優先度制御機構

柔軟な優先度制御が可能な
キャンパス間無線LANローミング
○渡辺俊貴，木下峻一，後藤英昭，曽根秀昭
東北大学サイバーサイエンスセンター
2012年5月24日(木)
第31回インターネット技術
第163委員会研究会 -ITRC meet311
発表の流れ
• 研究背景
• SPおよびIdP機関のアクセスポリシーを反映可能な
アクセス制御システム
• 柔軟な優先度制御が可能なキャンパス間無線LANローミング
• まとめ
2
研究背景
• 無線LANインフラの普及
• 学生や研究者が機関間を移動する機会の増加
– 大学間単位互換制度・講義，国際会議，研究会
⇒機関間ローミングへの需要が高まっている．
機関A
機関B
訪問
3
無線LANローミング基盤(1/2)
• eduroam
– ヨーロッパのTERENAで提案された無線LANローミング基盤
• ヨーロッパのほか，アメリカ，カナダ，アジア太平洋地域で導入が進む．
• 日本には，２００６年に東北大学が初導入し，運用・開発の責任校となる．
• http://www.eduroam.org/
※TERENA：Trans-European Research and Education Networking Association
4
無線LANローミング基盤(2/2)
• IEEE802.1X認証とRADIUSプロキシツリーの組合せによりローミングを実現
– 所属機関で発行されたアカウントを使い訪問先からネットワークに接続
– RADIUSプロキシツリーを介して利用者のホーム機関で認証
• realm（RADIUS packetの転送先の決定に利用される情報）を参照して転送先
を決定
RADIUS Access-Request
RADIUS Access-Response
EAP
packet
ID： [email protected]
realm
RADIUS
proxies
Top level
RADIUS
proxy
RADIUS
proxy
Institution A
Access
point
RADIUS
proxy
Institution B
RADIUS
server
SP (Service Provider)
RADIUS
server
IdP
(Identity Provider)
5
無線LANローミングにおける課題とアクセス制御
• ニーズの多様化やセキュリティへの関心の高まりにともない，
より柔軟なアクセス制御が必要
– 外部からの訪問者に対しても，必要に応じて訪問先機関のローカル
リソースにアクセスを許可
• ネットワークプリンタ，ファイルサーバ等
– インターネット上の特定サイトへのアクセスやサービスの利用を制限
• 違法な動画サイト等
SPおよびIdP機関のポリシーを反映可能なアクセス制御システム
ユーザの属性に応じて各種リソースへのアクセスやサービス利用の
許可/禁止を細かく柔軟に設定可能
6
未解決の課題と研究目的
• 課題
– 利用者の増加にともない，アクセス可否だけでなくユーザの属性に
応じて通信の優先度を柔軟に設定する必要がある．
• 授業等で利用するファイルサーバに対して，教員が優先的に資料にア
クセスできるよう，教員に帯域を割り当てる．
• 研究会等のアクセスポイントからは，プログラム表や論文データが
置いてあるサーバへのアクセスを最優先
• 研究目的
– ユーザの属性情報やあて先等に応じた通信の優先度制御の実現
アプローチ
ユーザ認証時に取得可能なユーザ情報と，
パケットヘッダの情報を基に優先度を設定する．
7
SPおよびIdP機関のポリシーを反映可能な
アクセス制御システム
• IdP機関からユーザ情報やアクセスポリシー情報を取得し，
各ユーザに対して柔軟にアクセス権限を設定するシステム
– SP側でユーザの所属機関を把握
– IdP側はRADIUS packet内に以下の属性情報を含めてSPに返信
• ユーザのカテゴリ情報(学生/教員，学年，等)
• IdP側のアクセスポリシー
(自機関のユーザに対して，アクセス許可/禁止するリソースの情報)
SP側は，取得したユーザ情報に基づき，細かく柔軟にアクセス権限を設定
Identify user’s
affiliation
RADIUS
(SP)
・Category information
・IdP’s access policy
RADIUS
Proxies
RADIUS
(IdP)
8
SPおよびIdP機関のポリシーを反映可能な
アクセス制御システム
• IdP機関からユーザ情報やアクセスポリシー情報を取得し，
各ユーザに対して柔軟にアクセス権限を設定するシステム
– SP側でユーザの所属機関を把握
– IdP側はRADIUS packet内に以下の属性情報を含めてSPに返信
• ユーザのカテゴリ情報(学生/教員，学年，等)
• IdP側のアクセスポリシー
(自機関のユーザに対して，アクセス許可/禁止するリソースの情報)
各ユーザの属性情報に応じて，アクセスの可否だけでなく
SP側は，取得したユーザ情報に基づき，細かく柔軟にアクセス権限を設定
通信の優先度制御も重要
Identify user’s
affiliation
RADIUS
(SP)
・Category information
・IdP’s access policy
RADIUS
Proxies
RADIUS
(IdP)
9
優先度制御システムの概要
• 柔軟な優先度制御が可能な無線LANローミングシステム
– 認証システムと連携し，ユーザ単位，フロー単位で通信の優先度を
制御を行う．
[優先度制御のアプローチ]
– 1)ユーザ認証時：
• IdPからユーザの属性情報を取得することでユーザ情報を把握
– 2)データ通信時：
• データの通信内容を把握
– ユーザがアクセスしてきたアクセスポイント(AP)の設置場所
– パケットのあて先
– 3)収集したユーザの属性情報および通信内容を基に，その通信
（フロー）に対する優先度を設定
10
優先度の定義
• 本提案システムでは，以下の2種類の優先度を想定
– 数値で設定
• 1)各機関が独自に自由に定義できる数値
• 2)既存プロトコルで利用できる数値
– TOS(Type of service)フィールド，DSCP(Differentiated services
code point), CoS(Class of service)対応
– 帯域(平均/最大割り当て帯域など)で指定
11
優先度制御システムのまとめ
• ユーザの属性情報やあて先等に応じて優先度を設定する
システム
優先度の判断基準
優先度の定義
認証時に取得できる
ユーザ属性情報(所属，カテゴリ等)
割り当て帯域を決定
パケットのあて先
優先度数値を決定
アクセスポイントの設置場所
・決定された優先度を既存の優先度制御プロトコル(既存フィールド等)に落とし込む．
・独自の優先度の指標をソフトウェア/ハードウェア的に制御する仕組みを追加する．
⇒具体的な実現例として，まずはOpenFlowを利用したシステムを検討
12
OpenFlow
• OpenFlow
– データプレーンとコントロールプレーンが
独立したネットワーク制御技術
• OpenFlow Controller(OFC)が集中的に
経路制御等を行う．
Control-plane
OpenFlow
Controller
OpenFlow
protocol
packet
– VLAN数の制限やコストの問題を解決
– 適宜通知されるIdPのアクセスポリシーを
即座に反映可能
OpenFlow Switches
Data-plane
– 優先度制御システムでは，OFCに優先度情報を通知し
– OFCが各OFSに優先度制御ルールを反映させることで，フロー
単位の優先度制御を実現
13
優先度制御の実現案（動作概要）(1/3)
• 優先度制御の処理の流れ
– (1)SPはあらかじめ優先度ポリシーを定義(Priority DB)
• 取得可能なユーザの属性情報やあて先・AP情報と，それに対応する
優先度のマッピング情報
優先度制御機構
Priority DB
OpenFlow
Controller
RADIUS
proxies
RADIUS server
OpenFlow
Switches
Service
server
Internet
RADIUS
server
AP
Roaming user
SP-side
IdP-side
14
優先度制御の実現案（動作概要）(2/3)
• 優先度制御の処理の流れ
– (2)ユーザ認証時にレルム(所属情報)，カテゴリ情報を取得
– (3)通信時にAP情報，パケットのあて先情報を取得
優先度制御機構
・カテゴリ情報
・realm（所属）
・・・・
Priority DB
[ユーザのカテゴリ情報]
OpenFlow
Controller
RADIUS
proxies
RADIUS server
[realm]
OpenFlow
Switches
Service
server
Internet
RADIUS
server
AP
Roaming user
SP-side
IdP-side
15
優先度制御の実現案（動作概要）(2/3)
• 優先度制御の処理の流れ
– (2)ユーザ認証時にレルム(所属情報)，カテゴリ情報を取得
– (3)通信時にAP情報，パケットのあて先情報を取得
優先度制御機構
・パケットの宛先
・送信元AP
・・・・
・カテゴリ情報
・realm（所属）
・・・・
Priority DB
OpenFlow
Controller
RADIUS
proxies
RADIUS server
OpenFlow
Switches
Service
server
Internet
RADIUS
server
AP
Roaming user
SP-side
IdP-side
16
優先度制御の実現案（動作概要）(3/3)
• 優先度制御の処理の流れ
– (4)取得した情報を基に，そのパケットの優先度を決定
– (5)決定した優先度ルールをOpenFlow Switchに通知
優先度制御機構
優先度
・パケットの宛先
・送信元AP
・・・・
・カテゴリ情報
・realm（所属）
・・・・
Priority DB
OpenFlow
Controller
RADIUS
proxies
setting
RADIUS server
OpenFlow
Switches
Service
server
Internet
RADIUS
server
AP
Roaming user
SP-side
IdP-side
17
今後の検討項目
• 優先度制御における詳細部分の検討
– 複数の優先度が混在する場合の調整基準
– IdP側からの優先度指定の考慮
– 優先度制御に有効な属性情報の検討
• 具体的な機器による実現方法
– 優先度制御に必要な機器
– 制御対象のネットワークの範囲
18
まとめ
• 柔軟な優先度制御が可能なキャンパス間無線LANローミング
– ユーザ認証時にIdPからユーザの属性情報を取得
– データ通信時にあて先やAPの設置場所を確認
– 収集した情報を基に優先度を設定
• [今後の課題]
– 優先度制御における詳細部分の検討
– 具体的な機器による実現方法
19
謝辞
• 本研究の一部は，総務省の委託研究「情報通信ネットワーク
の耐災害性強化のための研究開発（大規模災害においても
通信を確保する対災害ネットワーク管理制御技術の研究開
発）」プロジェクトで実施された．
20

Download Report