のとき、隣接と判定し、「その他」のとき、次の種類の判定に移る(S32)。図6の例では、閉域網ルータ1が隣接するため、閉域網ルータ2の経路確認部は、(S31)又は(S32)で「隣接」と判定することになる。閉域網ルータ2の経路確認部は、「隣接」と判定したとき、配信されたルーティング情報から、IGP経路情報の発信元を示すプレフィックス及びホスト名からなる発信元特定情報を取得する。閉域網ルータ1が配信したルーティング情報から、閉域網ルータ2の経路確認部が発信元特定情報を取得するので、閉域網ルータ2は、閉域網ルータ1から発信元特定情報を取得することになる。
【0056】
閉域網ルータ2の経路確認部は、経路データベースサーバ101に対して発信元特定情報の認証を要求する(S40)。
【0057】
経路データベースサーバ101は、図9に示すように、認証要求された発信元特定情報がIGP経路情報のものか、EGP経路情報のものかを判定する(S41)。(S41)の判定は、例えば、発信元特定情報にAS番号が含まれるか否かで判定することができる。これは、EGP経路情報の発信元特定情報が発信元を示すプレフィックス及びAS番号からなるためである。経路データベースサーバ101は、(S41)でIGP経路情報の発信元特定情報と判定したとき、自己のデータベースから、認証要求された発信元特定情報のプレフィックスに一致する登録経路情報を検索する(S42)。
【0058】
経路データベースサーバ101は、(S42)で発見しなかったとき、認証を拒否する処理と、その拒否を閉域網ルータ2に送信する処理とを実行する(S43)。一方、経路データベースサーバ101は、(S41)で登録経路情報を発見した場合、発見した登録経路情報に関連付けられたホスト名を含んだ登録情報の中に、認証要求された発信元特定情報に含まれたホスト名と同一のホスト名を含んだものの有無を判定し(S44)、「登録なし」のとき、認証を「拒否」し(S45)、「登録有」のとき、認証を「許可」する(S46)。(S42)及び(S44)からなる経路認証処理は、認証要求された発信元特定情報に一致する登録経路情報及びこれに関連付けられたホスト名を含んだ登録情報を検索する処理といえる。これは、閉域網ルータ2に配信されたIGP経路情報の発信元ホストの正当性を確認するのと同じことになる。また、(S46)の処理は、その検索で発見したとき、認証する処理といえ、(S45)の処理は、その検索で発見しなかったとき、認証を拒否する処理といえる。
【0059】
図6に示すように、(S46)で認証を受信した閉域網ルータ2の上記記憶部は、認証された発信元特定情報をルート発信元リストに登録する(S50)。その後、閉域網ルータ2の上記経路確認部は、ルーティング処理部にルーティング情報を反映する処理と、閉域網ルータ2の次段の経路交換相手であるAS境界ルータ3に対してルーティング情報を配信する処理とを命令する。次段のAS境界ルータ3は、上記(S32)で「その他」と判定したとき、経路交換相手である閉域網ルータ2が発信元ホストでない多段の経路交換と判定し、閉域網ルータ2のルート発信元リストから発信元特定情報を取得することができる(S33)。そして、次段のAS境界ルータ3及び経路データベースサーバ101の間でも、閉域網ルータ2から取得した発信元特定情報に基づいて(S34)以後の処理を実行することができる。図示例では、次段のAS境界ルータ3がAS内部における最終段のIGP経路交換相手でもあるので、(S34)〜(S50)までの処理となっている。
【0060】
図6の閉域網ルータ1と閉域網ルータ2間の経路交換と、閉域網ルータ2とAS境界ルータ3間の経路交換を対比すれば明らかなように、閉域網ルータ2と経路交換する閉域網ルータ1が発信元ホストのため、閉域網ルータ2が(S33)を省略する。このため、実施形態は、閉域網ルータ1と閉域網ルータ2間の(S30)後から(S31)や(S40)の開始までの間の処理時間を高速化することができる。
【0061】
図1(b)に示すように、「10.0.1.0/24:R2:000021」をレコードに含んだ登録情報、「10.0.2.0/24:R4:000018」をレコードに含んだ登録情報が経路データベースサーバ101のデータベースに登録されている状態で、ホストR2とホストR1との間でIGP経路「10.0.1.0/24」を経路交換する場合を代表例として、AS100内部における経路ハイジャック検知及び経路ハイジャック予防を説明する。この例では、AS100内に新たに設定するIGP経路をホストR2が最初に発信するので、図1(b)と図6の対比関係では、ホストR2が閉域網ルータ1に相当し、ホストR2の経路交換相手であるホストR1が閉域網ルータ2に相当し、この閉域網ルータ2と次段で経路交換する境界ホストR100がAS境界ルータ3に相当する。図1(b)中に(経路追加1)で示すように、ホストR2が設定するIGP経路情報「10.0.1.0/24」が図中に(経路登録2)で示すように経路データベースサーバ101のデータベースに登録されているので、図中に(経路交換3)で示すように、ホストR2は、ホストR1との経路交換のため、IGP経路情報「10.0.1.0/24」を配信することができる。
【0062】
図中に(経路認証4)に示すように、ホストR1は、経路交換相手が発信元ホストのため、ルーティング情報から取得した発信元特定情報の認証を経路データベースサーバ101に要求し、経路データベースサーバ101は、その認証又は認証の拒否をホストR1に送信する。この例では、配信されたIGP経路情報に一致する登録経路情報「10.0.1.0/24」と、これに関連付けられたホスト名R2を含んだレコードの登録情報が有るため、「認証」をホストR1に送信する。したがって、ホストR1は、ホストR2から配信された経路情報「10.0.1.0/24」を自己に反映する。仮に、ホストR1と経路交換するホストR3がIGP経路情報「10.0.1.0/24」をホストR1に誤配信したとしても、ホストR1がホストR3から取得した発信元特定情報を経路データベースサーバ101が認証することはなく、その認証の拒否により、経路データベースサーバ101、AS100内部で経路交換する受信側のホストR1のそれぞれにおいて、AS100内部における経路ハイジャックを検知することができる。
【0063】
特に、ホストR1は、誤設定で配信されたIGP経路情報を自己に反映する前に、経路データベースサーバ101から認証の拒否を受信することができる。このとき、その反映をホストR1が停止するので、AS100内部におけるIGP経路の経路ハイジャックを自動的に予防することができる。
【0064】
次に、図2に示す上位ネットワークの抜粋範囲を代表例として、上位ネットワークに属するAS100〜400のいずれかからEGP経路を経路管理サーバ10に登録する方法を説明する。その方法のシステムフローを例示する図10では、EGP経路を設定する境界ホストR100〜R400のいずれかをAS境界ルータ3とし、これの経路交換相手になる他の自律システムの境界ホストを他AS境界ルータ4(隣接)とし、AS境界ルータ3とAS境界ルータ4との経路交換以後に経路交換する次段の境界ホストを、他AS境界ルータ5(多段)としている。AS境界ルータ3が属するASの経路データベースサーバを、経路DB6(発信元)とし、他AS境界ルータ4が属するASの経路データベースサーバを、経路DB7(隣接)とし、他AS境界ルータ5が属するASの経路データベースサーバを、経路DB8(多段)としている。経路管理サーバ10のデータベースには、ASで設定を認める正規のEGP経路情報(プレフィックスとAS番号)が、最初の1回だけ、手動登録される。
【0065】
AS境界ルータ3は、設定するEGP経路のプレフィックスとAS番号とからなるEGP経路情報、及び当該EGP経路情報に付された経路識別情報の登録を経路データベースサーバ101に要求する(S10)。次に、経路DB6は、図7に示すように、登録要求された経路情報がAS間のEGP経路情報の登録か否かを判定する(S11)。例えば、AS番号を含んだ経路情報なので、経路DB6は、EGP経路情報の登録と判定する。
【0066】
経路DB6は、自己のデータベースから、登録要求されたEGP経路情報のプレフィックスに一致する登録プレフィックスを検索する(S100)。経路DB6は、NWタイプが「AS」と記述されたレコードの登録情報を検索対象として登録プレフィックスを検索する。
【0067】
(S100)の検索で、一致する登録プレフィックスを含んだ登録情報を発見した場合、経路DB6は、上記(S14、S15)の処理を行う。したがって、経路DB6は、登録要求されたEGP経路情報に付された経路管理番号が登録プレフィックスに関連付けられた登録経路管理番号に所定の規則で対応するとき、登録要求されたEGP経路情報を自己のデータベースに登録し(S20、S22、S23)、対応しなかったとき、登録を拒否する(S23)。所定の規則は、上記IGP経路情報を登録するときと同じに定まっている。
【0068】
一方、経路DB6は、(S100)の検索で、一致する登録プレフィックスを含んだ登録情報を発見しなかった場合、経路管理サーバ10に対して、登録要求されたEGP経路情報の認証を要求する(S101)。
【0069】
経路管理サーバ10は、図10、図11に示すように、EGP経路情報を登録する自己のデータベースから、認証要求されたEGP経路情報に一致する登録経路情報を検索し、発見した登録経路情報のプレフィックスと、経路DB6のIPアドレスとを比較する(S102)。登録経路情報は、最初に正規のEGP経路として認めるEGP経路情報として手動登録されている。したがって、AS境界でEGP経路の経路ハイジャックが発生し得るときは、経路管理サーバ10の登録経路情報を更新するときに一致する。このため、経路ハイジャックを検知、予防する必要があるとき、前記の検索において、認証要求されたEGP経路情報に一致する登録経路情報を発見することになる。
【0070】
(S102)の比較処理で、経路DB6のIPアドレスが、発見した登録経路情報のプレフィックスの範囲内にあるとき、経路管理サーバ10は、認証を許可する処理と、認証したEGP経路情報及び当該認証に用いたIPアドレスを関連付けて自己のデータベースに登録する処理と、経路DB6に認証を送信する処理とを実行する。また、経路DB6は、その認証を受信したとき、登録要求されたEGP経路情報及び経路識別情報、登録要求元のホスト名を関連付けて自己のデータベースに登録する(S103)。
【0071】
一方、(S102)の比較で範囲外のとき、経路管理サーバ10は、認証を「拒否」する処理と、経路DB6に認証の拒否を送信する処理とを実行する。また、経路DB6は、その認証の拒否を受信したとき、登録要求されたEGP経路情報の登録を拒否する(S104)。
【0072】
経路DB6は、登録要求されたEGP経路情報を登録するとき(S20、S21、S22、S103)、登録要求されたEGP経路情報、経路識別情報、及び登録要求元のホスト名を関連付けて自己のデータベースに登録する。
【0073】
AS境界ルータ3は、設定するEGP経路情報の配信前に(S104)で登録の拒否を受信することができる。このとき、AS境界ルータ3は、IGP経路情報のときと同じく、その配信を停止する(S105)。
【0074】
図2中に示すように、経路管理サーバ10のデータベースに登録経路情報が登録されている状態で、AS100の境界ホストR100がプレフィックス「10.0.0.0/16」に係るEGP経路を初めて設定する場合を代表例に考える。この例では、経路データベースサーバ101は、登録要求されたEGP経路情報「AS100 10.0.0.0/16」のプレフィックス「10.0.0.0/16」に一致する登録プレフィックスを発見できない。したがって経路データベースサーバ101は、経路管理サーバ10に対して、登録要求されたEGP経路情報の認証を要求する。経路管理サーバ10は、自己のデータベースから、認証要求されたEGP経路情報に一致する登録経路情報「10.0.0.0/16 AS100」を発見する。経路管理サーバ10は、発見した登録経路情報のプレフィックス「10.0.0.0/16」と、経路データベースサーバ101のIPアドレス「10.0.0.100」とを比較し、IPアドレス「10.0.0.100」がプレフィックス「10.0.0.0/16」の範囲内にあるので、認証を許可し、手動登録された登録経路情報「10.0.0.0/16 AS100」のレコードにIPアドレス「10.0.0.100」を書き込む。経路データベースサーバ101は、経路管理サーバ10から認証を受信したとき、登録要求されたEGP経路情報「10.0.0.0/16 AS100」、ホスト名「R100.hoge1.hoge1」、固有に決定した経路識別番号「000001」を含んだレコードを新規に登録する。
【0075】
一方、図中に(誤設定1)で示すように、AS400の境界ホストR400が、EGP経路「10.0.0.0/16 AS100」を設定する場合を代表例に考える。図中に(経路登録2)で示すように、AS400の経路データベースサーバ401は、登録プレフィックス「10.4.0.0/16」に係るEGP経路情報を登録するだけなので、登録要求されたEGP経路情報のプレフィックス「10.0.0.0/16」に一致する登録プレフィックスを発見できない。したがって、図中に(AS認証3)で示すように、経路データベースサーバ401は、経路管理サーバ10に対して、登録要求されたEGP経路情報の認証を要求する。経路管理サーバ10は、自己のデータベースから、認証要求されたEGP経路情報に一致する登録経路情報「10.0.0.0/16 AS100」を発見する。経路管理サーバ10は、発見した登録経路情報のプレフィックス「10.0.0.0/16」と、経路データベースサーバ401のIPアドレス「10.4.0.100」とを比較し、IPアドレス「10.4.0.100」がプレフィックス「10.0.0.0/16」の範囲外なので、図中に(認証拒否4)で示すように、認証を拒否し、経路データベースサーバ401に認証の拒否を送信する。経路データベースサーバ401は、図中に(登録拒否5)で示すように、その認証の拒否を受信したとき、当該登録を拒否する。したがって、境界ホストR400、経路管理サーバ10、経路データベースサーバ401のそれぞれにおいて、経路ハイジャックの発生を検知することができる。その登録の拒否により、経路データベースサーバ401、境界ホストR400のそれぞれにおいて、AS400境界における経路ハイジャックを検知することができる。
【0076】
特に、境界ホストR400のが、経路交換相手である境界ホストR300に誤設定のEGP経路情報を配信する前に、登録の拒否を受信し、図中に(配信停止6)で示すように、その配信を停止するので、境界ホストR300が誤設定を反映することはない。したがって、実施形態によれば、AS400境界における経路ハイジャックを自動的に予防することができる。
【0077】
また、上述のように、経路データベースサーバ101では、登録済みのプレフィックス「10.0.0.0/16」及び経路識別情報を用いて登録要求されたEGP経路の正当性を確認し、経路管理サーバ10では、登録済みのプレフィックス「10.0.0.0/16」及び認証要求元の経路データベースサーバ101のIPアドレス「10.0.0.100」を用いて認証するため、各サーバ101、10のデータベースには、プレフィックス「10.0.0.0/16」と、任意のAS番号の組合せでレコードに登録できる。したがって、各サーバ101、10のデータベースに「10.0.0.0/16 AS400」と登録することができ、これにより、AS400を用いたパンチングホールを経路ハイジャックと誤検知しないようにすることもできる。
【0078】
図10に示すように、(S103)、(S21)、(S22)のいずれかにより登録完了を受信したAS境界ルータ3の上記ルーティング処理部は、経路交換相手である他AS境界ルータ4にルーティング情報を配信する(S110)。このルーティング情報は、BGPに従う情報なので、EGP経路情報、及び発信元であるAS境界ルータ3のホスト名(IPアドレス)を含んでいる。
【0079】
他AS境界ルータ4の経路確認部は、配信されたルーティング情報を自己のルーティング処理部で処理し、このルーティング情報に基づいてAS境界ルータ3が発信元ホストであるか否かを判定する。この判定は、発信元ホストであるAS境界ルータ3が、他AS境界ルータ4に隣接するか否かを判定するのと同じことである。実施形態では、BGPを採用し得るので、他AS境界ルータ4の経路確認部は、図8に示すように、BGPのASパスに「ASリストが一つ」であるか否かで、隣接か否かを判定する(S111)。図10の例では、AS境界ルータ3が隣接するため、他AS境界ルータ4の経路確認部は、(S111)で「隣接」と判定することになる。
【0080】
他AS境界ルータ4の経路確認部は、「隣接」と判定したとき、配信されたルーティング情報からEGP経路情報の発信元を示すAS番号、プレフィックス及びホスト名からなる発信元特定情報を取得する(S112)。AS境界ルータ3が配信したルーティング情報から、他AS境界ルータ4の経路確認部が発信元特定情報を取得するので、他AS境界ルータ4はAS境界ルータ3から発信元特定情報を取得することになる。
【0081】
他AS境界ルータ4の経路確認部は、経路DB7に対して、経路管理サーバ10に登録済みのIPアドレスであって、かつ発信元特定情報のプレフィックスに一致する登録済みのプレフィックスに関連付けられたIPアドレスの送信を要求する(S113)。この経路データベース検索要求(S113)を受信した経路DB7は、図10、図12に示すように、自己のキャッシュに当該IPアドレスが存在するか否かを確認し、存在するとき、当該IPアドレスを他AS境界ルータ4に送信し、存在しなかったとき、経路管理サーバ10に当該登録済みのプレフィックスを送信し、経路管理サーバ10から当該IPアドレスの取得を試みる(S114)。経路管理サーバ10は、自己のデータベースから、その登録済みのプレフィックスと同一のプレフィックスを検索し、発見したとき、経路DB7に送信し、発見しなかったとき、送信を拒否する。経路DB7は、当該IPアドレスを経路管理サーバ10から取得することに成功したとき、当該IPアドレスを他AS境界ルータ4に送信し、失敗したとき、他AS境界ルータ4の経路確認部に対して送信を拒否する(S115)。
【0082】
他AS境界ルータ4の経路確認部は、経路DB7から当該IPアドレスを受信したとき、当該IPアドレスを割り当てられた経路DB6に対して、発信元特定情報の認証を要求する(S116)。
【0083】
図9、図10に示すように、経路DB6は、(S41)で、認証要求された発信元特定情報にAS番号が含まれるので、EGP経路情報のものと判定する。経路DB6は、自己のデータベースから、認証要求された発信元特定情報のプレフィックスに一致する登録プレフィックスを含んだ登録経路情報を検索する(S117)。経路DB6は、発見しなかったとき、認証を拒否する処理と、その拒否を他AS境界ルータ4に送信する処理とを実行する(S118)。一方、経路DB6は、(S117)で登録経路情報を発見したとき、(S44)で、発見した登録経路情報を含んだ登録情報の中に、認証要求された発信元特定情報に含まれたホスト名と同一のホスト名を含んだものが有るか無いかを判定し、「登録なし」のとき、認証を拒否し(S45)、「登録有」のとき、認証を許可する(S46)。(S117)及び(S44)からなる経路認証処理は、認証要求された発信元特定情報に一致する登録経路情報及びホスト名が関連付けられた登録情報を検索する処理といえる。これは、他AS境界ルータ4に配信されたEGP経路情報の発信元ホストの正当性を確認するのと同じことになる。また、(S46)の処理は、その検索で発見したとき、認証する処理といえ、(S118)及び(S45)の処理は、その検索で発見しなかったとき、認証を拒否する処理といえる。
【0084】
図10に示すように、(S46)で認証を受信した他AS境界ルータ4の上記記憶部は、認証された発信元特定情報をAS発信元リストに登録する(S119)。その後、他AS境界ルータ4の上記経路確認部は、ルーティング処理部にルーティング情報を反映する処理と、他AS境界ルータ4の次段の経路交換相手である他AS境界ルータ5に対してルーティング情報を配信する処理とを命令する。次段の他AS境界ルータ5は、上記(S111)で「その他」と判定したとき、他AS境界ルータ4が発信元ホストでない多段の経路交換と判定し、他AS境界ルータ4のAS発信元リストから発信元特定情報を取得することができる(S120)。そして、次段の他AS境界ルータ5及び経路DB8の間でも、他AS境界ルータ4から取得した発信元特定情報に基づいて(S110)以後の処理を実行することができる。
【0085】
AS境界ルータ3と他AS境界ルータ4間の経路交換と、他AS境界ルータ4と他AS境界ルータ5間の経路交換を対比すれば明らかなように、他AS境界ルータ4と経路交換するAS境界ルータ3が発信元ホストのため、他AS境界ルータ4が(S120)を省略する。このため、実施形態は、他AS境界ルータ4、5間でも処理時間を高速化することができる。
【0086】
他AS境界ルータ4、5は、配信されたルーティング情報のEGP経路情報を自己に反映する前に前記認証の拒否を受信し(S118)及び(S45)、その反映を停止する。
【0087】
図13中に示すように、経路管理サーバ10のデータベースに登録経路情報が登録されている状態で、図中に(誤設定1)、(配信2)で示すように、AS400の境界ホストR400がEGP経路「10.0.0.0/16 AS100」をAS300に配信する場合を代表例に考える。この例では、AS300の境界ホストR300は、経路データベースサーバ301にそのEGP経路情報を登録要求し、経路データベースサーバ301は、登録要求されたEGP経路情報「AS100 10.0.0.0/16」のプレフィックス「10.0.0.0/16」に一致する登録プレフィックスを発見できない。したがって、経路データベースサーバ301は、図中に(取得4)で示すように、経路管理サーバ10から、発信元特定情報のプレフィックス「10.0.0.0/16」に関連付けられたIPアドレス「10.0.0.100」を取得し、図中に(送信5)で示すように、AS300の境界ホストR300に送信する。境界ホストR300は、図中に(経路認証6)で示すように、IPアドレス「10.0.0.100」を割り当てられた経路データベースサーバ101に対して、発信元特定情報「10.4.0.0/16 AS400」、ホスト名「R400.hoge4.hoge4」の認証を要求する。図中に(拒否7)で示すように、経路データベースサーバ101は、自己のデータベースから、当該認証要求された発信元特定情報に一致する登録経路情報「AS100 10.0.0.0/16」を含んだレコードを発見するが、そのレコードのホスト名「R100.hoge1.hoge1」が発信元特定情報のホスト名「R400.hoge4.hoge4」と異なるため、発信元特定情報の認証を拒否する。その認証の拒否により、境界ホストR300、経路管理サーバ10、経路データベースサーバ301、101のそれぞれにおいて、AS300境界における経路ハイジャックを検知することができる。
【0088】
特に、境界ホストR300は、図中に(反映停止8)で示すように、誤設定で配信されたEGP経路情報を自己に反映する前に経路データベースサーバ101から認証の拒否を受信し、その反映を停止する。したがって、AS300境界におけるEGP経路の経路ハイジャックを自動的に予防することができる。
【0089】
次に、第二実施形態を図14に基づいて説明する。以下、上記実施形態との相違点を述べ、同一に考えられる構成要素の説明を省略し、同符号を用いる。図中に(誤設定1)で示すように、第二実施形態は、境界ホストR400にEGP経路を誤設定する場合を代表例として考える。境界ホストR400は、図中に(経路登録2)で示すように、設定するEGP経路情報のプレフィックスに属する経路データベースサーバ101に対して、設定するEGP経路情報の登録を要求する。境界ホストR400が経路データベースサーバ101のIPアドレスを取得する方法は、経路管理サーバを利用する、上位ネットワークのポリシーとして境界ホストR400に予め登録しておく等を適宜に採用することができる。
【0090】
登録要求先の経路データベースサーバ101は、図7に示したフローに従い、自己のデータベースから、登録要求されたEGP経路情報「AS100 10.0.0.0/16」に一致する登録経路情報を検索し、図13中に示す登録経路情報「AS100 10.0.0.0/16」を発見する。経路データベースサーバ101は、発見した登録経路情報「AS100 10.0.0.0/16」に関連付けられた登録経路識別情報「000001」と所定に対応する経路識別情報が登録要求されたEGP経路情報「AS100 10.0.0.0/16」に付されているか否かを判定する。AS100内外に対して非公開に管理された登録経路識別情報「000001」は同レコードの「AS100 10.0.0.0/16」に固有であり、他のAS400側で知ることはできない。経路データベースサーバ101は、登録要求されたEGP経路情報「AS100 10.0.0.0/16」に経路識別情報「000002」又は「010001」が付されていないため、図中に(登録拒否3)で示すように、登録要求されたEGP経路情報「AS100 10.0.0.0/16」の登録を拒否する。その登録の拒否により、境界ホストR400、経路データベースサーバ101のそれぞれにおいて、AS400境界における経路ハイジャックを検知することができる。AS400の経路データベースサーバや経路管理サーバの認証を利用して経路ハイジャックを検知するか否かによらず、経路ハイジャックの発生を検知することができる。また、図中に(経路配信4)で示すように、境界ホストR400は、設定するEGP経路情報の配信前に登録の拒否を受信し、配信を停止するので、経路ハイジャックを自動的に予防することができる。
【0091】
この発明の技術的範囲は、上述の実施形態に限定されず、特許請求の範囲の記載に基く技術的思想の範囲内での全ての変更を含むものである。
【符号の説明】
【0092】
R1〜R4、R100〜R400 ホスト
10 経路管理サーバ
101、301、401 経路データベースサーバ
【技術分野】
【0001】
この発明は、ルーティング設定の誤りにより本来のルートと異なるルートが発生する経路ハイジャックを検知する方法に関する。
【背景技術】
【0002】
従来、自律システム間の経路ハイジャックを検知する技術として、IRR(Internet Routing Registry)サーバが利用されている。IRRサーバに正しい経路情報を予め登録しておくことで、ISPが他の自律システムから経路情報を受信するときに、IRRに登録されている正しい経路情報と比較することで、不正な経路情報の選択を予防するようになっている(非特許文献1)。
【0003】
IRR上では、OriginASにより正当性を判定するため、検出ポイントも自律システムの境界に限定され、発信元の正当性を識別できず、経路ハイジャックが発生し得る。また、手動登録されたプレフィックス(Prefix Adress)とAS番号で経路確認を実施しているため、パンチングホールをハイジャックと誤検知する。
【0004】
パンチングホールを経路ハイジャックと誤検知しないようにするため、経路検出装置がIRRとパンチングホールリストを用いて、ハイジャック経路とパンチングホールを識別する技術がある(特許文献1)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006−025088号公報
【非特許文献】
【0006】
【非特許文献1】経路ハイジャックの検知・回復・予防に関する研究開発(http://www.soumu.go.jp/menu_seisaku/ictseisaku/ictR−D/jigyou_ichiran_h18_2.html)
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、特許文献1の経路検出装置でも、IRRを利用するため、やはりハイジャック検出ポイントが自律システムの境界に限定されてしまう。したがって、自律システム内部で、すなわち、自律システムに属するノードや閉域網でハイジャックを検知することができない問題がある。
【0008】
そこで、この発明の課題は、自律システム内部で発生する経路ハイジャックを自動的に検知することにある。
【課題を解決するための手段】
【0009】
上記の課題を解決するため、自律システムに属するホストは、設定するIGP経路のプレフィックスからなるIGP経路情報、及び当該IGP経路情報に付された経路識別情報の登録を、当該自律システム内に設けられた経路データベースサーバに要求し、当該経路データベースサーバは、IGP経路情報及びこれに固有かつ非公開の経路識別情報を関連付けて登録する自己のデータベースから、当該登録要求されたIGP経路情報に一致する登録経路情報と、当該登録要求された経路識別情報に所定に対応する登録経路識別情報とが関連付けられた登録情報を検索し、発見したとき、当該登録要求されたIGP経路情報及び経路識別情報を関連付けて当該自己のデータベースに登録し、発見しなかったとき、当該登録を拒否する経路ハイジャック検知方法を採用した。ここで、「IGP」とは、自律システム内で用いるルーティングプロトコル(Interior Gateway Protocol)を意味する。「プレフィックス」とは、プレフィックスアドレス(Prefix Adress)の略称であり、IPアドレスのうち、プレフィックス長に基づいて定まるネットワークアドレスのことをいう。
【0010】
自律システムに属するホストは、経路設定段階で経路データベースにてIGP経路情報に固有かつ非公開の経路識別情報を確認し、経路データベースは、所定に対応する経路識別情報が付されていないIGP経路情報のとき、登録を拒否する。自律システムの管理者は、経路データベースサーバを設けることにより、経路データベースサーバの制御下にあるデータベースに正規のIGP経路を集約して管理することができる。新規のIGP経路の登録は、経路ハイジャックの問題がないので、正規のIGP経路と見做すことができる。したがって、経路データベースサーバのデータベースを検索しても登録要求されたIGP経路を発見しなかったときは、登録要求されたIGP経路情報と、これに付された経路識別情報とを、固有かつ非公開に関連付けて登録することができる。自律システム内の登録済みIGP経路を設定したホスト以外の他のホストが、登録済みのIGP経路情報のプレフィックスと自己のホスト名とからなるIGP経路を誤設定しようとしても、そのホスト側では、その正規のIGP経路情報に固有かつ非公開に関連付けられた経路識別情報を知ることはできないから、所定に対応する経路識別情報を付すことはできない。したがって、登録要求を受けた経路データベースサーバは、経路識別情報の不当性から自己のデータベースへの登録を拒否することができる。この登録拒否の発生により、経路データベースサーバ、他のホストのそれぞれにおいて、自律システム内部で発生する経路ハイジャックを検知することができる。
【0011】
前記自律システムに属する境界ホストは、設定するEGP経路のプレフィックスとAS番号とからなるEGP経路情報、及び当該EGP経路情報に付された経路識別情報の登録を前記経路データベースサーバに要求し、前記経路データベースサーバは、EGP経路情報及びこれに固有かつ非公開の経路識別情報を関連付けて登録する自己のデータベースから、当該登録要求されたEGP経路情報のプレフィックスに一致する登録プレフィックスを検索し、発見した場合、当該登録プレフィックスに関連付けられた登録経路識別情報と、当該登録要求された経路識別情報とが所定に対応するか否かを判定し、対応するとき、当該登録要求されたEGP経路情報及び経路識別情報を関連付けて当該自己のデータベースに登録し、対応しなかったとき、当該登録を拒否し、発見しなかった場合、前記自律システムの属する上位ネットワークに設けられた経路管理サーバに対して、当該登録要求されたEGP経路情報の認証を要求し、当該経路管理サーバは、EGP経路情報を登録する自己のデータベースから、当該認証要求されたEGP経路情報に一致する登録経路情報を検索し、発見した登録経路情報のプレフィックスと、当該経路データベースサーバのIPアドレスとを比較し、当該IPアドレスが当該プレフィックスの範囲内にあるとき、認証し、範囲外のとき、認証を拒否し、当該経路データベースサーバは、当該認証を受信したとき、当該登録要求されたEGP経路情報及び経路識別情報を関連付けて当該自己のデータベースに登録し、当該認証の拒否を受信したとき、当該登録を拒否することが好ましい。ここで、「AS番号」とは、自律システム(Autonomous System)を識別するために割り当てられた全世界で一意の番号をいう。「EGP」とは、自律システム間の経路情報をやり取りするルーティングプロトコル(Exterior Gateway Protocol)を意味する。
【0012】
経路データベースサーバのデータベースに正規のEGP経路情報及び経路識別情報が登録済みであれば、自律システムに属する境界ホストがEGP経路情報を設定するとき、IGP経路のときと同様に、当該境界ホスト(すなわち、自律システムの境界)において、経路識別情報で経路ハイジャックの発生を検知することができる。また、経路管理サーバのデータベースに正規のEGP経路情報を予め手動登録しておけば、経路データベースサーバのデータベースに未登録のEGP経路の登録要求があったときでも、経路管理サーバによる認証で、その登録要求されたEGP経路の正当性を確認してから、経路データベースサーバのデータベースに登録することができる。ここで、経路管理サーバは、従来のIRRサーバと異なり、認証要求をした経路データベースサーバのIPアドレスと、手動登録された正規のEGP経路のプレフィックスとの一致性から認証の可否を決定するため、EGP経路の発信元の正当性を確認することになる。したがって、経路管理サーバに登録済みのEGP経路情報と異なるプレフィックス及びAS番号が割り当てられた自律システムの経路データベースサーバから認証要求をしたことになる場合、経路管理サーバが認証を拒否し、認証の拒否を受信した経路データベースサーバが登録を拒否するので、当該境界ホスト、経路管理サーバ、当該経路データベースサーバのそれぞれにおいて、経路ハイジャックの発生を検知することができる。経路データベースサーバでは、登録済みのプレフィックス及び経路識別情報を用いて登録要求されたEGP経路の正当性を確認し、経路管理サーバでは、登録済みのプレフィックス及び認証要求元の経路データベースサーバのIPアドレスを用いて認証するため、各サーバのデータベースには、プレフィックスと、任意のAS番号の組合せで登録できる。したがって、パンチングホールを経路ハイジャックと誤検知しないようにすることもできる。
【0013】
前記経路データベースサーバは、前記登録要求されたEGP経路情報を登録するとき、当該登録要求元のホスト名を関連付けて前記自己のデータベースに登録し、前記経路管理サーバは、前記認証したEGP経路情報及び当該認証に用いたIPアドレスを関連付けて前記自己のデータベースに登録し、前記境界ホストは、経路交換相手から配信されたEGP経路情報の発信元を示すAS番号、プレフィックス及びホスト名からなる発信元特定情報を当該経路交換相手から取得する処理と、前記経路データベースサーバに対して、前記経路管理サーバに登録済みのIPアドレスであって、かつ当該発信元特定情報のプレフィックスに一致する登録済みのプレフィックスに関連付けられたIPアドレスの送信を要求する処理とを実行し、当該経路データベースサーバは、当該IPアドレスを当該経路管理サーバから取得することに失敗したとき、当該送信を拒否し、一方、当該境界ホストは、当該経路データベースサーバから当該IPアドレスを受信したとき、当該IPアドレスを割り当てられた経路データベースサーバに対して、当該発信元特定情報の認証を要求し、当該認証要求先の経路データベースサーバは、EGP経路情報、これに固有かつ非公開の経路識別情報及びホスト名を関連付けて登録する自己のデータベースから、当該認証要求された発信元特定情報に一致する登録経路情報及びホスト名が関連付けられた登録情報を検索し、発見したとき、認証し、発見しなかったとき、認証を拒否することがより好ましい。
【0014】
一般に、正規の経路として経路交換が成立する限り、経路情報を配信された受信側のホストが、その経路情報の発信元を示すAS番号、プレフィックス及びホスト名からなる発信元特定情報を記憶するように設定しておくことが可能である。このため、境界ホストは、EGP経路情報を配信される受信側のホストになるとき、経路交換相手の配信側ホストから、配信されたEGP経路情報の発信元を示すAS番号、プレフィックス及びホスト名からなる発信元特定情報を取得することができる。経路データベースサーバは、登録要求されたEGP経路情報を登録するとき、当該登録要求元のホスト名を関連付けて自己のデータベースに登録し、経路管理サーバは、認証したEGP経路情報及び当該認証に用いたIPアドレスを関連付けて自己のデータベースに登録するので、発信元特定情報を取得した受信側の境界ホストは、自己の属する自律システムの経路データベースサーバに対して、経路管理サーバに登録済みのIPアドレスであって、かつ発信元特定情報のプレフィックスに一致する登録済みのプレフィックスに関連付けられたIPアドレスの送信を要求することができる。当該IPアドレスである限り、正規のEGP経路の発信元になる経路データベースサーバのIPアドレスといえる。したがって、当該経路データベースサーバが経路管理サーバから当該IPアドレスの取得に失敗すれば、それは配信されたEGP経路情報が不正であることを意味するから、当該経路データベースサーバが送信を拒否することになる。この拒否により、EGP経路情報が配信された受信側の境界ホスト(すなわち、自律システムの境界)、当該経路データベースサーバのそれぞれにおいて、経路ハイジャックを検知することができる。一方、当該受信側の境界ホストは、当該経路データベースサーバから当該IPアドレスを受信したとき、当該IPアドレスを割り当てられた経路データベースサーバに対して、当該発信元特定情報の認証を要求することができる。認証要求先の経路データベースサーバは、EGP経路情報、これに固有かつ非公開の経路識別情報及びホスト名を関連付けて登録する自己のデータベースから、認証要求された発信元特定情報に一致する登録経路情報及びホスト名が関連付けられた登録情報を検索し、発見したとき、認証し、発見しなかったとき、認証を拒否することができる。この拒否により、自律システム間でのEGP経路交換時、受信側の境界ホスト、認証要求先の経路データベースサーバのそれぞれにおいて、経路ハイジャックを検知することができる。なお、「経路管理サーバから当該IPアドレスの取得」とは、経路データベースサーバが当該IPアドレスを経路管理サーバから毎回取得する態様に限定する意味ではなく、自己のキャッシュに記憶している当該IPアドレスの送信で済まし、キャッシュにない場合に限り、経路管理サーバから取得する態様をも含む意味である。
【0015】
前記境界ホストは、設定するEGP経路情報のプレフィックスに属する経路データベースサーバに対して、当該設定するEGP経路情報の登録を要求し、当該登録要求先の経路データベースサーバは、EGP経路情報及びこれに固有かつ非公開の経路識別情報を関連付けて登録する自己のデータベースから、当該登録要求されたEGP経路情報に一致する登録経路情報を検索し、発見した場合、当該発見した登録経路情報に関連付けられた登録経路識別情報と所定に対応する経路識別情報が当該登録要求されたEGP経路情報に付されているか否かを判定し、付されていないとき、当該登録を拒否することが好ましい。
【0016】
境界ホストが、設定するEGP経路情報のプレフィックスに属する経路データベースサーバに対して、当該設定するEGP経路情報の登録を要求すれば、設定するEGP経路情報が自己に関しない限り、異なる自律システムの経路データベースサーバがその登録要求先になる。したがって、登録要求先の経路データベースサーバにおいて、同じEGP経路が登録済みであるとしても、これに固有かつ非公開に関連付けられた経路識別情報に所定に対応する経路識別情報を、境界ホストが設定するEGP経路情報に付すことはできず、登録要求先の経路データベースサーバは登録を拒否することになる。したがって、境界ホスト(すなわち、自律システムの境界)、登録要求先の経路データベースサーバのそれぞれにおいて、経路ハイジャックの発生を検知することができる。また、自己の属する自律システムの経路データベースサーバを利用しないので、上述のように経路管理サーバの認証を利用して経路ハイジャックを検知するか否かによらず、経路ハイジャックの発生を検知することができる。仮に、上述の経路管理サーバの認証がなされ得る場合でも、登録要求先の経路データベースサーバによって経路ハイジャックの発生を検知できるので、これらを併用することがより好ましい。
【0017】
前記境界ホストは、前記設定するEGP経路情報の配信前に、前記経路データベースサーバに対する登録要求を実行し、当該登録の拒否を受信したとき、その配信を停止することが好ましい。
【0018】
EGP経路の配信前に経路ハイジャックを検知するので、その配信を停止することにより、自律システム間の経路ハイジャックを自動的に予防することができる。
【0019】
前記境界ホストは、前記配信されたEGP経路情報を自己に反映する前に、前記発信元特定情報の認証を要求する処理を実行し、前記認証の拒否を受信したとき、その反映を停止することが好ましい。
【0020】
受信側の境界ホストが配信されたEGP経路を自己に反映する前に経路ハイジャックを検知するので、その反映を停止することにより、受信側の境界ホストにおいて、自律システム境界間の経路ハイジャックを自動的に予防することができる。
【0021】
前記境界ホストは、前記設定するEGP経路情報の配信前に、前記登録要求先の経路データベースサーバに対する登録要求を実行し、当該登録の拒否を受信したとき、その配信を停止することが好ましい。
【0022】
EGP経路の配信前に経路ハイジャックを検知するので、その配信を停止することにより、自律システム境界間の経路ハイジャックを自動的に予防することができる。
【0023】
前記自律システムに属するホストは、経路交換相手から配信されたIGP経路情報の発信元を示すプレフィックス及びホスト名からなる発信元特定情報を当該経路交換相手から取得する処理と、前記経路データベースサーバに対して当該発信元特定情報の認証を要求する処理とを実行し、前記経路データベースサーバは、前記自己のデータベースから、当該認証要求された発信元特定情報に一致する登録経路情報及びこれに関連付けられたホスト名を含んだ登録情報を検索し、発見したとき、認証し、発見しなかったとき、認証を拒否することが好ましい。
【0024】
一般に、IGP経路交換においても、IGP経路情報を配信された受信側のホストが、その経路情報の発信元を示すプレフィックス及びホスト名からなる発信元特定情報を記憶するように設定しておくことが可能である。このため、IGP経路情報が配信される受信側のホストになるとき、このホストは、経路交換相手の配信側ホストから、配信されたIGP経路情報の発信元を示すプレフィックス及びホスト名からなる発信元特定情報を取得し、経路データベースサーバに対して当該発信元特定情報の認証を要求することができる。経路データベースサーバは、前記自己のデータベースから、当該認証要求された発信元特定情報に一致する登録経路情報及びこれに関連付けられたホスト名を含んだ登録情報を検索し、発見したとき、認証し、発見しなかったとき、認証を拒否するので、この拒否により、自律システム内部でのIGP経路交換時、受信側のホスト、経路データベースサーバのそれぞれにおいて、経路ハイジャックを検知することができる。
【0025】
前記自律システムに属するホストは、前記配信されたIGP経路情報を自己に反映する前に、前記発信元特定情報の認証を要求する処理を実行し、前記認証の拒否を受信したとき、その反映を停止することが好ましい。
【0026】
受信側のホストが配信されたIGP経路を自己に反映する前に経路ハイジャックを検知するので、その反映を停止することにより、受信側のホストにおいて、自律システム内部における経路ハイジャックを自動的に予防することができる。
【0027】
前記自律システムに属するホストは、前記自己に設定するIGP経路情報の配信前に、前記経路データベースサーバに対する登録要求を実行し、当該登録の拒否を受信したとき、その配信を停止することが好ましい。
【0028】
IGP経路の配信前に経路ハイジャックを検知するので、その配信を停止することにより、自律システム内部における経路ハイジャックを自動的に予防することができる。
【0029】
なお、IGP経路かEGP経路かによらず、前記経路交換相手が前記発信元ホストのとき、前記発信元特定情報を取得する処理を省略することにより、高速化を図ることができる。
【発明の効果】
【0030】
上述のように、この発明は、自律システムに属するホストがIGP経路のプレフィックスとホスト名とからなるIGP経路情報及びこれに付された経路識別情報の登録を当該自律システム内の経路データベースサーバに要求し、経路データベースサーバが、IGP経路情報及びこれに固有かつ非公開の経路識別情報を関連付けて登録する自己のデータベースに、登録要求されたIGP経路情報に一致する登録経路情報と、登録要求された経路識別情報に所定に対応する登録経路識別情報とが関連付けられた登録情報を発見したとき、登録要求されたIGP経路情報及び経路識別情報を関連付けて当該データベースに登録し、発見しなかったとき、登録を拒否するようにしたので、自律システム内部で発生する経路ハイジャックを自動的に検知することができる。
【図面の簡単な説明】
【0031】
【図1】(a)は、この発明の実施形態に係るAS内部での設定登録時のハイジャック検知方法を示す概略図、(b)は、AS内部での経路交換時のハイジャック検知方法を示す概略図
【図2】この発明の実施形態に係るAS境界での設定登録時のハイジャック検知方法を示す概略図
【図3】この発明の実施形態に係るホストの機能ブロック図
【図4】図3の記憶部内の発信元リストの概念図
【図5】この発明の実施形態に係る経路データベースサーバのデータベースの概念図
【図6】この発明の実施形態に係るAS内部でのハイジャック検知方法を示すシステムフロー図
【図7】この発明の実施形態に係る経路データベースサーバへの登録処理のフロー図
【図8】この発明の実施形態に係るホストの隣接判定処理のフロー図
【図9】この発明の実施形態に係る経路データベースサーバの経路認証処理のフロー図
【図10】この発明の実施形態に係るAS境界でのハイジャック検知方法を示すシステムフロー図
【図11】この発明の実施形態に係る経路管理サーバの認証処理を示すフロー図
【図12】この発明の実施形態に係る確認先経路データベースサーバのIPアドレス取得の処理を示すフロー図
【図13】この発明の実施形態に係るAS境界での経路交換時のハイジャック検知方法を示す概略図
【図14】この発明の第二実施形態に係るAS境界での設定登録時のハイジャック検知方法を示す概略図
【発明を実施するための形態】
【0032】
以下、この発明の実施形態を添付図面に基づいて説明する。図1、図2に示すように、実施形態は、共通の上位ネットワークに属する複数の自律システム100〜400(以下、「自律システム」を「AS」と称する)を前提としている。AS100の内部には、経路データベースサーバ101が1台だけ設けられている。同様に、上位ネットワークに属する他のAS200〜400にも、それぞれ経路データベースサーバ201〜401が1台だけ設けられている。また、上位ネットワークには、経路管理サーバ10が1台だけ設けられている。
【0033】
共通の上位ネットワークに属する複数のAS100〜400は、経路データベースサーバ101〜401、経路管理サーバ10を用いた共通のポリシーにより、IGP経路及びEGP経路の経路ハイジャックの検知及び予防を行うようになっている。したがって、あるASで成立することは、他のASにおいても同様の作用効果が成立する。以下、AS100を代表例にAS内部のポリシーを説明する。
【0034】
AS100には、複数のホストR1〜R4、R100が属している。各ホストR1〜R4、R100は、ルータからなる。なお、各ホストR1〜R4は、AS100に属する閉域網の境界になった例を示している。各ホストR1〜R4は、固有のホスト名:R1〜R4を有する。ホスト名は、IPアドレスに変換することができるインターネットホスト名からなる。ホストR100は、AS100の境界に位置するエッジルータとなっている。ホストR100は、固有のホスト名:R100.hoge1.hoge1を有する(いわゆるドメイン名)。AS100のポリシーとして、経路ハイジャック検知及び予防に関する処理で用いる経路データベースサーバ101のIPアドレスは、各ホストR1〜R4、R100に予め登録するようになっている。また、AS100のポリシーとして、経路ハイジャック検知及び予防に関する処理で用いる経路管理サーバ10のIPアドレスは、境界ホストR100に予め登録するようになっている。各AS100、200には、それぞれのASに関する経路情報を集束させるため、経路データベースサーバ101、201が1台だけ設けられている。また、上位ネットワークにおけるAS間の経路情報を集束させるため、経路管理サーバ10は、上位ネットワークに1台だけ設けられている。
【0035】
各ホストR1〜R4、R100に用いるルータは、図3に機能ブロックを示すように、IGP及びEGP並びにこれらに関連するプロトコルに従った処理を行うルーティング処理部を有する。また、このルータは、経路管理サーバ10との間で行う経路データベース検索処理、経路交換相手である隣接ホストとの間で発信元の特定に関する検索処理、並びに経路管理サーバ10と又は経路データベースサーバ101との間で行う登録、認証及びその他の検索処理を制御する経路確認部を有する。また、このルータは、自己に反映したIGP経路の発信元特定情報を登録するルート発信元リスト、及び自己に反映したEGP経路の発信元特定情報を登録するAS発信元リストの読み出し、書き込みを制御する記憶部を有する。ルート発信元リストの項目は、図4に示すように、図中のPrefixとPrefix-Lengthとで意味をもつプレフィックス、及びホスト名(IPアドレスとも考えられる)とからなる。また、AS発信元リストの項目は、前記のプレフィックス及びホスト名と、AS番号とからなる。したがって、IGP経路及びEGP経路のそれぞれの発信元特定情報は、対応するリストの同一レコード内の全項目に登録された情報からなる。
【0036】
なお、この実施形態では、各AS内部で採用し得るIGPとして、RIP(Routing Information Protocol)やOSPF(Open Shortest Path First)の採用を予定している。各AS内部で採用できるIGPを統一してもよい。EGPには、AS番号の使用を前提とするため、BGP(Border Gateway Protocol)が採用されている。より具体的には、RFC4271で定義されるBGP−4(BGP version4)が採用されている。
【0037】
図2に示す経路データベースサーバ101は、1のIPアドレス(図中では10.0.0.100)を割り当てられた1台のデータベースサーバ、及び自己のデータベースを管理するデータベースマネジメントシステムとして機能する。経路データベースサーバ101のデータベースは、図5に示す経路管理データベースからなる。経路データベースサーバ101のデータベースは、項目として、AS番号と、図中のPrefixとPrefix-Lengthとで意味をもつプレフィックスと、ホスト名(IPアドレスとも考えられる)と、上述の経路識別情報としての経路管理番号と、NWタイプとからなるレコードとで構成されている。NWタイプの「Local」はIGP経路を意味し、NWタイプの「AS」はEGP経路を意味する。経路データベースサーバ101の項目に従い、IGP経路情報はプレフィックスからなり、EGP経路情報は、プレフィックスとAS番号とからなる。経路識別情報としての経路管理番号は、先頭2桁が経路発信元識別ID(1台目:00、2台目以降:01〜99)として割り当てられ、残り4桁(0000〜9999)は経路管理番号の属性定義に割り当てられている。経路管理番号(経路識別情報)は、AS100内で管理する番号であり、かつIGP経路情報を新規に登録するとき、及びEGP経路情報を新規に登録するときのそれぞれにおいて各経路情報に固有の値として経路データベースサーバ101により自動的に付与されるようになっている。経路データベースサーバ101のデータベースは、経路データベースサーバ101の管理者権限でのみアクセスすることができ、それ以外に対して非公開になっている。したがって、経路データベースサーバ101のデータベースは、IGP経路情報、これに固有かつ非公開の経路識別情報を関連付けて登録し、また、EGP経路情報、これに固有かつ非公開の経路識別情報及びホスト名を関連付けて登録するデータベースになっている。なお、両経路情報を別々のデータベースに分けて管理することもできる。
【0038】
図2に示すように、経路管理サーバ10のデータベースは、項目として、AS番号と、図中のPrefixとPrefix-Lengthとで意味をもつプレフィックスと、IPアドレスとからなるレコードで構成されている。したがって、経路管理サーバ10のデータベースは、EGP経路情報と、経路データベースサーバ101、201のIPアドレスとを関連付けて登録するデータベースになっている。経路管理サーバ10のデータベースに対するEGP経路情報の最初の登録は、手動登録で行う。手動登録では、従来のIRRサーバで管理しているプレフィックスと、AS番号とを登録することができる。したがって、経路管理サーバ10のデータベースには、IRRを利用することができる。
【0039】
次に、図1(a)に示すAS100を代表例として、AS100に属する各ホストR1〜R4、R100のいずれかからIGP経路を経路データベースサーバ101のデータベースに登録する方法を説明する。その方法のシステムフローを例示する図6では、IGP経路を設定するホストを、ホストR1〜R4のいずれかである閉域網ルータ1(発信元)とし、これの経路交換相手になるホストを閉域網ルータ2(隣接)とし、閉域網ルータ1と閉域網ルータ2との経路交換以後にも経路交換が生じる多段接続時の最終的な交換相手を、境界ホストR100からなるAS境界ルータ3としている。
【0040】
図6、図7に示すように、先ず、閉域網ルータ1は、設定するIGP経路を上記ルーティング処理部に入力される。閉域網ルータ1の上記経路確認部は、経路データベースサーバ101に対してネットワーク情報の登録を要求する(S10)。登録要求項目の閉域網ルータ1への入力は、手動入力、自動入力のいずれでもよい。自動入力は、経路交換により配信されたルーティング情報、AS発信元リスト、ルーティング発信元リストからの情報取得で足りる登録要求項目で済むときに採用することができる。
【0041】
経路データベースサーバ101は、登録要求された経路情報がAS間のEGP経路情報の登録か否かを判定する(S11)。この判定は、登録要求された経路情報にAS番号を含むか否か、又は、NWタイプが「AS」か否かを採用することができる。
【0042】
新規に設定するIGP経路の登録を要求する場合、設定するIGP経路のプレフィックスからなるIGP経路情報に付すべき経路管理番号が存在しない。経路ハイジャックの対象になるIGP経路がそもそも存在しないから、経路管理番号による誤登録の防止を図る必要がない。したがって、ネットワーク情報の登録要求項目としては、少なくとも新規に設定するIGP経路のプレフィックスからなるIGP経路情報を含めばよい。(S11)の判定にNWタイプを採用する場合、登録要求項目に追加する。(S11)の判定にAS番号を含むか否かを採用する場合、経路データベース101が自動的にNWタイプ「Local」を登録するように変更することもできる。
【0043】
閉域網ルータ1が、経路データベースサーバ101のデータベースのレコードに記録された登録経路情報を更新する経路を設定する場合、登録経路情報の不正な更新を防止する。このため、(S10)におけるネットワーク情報の登録要求項目としては、少なくとも設定するIGP経路のプレフィックスからなるIGP経路情報、及び当該IGP経路情報に付された経路識別情報を含む。
【0044】
登録要求項目を受信した経路データベースサーバ101は、自己のデータベースから、登録要求されたIGP経路情報のプレフィックスに一致する登録経路情報を検索する(S12)。
【0045】
経路データベースサーバ101は、(S12)で前記一致する登録経路情報を発見しなかったとき、経路データベースサーバ101は、登録要求されたIGP経路情報、及びこれに固有の経路管理番号(経路識別情報として)を所定の規則に従って決定し、これらを関連付けて新規レコードに登録する処理、閉域網ルータ1に登録完了を送信する処理と、決定された経路管理番号を送信する処理とを実行する(S20)。ここで、新規のIGP経路登録なので、閉域網ルータ1を送信先とするIGP経路は、1経路しか存在しない。したがって、所定の規則は、少なくとも新規に登録するIGP経路情報に固有の値となるようにすることである。実施形態では、閉域網ルータ1を送信先とするIGP経路を2以上設定する冗長化にも対応できるようにするため、所定の規則として、新規に登録するIGP経路情報のとき、経路管理番号の先頭から2桁を「00」と定めることが含まれている。
【0046】
経路データベースサーバ101は、(S12)で前記一致する登録経路情報を発見したとき、登録要求された経路管理番号(経路識別情報として)と、その登録経路情報に関連付けられた登録経路管理番号(登録経路識別情報として)とが所定の規則に対応するか否かを判定する(S14、S15)。実施形態では、前記のように冗長化に対応するため、二段階に分けて判定するようにしている。
【0047】
すなわち、所定の規則には、第一段階の判定用規則として、「登録経路管理番号+1」が含まれている。経路データベースサーバ101は、この第一段階の判定用規則を満足する値か否かを判定し(S14)、満足するとき、登録経路情報を削除の上、登録要求されたIGP経路情報等を新規のレコードに登録する処理、閉域網ルータ1に登録完了を送信する処理を実行する(S21)。
【0048】
また、所定の規則には、第二段階の判定用規則として、「登録経路管理番号+10000」が含まれている。経路データベースサーバ101は、(S14)で満足しないと判定したとき、この第二段階の判定用規則を満足する値か否かを判定し(S15)、満足するとき、登録要求されたIGP経路情報等を新規のレコードに登録する処理、閉域網ルータ1に登録完了を送信する処理を実行し(S22)、満足しなかったとき、登録を拒否する処理と、この拒否を閉域網ルータ1に送信する処理とを実行する(S23)。
【0049】
上述の(S12)、(S14)及び(S15)の処理は、これらを合わせて経路データベースサーバ101が自己のデータベースから、登録要求されたIGP経路情報に一致する登録経路情報と、登録要求された経路管理番号に所定に対応する登録経路管理番号とが関連付けられた登録情報を検索する処理といえ、また、(S21)、(S22)の処理は、発見したとき、登録要求されたIGP経路情報及び経路管理番号を関連付けて自己のデータベースに登録する処理といえ、また、(S23)の処理は、発見しなかったとき、当該登録を拒否する処理といえる。
【0050】
図6から明らかなように、経路データベースサーバ101及び閉域網ルータ1は、(S20)〜(S23)の処理を、閉域網ルータ1が設定するIGP経路情報の配信を開始する前に実行する。閉域網ルータ1の上記経路確認部は、(S23)の登録の拒否を受信したとき、上記ルーティング処理部に対して、その配信を停止する命令を送信し、(S20)〜(S22)の登録完了を受信したとき、その配信を開始する命令を送信する。
【0051】
図1(a)に示すように、「10.0.1.0/24:R2:000021」をレコードに含んだ登録情報、「10.0.2.0/24:R4:000018」をレコードに含んだ登録情報が経路データベースサーバ101のデータベースに登録されている状態で、ホストR4がIGP経路「10.0.1.0/24」を設定する場合を代表例として、AS100内部における経路ハイジャック検知及び経路ハイジャック予防を説明する。この例では、AS100内に新たに設定するIGP経路をホストR4が最初に発信するので、ホストR4が図6における閉域網ルータ1に相当する。
【0052】
図1(a)中に(経路追加1)で示すように、ホストR4が設定するIGP経路「10.0.1.0/24」は、R2が設定した正規のIGP経路「10.0.1.0/24」にとって経路ハイジャックになり得る誤設定である。ホストR4は、図中に(経路登録2)で示すように、IGP経路情報として「10.0.1.0/24」の登録を経路データベース101に要求する。ここで、ホストR4側にとって、既知の経路管理番号は「000018」しかなく、正規のIGP経路情報に固有かつ非公開に関連付けられた経路管理番号「000021」は未知である。このため、ホストR4側で「10.0.1.0/24:R4」に付し得る経路管理番号は、「000019」又は「010018」であり、いずれにせよ、登録経路情報「10.0.1.0/24」に関連付けられた経路管理番号「000021」に所定の規則に対応する「000022」又は「010021」を付すことができない。したがって、経路データベースサーバ101は、ホストR4からのIGP経路情報「10.0.1.0/24」の登録を拒否し、ホストR4に登録の拒否を送信する。したがって、仮に、ホストR4とホストR3間で図中の(経路交換3)が成立し、ホストR3のルーティング処理部が記憶部内のルーティングマップを書き換える反映処理を実行したとしても、経路データベースサーバ101、ホストR4のそれぞれにおいて、経路ハイジャックを検知することができる。
【0053】
特に、ホストR4が、ホストR3に誤設定のIGP経路情報を配信する前に、登録の拒否を受信し、その配信を停止するようになっているので、ホストR3が誤設定を反映することはない。したがって、実施形態によれば、AS100内部におけるIGP経路の経路ハイジャックを自動的に予防することができる。
【0054】
図6に示すように、(S20)〜(S22)のいずれかにより登録完了を受信した閉域網ルータ1の上記ルーティング処理部は、経路交換相手である閉域網ルータ2にルーティング情報を配信する(S30)。このルーティング情報は、IGPに従う情報なので、IGP経路情報、及び発信元である閉域網ルータ1のホスト名(IPアドレス)を含んでいる。
【0055】
閉域網ルータ2の経路確認部は、配信されたルーティング情報を自己のルーティング処理部で処理し、このルーティング情報に基づいて閉域網ルータ1が発信元ホストであるか否かを判定する。この判定は、発信元ホストである閉域網ルータ1が、閉域網ルータ2に隣接するか否かを判定するのと同じことである。実施形態では、AS100内部で複数のIGPを採用し得るので、閉域網ルータ2の経路確認部は、図8に示すように、各種のIGPに基づいて、ルーティング情報から順次に閉域網ルータ1が隣接するか否かを判定する(S31〜S34)。AS内部で採用し得るIGPがRIPとOSPFなので、閉域網ルータ2の経路確認部は、閉域網ルータ1から配信されたルーティング情報に含まれたRIPのHop数が「1」か否かを判定し、「1」のとき、隣接と判定し、「その他」のとき、次の種類のIGPであるOSPFに基く判定に移る(S31)。次に、閉域網ルータ2の経路確認部は、OSPFに含まれた自己のインターフェース(IF)と同一ネットワークのアドレスか否かを判定し、「同一」のとき、隣接と判定し、「その他」のとき、次の種類の判定に移る(S32)。図6の例では、閉域網ルータ1が隣接するため、閉域網ルータ2の経路確認部は、(S31)又は(S32)で「隣接」と判定することになる。閉域網ルータ2の経路確認部は、「隣接」と判定したとき、配信されたルーティング情報から、IGP経路情報の発信元を示すプレフィックス及びホスト名からなる発信元特定情報を取得する。閉域網ルータ1が配信したルーティング情報から、閉域網ルータ2の経路確認部が発信元特定情報を取得するので、閉域網ルータ2は、閉域網ルータ1から発信元特定情報を取得することになる。
【0056】
閉域網ルータ2の経路確認部は、経路データベースサーバ101に対して発信元特定情報の認証を要求する(S40)。
【0057】
経路データベースサーバ101は、図9に示すように、認証要求された発信元特定情報がIGP経路情報のものか、EGP経路情報のものかを判定する(S41)。(S41)の判定は、例えば、発信元特定情報にAS番号が含まれるか否かで判定することができる。これは、EGP経路情報の発信元特定情報が発信元を示すプレフィックス及びAS番号からなるためである。経路データベースサーバ101は、(S41)でIGP経路情報の発信元特定情報と判定したとき、自己のデータベースから、認証要求された発信元特定情報のプレフィックスに一致する登録経路情報を検索する(S42)。
【0058】
経路データベースサーバ101は、(S42)で発見しなかったとき、認証を拒否する処理と、その拒否を閉域網ルータ2に送信する処理とを実行する(S43)。一方、経路データベースサーバ101は、(S41)で登録経路情報を発見した場合、発見した登録経路情報に関連付けられたホスト名を含んだ登録情報の中に、認証要求された発信元特定情報に含まれたホスト名と同一のホスト名を含んだものの有無を判定し(S44)、「登録なし」のとき、認証を「拒否」し(S45)、「登録有」のとき、認証を「許可」する(S46)。(S42)及び(S44)からなる経路認証処理は、認証要求された発信元特定情報に一致する登録経路情報及びこれに関連付けられたホスト名を含んだ登録情報を検索する処理といえる。これは、閉域網ルータ2に配信されたIGP経路情報の発信元ホストの正当性を確認するのと同じことになる。また、(S46)の処理は、その検索で発見したとき、認証する処理といえ、(S45)の処理は、その検索で発見しなかったとき、認証を拒否する処理といえる。
【0059】
図6に示すように、(S46)で認証を受信した閉域網ルータ2の上記記憶部は、認証された発信元特定情報をルート発信元リストに登録する(S50)。その後、閉域網ルータ2の上記経路確認部は、ルーティング処理部にルーティング情報を反映する処理と、閉域網ルータ2の次段の経路交換相手であるAS境界ルータ3に対してルーティング情報を配信する処理とを命令する。次段のAS境界ルータ3は、上記(S32)で「その他」と判定したとき、経路交換相手である閉域網ルータ2が発信元ホストでない多段の経路交換と判定し、閉域網ルータ2のルート発信元リストから発信元特定情報を取得することができる(S33)。そして、次段のAS境界ルータ3及び経路データベースサーバ101の間でも、閉域網ルータ2から取得した発信元特定情報に基づいて(S34)以後の処理を実行することができる。図示例では、次段のAS境界ルータ3がAS内部における最終段のIGP経路交換相手でもあるので、(S34)〜(S50)までの処理となっている。
【0060】
図6の閉域網ルータ1と閉域網ルータ2間の経路交換と、閉域網ルータ2とAS境界ルータ3間の経路交換を対比すれば明らかなように、閉域網ルータ2と経路交換する閉域網ルータ1が発信元ホストのため、閉域網ルータ2が(S33)を省略する。このため、実施形態は、閉域網ルータ1と閉域網ルータ2間の(S30)後から(S31)や(S40)の開始までの間の処理時間を高速化することができる。
【0061】
図1(b)に示すように、「10.0.1.0/24:R2:000021」をレコードに含んだ登録情報、「10.0.2.0/24:R4:000018」をレコードに含んだ登録情報が経路データベースサーバ101のデータベースに登録されている状態で、ホストR2とホストR1との間でIGP経路「10.0.1.0/24」を経路交換する場合を代表例として、AS100内部における経路ハイジャック検知及び経路ハイジャック予防を説明する。この例では、AS100内に新たに設定するIGP経路をホストR2が最初に発信するので、図1(b)と図6の対比関係では、ホストR2が閉域網ルータ1に相当し、ホストR2の経路交換相手であるホストR1が閉域網ルータ2に相当し、この閉域網ルータ2と次段で経路交換する境界ホストR100がAS境界ルータ3に相当する。図1(b)中に(経路追加1)で示すように、ホストR2が設定するIGP経路情報「10.0.1.0/24」が図中に(経路登録2)で示すように経路データベースサーバ101のデータベースに登録されているので、図中に(経路交換3)で示すように、ホストR2は、ホストR1との経路交換のため、IGP経路情報「10.0.1.0/24」を配信することができる。
【0062】
図中に(経路認証4)に示すように、ホストR1は、経路交換相手が発信元ホストのため、ルーティング情報から取得した発信元特定情報の認証を経路データベースサーバ101に要求し、経路データベースサーバ101は、その認証又は認証の拒否をホストR1に送信する。この例では、配信されたIGP経路情報に一致する登録経路情報「10.0.1.0/24」と、これに関連付けられたホスト名R2を含んだレコードの登録情報が有るため、「認証」をホストR1に送信する。したがって、ホストR1は、ホストR2から配信された経路情報「10.0.1.0/24」を自己に反映する。仮に、ホストR1と経路交換するホストR3がIGP経路情報「10.0.1.0/24」をホストR1に誤配信したとしても、ホストR1がホストR3から取得した発信元特定情報を経路データベースサーバ101が認証することはなく、その認証の拒否により、経路データベースサーバ101、AS100内部で経路交換する受信側のホストR1のそれぞれにおいて、AS100内部における経路ハイジャックを検知することができる。
【0063】
特に、ホストR1は、誤設定で配信されたIGP経路情報を自己に反映する前に、経路データベースサーバ101から認証の拒否を受信することができる。このとき、その反映をホストR1が停止するので、AS100内部におけるIGP経路の経路ハイジャックを自動的に予防することができる。
【0064】
次に、図2に示す上位ネットワークの抜粋範囲を代表例として、上位ネットワークに属するAS100〜400のいずれかからEGP経路を経路管理サーバ10に登録する方法を説明する。その方法のシステムフローを例示する図10では、EGP経路を設定する境界ホストR100〜R400のいずれかをAS境界ルータ3とし、これの経路交換相手になる他の自律システムの境界ホストを他AS境界ルータ4(隣接)とし、AS境界ルータ3とAS境界ルータ4との経路交換以後に経路交換する次段の境界ホストを、他AS境界ルータ5(多段)としている。AS境界ルータ3が属するASの経路データベースサーバを、経路DB6(発信元)とし、他AS境界ルータ4が属するASの経路データベースサーバを、経路DB7(隣接)とし、他AS境界ルータ5が属するASの経路データベースサーバを、経路DB8(多段)としている。経路管理サーバ10のデータベースには、ASで設定を認める正規のEGP経路情報(プレフィックスとAS番号)が、最初の1回だけ、手動登録される。
【0065】
AS境界ルータ3は、設定するEGP経路のプレフィックスとAS番号とからなるEGP経路情報、及び当該EGP経路情報に付された経路識別情報の登録を経路データベースサーバ101に要求する(S10)。次に、経路DB6は、図7に示すように、登録要求された経路情報がAS間のEGP経路情報の登録か否かを判定する(S11)。例えば、AS番号を含んだ経路情報なので、経路DB6は、EGP経路情報の登録と判定する。
【0066】
経路DB6は、自己のデータベースから、登録要求されたEGP経路情報のプレフィックスに一致する登録プレフィックスを検索する(S100)。経路DB6は、NWタイプが「AS」と記述されたレコードの登録情報を検索対象として登録プレフィックスを検索する。
【0067】
(S100)の検索で、一致する登録プレフィックスを含んだ登録情報を発見した場合、経路DB6は、上記(S14、S15)の処理を行う。したがって、経路DB6は、登録要求されたEGP経路情報に付された経路管理番号が登録プレフィックスに関連付けられた登録経路管理番号に所定の規則で対応するとき、登録要求されたEGP経路情報を自己のデータベースに登録し(S20、S22、S23)、対応しなかったとき、登録を拒否する(S23)。所定の規則は、上記IGP経路情報を登録するときと同じに定まっている。
【0068】
一方、経路DB6は、(S100)の検索で、一致する登録プレフィックスを含んだ登録情報を発見しなかった場合、経路管理サーバ10に対して、登録要求されたEGP経路情報の認証を要求する(S101)。
【0069】
経路管理サーバ10は、図10、図11に示すように、EGP経路情報を登録する自己のデータベースから、認証要求されたEGP経路情報に一致する登録経路情報を検索し、発見した登録経路情報のプレフィックスと、経路DB6のIPアドレスとを比較する(S102)。登録経路情報は、最初に正規のEGP経路として認めるEGP経路情報として手動登録されている。したがって、AS境界でEGP経路の経路ハイジャックが発生し得るときは、経路管理サーバ10の登録経路情報を更新するときに一致する。このため、経路ハイジャックを検知、予防する必要があるとき、前記の検索において、認証要求されたEGP経路情報に一致する登録経路情報を発見することになる。
【0070】
(S102)の比較処理で、経路DB6のIPアドレスが、発見した登録経路情報のプレフィックスの範囲内にあるとき、経路管理サーバ10は、認証を許可する処理と、認証したEGP経路情報及び当該認証に用いたIPアドレスを関連付けて自己のデータベースに登録する処理と、経路DB6に認証を送信する処理とを実行する。また、経路DB6は、その認証を受信したとき、登録要求されたEGP経路情報及び経路識別情報、登録要求元のホスト名を関連付けて自己のデータベースに登録する(S103)。
【0071】
一方、(S102)の比較で範囲外のとき、経路管理サーバ10は、認証を「拒否」する処理と、経路DB6に認証の拒否を送信する処理とを実行する。また、経路DB6は、その認証の拒否を受信したとき、登録要求されたEGP経路情報の登録を拒否する(S104)。
【0072】
経路DB6は、登録要求されたEGP経路情報を登録するとき(S20、S21、S22、S103)、登録要求されたEGP経路情報、経路識別情報、及び登録要求元のホスト名を関連付けて自己のデータベースに登録する。
【0073】
AS境界ルータ3は、設定するEGP経路情報の配信前に(S104)で登録の拒否を受信することができる。このとき、AS境界ルータ3は、IGP経路情報のときと同じく、その配信を停止する(S105)。
【0074】
図2中に示すように、経路管理サーバ10のデータベースに登録経路情報が登録されている状態で、AS100の境界ホストR100がプレフィックス「10.0.0.0/16」に係るEGP経路を初めて設定する場合を代表例に考える。この例では、経路データベースサーバ101は、登録要求されたEGP経路情報「AS100 10.0.0.0/16」のプレフィックス「10.0.0.0/16」に一致する登録プレフィックスを発見できない。したがって経路データベースサーバ101は、経路管理サーバ10に対して、登録要求されたEGP経路情報の認証を要求する。経路管理サーバ10は、自己のデータベースから、認証要求されたEGP経路情報に一致する登録経路情報「10.0.0.0/16 AS100」を発見する。経路管理サーバ10は、発見した登録経路情報のプレフィックス「10.0.0.0/16」と、経路データベースサーバ101のIPアドレス「10.0.0.100」とを比較し、IPアドレス「10.0.0.100」がプレフィックス「10.0.0.0/16」の範囲内にあるので、認証を許可し、手動登録された登録経路情報「10.0.0.0/16 AS100」のレコードにIPアドレス「10.0.0.100」を書き込む。経路データベースサーバ101は、経路管理サーバ10から認証を受信したとき、登録要求されたEGP経路情報「10.0.0.0/16 AS100」、ホスト名「R100.hoge1.hoge1」、固有に決定した経路識別番号「000001」を含んだレコードを新規に登録する。
【0075】
一方、図中に(誤設定1)で示すように、AS400の境界ホストR400が、EGP経路「10.0.0.0/16 AS100」を設定する場合を代表例に考える。図中に(経路登録2)で示すように、AS400の経路データベースサーバ401は、登録プレフィックス「10.4.0.0/16」に係るEGP経路情報を登録するだけなので、登録要求されたEGP経路情報のプレフィックス「10.0.0.0/16」に一致する登録プレフィックスを発見できない。したがって、図中に(AS認証3)で示すように、経路データベースサーバ401は、経路管理サーバ10に対して、登録要求されたEGP経路情報の認証を要求する。経路管理サーバ10は、自己のデータベースから、認証要求されたEGP経路情報に一致する登録経路情報「10.0.0.0/16 AS100」を発見する。経路管理サーバ10は、発見した登録経路情報のプレフィックス「10.0.0.0/16」と、経路データベースサーバ401のIPアドレス「10.4.0.100」とを比較し、IPアドレス「10.4.0.100」がプレフィックス「10.0.0.0/16」の範囲外なので、図中に(認証拒否4)で示すように、認証を拒否し、経路データベースサーバ401に認証の拒否を送信する。経路データベースサーバ401は、図中に(登録拒否5)で示すように、その認証の拒否を受信したとき、当該登録を拒否する。したがって、境界ホストR400、経路管理サーバ10、経路データベースサーバ401のそれぞれにおいて、経路ハイジャックの発生を検知することができる。その登録の拒否により、経路データベースサーバ401、境界ホストR400のそれぞれにおいて、AS400境界における経路ハイジャックを検知することができる。
【0076】
特に、境界ホストR400のが、経路交換相手である境界ホストR300に誤設定のEGP経路情報を配信する前に、登録の拒否を受信し、図中に(配信停止6)で示すように、その配信を停止するので、境界ホストR300が誤設定を反映することはない。したがって、実施形態によれば、AS400境界における経路ハイジャックを自動的に予防することができる。
【0077】
また、上述のように、経路データベースサーバ101では、登録済みのプレフィックス「10.0.0.0/16」及び経路識別情報を用いて登録要求されたEGP経路の正当性を確認し、経路管理サーバ10では、登録済みのプレフィックス「10.0.0.0/16」及び認証要求元の経路データベースサーバ101のIPアドレス「10.0.0.100」を用いて認証するため、各サーバ101、10のデータベースには、プレフィックス「10.0.0.0/16」と、任意のAS番号の組合せでレコードに登録できる。したがって、各サーバ101、10のデータベースに「10.0.0.0/16 AS400」と登録することができ、これにより、AS400を用いたパンチングホールを経路ハイジャックと誤検知しないようにすることもできる。
【0078】
図10に示すように、(S103)、(S21)、(S22)のいずれかにより登録完了を受信したAS境界ルータ3の上記ルーティング処理部は、経路交換相手である他AS境界ルータ4にルーティング情報を配信する(S110)。このルーティング情報は、BGPに従う情報なので、EGP経路情報、及び発信元であるAS境界ルータ3のホスト名(IPアドレス)を含んでいる。
【0079】
他AS境界ルータ4の経路確認部は、配信されたルーティング情報を自己のルーティング処理部で処理し、このルーティング情報に基づいてAS境界ルータ3が発信元ホストであるか否かを判定する。この判定は、発信元ホストであるAS境界ルータ3が、他AS境界ルータ4に隣接するか否かを判定するのと同じことである。実施形態では、BGPを採用し得るので、他AS境界ルータ4の経路確認部は、図8に示すように、BGPのASパスに「ASリストが一つ」であるか否かで、隣接か否かを判定する(S111)。図10の例では、AS境界ルータ3が隣接するため、他AS境界ルータ4の経路確認部は、(S111)で「隣接」と判定することになる。
【0080】
他AS境界ルータ4の経路確認部は、「隣接」と判定したとき、配信されたルーティング情報からEGP経路情報の発信元を示すAS番号、プレフィックス及びホスト名からなる発信元特定情報を取得する(S112)。AS境界ルータ3が配信したルーティング情報から、他AS境界ルータ4の経路確認部が発信元特定情報を取得するので、他AS境界ルータ4はAS境界ルータ3から発信元特定情報を取得することになる。
【0081】
他AS境界ルータ4の経路確認部は、経路DB7に対して、経路管理サーバ10に登録済みのIPアドレスであって、かつ発信元特定情報のプレフィックスに一致する登録済みのプレフィックスに関連付けられたIPアドレスの送信を要求する(S113)。この経路データベース検索要求(S113)を受信した経路DB7は、図10、図12に示すように、自己のキャッシュに当該IPアドレスが存在するか否かを確認し、存在するとき、当該IPアドレスを他AS境界ルータ4に送信し、存在しなかったとき、経路管理サーバ10に当該登録済みのプレフィックスを送信し、経路管理サーバ10から当該IPアドレスの取得を試みる(S114)。経路管理サーバ10は、自己のデータベースから、その登録済みのプレフィックスと同一のプレフィックスを検索し、発見したとき、経路DB7に送信し、発見しなかったとき、送信を拒否する。経路DB7は、当該IPアドレスを経路管理サーバ10から取得することに成功したとき、当該IPアドレスを他AS境界ルータ4に送信し、失敗したとき、他AS境界ルータ4の経路確認部に対して送信を拒否する(S115)。
【0082】
他AS境界ルータ4の経路確認部は、経路DB7から当該IPアドレスを受信したとき、当該IPアドレスを割り当てられた経路DB6に対して、発信元特定情報の認証を要求する(S116)。
【0083】
図9、図10に示すように、経路DB6は、(S41)で、認証要求された発信元特定情報にAS番号が含まれるので、EGP経路情報のものと判定する。経路DB6は、自己のデータベースから、認証要求された発信元特定情報のプレフィックスに一致する登録プレフィックスを含んだ登録経路情報を検索する(S117)。経路DB6は、発見しなかったとき、認証を拒否する処理と、その拒否を他AS境界ルータ4に送信する処理とを実行する(S118)。一方、経路DB6は、(S117)で登録経路情報を発見したとき、(S44)で、発見した登録経路情報を含んだ登録情報の中に、認証要求された発信元特定情報に含まれたホスト名と同一のホスト名を含んだものが有るか無いかを判定し、「登録なし」のとき、認証を拒否し(S45)、「登録有」のとき、認証を許可する(S46)。(S117)及び(S44)からなる経路認証処理は、認証要求された発信元特定情報に一致する登録経路情報及びホスト名が関連付けられた登録情報を検索する処理といえる。これは、他AS境界ルータ4に配信されたEGP経路情報の発信元ホストの正当性を確認するのと同じことになる。また、(S46)の処理は、その検索で発見したとき、認証する処理といえ、(S118)及び(S45)の処理は、その検索で発見しなかったとき、認証を拒否する処理といえる。
【0084】
図10に示すように、(S46)で認証を受信した他AS境界ルータ4の上記記憶部は、認証された発信元特定情報をAS発信元リストに登録する(S119)。その後、他AS境界ルータ4の上記経路確認部は、ルーティング処理部にルーティング情報を反映する処理と、他AS境界ルータ4の次段の経路交換相手である他AS境界ルータ5に対してルーティング情報を配信する処理とを命令する。次段の他AS境界ルータ5は、上記(S111)で「その他」と判定したとき、他AS境界ルータ4が発信元ホストでない多段の経路交換と判定し、他AS境界ルータ4のAS発信元リストから発信元特定情報を取得することができる(S120)。そして、次段の他AS境界ルータ5及び経路DB8の間でも、他AS境界ルータ4から取得した発信元特定情報に基づいて(S110)以後の処理を実行することができる。
【0085】
AS境界ルータ3と他AS境界ルータ4間の経路交換と、他AS境界ルータ4と他AS境界ルータ5間の経路交換を対比すれば明らかなように、他AS境界ルータ4と経路交換するAS境界ルータ3が発信元ホストのため、他AS境界ルータ4が(S120)を省略する。このため、実施形態は、他AS境界ルータ4、5間でも処理時間を高速化することができる。
【0086】
他AS境界ルータ4、5は、配信されたルーティング情報のEGP経路情報を自己に反映する前に前記認証の拒否を受信し(S118)及び(S45)、その反映を停止する。
【0087】
図13中に示すように、経路管理サーバ10のデータベースに登録経路情報が登録されている状態で、図中に(誤設定1)、(配信2)で示すように、AS400の境界ホストR400がEGP経路「10.0.0.0/16 AS100」をAS300に配信する場合を代表例に考える。この例では、AS300の境界ホストR300は、経路データベースサーバ301にそのEGP経路情報を登録要求し、経路データベースサーバ301は、登録要求されたEGP経路情報「AS100 10.0.0.0/16」のプレフィックス「10.0.0.0/16」に一致する登録プレフィックスを発見できない。したがって、経路データベースサーバ301は、図中に(取得4)で示すように、経路管理サーバ10から、発信元特定情報のプレフィックス「10.0.0.0/16」に関連付けられたIPアドレス「10.0.0.100」を取得し、図中に(送信5)で示すように、AS300の境界ホストR300に送信する。境界ホストR300は、図中に(経路認証6)で示すように、IPアドレス「10.0.0.100」を割り当てられた経路データベースサーバ101に対して、発信元特定情報「10.4.0.0/16 AS400」、ホスト名「R400.hoge4.hoge4」の認証を要求する。図中に(拒否7)で示すように、経路データベースサーバ101は、自己のデータベースから、当該認証要求された発信元特定情報に一致する登録経路情報「AS100 10.0.0.0/16」を含んだレコードを発見するが、そのレコードのホスト名「R100.hoge1.hoge1」が発信元特定情報のホスト名「R400.hoge4.hoge4」と異なるため、発信元特定情報の認証を拒否する。その認証の拒否により、境界ホストR300、経路管理サーバ10、経路データベースサーバ301、101のそれぞれにおいて、AS300境界における経路ハイジャックを検知することができる。
【0088】
特に、境界ホストR300は、図中に(反映停止8)で示すように、誤設定で配信されたEGP経路情報を自己に反映する前に経路データベースサーバ101から認証の拒否を受信し、その反映を停止する。したがって、AS300境界におけるEGP経路の経路ハイジャックを自動的に予防することができる。
【0089】
次に、第二実施形態を図14に基づいて説明する。以下、上記実施形態との相違点を述べ、同一に考えられる構成要素の説明を省略し、同符号を用いる。図中に(誤設定1)で示すように、第二実施形態は、境界ホストR400にEGP経路を誤設定する場合を代表例として考える。境界ホストR400は、図中に(経路登録2)で示すように、設定するEGP経路情報のプレフィックスに属する経路データベースサーバ101に対して、設定するEGP経路情報の登録を要求する。境界ホストR400が経路データベースサーバ101のIPアドレスを取得する方法は、経路管理サーバを利用する、上位ネットワークのポリシーとして境界ホストR400に予め登録しておく等を適宜に採用することができる。
【0090】
登録要求先の経路データベースサーバ101は、図7に示したフローに従い、自己のデータベースから、登録要求されたEGP経路情報「AS100 10.0.0.0/16」に一致する登録経路情報を検索し、図13中に示す登録経路情報「AS100 10.0.0.0/16」を発見する。経路データベースサーバ101は、発見した登録経路情報「AS100 10.0.0.0/16」に関連付けられた登録経路識別情報「000001」と所定に対応する経路識別情報が登録要求されたEGP経路情報「AS100 10.0.0.0/16」に付されているか否かを判定する。AS100内外に対して非公開に管理された登録経路識別情報「000001」は同レコードの「AS100 10.0.0.0/16」に固有であり、他のAS400側で知ることはできない。経路データベースサーバ101は、登録要求されたEGP経路情報「AS100 10.0.0.0/16」に経路識別情報「000002」又は「010001」が付されていないため、図中に(登録拒否3)で示すように、登録要求されたEGP経路情報「AS100 10.0.0.0/16」の登録を拒否する。その登録の拒否により、境界ホストR400、経路データベースサーバ101のそれぞれにおいて、AS400境界における経路ハイジャックを検知することができる。AS400の経路データベースサーバや経路管理サーバの認証を利用して経路ハイジャックを検知するか否かによらず、経路ハイジャックの発生を検知することができる。また、図中に(経路配信4)で示すように、境界ホストR400は、設定するEGP経路情報の配信前に登録の拒否を受信し、配信を停止するので、経路ハイジャックを自動的に予防することができる。
【0091】
この発明の技術的範囲は、上述の実施形態に限定されず、特許請求の範囲の記載に基く技術的思想の範囲内での全ての変更を含むものである。
【符号の説明】
【0092】
R1〜R4、R100〜R400 ホスト
10 経路管理サーバ
101、301、401 経路データベースサーバ
【特許請求の範囲】
【請求項1】
自律システムに属するホストは、設定するIGP経路のプレフィックスからなるIGP経路情報、及び当該IGP経路情報に付された経路識別情報の登録を、当該自律システム内に設けられた経路データベースサーバに要求し、
当該経路データベースサーバは、IGP経路情報及びこれに固有かつ非公開の経路識別情報を関連付けて登録する自己のデータベースから、当該登録要求されたIGP経路情報に一致する登録経路情報と、当該登録要求された経路識別情報に所定に対応する登録経路識別情報とが関連付けられた登録情報を検索し、発見したとき、当該登録要求されたIGP経路情報及び経路識別情報を関連付けて当該自己のデータベースに登録し、発見しなかったとき、当該登録を拒否する経路ハイジャック検知方法。
【請求項2】
前記自律システムに属する境界ホストは、設定するEGP経路のプレフィックスとAS番号とからなるEGP経路情報、及び当該EGP経路情報に付された経路識別情報の登録を前記経路データベースサーバに要求し、
前記経路データベースサーバは、EGP経路情報及びこれに固有かつ非公開の経路識別情報を関連付けて登録する自己のデータベースから、当該登録要求されたEGP経路情報のプレフィックスに一致する登録プレフィックスを検索し、発見した場合、当該登録プレフィックスに関連付けられた登録経路識別情報と、当該登録要求された経路識別情報とが所定に対応するか否かを判定し、対応するとき、当該登録要求されたEGP経路情報及び経路識別情報を関連付けて当該自己のデータベースに登録し、対応しなかったとき、当該登録を拒否し、発見しなかった場合、前記自律システムの属する上位ネットワークに設けられた経路管理サーバに対して、当該登録要求されたEGP経路情報の認証を要求し、
当該経路管理サーバは、EGP経路情報を登録する自己のデータベースから、当該認証要求されたEGP経路情報に一致する登録経路情報を検索し、発見した登録経路情報のプレフィックスと、当該経路データベースサーバのIPアドレスとを比較し、当該IPアドレスが当該プレフィックスの範囲内にあるとき、認証し、範囲外のとき、認証を拒否し、
当該経路データベースサーバは、当該認証を受信したとき、当該登録要求されたEGP経路情報及び経路識別情報を関連付けて当該自己のデータベースに登録し、当該認証の拒否を受信したとき、当該登録を拒否する請求項1に記載の経路ハイジャック検知方法。
【請求項3】
前記経路データベースサーバは、前記登録要求されたEGP経路情報を登録するとき、当該登録要求元のホスト名を関連付けて前記自己のデータベースに登録し、
前記経路管理サーバは、前記認証したEGP経路情報及び当該認証に用いたIPアドレスを関連付けて前記自己のデータベースに登録し、
前記境界ホストは、経路交換相手から配信されたEGP経路情報の発信元を示すAS番号、プレフィックス及びホスト名からなる発信元特定情報を当該経路交換相手から取得する処理と、前記経路データベースサーバに対して、前記経路管理サーバに登録済みのIPアドレスであって、かつ当該発信元特定情報のプレフィックスに一致する登録済みのプレフィックスに関連付けられたIPアドレスの送信を要求する処理とを実行し、
当該経路データベースサーバは、当該IPアドレスを当該経路管理サーバから取得することに失敗したとき、当該送信を拒否し、
一方、当該境界ホストは、当該経路データベースサーバから当該IPアドレスを受信したとき、当該IPアドレスを割り当てられた経路データベースサーバに対して、当該発信元特定情報の認証を要求し、
当該認証要求先の経路データベースサーバは、EGP経路情報、これに固有かつ非公開の経路識別情報及びホスト名を関連付けて登録する自己のデータベースから、当該認証要求された発信元特定情報に一致する登録経路情報及びホスト名が関連付けられた登録情報を検索し、発見したとき、認証し、発見しなかったとき、認証を拒否する請求項2に記載の経路ハイジャック検知方法。
【請求項4】
前記境界ホストは、設定するEGP経路情報のプレフィックスに属する経路データベースサーバに対して、当該設定するEGP経路情報の登録を要求し、
当該登録要求先の経路データベースサーバは、EGP経路情報及びこれに固有かつ非公開の経路識別情報を関連付けて登録する自己のデータベースから、当該登録要求されたEGP経路情報に一致する登録経路情報を検索し、発見した場合、当該発見した登録経路情報に関連付けられた登録経路識別情報と所定に対応する経路識別情報が当該登録要求されたEGP経路情報に付されているか否かを判定し、付されていないとき、当該登録を拒否する請求項2又は3に記載の経路ハイジャック検知方法。
【請求項5】
前記境界ホストは、前記設定するEGP経路情報の配信前に、前記経路データベースサーバに対する登録要求を実行し、当該登録の拒否を受信したとき、その配信を停止する請求項2から4のいずれか1項に記載の経路ハイジャック検知方法。
【請求項6】
前記境界ホストは、前記配信されたEGP経路情報を自己に反映する前に、前記発信元特定情報の認証を要求する処理を実行し、前記認証の拒否を受信したとき、その反映を停止する請求項3に記載の経路ハイジャック検知方法。
【請求項7】
前記境界ホストは、前記設定するEGP経路情報の配信前に、前記登録要求先の経路データベースサーバに対する登録要求を実行し、当該登録の拒否を受信したとき、その配信を停止する請求項4に記載の経路ハイジャック検知方法。
【請求項8】
前記自律システムに属するホストは、経路交換相手から配信されたIGP経路情報の発信元を示すプレフィックス及びホスト名からなる発信元特定情報を当該経路交換相手から取得する処理と、前記経路データベースサーバに対して当該発信元特定情報の認証を要求する処理とを実行し、
前記経路データベースサーバは、前記自己のデータベースから、当該認証要求された発信元特定情報に一致する登録経路情報及びこれに関連付けられたホスト名を含んだ登録情報を検索し、発見したとき、認証し、発見しなかったとき、認証を拒否する請求項1から7のいずれか1項に記載の経路ハイジャック検知方法。
【請求項9】
前記自律システムに属するホストは、前記配信されたIGP経路情報を自己に反映する前に、前記発信元特定情報の認証を要求する処理を実行し、前記認証の拒否を受信したとき、その反映を停止する請求項8に記載の経路ハイジャック検知方法。
【請求項10】
前記自律システムに属するホストは、前記自己に設定するIGP経路情報の配信前に、前記経路データベースサーバに対する登録要求を実行し、当該登録の拒否を受信したとき、その配信を停止する請求項1から9のいずれか1項に記載の経路ハイジャック検知方法。
【請求項11】
前記経路交換相手が前記発信元のとき、前記発信元特定情報を取得する処理を省略する請求項3又は8に記載の経路ハイジャック検知方法。
【請求項1】
自律システムに属するホストは、設定するIGP経路のプレフィックスからなるIGP経路情報、及び当該IGP経路情報に付された経路識別情報の登録を、当該自律システム内に設けられた経路データベースサーバに要求し、
当該経路データベースサーバは、IGP経路情報及びこれに固有かつ非公開の経路識別情報を関連付けて登録する自己のデータベースから、当該登録要求されたIGP経路情報に一致する登録経路情報と、当該登録要求された経路識別情報に所定に対応する登録経路識別情報とが関連付けられた登録情報を検索し、発見したとき、当該登録要求されたIGP経路情報及び経路識別情報を関連付けて当該自己のデータベースに登録し、発見しなかったとき、当該登録を拒否する経路ハイジャック検知方法。
【請求項2】
前記自律システムに属する境界ホストは、設定するEGP経路のプレフィックスとAS番号とからなるEGP経路情報、及び当該EGP経路情報に付された経路識別情報の登録を前記経路データベースサーバに要求し、
前記経路データベースサーバは、EGP経路情報及びこれに固有かつ非公開の経路識別情報を関連付けて登録する自己のデータベースから、当該登録要求されたEGP経路情報のプレフィックスに一致する登録プレフィックスを検索し、発見した場合、当該登録プレフィックスに関連付けられた登録経路識別情報と、当該登録要求された経路識別情報とが所定に対応するか否かを判定し、対応するとき、当該登録要求されたEGP経路情報及び経路識別情報を関連付けて当該自己のデータベースに登録し、対応しなかったとき、当該登録を拒否し、発見しなかった場合、前記自律システムの属する上位ネットワークに設けられた経路管理サーバに対して、当該登録要求されたEGP経路情報の認証を要求し、
当該経路管理サーバは、EGP経路情報を登録する自己のデータベースから、当該認証要求されたEGP経路情報に一致する登録経路情報を検索し、発見した登録経路情報のプレフィックスと、当該経路データベースサーバのIPアドレスとを比較し、当該IPアドレスが当該プレフィックスの範囲内にあるとき、認証し、範囲外のとき、認証を拒否し、
当該経路データベースサーバは、当該認証を受信したとき、当該登録要求されたEGP経路情報及び経路識別情報を関連付けて当該自己のデータベースに登録し、当該認証の拒否を受信したとき、当該登録を拒否する請求項1に記載の経路ハイジャック検知方法。
【請求項3】
前記経路データベースサーバは、前記登録要求されたEGP経路情報を登録するとき、当該登録要求元のホスト名を関連付けて前記自己のデータベースに登録し、
前記経路管理サーバは、前記認証したEGP経路情報及び当該認証に用いたIPアドレスを関連付けて前記自己のデータベースに登録し、
前記境界ホストは、経路交換相手から配信されたEGP経路情報の発信元を示すAS番号、プレフィックス及びホスト名からなる発信元特定情報を当該経路交換相手から取得する処理と、前記経路データベースサーバに対して、前記経路管理サーバに登録済みのIPアドレスであって、かつ当該発信元特定情報のプレフィックスに一致する登録済みのプレフィックスに関連付けられたIPアドレスの送信を要求する処理とを実行し、
当該経路データベースサーバは、当該IPアドレスを当該経路管理サーバから取得することに失敗したとき、当該送信を拒否し、
一方、当該境界ホストは、当該経路データベースサーバから当該IPアドレスを受信したとき、当該IPアドレスを割り当てられた経路データベースサーバに対して、当該発信元特定情報の認証を要求し、
当該認証要求先の経路データベースサーバは、EGP経路情報、これに固有かつ非公開の経路識別情報及びホスト名を関連付けて登録する自己のデータベースから、当該認証要求された発信元特定情報に一致する登録経路情報及びホスト名が関連付けられた登録情報を検索し、発見したとき、認証し、発見しなかったとき、認証を拒否する請求項2に記載の経路ハイジャック検知方法。
【請求項4】
前記境界ホストは、設定するEGP経路情報のプレフィックスに属する経路データベースサーバに対して、当該設定するEGP経路情報の登録を要求し、
当該登録要求先の経路データベースサーバは、EGP経路情報及びこれに固有かつ非公開の経路識別情報を関連付けて登録する自己のデータベースから、当該登録要求されたEGP経路情報に一致する登録経路情報を検索し、発見した場合、当該発見した登録経路情報に関連付けられた登録経路識別情報と所定に対応する経路識別情報が当該登録要求されたEGP経路情報に付されているか否かを判定し、付されていないとき、当該登録を拒否する請求項2又は3に記載の経路ハイジャック検知方法。
【請求項5】
前記境界ホストは、前記設定するEGP経路情報の配信前に、前記経路データベースサーバに対する登録要求を実行し、当該登録の拒否を受信したとき、その配信を停止する請求項2から4のいずれか1項に記載の経路ハイジャック検知方法。
【請求項6】
前記境界ホストは、前記配信されたEGP経路情報を自己に反映する前に、前記発信元特定情報の認証を要求する処理を実行し、前記認証の拒否を受信したとき、その反映を停止する請求項3に記載の経路ハイジャック検知方法。
【請求項7】
前記境界ホストは、前記設定するEGP経路情報の配信前に、前記登録要求先の経路データベースサーバに対する登録要求を実行し、当該登録の拒否を受信したとき、その配信を停止する請求項4に記載の経路ハイジャック検知方法。
【請求項8】
前記自律システムに属するホストは、経路交換相手から配信されたIGP経路情報の発信元を示すプレフィックス及びホスト名からなる発信元特定情報を当該経路交換相手から取得する処理と、前記経路データベースサーバに対して当該発信元特定情報の認証を要求する処理とを実行し、
前記経路データベースサーバは、前記自己のデータベースから、当該認証要求された発信元特定情報に一致する登録経路情報及びこれに関連付けられたホスト名を含んだ登録情報を検索し、発見したとき、認証し、発見しなかったとき、認証を拒否する請求項1から7のいずれか1項に記載の経路ハイジャック検知方法。
【請求項9】
前記自律システムに属するホストは、前記配信されたIGP経路情報を自己に反映する前に、前記発信元特定情報の認証を要求する処理を実行し、前記認証の拒否を受信したとき、その反映を停止する請求項8に記載の経路ハイジャック検知方法。
【請求項10】
前記自律システムに属するホストは、前記自己に設定するIGP経路情報の配信前に、前記経路データベースサーバに対する登録要求を実行し、当該登録の拒否を受信したとき、その配信を停止する請求項1から9のいずれか1項に記載の経路ハイジャック検知方法。
【請求項11】
前記経路交換相手が前記発信元のとき、前記発信元特定情報を取得する処理を省略する請求項3又は8に記載の経路ハイジャック検知方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2011−216978(P2011−216978A)
【公開日】平成23年10月27日(2011.10.27)
【国際特許分類】
【出願番号】特願2010−80690(P2010−80690)
【出願日】平成22年3月31日(2010.3.31)
【出願人】(399041158)西日本電信電話株式会社 (215)
【Fターム(参考)】
【公開日】平成23年10月27日(2011.10.27)
【国際特許分類】
【出願日】平成22年3月31日(2010.3.31)
【出願人】(399041158)西日本電信電話株式会社 (215)
【Fターム(参考)】
[ Back to top ]