動的な多重帰属制御を実現する ポリシーに基づいた VPN

動的な多重帰属制御を実現する
ポリシーに基づいた
VPN 分散管理手法の提案
木谷 友哉*,中村 嘉隆,木村 旭,
山口 広純,中田 明夫,東野 輝夫
*奈良先端科学技術大学院大学 情報科学研究科
大阪大学 大学院情報科学研究科
DICOMO2006 -6D4-
研究背景

VPN (Virtual Private Network)

地理的に離れた複数の拠点を,専用線の代わり
に公衆回線を用いて,安全に接続するサービス
A社
A社
大阪
サイト
札幌
公衆回線網
B社
東京
福岡
2006/ 7/ 7
B社
DICOMO2006 -6D4-
A社
2
多重帰属の要求

VPN の普及に伴い,
複数のVPNに帰属 (多重帰属) したい要求
自宅
便利
VPN のリンクを同
時に張る
阪大 東野研
公衆回線網
NAIST 伊藤研
2006/ 7/ 7
DICOMO2006 -6D4-
3
多重帰属による情報漏洩

多重帰属しているサイトをゲートウェイとした情報漏
洩の可能性
あ,保存場所間違えた!
自宅
阪大 東野研
公衆回線網
故意もしくは
過失による情報漏洩
2006/ 7/ 7
NAIST 伊藤研
DICOMO2006 -6D4-
4
多重帰属による情報漏洩

多重帰属しているサイトをゲートウェイとした情報
漏洩の可能性
バックグラウンドで定
期的な情報送信
自宅
マルウェア
阪大 東野研
マルウェア等による
公衆回線網
情報漏洩
NAIST 伊藤研
いつもどおりの
作業中
2006/ 7/ 7
DICOMO2006 -6D4-
5
間接的接続関係での情報漏洩
マルウェアなどによる自動化された情報中継では,多
段にわたって情報が漏洩する可能性がある
A社VPNにも
B社VPNにも
B社 VPN

多重帰属
多重帰属
A社 VPN
公衆回線網
A社情報
2006/ 7/ 7
C社 VPN
DICOMO2006 -6D4-
6
多重帰属による情報漏洩

ライバル会社とは間接的にでも接続したくない!!
B自動車部品メーカ
A自動車会社
公衆回線網
A社情報
C自動車会社
2006/ 7/ 7
DICOMO2006 -6D4-
7
VPN の帰属ポリシ

一般に VPN で接続されるサイト間には,帰属受理
に関する条件 (ポリシ) がある
ポリシを充足したサイトのみ帰属可能

ポリシ: 暗号化,パスワード etc.

従来は,あるサイトが, VPN に帰属要求を出す場
合,そのサイトがその VPN のポリシを満たすかだ
けを判定し,帰属の可否を決定

多重帰属による情報漏洩を考慮すると,間接的な
帰属に関する制御も必要
2006/ 7/ 7
DICOMO2006 -6D4-
8
従来の VPN アーキテクチャ

多重帰属への対応

あらかじめ静的に競合するサイトの組 (禁止リスト)
を定義し,それに基づいて判断 or 手動で対応
 間接的な接続関係
 多重帰属により動的に接続状況が変わること
は考慮されていない
2006/ 7/ 7
DICOMO2006 -6D4-
9
研究目的

ポリシで指定したサイトへの情報漏洩を
防ぐ帰属制御を自動で行う VPN 分散管理手
法の提案

課題
 ポリシ/接続状況の管理
 帰属要求の処理 (ポリシの判定)
 ポリシに反しない帰属制御を行うことの保証
2006/ 7/ 7
DICOMO2006 -6D4-
10
基にする VPN アーキテクチャ


各サイトには CE (カスタマエッジ) ルータが備えられ,
PE (プロバイダエッジ) ルータと接続
 プロバイダ提供型 VPN ベース
サイト間の通信は既存の VPN プロトコルを使用
PE
サイトA
公衆回線網
サイトB
CE
各 PE は所属する CE のポリシ (禁止リスト) を管理
2006/ 7/ 7
DICOMO2006 -6D4-
11
帰属関係の定義

サイト s の集合を S : s  S

VPN 全体の集合 V = 2S

一つの VPN は サイトの集合からなる

ある二つの VPN v1, v2 が 多重帰属関係 にあるとは
$s  v1  v2 が成立することをいう

多重帰属関係にある VPN,およびそれに属する
サイト間は 到達可能 であるという
v1,v2が多重帰属関係∧ v2,v3が多重帰属関係
⇒ reachable(v1, v3)

到達可能な VPN の集合を到達可能な VPN 群 と呼ぶ
2006/ 7/ 7
DICOMO2006 -6D4-
12
対象とするポリシの定義

サイト s のポリシ Policy(s)
 到達可能であってはいけないサイトの集合

サイト s のポリシが満たされる
 reachable(s,s’) を満たす s’  Policy(s) は
存在しない

本手法で判定するポリシは,サイト間の
不可達条件のみとする
2006/ 7/ 7
DICOMO2006 -6D4-
13
提案手法の概要

VPN の管理
1. 到達可能な VPN 群の管理
 各サイトの接続状況の収集
2. 帰属要求への対応
 ポリシの判定
 帰属受理/ 拒否
2006/ 7/ 7
DICOMO2006 -6D4-
14
PE による VPN 群の管理アイデア
多重帰属するサイト
VPN vB
VPN vA
公衆回線網
VPN vC
2006/ 7/ 7
VPN vD
DICOMO2006 -6D4-
15
PE による VPN 群の管理アイデア
到達可能なVPN群
{vA,vB,vC}
VPN vB
VPN vA
全てのサイトは PE
公衆回線網
を介して接続
2006/ 7/ 7
PE は接続された
サイトのポリシを管理
VPN vD
DICOMO2006 -6D4-
VPN vC
16
PE による VPN 群の管理アイデア
到達可能なVPN群
{vA,vB,vC}
VPN vA
到達可能な VPN 群のサイトが
VPN vB
所属する PE の集合に径の小さな
PE オーバレイネットワークを設定
公衆回線網
2006/ 7/ 7
VPN
v
全ての PE Cを
巡る必要はない
VPN vD
DICOMO2006 -6D4-
17
PE による VPN 群の管理アイデア
到達可能なVPN群
{vA,vB,vC}
VPN vB
VPN vA
公衆回線網
PE のオーバレイ
ネットワークは到
達可能なVPN 群
ごとに設定
2006/ 7/ 7
到達可能なVPN群
VPN vC
{vD}
VPN vD
DICOMO2006 -6D4-
18
ポリシ/接続状況の収集
到達可能なVPN群
{vA,vB,vC}
結果の収集!
VPN vB
Propagation of Information
with Feedback
VPN vA
公衆回線網
VPN 群の全てのポ
リシを集められること
が保証できる
2006/ 7/ 7
VPN vC
中間ノードは子ノードに中継し,全
ての子ノードからの返信と自分の
返信を集約して返信
VPN vD
DICOMO2006 -6D4-
19
帰属要求への対応 (基本アイデア)
(1) 要求元/先の VPN 群の接続
状況 (サイトリスト) の収集
vA に帰属
したい
VPN群 {vA, vB}
VPN群 {vC}
2006/ 7/ 7
DICOMO2006 -6D4-
20
帰属要求への対応 (基本アイデア)
(3) 各 PE に属する CE のポリシを相手のサイト
リストが満たすかローカルに判定
(2) 要求元/先の
サイトリストの交換
vA に帰属
したい
VPN群 {vA, vB}
VPN群 {vC}
2006/ 7/ 7
DICOMO2006 -6D4-
21
帰属要求への対応 (基本アイデア)
(3) 各 PE に属する CE のポリシを相手のサイト
リストが満たすかローカルに判定
負荷分散
全ての子から yes が返って
くると親に yes を返信,それ
以外は no を返信
vA に帰属
したい
VPN群 {vA, vB}
VPN群 {vC}
2006/ 7/ 7
DICOMO2006 -6D4-
22
帰属要求への対応 (基本アイデア)
(4) 両方 yes だと,帰属
受理,それ以外は拒否
vA に帰属
したい
VPN群 {vA, vB}
VPN群 {vC}
2006/ 7/ 7
DICOMO2006 -6D4-
23
帰属要求が衝突する場合

前の帰属要求の処理中に新たな帰属要求が発生する
ことが考えられる
Lamport のタイムスタンプを導入

要求先の VPN 群が異なる場合は並行に処理可能
等しい場合は,タイムスタンプが新しい要求には no を
返す



二つの要求が VPN 群の両端から起こったとしても,中央で
新しいほうの要求には no が返る
一つでも no が返ると帰属拒否されるため,帰属制御の追い
越しは起こらない
2006/ 7/ 7
DICOMO2006 -6D4-
24
PE の状態の更新

帰属要求を受理した場合


サイトが VPN 群から離脱した場合


要求元 VPN 群のPE オーバレイネットワークと帰属先
VPN 群の PE オーバレイネットワークを連結にするリンク
を張る
各 VPN 群の PE オーバレイネットワークが非連結になる
場合は,その PE は属するサイトがその VPN 群に帰属し
ていなくてもオーバレイネットワークに留まる
PE オーバレイネットワークの再構築

分散環境上でトポロジの組み換えについては既知のアル
ゴリズムを利用する
2006/ 7/ 7
DICOMO2006 -6D4-
25
提案手法の定性的評価

安全性の保証はあるが,活性の保証はない



帰属要求が競合により拒否された場合は再要求
一般に VPN の接続要求頻度は低いため,連続して拒否
される可能性は低い
禁止リストの存在により VPN 群のサイズは制限さ
れる


2006/ 7/ 7
VPN 群に含まれる PE 数 ≪ 全 PE 数
禁止リストのサイズが全 CE 数の a/100 % の場合,CE 数
n の VPN 群が存在する確率 P(a,n)
P(a,n) = (1-a)n(n-1)
DICOMO2006 -6D4-
26
まとめ

まとめ



他サイトの帰属状況に応じて VPN の多重帰属
制御を効率的に行える分散管理手法の提案
多重帰属に必要な PE 間のみで情報交換を行う
ことで判定のための情報を効率的かつ正確に収
集可能
今度の課題



2006/ 7/ 7
提案手法の定量的評価
サイトの離脱が起こったときの PE オーバレイ
ネットワークの分割法
VPN アプリケーションのプロトタイプの実装
DICOMO2006 -6D4-
27
2006/ 7/ 7
DICOMO2006 -6D4-
28
2006/ 7/ 7
DICOMO2006 -6D4-
29
到達可能な VPN 群の定義
間接的に接続されている VPN の集合を
到達可能な VPN 群 と呼ぶ
VPN vA
2
到達可能なVPN群

5
{vA,vB,vC}
10
4
7
VPN vD
VPN vC
1
13
12
11
9
14
VPN vB
3
8
2006/ 7/ 7
6
DICOMO2006 -6D4-
到達可能なVPN群 {vD}
30