Download - 柔軟な優先度制御が可能 な キャンパス間無線 LAN ローミング
1
柔軟な優先度制御が可能なキャンパス間無線 LANローミング
○ 渡辺俊貴,木下峻一,後藤英昭,曽根秀昭東北大学サイバーサイエンスセンター
2012 年 5 月 24 日 ( 木 ) 第 31 回インターネット技術第 163 委員会研究会 -ITRC meet31-
2
発表の流れ
• 研究背景
• SP および IdP 機関のアクセスポリシーを反映可能なアクセス制御システム
• 柔軟な優先度制御が可能なキャンパス間無線 LAN ローミング
• まとめ
3
研究背景
• 無線 LAN インフラの普及• 学生や研究者が機関間を移動する機会の増加
– 大学間単位互換制度・講義,国際会議,研究会
⇒機関間ローミングへの需要が高まっている.
訪問
機関 A 機関 B
4
無線 LAN ローミング基盤 (1/2)
• eduroam– ヨーロッパの TERENA で提案された無線 LAN ローミング基盤
• ヨーロッパのほか,アメリカ,カナダ,アジア太平洋地域で導入が進む.
• 日本には,2006年に東北大学が初導入し,運用・開発の責任校となる.
• http://www.eduroam.org/
※TERENA : Trans-European Research and Education Networking Association
5
無線 LAN ローミング基盤 (2/2)
• IEEE802.1X 認証と RADIUS プロキシツリーの組合せによりローミングを実現– 所属機関で発行されたアカウントを使い訪問先からネットワークに
接続– RADIUS プロキシツリーを介して利用者のホーム機関で認証
• realm ( RADIUS packet の転送先の決定に利用される情報)を参照して転送先を決定
ID : [email protected]
RADIUS Access-Request
RADIUS Access-ResponseRADIUS proxies
RADIUS server
RADIUS server
RADIUS proxy
RADIUS proxy
Access point
Top level RADIUS
proxy
Institution BInstitution A
SP (Service Provider) IdP (Identity Provider)
EAP packet
realm
6
無線 LAN ローミングにおける課題とアクセス制御
• ニーズの多様化やセキュリティへの関心の高まりにともない,より柔軟なアクセス制御が必要– 外部からの訪問者に対しても,必要に応じて訪問先機関のローカ
ルリソースにアクセスを許可
• ネットワークプリンタ,ファイルサーバ等
– インターネット上の特定サイトへのアクセスやサービスの利用を制限
• 違法な動画サイト等
ユーザの属性に応じて各種リソースへのアクセスやサービス利用の許可 / 禁止を細かく柔軟に設定可能
SP および IdP 機関のポリシーを反映可能なアクセス制御システム
未解決の課題と研究目的
• 課題– 利用者の増加にともない,アクセス可否だけでなくユーザの属性
に応じて通信の優先度を柔軟に設定する必要がある.• 授業等で利用するファイルサーバに対して,教員が優先的に資料
にアクセスできるよう,教員に帯域を割り当てる.• 研究会等のアクセスポイントからは,プログラム表や論文デー
タが置いてあるサーバへのアクセスを最優先
• 研究目的– ユーザの属性情報やあて先等に応じた通信の優先度制御の実現
7
ユーザ認証時に取得可能なユーザ情報と,パケットヘッダの情報を基に優先度を設定する.
アプローチ
8
SP および IdP 機関のポリシーを反映可能なアクセス制御システム
• IdP 機関からユーザ情報やアクセスポリシー情報を取得し,各ユーザに対して柔軟にアクセス権限を設定するシステム– SP側でユーザの所属機関を把握– IdP側は RADIUS packet内に以下の属性情報を含めて SP に返信
• ユーザのカテゴリ情報 ( 学生 / 教員,学年,等 )• IdP側のアクセスポリシー
(自機関のユーザに対して,アクセス許可 / 禁止するリソースの情報 )
RADIUS (SP)
RADIUS (IdP)
RADIUSProxies
・ Category information・ IdP’s access policy
Identify user’s affiliation
SP側は,取得したユーザ情報に基づき,細かく柔軟にアクセス権限を設定
9
SP および IdP 機関のポリシーを反映可能なアクセス制御システム
• IdP 機関からユーザ情報やアクセスポリシー情報を取得し,各ユーザに対して柔軟にアクセス権限を設定するシステム– SP側でユーザの所属機関を把握– IdP側は RADIUS packet内に以下の属性情報を含めて SP に返信
• ユーザのカテゴリ情報 ( 学生 / 教員,学年,等 )• IdP側のアクセスポリシー
(自機関のユーザに対して,アクセス許可 / 禁止するリソースの情報 )
RADIUS (SP)
RADIUS (IdP)
RADIUSProxies
・ Category information・ IdP’s access policy
Identify user’s affiliation
SP側は,取得したユーザ情報に基づき,細かく柔軟にアクセス権限を設定
各ユーザの属性情報に応じて,アクセスの可否だけでなく
通信の優先度制御も重要
10
優先度制御システムの概要
• 柔軟な優先度制御が可能な無線 LAN ローミングシステム– 認証システムと連携し,ユーザ単位,フロー単位で通信の優先度
を制御を行う.
[ 優先度制御のアプローチ ]– 1) ユーザ認証時:
• IdP からユーザの属性情報を取得することでユーザ情報を把握– 2)データ通信時:
• データの通信内容を把握– ユーザがアクセスしてきたアクセスポイント (AP) の設置場所– パケットのあて先
– 3)収集したユーザの属性情報および通信内容を基に,その通信(フロー)に対する優先度を設定
11
優先度の定義
• 本提案システムでは,以下の 2 種類の優先度を想定– 数値で設定
• 1) 各機関が独自に自由に定義できる数値• 2)既存プロトコルで利用できる数値
– TOS(Type of service) フィールド, DSCP(Differentiated services code point), CoS(Class of service) 対応
– 帯域 ( 平均 /最大割り当て帯域など ) で指定
優先度制御システムのまとめ
• ユーザの属性情報やあて先等に応じて優先度を設定するシステム
12
認証時に取得できるユーザ属性情報 ( 所属,カテゴリ
等 )
パケットのあて先割り当て帯域を決定
優先度数値を決定
アクセスポイントの設置場所
・決定された優先度を既存の優先度制御プロトコル (既存フィールド等 ) に落とし込む.・独自の優先度の指標をソフトウェア /ハードウェア的に制御する仕組みを追加する.
優先度の判断基準 優先度の定義
実現方針
⇒具体的な実現例として,まずは OpenFlow を利用したシステムを検討
13
OpenFlow
• OpenFlow– データプレーンとコントロールプレーンが独立したネットワーク制御技術• OpenFlow Controller(OFC) が集中的に経路制御等を行う.
– VLAN数の制限やコストの問題を解決– 適宜通知される IdP のアクセスポリシーを即座に反映可能
– 優先度制御システムでは, OFC に優先度情報を通知し– OFC が各 OFS に優先度制御ルールを反映させることで,
フロー単位の優先度制御を実現
OpenFlowController
OpenFlow protocol
packet
Data-plane
Control-plane
OpenFlow Switches
14
Priority DB
優先度制御の実現案(動作概要) (1/3)
• 優先度制御の処理の流れ– (1)SP はあらかじめ優先度ポリシーを定義 (Priority DB)
• 取得可能なユーザの属性情報やあて先・ AP 情報と,それに対応する優先度のマッピング情報
OpenFlow Controller
RADIUS server
InternetRADIUS server
OpenFlow Switches
Roaming userAP
RADIUS proxies
IdP-side
SP-side
優先度制御機構
Serviceserver
15
Priority DB
優先度制御の実現案(動作概要) (2/3)
• 優先度制御の処理の流れ– (2) ユーザ認証時にレルム ( 所属情報 ) ,カテゴリ情報を取得– (3) 通信時に AP 情報,パケットのあて先情報を取得
OpenFlow Controller
RADIUS server
InternetRADIUS server
OpenFlow Switches
Roaming userAP
RADIUS proxies
IdP-side
SP-side
優先度制御機構
[ ユーザのカテゴリ情報 ]
[realm]
Serviceserver
・カテゴリ情報・ realm (所属)・・・・
16
Priority DB
優先度制御の実現案(動作概要) (2/3)
• 優先度制御の処理の流れ– (2) ユーザ認証時にレルム ( 所属情報 ) ,カテゴリ情報を取得– (3) 通信時に AP 情報,パケットのあて先情報を取得
OpenFlow Controller
RADIUS server
InternetRADIUS server
OpenFlow Switches
Roaming userAP
RADIUS proxies
IdP-side
SP-side
・パケットの宛先・送信元 AP・・・・
Serviceserver
・カテゴリ情報・ realm (所属)・・・・
優先度制御機構
17
Priority DB
優先度制御の実現案(動作概要) (3/3)
• 優先度制御の処理の流れ– (4)取得した情報を基に,そのパケットの優先度を決定– (5) 決定した優先度ルールを OpenFlow Switch に通知
OpenFlow Controller
RADIUS server
InternetRADIUS server
OpenFlow Switches
Roaming userAP
RADIUS proxies
IdP-side
SP-side
優先度制御機構
Serviceserver
setting
優先度
・パケットの宛先・送信元 AP・・・・
・カテゴリ情報・ realm (所属)・・・・
18
今後の検討項目
• 優先度制御における詳細部分の検討– 複数の優先度が混在する場合の調整基準– IdP側からの優先度指定の考慮– 優先度制御に有効な属性情報の検討
• 具体的な機器による実現方法– 優先度制御に必要な機器– 制御対象のネットワークの範囲
19
まとめ
• 柔軟な優先度制御が可能なキャンパス間無線 LAN ローミング– ユーザ認証時に IdP からユーザの属性情報を取得– データ通信時にあて先や AP の設置場所を確認– 収集した情報を基に優先度を設定
• [今後の課題 ]– 優先度制御における詳細部分の検討– 具体的な機器による実現方法
20
謝辞
• 本研究の一部は,総務省の委託研究「情報通信ネットワークの耐災害性強化のための研究開発(大規模災害においても通信を確保する対災害ネットワーク管理制御技術の研究開発)」プロジェクトで実施された.