av - soi.wide.ad.jp · iad(yamaha rtv700) ipv6connection, voip control feel6 server sip server...
TRANSCRIPT
1
1
ネットワークアーキテクチャ第12回(2005/1/11)次世代ネットワークサービスモデル
慶応義塾大学 環境情報学部
村井純
2004年度秋学期
2
今日やること
家の中と外の違いEnd-to-Endアーキテクチャと NAT モビリティ
セキュリティ何を守り、何を実現するのか通信内容の盗み見、データの改竄
どんな利用モデルが予測されるのか時間や場所に縛られない新たなサービス
トラフィック
知的所有権
3
実空間インターネット実空間インターネット
実空間インターネット
インターネットインターネット
Mail映像
Webインターネットバンキング
クリック&モルタル
デジタル温度計
ビデオカメラ測位システム
リモートコントロール
家電
自動車
4
白物系ネットワーク家電
冷蔵庫、レンジ、照明、洗濯機、ベット、エアコン
サービス
食材管理
レシピ配信
遠隔コントロール
遠隔監視(医療)…
出展:東芝
5
AV系ネットワーク家電コンテンツを好きなときに好きな場所でネットワーク越しにアクセス
コンテンツの統合管理
sony airboardシャープ ガリレオ 6
交通情報
売り出し情報
事故統計
他車との情報交換
知人の位置 写真の提供
音楽配信
マーケティングリサーチ
ソフトウェアハウスや個人プログラマによるプログラムの提供
インターネットITS
DSRC 携帯電話
ネットワークコネクティビティ
契約、趣味に基づく自動車からの情報発信
コンテンツプロバイダや個人によるコンテンツの提供
情報流通
移動オフィス
趣味の情報交換
情報+通信
2
7
全体アーキテクチャ
サービス 情報端末
行政
教育
流通
電話
放送
…
サービスサーバ
家庭
オフィス
屋外
移動ルータ
ホームゲートウェイ
ゲートウェイ
ホームサーバ
デジタルTV
電話
家電
PC
ファイルサーバ
ファイルサーバ
携帯電話
カーナビ
センサ
インターネット
アクセス網
移動体通信網
有線通信網
放送網
FW
FW
8
End-to-Endアーキテクチャの重要性と課題
9
Airboard (Sony)
出展:http://www.sony.jp/products/Consumer/airboard/QA/so-net/index.html
TV動画 over IEEE802.11g/a
10
Airboard (Sony)ロケーションフリーテレビ
Net AV機能ベースステーションよりストリーミング配信
無線LAN
出展:http://www.sony.jp/products/Consumer/airboard/QA/so-net/index.html
テレビ
DVDglobal connectivityが必要
11
- 280 sites all over Japan
- IPv6 Node as many as 20,000
Large-scale introduction of IPv6 system
IPv6 over IPv4
IPv6
IPv4
FTTH(NTT)
IAD(YAMAHA RTV700)IPv6connection, VoIP control
Feel6Server
SIP Server
IPv6/IPv4Translator
IPv6
Internet
dormitory
20,000IPv6 Nodes280 addresses
Feel6Client
The IP Centrex service, "IP Business Phone", developed by FreeBit, has got a major contract with Kyoritsu Maintenance, a nation-wide dormitory supplier. The IPv6 phones will be installed into all of their rooms, that is as many as 20,000.
Utilize a technology called, ”Feel6”, which enables secured IPv6 network over existing IPv4 network
Note) Information as of 2004/Nov
VoIP carrier
“Realized the cost reduction by IPv6”
- Easiness to design the address management scheme regardless the tremendous number of nodes- Management of terminal versions by achieving the reachability to each terminal over Internet
12
IPv6
IPv4
Possession of abundant addresses and hierarchical design possible
Necessary to design the address range carefully
Auto-generation of IPv6 address upon reception of router advertisement
Necessary to configure the subnet mask and default gateway to each node
Easy to identify the nodes in trouble, and re-configure remotely with help of IPv6
Difficult to identify the nodes in trouble from the operation center
Specific address design for each environment not necessary
No special knowledge necessary to installer
Reduced complexity of maintenance
Specific address design for each environment necessary
Possibility to make mistakes in settings
Delayed trouble shooting
Design phase Installation phase Maintenance phase
Cost reduction made possible by IPv6
FreeBit Co., Ltd.
3
13
Significant reduction of network design steps
IPv4 IPv6
Configure network address
Configure VPN
Configure VPN of router
Configure IP address
Configure subnet mask
NET
NET
LAN
TEL
TEL
Configure default gateway
Configure phone number
TEL
TEL Configure phone numberTEL
Not requiredNot required
Router advertisement by IPv6
Feel6 ID and PWFeel6 ID and PW
280 addresses
FreeBit Co., Ltd. 14
Abstraction of installation procedure into 3 patterns depending on the number of rooms, made possible by the easiness in IPv6 address design
Easy installation due to the auto-generation of IPv6 address
Realization of remote monitoring and quick maintenance of the nodes, made possible by fixed IPv6 addresses
2004/3 6 9 2005/1
Service specificationSystem design Evaluation Installation
Launch of 20,000 nodes in a very short term
FreeBit Co., Ltd.
15
Prefix Delegation(1/2)
概要
主にホームネットワーク向けのPlug & PlayIPv6プレフィックスを上流から下流へ自動的に通達(再割り当て)
ホストホームルータ
ISP
RAでアドレス設定(/64)
自動的にプレフィックスを貸与
(/48)
PCに配布するプレフィックスを選択16
Prefix Delegation(2/2)
状況
標準化は完了
プロトコルはいろいろあるが、DHCPv6-PDがメジャー
IPv4のDHCPとは異なり、アドレスは配らないDHCPv6プロトコルの枠組を流用して、IPv6プレフィックスを配布
他の情報(DNSサーバなど)も同時に配布可能
17
UPnP(1/2)Universal Plug and PlayUPnPのビジョンサービス探索
ユーザへのプラグアンドプレイの使い勝手を提供インターネット接続を簡単に共有する
どこからでも自宅のコンテンツに安全にアクセス
あらゆるジャンルの機器に対応可能
ホームネットワーク
検索をリクエスト
機器がリプライ
18
UPnP(2/2)
現在の主な使われ方
NAT/NAPTのデメリットへの対応NAT TraversalネットワークアプリケーションがNAT デバイスの背後にあることを検出し、ルータに割り振られているWAN側IP アドレスを識別NAT の外部ポートから、アプリケーションの使用する内部ポートへパケットを転送するポートマッピングを設定
4
19
Dynamic DNS(DDNS)IP addressが変わっても同じhostnameでアクセスできる
DNSサーバーのレコードを自動的に更新IP address/鍵認証によるauthorization
DynDNS.org(http://www.dyndns.org)などでサービスされている
20
InternetInternet
Dynamic DNS の動作
DNSServer
DNSServer
[133.27.AAA.AAA]
mypc.sfc.keio.ac.jpのアドレスは?
133.27.AAA.AAAです
mypc AAAA 133.27.AAA.AAA
[203.178.143.BBB]
移動などでアドレスが変わる
UPDATE mypcのアドレスは203.178.143.BBB
mypc AAAA 203.178.143.BBB
mypc.sfc.keio.ac.jpのアドレスは?
203.178.143.BBBです
22
モバイル
23
自動車をインターネットに接続する
登場人物
自動車
インターネット
役割
自動車: インターネット上のノードインターネット: 自動車へパケットを届ける
関係
InternetInternet
24
実際には?
Cellular
DSRC
InternetInternet
IEEE802.11a/b
29
Mobile IPv6
InternetIEEE802.11b
Cellular
3ffe:501:100c:d301::1
3ffe:501:100c:d302::1
3ffe:501:100c:d301::1
3ffe:501:100c:d301::1
3ffe:501:100c:d301::13ffe:501:100c:d302::1
5
30
Internet
3ffe:501:100c:d301::1
3ffe:501:100c:d303::2
Src: 3ffe:501:100c:d301::1Dst: 3ffe:501:100c:d303::2
Src: 3ffe:501:100c:d303::2Dst: 3ffe:501:100c:d301::1
Mobile IPv6
31
Mobile IPv6
Internet
3ffe:501:100c:d302::13ffe:501:100c:d301::1
Src: 3ffe:501:100c:d302::1Dst: 3ffe:501:100c:d303::2
3ffe:501:100c:d303::2
Src: 3ffe:501:100c:d303::2Dst: 3ffe:501:100c:d302::1
Src: 3ffe:501:100c:d303::2Dst: 3ffe:501:100c:d301::1
HA: 3ffe:501:100c:d301::1
IP encapsulationHome Addressdestination option
34
Mobile IPv6のソリューション湘南台 実家
東京大阪アメリカ
単身赴任出張
海外出張
転送転送 転送
今、東京だ今、大阪だ
今、アメリカだ手紙を出す人は相手の現在の場所を知る必要はない。実家だけを知っていればよい。
40
WIFI services on a train
2003年3月 成田エクスプレスでの実証実験 IETF横浜開催に際して
42
A Vehicle used in Testing
Location (GPS) IPv6Sensor
MR /w PoEIPv6Sensor /w POE
GPS Acceleration
Temp./Humi.
Direction
Mobile Router
Hub (Modified for PoE)
WiFiPHSEthernet ×2
BSD
45
最新のCALMアーキテクチャ
SAP - Service Access Point –Data Transfer
SAP - Service Access Point –Management
2G cellular std by reference
CALM 2G ManagerISO 21212
SAP
NetworkManagement
Entity(NME)
CALM systemManagement
Entity(CME)
NETWORK INTERFACERouting and Media Switching based on IPv6
Non-CALM-awarePoint-to-point
APPLICATIONS
Convergence LayerISO 15628
SAP
CALM-AwareAPPLICATIONS
Layer 5-7INTERNET STANDARDS
SAP
SAP SAP
Common LLC/ PHY/ MACManagement
Entity
SAP
SAP
SAP
SAP
Directory Services
SAP
SAP
Non-CALM-awareIP (Internet)
APPLICATIONS
Convergence LayerIP socket
SAP
SAP
SAP
SAP
CALM MM
CALM MM ManagerISO 21216
SAP
CALM M5(IEEE 802.11p)
CALM M5 ManagerISO 21215
SAP
CALM IR
CALM IR ManagerISO 21214
SAP
3G cellular std by reference
CALM 3G ManagerISO 21213
SAP
SWG16.1 SWG16.2
Out of Scope
ISO21210
SAPSAP with apps and convergence layers
DHCPv6SAP
CALM PPM
CALM PPM ManagerISO XXX
SAP
6
47
CMEによるメディア選択
CMEMedia
requirementsFrom Application
Static Media data
NME
Application
MediumSelectionPolicies
DynamicMedia data
Selected medium’s Interface ID for each application
These policies are configurable by user/ device vendors/ service providers
Ex)•Select the higher data rate medium•Trade off cost and data rate•For safety apps, select specific medium
NME
48
3つの通信シナリオ
UDP
CALM Media
Very Fast Applications(Typical DSRC Apps.)
Fast Applicationswith/withtout Internet Access
withoutDynamic media switching
IPv6
Mobile IPv6/NEMO
UDP/TCP/…
Non-Fast Applicationswith Internet Access
withDynamic media switching
Scenario 1&2 Scenario 3
SAP=TBD
Global IPv6 AddressCoA
Non 21210(can be added if necessary)
21210
Out of CALM
IEEE1609.3(media specific)
Link LocalIPv6 Address
Global IPv6 AddressHoA
SAP=0x86
55
安全・安心の実現
56
誰でも覗き見できる
差出人
受取人
I loveyou
I loveyou
•パケットを盗聴される危険性•ユーザは盗聴されているかどうか分からない
57
通信の暗号化
Virtual Private Network (VPN)トンネリング、ペイロードの暗号化
LAN間接続VPN
リモートアクセスVPN
ISP 公衆アクセス
•PPTP•L2TP•IPSec
58
誰と通信しているの?
攻撃者が正規の通信相手やサーバのふりをして不正な活動を行う可能性がある
他人のユーザIDやパスワードを盗み出し、正当なユーザの不利をする
電子取引のWebサーバになりすます
取引業者 企業
なりすまし攻撃者
実際の取引
取引しているつもり
7
59
本当にそのデータ正しい?
差出人
受取人
I loveyou
I hateyou
•データを改ざんされる危険性•送られてきた情報をそのまま信用していいのか?
60
Public Key Infrastructure (PKI)証明書を正しく発行し、配布するシステム
証明書本人の認証、暗号化のための鍵(公開鍵)どんな方法で配布しても良いメールに添付、ディレクトリサーバ、USBメモリ
認証局証明書の発行元
発行元が信頼できるかどうか
レポジトリ広く証明書を配布するための仕組み
61
ハッシュ値の特徴ハッシュ値生成対象情報を一方向性関数(ハッシュ関数)に通して得られる値ハッシュ値生成対象情報がいかなる大きさであっても、ハッシュ値は固定長
ハッシュ値生成対象情報が少しでも異なれば、生成されるハッシュ値は全く異なる値となる
異なるハッシュ値生成対象情報に対して、同一のハッシュ値が生成される確率は非常に低い
ハッシュ値から、元のハッシュ値対象情報を推測することは不可能
62
改ざんの検出
デジタル署名技術
送信者 受信者
情報
①ハッシュ値の計算
ハッシュ値 +秘密鍵
情報
デジタル署名デジタル
署名
②秘密鍵でハッシュ値に署名する
情報デジタル署名
ハッシュ値
③
ハッシュ値
④送信者と同じ方法でハッシュ値を計算
デジタル署名公開鍵
⑤復号
⑥二つのハッシュ値を比較
63
無線LANのセキュリティWEPの問題ESSIDの問題MACアドレス認証の問題
IEEE802.1xMACアドレス認証WEPキーの変更ESSIDの設定
64
無線LANにおける脅威ケーブルに縛られない = 電波が不必要なところまで飛んでいく
用意に傍受可能
湘南台から新川崎キャンパスまでの道のりでみえたAPの数 = 96個!
現状の対策
SSIDの設定MACアドレスによるフィルターWEPの設定
8
65
SSIDはなんのため?Service Set ID (SSID)無線LANクライアントの集合をグループ化するための単なる「文字列」
同じ文字列を設定しないと接続できない
不正なアクセスを防ぐセキュリティ機能ではない
アクセスポイントSSID:WXYZ
クライアントASSID:ABCD
クライアントBSSID:WXYZ
クライアントCSSID:WXYZ
カバーエリア
同じ文字列同士だけが通信可能
66
MACアドレス認証の問題MACアドレス各Ethernetカードに固有のID番号無線LANカードにも割り当てられている
MACアドレス認証特定のMACアドレスからの接続だけを許す第3者の接続を拒否できる
MACアドレスは簡単に偽造可能傍受したパケットからMACアドレスを調べ、そのMACアドレスを偽装して通信する
67
WEPキーって安全?アクセスポイントとクライアント間でのデータのやり取りを暗号化する方法電波を傍受されると、内容は筒抜け
みんなでひとつの鍵となりの人のパケットが容易にみれる
暗号処理そのものに欠陥暗号化された情報を数時間収集するだけで復号可能
AirSnort: WEPキーを解読するツールhttp://airsnort.shmoo.com/
68
IEEE802.1xLANスイッチや無線LANアクセスポイントでのユーザ認証やアクセス制御を実現するための国際標準規格
Extensible Authentication Protocol(EAP)を利用した認証処理
EAP-MD5, LEAP, EAP-TLS, EAP-TTLS, PEAP
クライアントごとに別々のWEPキー
クライアント アクセスポイント
RADIUSサーバ
CAサーバ
接続要求 認証
69
まとめ
家の中と外の違い
End-to-Endアーキテクチャと NAT
セキュリティ
何を守り、何を実現するのか
通信内容の盗み見、データの改竄
どんな利用モデルが予測されるのか
時間や場所に縛られない新たなサービス
トラフィック
知的所有権
70
以上