失効したルート鍵を持つ DNSSEC 検証サーバの挙動調査と対策についての一考察
スポンサーリンク
概要
- 論文の詳細を見る
DNSSEC は DNS のデータの完全性を確保するための仕組みであり、ルート含むドメインツリーの特定の点 (トラストアンカー) からその下位ドメインの鍵を連鎖的に署名することで、データの正当性を保証する。このとき、正当性の検証のために、トラストアンカーの公開鍵を DNS 帯域外の方法により検証するクライアント側に用意する必要がある。安全のため鍵は定期的に入れ替える必要があり、そのため、クライアントが既存の公開鍵の情報を用いてオンラインで新しい公開鍵を取得する方法について規格が定められている。しかし、機器が例えば長期間店頭在庫として保存されていた場合など、長期間オフラインになっていたとき、新しい鍵への交換ができなくなってしまう。このとき、すべての署名されたレコードは検証できなくなるためキャッシュもできず、DNS のトラフィックが爆発することが予想される。本研究では、そのような正当な鍵を所持できなくなった検証サーバの動作を調査し、またその際の解決手法について提案してテストベッドでの検証をおこなった。
- 2013-09-20
著者
-
石原 知洋
東京大学
-
櫨山 寛章
奈良先端科学技術大学院大学
-
関谷 勇司
東京大学
-
Sekiya Yuji
Graduate School Of Frontier Sciences The University Of Tokyo
-
Sekiya Yuji
The University Of Tokyo Graduate School Of Frontier Sciences
-
櫨山 寛章
奈良先端科学技術大学院大学情報科学研究科
関連論文
- セキュアなDNSの実現に向けて(平成21年度論文賞の受賞論文紹介)
- ネットワークエミュレーションテストベッドにおける仮想マシンを用いた資源割り当て問題に関する一考察 (技術と社会・倫理)
- ネットワークエミュレーションテストベッドを用いたオーバーレイネットワークアプリケーションの実験手法に関する一考察(ネットワーク研究開発テストベッド運用・利用,ネットワーク研究開発テストベッド運用・利用,一般)
- ネットワークエミュレーションテストベッドを用いた実OSPFトポロジ模倣システム (インターネットコンファレンス2009論文集)
- JGN2plusテストベッドネットワークでのバーチャルASホスティングサービスの検討(オーバーレイネットワーク技術,研究開発テストベッド構築・利用,一般)
- ライブトラフィックを用いた模倣インターネットの安定性の検証 (技術と社会・倫理)
- 悪意ファイル排除のためのP2P管理システム(ネットワークセキュリティ,自律分散ネットワーク,グリッドコンピューティング,VPN,DDoS,ネットワークセキュリティ,PAN,センサーネットワーク及び一般)
- B-6-118 P2Pファイル共有システムにおける悪意ファイル排除のための認証システム(B-6.ネットワークシステム,一般セッション)
- B-6-46 メタデータによるP2Pファイル共有システムのファイル汚染対策(B-6.ネットワークシステム,一般セッション)
- ライブトラフィックを用いた模倣インターネットの安定性の検証(経路制御技術,インターネットと情報倫理教育,一般)
- B-16-6 JGN2plusにおける仮想化インフラサービスの構築(B-16.インターネットアーキテクチャ,一般セッション)
- ネットワークエミュレーションテストベッドにおける仮想マシンを用いた資源割り当て問題に関する一考察(ネットワーク技術1,インターネットと情報倫理教育,一般)
- USAGIプロジェクトによるIPv6基本ソフトウェアの開発(インターネットアーキテクチャ技術論文特集)
- LinuxにおけるIPv6標準対応 : USAGI Projectの取り組み
- B-6-33 悪意ピアと悪意ファイルの排除機能をもつP2P管理システムの評価(B-6.ネットワークシステム,一般セッション)
- 光パケット網におけるBGPフロー集約型パケット多重化手法による衝突回路効果の評価(フォトニックネットワーク関連技術,一般)
- ライブトラフィックを用いた模倣インターネットの安定性の検証(経路制御技術,インターネットと情報倫理教育,一般)
- 模倣インターネット環境の構築--AS間ネットワーク構築の試行 (インターネットコンファレンス2007論文集)
- AnyBed : クラスタ環境に依存しない実験ネットワーク構築支援機構の設計と実装(資源管理)
- ネットワークエミュレーションテストベッドにおける仮想マシンを用いた資源割り当て問題に関する一考察(ネットワーク技術1,インターネットと情報倫理教育,一般)
- インターネットにおけるトレースバック・システムの ISP 環境を利用した事前実験
- NSPIXP : 大規模IXテストベッド(インターネットアーキテクチャ技術論文)
- 5. Lambda Networking : 広帯域ネットワーク利用の一形態(WIDEプロジェクトと最新インターネット技術研究動向)
- ISPのDNSサーバのDNSトラヒックの解析
- 大規模ネットワークトポロジーのための高速グラフ描画ツールセットの実装(インターネット運用・管理,一般)
- JGN2plus IaaSにおける仮想資源割り当てメタシステムの設計(ネットワーク研究開発テストベッド運用・利用,ネットワーク研究開発テストベッド運用・利用,一般)
- JGN2plusにおける運用 : 安定性とチャレンジ,テストベッドネットワークに対する運用面からの試み(JGN2plusテストベッド,研究開発テストベッド構築・利用,一般)
- 基準DNSサーバを利用したDNSのパフォーマンス測定並びに評価手法に関する研究(DNSシステム)(インターネットアーキテクチャ技術論文特集)
- Mesh of Treesトポロジにおけるトレースバックメッセージ伝達効率に関する一考察(一般,研究開発テストベッド構築・利用,一般)
- 実証実験に向けたIPトレースバックシステム導入シナリオに関する一考察(インターネット運用・管理技術,一般,インターネット運用・管理技術,一般)
- ワームの拡散遅延を目的とした検知・遮断機構の提案(セッション1-B : 侵入検知システム(1))
- ワームの拡散遅延を目的とした検知・遮断機構の提案(セッション1-B : 侵入検知システム(1))
- ワームの拡散遅延を目的とした検知・遮断機構の提案
- ソーシャルインターネットワークの提案(モバイルとインターネットの融合, 一般, インターネットと計測・セキュリティ関連)
- ソーシャルインターネットワークの提案(モバイルとインターネットの融合, 一般, インターネットと計測・セキュリティ関連)
- ソーシャルインターネットワークの提案(モバイルとインターネットの融合, 一般, インターネットと計測・セキュリティ関連)
- ソーシャルインターネットワークの提案
- 階層型IPトレースバック機構の評価(光ネットワーク構成技術,インターネット関連技術,及び一般)
- 階層型IPトレースバック機構の評価(光ネットワーク構成技術,インターネット関連技術,及び一般)
- MACトレースバック : Hash-Based IPトレースバック拡張方式の提案
- 連邦型クラウドにおける仮想マシンの効率的マイグレーションに関する研究(暗号、セキュリティ、一般,QoS制御,ネットワーク品質,IPv6,IPバックボーンネットワーク,ディペンダブルネットワーク,ネットワークモデル及び一般)
- IEEE802.11ワイヤレスネットワーク管理システムの構築と検証(インターネット運用技術)(インターネットアーキテクチャ技術論文特集)
- 階層型IPトレースバック機構の評価(光ネットワーク構成技術,インターネット関連技術,及び一般)
- MACトレースバック : Hash-Based IPトレースバック拡張方式の提案
- セキュリティを考慮した名前解決エージェントの設計と実装
- OSPFを利用したIP偽装パケット検知機能FSNの実現方法
- ISPネットワークにおけるIP偽装パケット検知機能FSNの実装(無線,ネットワーク,次世代ネットワーク,電灯線通信,一般)
- IP偽装フィルタリング機能の効果的な実装法(VPN, NAT,ネットワークセキュリティ,DDoS, P2P及び一般)
- M_019 ルーチング情報を用いたIP偽装検知(M分野:アーキテクチャ・ユビキタス・セキュリティ)
- ネットワークトポロジ情報を用いた効果的なIP偽装パケット検知手法(QoS及びトラヒック管理(2),ユビキタスネットワーク,モバイルネットワーク及び一般)
- 大学間クラウド環境の実現に向けて--教育と研究のためのインタークラウド (特集 クラウドを考える)
- Linux IPv6 Stack Implementation Based on Serialized Data State Processing(Implementation and Operation)(Internet Technology IV)
- The Mechanism for Scalable Registry System with Aggregatable Address Allocation on WIDE 6bone (Special Issue on Internet Technology and Its Applications)
- クラウドコンピューティングを用いた大規模コンテンツ配信基盤の構築と運用
- B-10-96 非同期光パケットリングにおける高帯域利用効率パケット選択方式(B-10.光通信システムB(光通信方式,光通信機器,デバイスのシステム応用,光通信網・規格),一般セッション)
- BS-12-23 Defending Ad Hoc Network from Black Hole Attack(BS-12. Network Planning, Control, and Management)
- The Effects of Server Placement and Server Selection for Internet Services
- BS-4-30 Multiple Channel Rebroadcasting for Alarm Message in Vehicular Ad Hoc Networks(BS-4. System, control and design technologies for emerging network)
- Cut-through rebroadcasting for curve scenarios in Vehicular Ad Hoc Networks (情報ネットワーク)
- BS-12-8 Alarm Message Broadcasting in Vehicular Ad Hoc Networks (VANETs)(BS-12. Network Planning, Control, and Management)
- Fast alarm message broadcasting in vehicular ad hoc networks (VANETs) (インターネットコンファレンス2008論文集)
- Virtual machine migration strategy in federated cloud (インターネットコンファレンス2010(IC2010)論文集)
- BS-10-8 Detecting and filtering method for IP spoofed packets by making use of topology information
- BS-4-29 Evaluation of Methods to Detect Black Hole Attack in MANET(BS-4. System, control and design technologies for emerging network)
- 動的依存性グラフを用いた障害原因解析の計算コスト削減に関する一考察
- 動的依存性グラフを用いた障害原因解析の計算コスト削減に関する一考察
- 実験環境でのプロファイル作成のためのデータ収集手法の基礎調査
- 実験環境でのプロファイル作成のためのデータ収集手法の基礎調査
- インターネットにおける隠蔽通信路の可能性とその検証についての一考察
- 光リングネットワークにおける帯域利用効率向上のためのパケットスケジューリング手法(フォトニックネットワーク関連技術,一般)
- マルチレイヤNDLを利用した仮想ネットワーク環境における仮想ルータ移動制御機構の提案(仮想化・テストベッド・ネットワーク運用技術,インターネットと環境・エコロジー,一般)
- DNSのセキュリティ対策と運用状況の調査ツール:DNSにおけるセキュリティ対策の現状
- BS-6-30 Auto-migration of Virtual Machine in the Federated Cloud Environment(BS-6. Planning, Control and Management on Networks and Services)
- 実用段階に入った次世代インターネット・プロトコル 「IPv6」によるネットワーク構築
- 隠蔽通信路検証フレームワークの設計と実装 (技術と社会・倫理)
- 隠蔽通信路検証フレームワークの設計と実装 (インターネットアーキテクチャ)
- Spoofing対策技術の研究 : IPアドレス詐称とフィッシングサイトの事例について (ネットワークセキュリティ特集) -- (トレーサブルネットワーク技術)
- マルチテナントクラウドコンピューティング : セキュリティ上の課題とアプローチ
- ピアツーピアによる協調型侵入検知システムの一検討 (インターネットアーキテクチャ)
- 囮サーバーで攻撃を局所に封じ込めることによるDDoS攻撃緩和手法の提案 (インターネットアーキテクチャ)
- マルチテナントクラウドコンピューティング : セキュリティ上の課題とアプローチ
- 隠蔽通信路検証フレームワークの設計と実装(NWセキュリティ,インターネットと情報倫理教育,一般)
- 隠蔽通信路検証フレームワークの設計と実装(NWセキュリティ,インターネットと情報倫理教育,一般)
- 実証実験に向けたIPトレースバックシステム導入シナリオに関する一考察
- 失効したルート鍵を持つ DNSSEC 検証サーバの挙動調査と対策についての一考察
- 囮サーバーで攻撃を局所に封じ込めることによるDDoS攻撃緩和手法の提案(学生セッション,学生セッション,一般)
- ピアツーピアによる協調型侵入検知システムの一検討(学生セッション,学生セッション,一般)
- 協調型侵入検知システム研究における実装負荷軽減のための実装テンプレートの提案(セキュリティ1,インターネットと情報倫理教育,一般)
- 協調型侵入検知システム研究における実装負荷軽減のための実装テンプレートの提案(セキュリティ1,インターネットと情報倫理教育,一般)
- LISPにおける二段階マップテーブルを用いたDDoS攻撃緩和方式の提案(セキュリティ1,インターネットと情報倫理教育,一般)
- 異種テストベッド間のテストベッド連携手法の提案(システム運用と管理1,インターネットと情報倫理教育,一般)
- 異種テストベッド間のテストベッド連携手法の提案(システム運用と管理1,インターネットと情報倫理教育,一般)
- LISPにおける二段階マップテーブルを用いたDDoS攻撃緩和方式の提案(セキュリティ1,インターネットと情報倫理教育,一般)
- 形式化アプローチによるルーティングプロトコルの安全性検証(ネットワーク評価,スマートグリッド,一般)
- IPv4/IPv6共存技術の現状とShowNetでの相互接続検証結果について(インターネット運用・管理,一般)
- IPバックボーンにおけるOpenFlowを使ったモニタリングネットワークの構築 : Interop Tokyo 2013におけるShowNet SDNの取り組み(ネットワーク監視,ネットワーク研究開発テストベッド運用・利用,一般)
- 隠蔽通信路検証フレームワークの設計と実装
- 隠蔽通信路検証フレームワークの設計と実装
- ローカルブローカー型テストベッド間連携フレームワークの提案(ネットワーク制御と分散システム,インターネットと情報倫理教育,一般)
- ローカルブローカー型テストベッド間連携フレームワークの提案(ネットワーク制御と分散システム,インターネットと情報倫理教育,一般)