動的な多重帰属制御を実現する ポリシーに基づいた VPN 分散管理手法の提案 木谷 友哉*,中村 嘉隆,木村 旭, 山口 広純,中田 明夫,東野 輝夫 *奈良先端科学技術大学院大学 情報科学研究科 大阪大学 大学院情報科学研究科 DICOMO2006 -6D4- 研究背景 VPN (Virtual Private Network) 地理的に離れた複数の拠点を,専用線の代わり に公衆回線を用いて,安全に接続するサービス A社 A社 大阪 サイト 札幌 公衆回線網 B社 東京 福岡 2006/ 7/ 7 B社 DICOMO2006 -6D4- A社 2 多重帰属の要求 VPN の普及に伴い, 複数のVPNに帰属 (多重帰属) したい要求 自宅 便利 VPN のリンクを同 時に張る 阪大 東野研 公衆回線網 NAIST 伊藤研 2006/ 7/ 7 DICOMO2006 -6D4- 3 多重帰属による情報漏洩 多重帰属しているサイトをゲートウェイとした情報漏 洩の可能性 あ,保存場所間違えた! 自宅 阪大 東野研 公衆回線網 故意もしくは 過失による情報漏洩 2006/ 7/ 7 NAIST 伊藤研 DICOMO2006 -6D4- 4 多重帰属による情報漏洩 多重帰属しているサイトをゲートウェイとした情報 漏洩の可能性 バックグラウンドで定 期的な情報送信 自宅 マルウェア 阪大 東野研 マルウェア等による 公衆回線網 情報漏洩 NAIST 伊藤研 いつもどおりの 作業中 2006/ 7/ 7 DICOMO2006 -6D4- 5 間接的接続関係での情報漏洩 マルウェアなどによる自動化された情報中継では,多 段にわたって情報が漏洩する可能性がある A社VPNにも B社VPNにも B社 VPN 多重帰属 多重帰属 A社 VPN 公衆回線網 A社情報 2006/ 7/ 7 C社 VPN DICOMO2006 -6D4- 6 多重帰属による情報漏洩 ライバル会社とは間接的にでも接続したくない!! B自動車部品メーカ A自動車会社 公衆回線網 A社情報 C自動車会社 2006/ 7/ 7 DICOMO2006 -6D4- 7 VPN の帰属ポリシ 一般に VPN で接続されるサイト間には,帰属受理 に関する条件 (ポリシ) がある ポリシを充足したサイトのみ帰属可能 ポリシ: 暗号化,パスワード etc. 従来は,あるサイトが, VPN に帰属要求を出す場 合,そのサイトがその VPN のポリシを満たすかだ けを判定し,帰属の可否を決定 多重帰属による情報漏洩を考慮すると,間接的な 帰属に関する制御も必要 2006/ 7/ 7 DICOMO2006 -6D4- 8 従来の VPN アーキテクチャ 多重帰属への対応 あらかじめ静的に競合するサイトの組 (禁止リスト) を定義し,それに基づいて判断 or 手動で対応 間接的な接続関係 多重帰属により動的に接続状況が変わること は考慮されていない 2006/ 7/ 7 DICOMO2006 -6D4- 9 研究目的 ポリシで指定したサイトへの情報漏洩を 防ぐ帰属制御を自動で行う VPN 分散管理手 法の提案 課題 ポリシ/接続状況の管理 帰属要求の処理 (ポリシの判定) ポリシに反しない帰属制御を行うことの保証 2006/ 7/ 7 DICOMO2006 -6D4- 10 基にする VPN アーキテクチャ 各サイトには CE (カスタマエッジ) ルータが備えられ, PE (プロバイダエッジ) ルータと接続 プロバイダ提供型 VPN ベース サイト間の通信は既存の VPN プロトコルを使用 PE サイトA 公衆回線網 サイトB CE 各 PE は所属する CE のポリシ (禁止リスト) を管理 2006/ 7/ 7 DICOMO2006 -6D4- 11 帰属関係の定義 サイト s の集合を S : s S VPN 全体の集合 V = 2S 一つの VPN は サイトの集合からなる ある二つの VPN v1, v2 が 多重帰属関係 にあるとは $s v1 v2 が成立することをいう 多重帰属関係にある VPN,およびそれに属する サイト間は 到達可能 であるという v1,v2が多重帰属関係∧ v2,v3が多重帰属関係 ⇒ reachable(v1, v3) 到達可能な VPN の集合を到達可能な VPN 群 と呼ぶ 2006/ 7/ 7 DICOMO2006 -6D4- 12 対象とするポリシの定義 サイト s のポリシ Policy(s) 到達可能であってはいけないサイトの集合 サイト s のポリシが満たされる reachable(s,s’) を満たす s’ Policy(s) は 存在しない 本手法で判定するポリシは,サイト間の 不可達条件のみとする 2006/ 7/ 7 DICOMO2006 -6D4- 13 提案手法の概要 VPN の管理 1. 到達可能な VPN 群の管理 各サイトの接続状況の収集 2. 帰属要求への対応 ポリシの判定 帰属受理/ 拒否 2006/ 7/ 7 DICOMO2006 -6D4- 14 PE による VPN 群の管理アイデア 多重帰属するサイト VPN vB VPN vA 公衆回線網 VPN vC 2006/ 7/ 7 VPN vD DICOMO2006 -6D4- 15 PE による VPN 群の管理アイデア 到達可能なVPN群 {vA,vB,vC} VPN vB VPN vA 全てのサイトは PE 公衆回線網 を介して接続 2006/ 7/ 7 PE は接続された サイトのポリシを管理 VPN vD DICOMO2006 -6D4- VPN vC 16 PE による VPN 群の管理アイデア 到達可能なVPN群 {vA,vB,vC} VPN vA 到達可能な VPN 群のサイトが VPN vB 所属する PE の集合に径の小さな PE オーバレイネットワークを設定 公衆回線網 2006/ 7/ 7 VPN v 全ての PE Cを 巡る必要はない VPN vD DICOMO2006 -6D4- 17 PE による VPN 群の管理アイデア 到達可能なVPN群 {vA,vB,vC} VPN vB VPN vA 公衆回線網 PE のオーバレイ ネットワークは到 達可能なVPN 群 ごとに設定 2006/ 7/ 7 到達可能なVPN群 VPN vC {vD} VPN vD DICOMO2006 -6D4- 18 ポリシ/接続状況の収集 到達可能なVPN群 {vA,vB,vC} 結果の収集! VPN vB Propagation of Information with Feedback VPN vA 公衆回線網 VPN 群の全てのポ リシを集められること が保証できる 2006/ 7/ 7 VPN vC 中間ノードは子ノードに中継し,全 ての子ノードからの返信と自分の 返信を集約して返信 VPN vD DICOMO2006 -6D4- 19 帰属要求への対応 (基本アイデア) (1) 要求元/先の VPN 群の接続 状況 (サイトリスト) の収集 vA に帰属 したい VPN群 {vA, vB} VPN群 {vC} 2006/ 7/ 7 DICOMO2006 -6D4- 20 帰属要求への対応 (基本アイデア) (3) 各 PE に属する CE のポリシを相手のサイト リストが満たすかローカルに判定 (2) 要求元/先の サイトリストの交換 vA に帰属 したい VPN群 {vA, vB} VPN群 {vC} 2006/ 7/ 7 DICOMO2006 -6D4- 21 帰属要求への対応 (基本アイデア) (3) 各 PE に属する CE のポリシを相手のサイト リストが満たすかローカルに判定 負荷分散 全ての子から yes が返って くると親に yes を返信,それ 以外は no を返信 vA に帰属 したい VPN群 {vA, vB} VPN群 {vC} 2006/ 7/ 7 DICOMO2006 -6D4- 22 帰属要求への対応 (基本アイデア) (4) 両方 yes だと,帰属 受理,それ以外は拒否 vA に帰属 したい VPN群 {vA, vB} VPN群 {vC} 2006/ 7/ 7 DICOMO2006 -6D4- 23 帰属要求が衝突する場合 前の帰属要求の処理中に新たな帰属要求が発生する ことが考えられる Lamport のタイムスタンプを導入 要求先の VPN 群が異なる場合は並行に処理可能 等しい場合は,タイムスタンプが新しい要求には no を 返す 二つの要求が VPN 群の両端から起こったとしても,中央で 新しいほうの要求には no が返る 一つでも no が返ると帰属拒否されるため,帰属制御の追い 越しは起こらない 2006/ 7/ 7 DICOMO2006 -6D4- 24 PE の状態の更新 帰属要求を受理した場合 サイトが VPN 群から離脱した場合 要求元 VPN 群のPE オーバレイネットワークと帰属先 VPN 群の PE オーバレイネットワークを連結にするリンク を張る 各 VPN 群の PE オーバレイネットワークが非連結になる 場合は,その PE は属するサイトがその VPN 群に帰属し ていなくてもオーバレイネットワークに留まる PE オーバレイネットワークの再構築 分散環境上でトポロジの組み換えについては既知のアル ゴリズムを利用する 2006/ 7/ 7 DICOMO2006 -6D4- 25 提案手法の定性的評価 安全性の保証はあるが,活性の保証はない 帰属要求が競合により拒否された場合は再要求 一般に VPN の接続要求頻度は低いため,連続して拒否 される可能性は低い 禁止リストの存在により VPN 群のサイズは制限さ れる 2006/ 7/ 7 VPN 群に含まれる PE 数 ≪ 全 PE 数 禁止リストのサイズが全 CE 数の a/100 % の場合,CE 数 n の VPN 群が存在する確率 P(a,n) P(a,n) = (1-a)n(n-1) DICOMO2006 -6D4- 26 まとめ まとめ 他サイトの帰属状況に応じて VPN の多重帰属 制御を効率的に行える分散管理手法の提案 多重帰属に必要な PE 間のみで情報交換を行う ことで判定のための情報を効率的かつ正確に収 集可能 今度の課題 2006/ 7/ 7 提案手法の定量的評価 サイトの離脱が起こったときの PE オーバレイ ネットワークの分割法 VPN アプリケーションのプロトタイプの実装 DICOMO2006 -6D4- 27 2006/ 7/ 7 DICOMO2006 -6D4- 28 2006/ 7/ 7 DICOMO2006 -6D4- 29 到達可能な VPN 群の定義 間接的に接続されている VPN の集合を 到達可能な VPN 群 と呼ぶ VPN vA 2 到達可能なVPN群 5 {vA,vB,vC} 10 4 7 VPN vD VPN vC 1 13 12 11 9 14 VPN vB 3 8 2006/ 7/ 7 6 DICOMO2006 -6D4- 到達可能なVPN群 {vD} 30
© Copyright 2024 ExpyDoc