柔軟な優先度制御が可能な キャンパス間無線LANローミング ○渡辺俊貴,木下峻一,後藤英昭,曽根秀昭 東北大学サイバーサイエンスセンター 2012年5月24日(木) 第31回インターネット技術 第163委員会研究会 -ITRC meet31-
発表の流れ 研究背景 SPおよびIdP機関のアクセスポリシーを反映可能な アクセス制御システム 柔軟な優先度制御が可能なキャンパス間無線LANローミング まとめ
研究背景 無線LANインフラの普及 学生や研究者が機関間を移動する機会の増加 ⇒機関間ローミングへの需要が高まっている. 大学間単位互換制度・講義,国際会議,研究会 ⇒機関間ローミングへの需要が高まっている. 機関A 機関B 訪問
無線LANローミング基盤(1/2) eduroam ヨーロッパのTERENAで提案された無線LANローミング基盤 ヨーロッパのほか,アメリカ,カナダ,アジア太平洋地域で導入が進む. 日本には,2006年に東北大学が初導入し,運用・開発の責任校となる. http://www.eduroam.org/ ※TERENA:Trans-European Research and Education Networking Association
ID: user@institutionB.jp 無線LANローミング基盤(2/2) IEEE802.1X認証とRADIUSプロキシツリーの組合せによりローミングを実現 所属機関で発行されたアカウントを使い訪問先からネットワークに接続 RADIUSプロキシツリーを介して利用者のホーム機関で認証 realm(RADIUS packetの転送先の決定に利用される情報)を参照して転送先を決定 Top level RADIUS proxy RADIUS Access-Request RADIUS Access-Response RADIUS proxies RADIUS proxy RADIUS proxy EAP packet Institution A Institution B Access point RADIUS server RADIUS server ID: user@institutionB.jp SP (Service Provider) IdP (Identity Provider) realm
無線LANローミングにおける課題とアクセス制御 ニーズの多様化やセキュリティへの関心の高まりにともない,より柔軟なアクセス制御が必要 外部からの訪問者に対しても,必要に応じて訪問先機関のローカル リソースにアクセスを許可 ネットワークプリンタ,ファイルサーバ等 インターネット上の特定サイトへのアクセスやサービスの利用を制限 違法な動画サイト等 SPおよびIdP機関のポリシーを反映可能なアクセス制御システム ユーザの属性に応じて各種リソースへのアクセスやサービス利用の 許可/禁止を細かく柔軟に設定可能
パケットヘッダの情報を基に優先度を設定する. 未解決の課題と研究目的 課題 利用者の増加にともない,アクセス可否だけでなくユーザの属性に 応じて通信の優先度を柔軟に設定する必要がある. 授業等で利用するファイルサーバに対して,教員が優先的に資料にアクセスできるよう,教員に帯域を割り当てる. 研究会等のアクセスポイントからは,プログラム表や論文データが 置いてあるサーバへのアクセスを最優先 研究目的 ユーザの属性情報やあて先等に応じた通信の優先度制御の実現 アプローチ ユーザ認証時に取得可能なユーザ情報と, パケットヘッダの情報を基に優先度を設定する.
SPおよびIdP機関のポリシーを反映可能な アクセス制御システム IdP側はRADIUS packet内に以下の属性情報を含めてSPに返信 ユーザのカテゴリ情報(学生/教員,学年,等) IdP側のアクセスポリシー (自機関のユーザに対して,アクセス許可/禁止するリソースの情報) SP側は,取得したユーザ情報に基づき,細かく柔軟にアクセス権限を設定 Identify user’s affiliation ・Category information ・IdP’s access policy RADIUS (SP) RADIUS Proxies RADIUS (IdP)
SPおよびIdP機関のポリシーを反映可能な アクセス制御システム IdP側はRADIUS packet内に以下の属性情報を含めてSPに返信 ユーザのカテゴリ情報(学生/教員,学年,等) IdP側のアクセスポリシー (自機関のユーザに対して,アクセス許可/禁止するリソースの情報) 各ユーザの属性情報に応じて,アクセスの可否だけでなく 通信の優先度制御も重要 SP側は,取得したユーザ情報に基づき,細かく柔軟にアクセス権限を設定 Identify user’s affiliation ・Category information ・IdP’s access policy RADIUS (SP) RADIUS Proxies RADIUS (IdP)
優先度制御システムの概要 柔軟な優先度制御が可能な無線LANローミングシステム [優先度制御のアプローチ] 認証システムと連携し,ユーザ単位,フロー単位で通信の優先度を 制御を行う. [優先度制御のアプローチ] 1)ユーザ認証時: IdPからユーザの属性情報を取得することでユーザ情報を把握 2)データ通信時: データの通信内容を把握 ユーザがアクセスしてきたアクセスポイント(AP)の設置場所 パケットのあて先 3)収集したユーザの属性情報および通信内容を基に,その通信 (フロー)に対する優先度を設定 ネットワーク状況やユーザの周辺環境に応じて,度的に優先度を変更可能!!って書きたいけれど,今はそこまで議論していないし, 今回の発表では書かない方が無難かと思われる.
優先度の定義 本提案システムでは,以下の2種類の優先度を想定 数値で設定 帯域(平均/最大割り当て帯域など)で指定 1)各機関が独自に自由に定義できる数値 2)既存プロトコルで利用できる数値 TOS(Type of service)フィールド,DSCP(Differentiated services code point), CoS(Class of service)対応 帯域(平均/最大割り当て帯域など)で指定
認証時に取得できる ユーザ属性情報(所属,カテゴリ等) 優先度制御システムのまとめ ユーザの属性情報やあて先等に応じて優先度を設定する システム 優先度の判断基準 優先度の定義 認証時に取得できる ユーザ属性情報(所属,カテゴリ等) 割り当て帯域を決定 パケットのあて先 優先度数値を決定 アクセスポイントの設置場所 実現方針 APごとに異なる優先度ポリシーを設定できる機能 授業の教室設置のAP,研究会用APからの通信は特別なポリシー (OFSのインポートで区別など) ・決定された優先度を既存の優先度制御プロトコル(既存フィールド等)に落とし込む. ・独自の優先度の指標をソフトウェア/ハードウェア的に制御する仕組みを追加する. ⇒具体的な実現例として,まずはOpenFlowを利用したシステムを検討
OpenFlow OpenFlow 優先度制御システムでは,OFCに優先度情報を通知し データプレーンとコントロールプレーンが 独立したネットワーク制御技術 OpenFlow Controller(OFC)が集中的に 経路制御等を行う. VLAN数の制限やコストの問題を解決 適宜通知されるIdPのアクセスポリシーを 即座に反映可能 優先度制御システムでは,OFCに優先度情報を通知し OFCが各OFSに優先度制御ルールを反映させることで,フロー単位の優先度制御を実現 OpenFlow Controller Control-plane OpenFlow protocol packet OpenFlow Switches Data-plane 適宜通知されるIdPのアクセスポリシーを即座に反映可能 ・現時点で,どの部分がOpenFlowを利用することが適しているかはきちんと考えておいた方がいいね. 正直,OFだけで実現可能とは思っていないkら,100%これだけという方針にはしたくないが, 一応使う以上は,どの点が適しているかをきちんと言えるように. 既存研究のアクセス制御システムでOpenFlowを利用していたので,それの使い回しだけではあまり説得力がないよね.
優先度制御の実現案(動作概要)(1/3) 優先度制御の処理の流れ (1)SPはあらかじめ優先度ポリシーを定義(Priority DB) 取得可能なユーザの属性情報やあて先・AP情報と,それに対応する 優先度のマッピング情報 優先度制御機構 Priority DB OpenFlow Controller Internet RADIUS proxies RADIUS server OpenFlow Switches RADIUS server Service server AP Roaming user IdP-side SP-side
優先度制御の実現案(動作概要)(2/3) 優先度制御の処理の流れ (2)ユーザ認証時にレルム(所属情報),カテゴリ情報を取得 (3)通信時にAP情報,パケットのあて先情報を取得 優先度制御機構 ・カテゴリ情報 ・realm(所属) ・・・・ Priority DB OpenFlow Controller [ユーザのカテゴリ情報] Internet RADIUS proxies RADIUS server [realm] OpenFlow Switches RADIUS server Service server AP Roaming user IdP-side SP-side
優先度制御の実現案(動作概要)(2/3) 優先度制御の処理の流れ (2)ユーザ認証時にレルム(所属情報),カテゴリ情報を取得 (3)通信時にAP情報,パケットのあて先情報を取得 優先度制御機構 ・パケットの宛先 ・送信元AP ・・・・ ・カテゴリ情報 ・realm(所属) ・・・・ Priority DB OpenFlow Controller Internet RADIUS proxies RADIUS server OpenFlow Switches RADIUS server Service server AP Roaming user IdP-side SP-side
優先度制御の実現案(動作概要)(3/3) 優先度制御の処理の流れ (4)取得した情報を基に,そのパケットの優先度を決定 (5)決定した優先度ルールをOpenFlow Switchに通知 優先度制御機構 ・パケットの宛先 ・送信元AP ・・・・ ・カテゴリ情報 ・realm(所属) ・・・・ Priority DB 優先度 OpenFlow Controller Internet RADIUS proxies setting RADIUS server OpenFlow Switches RADIUS server Service server AP Roaming user IdP-side SP-side
今後の検討項目 優先度制御における詳細部分の検討 具体的な機器による実現方法 複数の優先度が混在する場合の調整基準 IdP側からの優先度指定の考慮 優先度制御に有効な属性情報の検討 具体的な機器による実現方法 優先度制御に必要な機器 制御対象のネットワークの範囲
まとめ 柔軟な優先度制御が可能なキャンパス間無線LANローミング [今後の課題] ユーザ認証時にIdPからユーザの属性情報を取得 データ通信時にあて先やAPの設置場所を確認 収集した情報を基に優先度を設定 [今後の課題] 優先度制御における詳細部分の検討 具体的な機器による実現方法
謝辞 本研究の一部は,総務省の委託研究「情報通信ネットワークの耐災害性強化のための研究開発(大規模災害においても通信を確保する対災害ネットワーク管理制御技術の研究開発)」プロジェクトで実施された.