DNSSEC導入のためのCPU負荷解析と大規模Authoritativeサーバの実現手法

辻野 大輔 (0051062)


今日のインターネット上では,ホスト名からIPアドレスへの名前解決のために 分散データベースであるDomain Name System(DNS)が用いられる.ところ が,DNSはスプーフィングと呼ばれる攻撃に対して脆弱である.そのため, 公開鍵暗号系を用いたデジタル署名によって,応答が正しいネームサーバか らのものであるかを認証するDNS Security Extensions (DNSSEC)が提案さ れている.しかし,実際にDNSSECを導入すると,認証処理のオーバーヘッド によりDNSサーバの負荷の増加が問題となる.そこで本研究では,ネームサー バの負荷を定量的に評価する.評価においては,負荷をネットワーク負荷, CPU負荷に分類する.その結果,CPU負荷が問題となることを示す.次に, DNSSECにおける2種類のネームサーバでのそれぞれのCPU負荷の性能評価を行 う.評価の結果,このうちAuthoritativeサーバと呼ばれるサーバの負荷が 問題となることを示す.さらに,Authoritativeサーバの負荷のうちゾーン ファイル生成処理が支配的であるため,ゾーンファイル生成処理を並列化し, 生成時間を短縮する手法を提案する.また,その生成時間を近似することに より,大規模なゾーンを管理するネームサーバのCPU数が生成時間に与える 影響を明らかにする.