インターネットにおけるルーチングの役割とは、送信元から宛先までパケットを転送することである。転送するにあたって必要なことは各ルータにおいて同じ転送先データベースを共有するということであり、これは本質的には分散データベースの一つであるということができる。

これにもとづき、われわれはインターネットにおけるルーチングを分散データベースという観点から整理した。整理にあたって次のタイプを定義した。(1)staticかdynamicであるか、(2)sourceがinboundかoutboundか、(3)Client ServerかPeer to Peer形式か、タイプに続いて評価指標となるメトリックを以下のように定義した。(a)scalability, (b)convergence, (c)consistency, (4)redundancy.これらのタイプとメトリックを基にして、われわれは、現在インターネットにおいて広く利用されているルーチングプロトコルである、static, RIP, OSPF, BGPについてその比較・評価をおこなった。

この評価を通じてOSPF (Open Short Path First)がもっともルーチングプロトコルとしてパフォーマンスに優れていることがわかった。その一方、ドメイン間経路制御ルーチングプロトコルとして事実上の標準となっているBGP (Border Gateway Protocol)は、convergenceおよびconsistencyにおいてOSPFに劣っている。そこで、われわれは、(a)なぜBGPはconvergenceおよびconsistencyが弱いのか、これを克服するアプローチはあるのか、という点に焦点を絞り議論した。

BGPは、パスベクター型ルーチングプロトコルであり、その挙動を有向グラフG=(V,E) Vは、AS(自律システム)の集合、EはそれぞれのASのピア関係として表現することができる。それぞれのピアASは、BGP Updateとして差分情報を近隣ASと交換する。そのUpdateにはAS-PATH(経由したASのリスト), next-hop(次の宛先), local preference(優先度)そしてプレフィックスが含まれている。BGPのオペレーションもでるでは、このAS-PATH r1.as_path(Va,Vb...Vn)に対して、経路を生成するAS(オリジンAS)であるVaが同一であることが仮定されている。BGPのプロトコル仕様が策定されたのは1980年代であり、この時代ではすべてのユーザがお互いの信頼を保証していたため、Vaが同一であることを仮定することは当然のことであった。しかしながら、インターネットの発展は、様々なステークホルダーの登場などもありユーザが多様化してきた。セキュリティホールをついた攻撃もこの多様化したユーザの一つの例であり、BGPもすべてのオリジンASが同一であるという仮定が機能しなくなってきているといえる。

オリジンASが同一であるとの仮定を崩す明らかな例としてブラックホール問題がある。これは、本来プレフィックスを生成すべきASではなく、他のASがそのプレフィックスを広告してしまう現象であり、最終的にはパケットが到達できなくなってしまう。では、どうしたらこの問題を解決できるのか。そのアプローチとしてわれわれは第3者によるプレフィックス認証が必要であると考える。

第3者によるプレフィックス認証として、(a) IRR (Internet Routing Registry), (b) S-BGP (Secure BGP), (c)NLRI DNSの3種類が候補としてあげることができる。プレフィックス認証は、BGPとともに動作すべきものである。BGPとともに動作するためには、前述したrouting requirementを満たす必要がある。これらの3つの候補をrouting requirementsによって評価した結果、IRRが普及しやすさということがもっとも考慮されており、われわれはIRRを用いたプレフィックス認証について検討した。

IRRを用いたプレフィックス認証を検討するにあたって、問題点となることが(1)スケーラビリティの確保、(2)IRRの登録率の問題である。(1)に関しては、IRRは中央サーバによって管理されているためにそのスケーラビリティは考慮されていない。これに関しては、DNSのようなIANAを頂点とした階層構造を導入することによってスケーラブルなアーキテクチャーを提案した。(2)に関しては、IRRには実際の経路情報が登録されていないという指摘がある、ではどれくらい登録されているのか、どの程度登録されていないのかについて定量的に評価した。

これらを通じて、本研究において、(1)分散データベースの観点によるルーチングプロトコルの体系化、(2)BGPにおけるConsistencyを改善する手段としてプレフィックス認証メカニズムの提案、(3)IRRによるプレフィックス認証機能の実現、の3点に焦点をあてた。これによりインターネットにおけるグローバルなルーチング情報の管理が可能になる。

本論文は、「Global Routing Information Management for Internet System」(和訳:インターネットシステムにおけるグローバルなルーチング情報管理に関する研究)と題し、インターネットにおけるルーチングアーキテクチャを広域分散データベースシステムの視点から整理、その要求事項に基づいてBGP(Border Gateway Protocol)における経路情報の整合性を改善・向上するアーキテクチャの提案をおこなっている。本論文は、6章から成り立っており、広域分散データベースシステムの視点からインターネットアーキテクチャおよびルーチングシステムの分析、さらにこの知見を基にしてグローバルインターネットシステムの経路制御プロトコルであるBGPを分析・評価し、さらに、IRR(Internet Routing Registry)を利用したインターネットルーチングシステムにおける整合性の改善・向上を実現するアーキテクチャの提案をおこなっている。本論文の新規性としては、(1)従来のインターネットルーチングプロトコルは、個別の技術課題を比較的アド・ホックに解決してきていたが、本論文で、広域分散データベースシステムの視点からインターネットルーチングプロトコル設計と改善に関するエンジニアリング的な指針を提供したこと、(2)インタードメインにおける整合性の欠如を上記の視点に基づき指摘し、その整合性を改善・向上するアーキテクチャの提案をしたこと、の2点に集約することができる。

　第1章では、「Background」として、現在のインターネットアーキテクチャとして問題点を2点述べている。(1)現状のインターネットルーチングは、様々な問題が指摘されているが、この問題を"dirty hack"とよばれるアド・ホックな手法で解決していること、(2)インターネットアーキテクチャは、誕生してから30年もの年月が経過したが、30年前と現在とは利用するコミュニティが変化したにもかかわらず、現状のルーチングとして本質的な違いはないことの2点を指摘している。

　第2章では、「Analysis of Internet Architecture」として、インターネットアーキテクチャの分析をおこなっている。インターネットアーキテクチャのゴールは、transparencyを提供することであり、そのアーキテクチャとしてのゴールは、基本的には、広域分散データベースシステムと同じである。ゆえに、本論文ではインターネットアーキテクチャを広域分散データベースシステムの一種であると仮定し、この仮定が正しければ、広域分散データベースシステムにおける要求事項をインターネットアーキテクチャも同様に満たすことができることを検証している。分散データベースの要求事項とは(1)location (2)duplication,(3)fragment,(4)failure transparency,(5)functionに対してtransparencyを提供することであり、これをインターネットアーキテクチャに適用した場合、(4)のfailureはルーチングプロトコルに依存するがそれ以外は満たされることを証明している。

　第3章では、「Analysis of Internet Routing Architecture」として、failureにたいするtransparencyはインターネットルーチングアーキテクチャに依存することを指摘し、個別のインターネットルーチングアーキテクチャの分析をおこなっている。その分類手法として分散データベースにおける分類方法を用いている。分類手法とは、(Type)VerticalかHorizontalか、(type2)OutbandかInbandか、およびそのタイプから引き出されたメトリックである(1)Scalability,(2)Redundancy,(3)Consistency,(4)Convergenceである。この分類の結果、convergence, consistency, redundancyではリンクステート方式のOSPFが、scalabilityではBGPが優れていることを指摘している。

　第4章では、「Analysis of BGP」として、BGPに関する分析をおこなっている。BGPがscalabilityに関して優れているのは、horizontal形式のルーチングプロトコルであるにも関わらず、scalability面で優れているのは、そのoperationがTier1を頂点とした緩やかなverticalな方式(loose vertical)になっていると指摘している。すなわち、これによってscalabilityが確保されている一方、looseゆえにrootからのauthorizationができないことを明らかにしている。Authorizationの欠如は、権限のないASが別のASが所有するプレフィックスを広告することが可能であることを意味し、本論文ではその例としてprefix hijackingをあげている。Authorizationの欠如の本質的な原因として、インターネットにおける信頼モデルの変化を指摘している。すなわち、BGPが設計された当初はインターネットにおけるコミュニティはユーザーも管理者もすべて同じコミュニティであったがゆえにauthorizationをする必要性がなかった、しかし現在ではインターネットの発展にともないコミュニティも多様化し、authorizationが必要になってきていることを指摘している。そして、本論文では第3者によるprefix authorizationの必要性を主張している。

　第5章では、「Design of Prefix Authorization Architecture」として、前章で指摘したprefix authorizationの要求事項の整理、およびアーキテクチャの提案をおこなっている。Prefix authorizationとして、(1)S-BGP,(2)NLRI-DNS,(3)IRRが現時点での候補として挙げられている。BGPと協調して動作するためには、prefix authorizationもルーチングプロトコルの要求事項を満たす必要があり、その整理を本論文ではおこなっている。その結果、DNS-NLRIがもっとも優れていることを指摘しているが、deploymentの観点からDNS-NLRIを普及することは困難だとして、IRR(Internet Routing Registry)を用いたprefix authorizationを提案している。

　第6章では、「Conclusion」としていままでの議論をまとめ、今後の課題について述べている。

　以上のように、本論文は、(1)分散データベースの視点から、インターネットルーチングプロトコルとは、(type)Vertical/Horizontal, Inband, Outbandおよび(Metric)Scalability, Redundancy, Consistency, Convergenceという制約条件の中でデザインされていることを検証し、今後のルーチングプロトコルデザインの指標を提供したこと、(2)BGPはloose verticalなゆえにauthorizationができないためにconsistencyが欠如しており、このconsistencyを改善向上するアーキテクチャを提案したこと、の2点は従来の手法にはない手法であり、インターネットコミュニティおよび情報理工学分野に対する貢献は少なくない。

　よって、本論文は、博士(情報理工学)の学位論文として合格と認められる。