1 / 20

柔軟な優先度制御が可能 な キャンパス間無線 LAN ローミング

柔軟な優先度制御が可能 な キャンパス間無線 LAN ローミング. ○渡辺俊貴,木下峻一,後藤英昭,曽根秀昭 東北大学サイバーサイエンスセンター. 2012 年 5 月 24 日 ( 木 ) 第 31 回インターネット 技術 第 163 委員会研究会  -ITRC meet31-. 発表の流れ. 研究背景 SP および IdP 機関のアクセスポリシーを反映可能な アクセス制御システム 柔軟 な優先度制御が可能 なキャンパス間無線 LAN ローミング まとめ. 研究背景. 機関 A. 機関 B. 訪問. 無線 LAN インフラの普及

thor-slater
Download Presentation

柔軟な優先度制御が可能 な キャンパス間無線 LAN ローミング

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 柔軟な優先度制御が可能なキャンパス間無線LANローミング柔軟な優先度制御が可能なキャンパス間無線LANローミング ○渡辺俊貴,木下峻一,後藤英昭,曽根秀昭 東北大学サイバーサイエンスセンター 2012年5月24日(木) 第31回インターネット技術 第163委員会研究会 -ITRC meet31-

  2. 発表の流れ 研究背景 SPおよびIdP機関のアクセスポリシーを反映可能なアクセス制御システム 柔軟な優先度制御が可能なキャンパス間無線LANローミング まとめ

  3. 研究背景 機関A 機関B 訪問 • 無線LANインフラの普及 • 学生や研究者が機関間を移動する機会の増加 • 大学間単位互換制度・講義,国際会議,研究会   ⇒機関間ローミングへの需要が高まっている.

  4. 無線LANローミング基盤(1/2) ※TERENA:Trans-European Research and Education Networking Association • eduroam • ヨーロッパのTERENAで提案された無線LANローミング基盤 • ヨーロッパのほか,アメリカ,カナダ,アジア太平洋地域で導入が進む. • 日本には,2006年に東北大学が初導入し,運用・開発の責任校となる. • http://www.eduroam.org/

  5. 無線LANローミング基盤(2/2) Top level RADIUS proxy RADIUS Access-Request RADIUS Access-Response RADIUS proxies RADIUS proxy RADIUS proxy Institution A Institution B EAP packet Access point RADIUS server RADIUS server ID: user@institutionB.jp IdP (Identity Provider) SP (Service Provider) • realm • IEEE802.1X認証とRADIUSプロキシツリーの組合せによりローミングを実現 • 所属機関で発行されたアカウントを使い訪問先からネットワークに接続 • RADIUSプロキシツリーを介して利用者のホーム機関で認証 • realm(RADIUS packetの転送先の決定に利用される情報)を参照して転送先を決定

  6. 無線LANローミングにおける課題とアクセス制御無線LANローミングにおける課題とアクセス制御 SPおよびIdP機関のポリシーを反映可能なアクセス制御システム ユーザの属性に応じて各種リソースへのアクセスやサービス利用の許可/禁止を細かく柔軟に設定可能 • ニーズの多様化やセキュリティへの関心の高まりにともない,より柔軟なアクセス制御が必要 • 外部からの訪問者に対しても,必要に応じて訪問先機関のローカルリソースにアクセスを許可 • ネットワークプリンタ,ファイルサーバ等 • インターネット上の特定サイトへのアクセスやサービスの利用を制限 • 違法な動画サイト等

  7. 未解決の課題と研究目的 アプローチ ユーザ認証時に取得可能なユーザ情報と, パケットヘッダの情報を基に優先度を設定する. • 課題 • 利用者の増加にともない,アクセス可否だけでなくユーザの属性に応じて通信の優先度を柔軟に設定する必要がある. • 授業等で利用するファイルサーバに対して,教員が優先的に資料にアクセスできるよう,教員に帯域を割り当てる. • 研究会等のアクセスポイントからは,プログラム表や論文データが置いてあるサーバへのアクセスを最優先 • 研究目的 • ユーザの属性情報やあて先等に応じた通信の優先度制御の実現

  8. SPおよびIdP機関のポリシーを反映可能なアクセス制御システムSPおよびIdP機関のポリシーを反映可能なアクセス制御システム SP側は,取得したユーザ情報に基づき,細かく柔軟にアクセス権限を設定 Identify user’s affiliation ・Categoryinformation ・IdP’s access policy RADIUS Proxies RADIUS (SP) RADIUS (IdP) • IdP機関からユーザ情報やアクセスポリシー情報を取得し,各ユーザに対して柔軟にアクセス権限を設定するシステム • SP側でユーザの所属機関を把握 • IdP側はRADIUS packet内に以下の属性情報を含めてSPに返信 • ユーザのカテゴリ情報(学生/教員,学年,等) • IdP側のアクセスポリシー(自機関のユーザに対して,アクセス許可/禁止するリソースの情報)

  9. SPおよびIdP機関のポリシーを反映可能なアクセス制御システムSPおよびIdP機関のポリシーを反映可能なアクセス制御システム 各ユーザの属性情報に応じて,アクセスの可否だけでなく 通信の優先度制御も重要 SP側は,取得したユーザ情報に基づき,細かく柔軟にアクセス権限を設定 Identify user’s affiliation ・Categoryinformation ・IdP’s access policy RADIUS Proxies RADIUS (SP) RADIUS (IdP) • IdP機関からユーザ情報やアクセスポリシー情報を取得し,各ユーザに対して柔軟にアクセス権限を設定するシステム • SP側でユーザの所属機関を把握 • IdP側はRADIUS packet内に以下の属性情報を含めてSPに返信 • ユーザのカテゴリ情報(学生/教員,学年,等) • IdP側のアクセスポリシー(自機関のユーザに対して,アクセス許可/禁止するリソースの情報)

  10. 優先度制御システムの概要 • 柔軟な優先度制御が可能な無線LANローミングシステム • 認証システムと連携し,ユーザ単位,フロー単位で通信の優先度を制御を行う. [優先度制御のアプローチ] • 1)ユーザ認証時: • IdPからユーザの属性情報を取得することでユーザ情報を把握 • 2)データ通信時: • データの通信内容を把握 • ユーザがアクセスしてきたアクセスポイント(AP)の設置場所 • パケットのあて先 • 3)収集したユーザの属性情報および通信内容を基に,その通信(フロー)に対する優先度を設定

  11. 優先度の定義 • 本提案システムでは,以下の2種類の優先度を想定 • 数値で設定 • 1)各機関が独自に自由に定義できる数値 • 2)既存プロトコルで利用できる数値 • TOS(Type of service)フィールド,DSCP(Differentiated services code point), CoS(Class of service)対応 • 帯域(平均/最大割り当て帯域など)で指定

  12. 優先度制御システムのまとめ 優先度の判断基準 優先度の定義 認証時に取得できるユーザ属性情報(所属,カテゴリ等) 割り当て帯域を決定 パケットのあて先 優先度数値を決定 アクセスポイントの設置場所 実現方針 ・決定された優先度を既存の優先度制御プロトコル(既存フィールド等)に落とし込む. ・独自の優先度の指標をソフトウェア/ハードウェア的に制御する仕組みを追加する. ⇒具体的な実現例として,まずはOpenFlowを利用したシステムを検討 ユーザの属性情報やあて先等に応じて優先度を設定するシステム

  13. OpenFlow OpenFlow Controller Control-plane OpenFlow protocol packet OpenFlowSwitches Data-plane • OpenFlow • データプレーンとコントロールプレーンが独立したネットワーク制御技術 • OpenFlow Controller(OFC)が集中的に経路制御等を行う. • VLAN数の制限やコストの問題を解決 • 適宜通知されるIdPのアクセスポリシーを即座に反映可能 • 優先度制御システムでは,OFCに優先度情報を通知し • OFCが各OFSに優先度制御ルールを反映させることで,フロー単位の優先度制御を実現

  14. 優先度制御の実現案(動作概要)(1/3) 優先度制御機構 PriorityDB OpenFlow Controller Internet RADIUS proxies RADIUS server OpenFlow Switches RADIUS server Service server AP Roaming user IdP-side • 優先度制御の処理の流れ • (1)SPはあらかじめ優先度ポリシーを定義(Priority DB) • 取得可能なユーザの属性情報やあて先・AP情報と,それに対応する優先度のマッピング情報 SP-side

  15. 優先度制御の実現案(動作概要)(2/3) 優先度制御機構 ・カテゴリ情報 ・realm(所属) ・・・・ PriorityDB [ユーザのカテゴリ情報] OpenFlow Controller Internet RADIUS proxies RADIUS server [realm] OpenFlow Switches RADIUS server Service server AP Roaming user IdP-side • 優先度制御の処理の流れ • (2)ユーザ認証時にレルム(所属情報),カテゴリ情報を取得 • (3)通信時にAP情報,パケットのあて先情報を取得 SP-side

  16. 優先度制御の実現案(動作概要)(2/3) 優先度制御機構 ・パケットの宛先 ・送信元AP ・・・・ ・カテゴリ情報 ・realm(所属) ・・・・ PriorityDB OpenFlow Controller Internet RADIUS proxies RADIUS server OpenFlow Switches RADIUS server Service server AP Roaming user IdP-side • 優先度制御の処理の流れ • (2)ユーザ認証時にレルム(所属情報),カテゴリ情報を取得 • (3)通信時にAP情報,パケットのあて先情報を取得 SP-side

  17. 優先度制御の実現案(動作概要)(3/3) 優先度制御機構 ・パケットの宛先 ・送信元AP ・・・・ ・カテゴリ情報 ・realm(所属) ・・・・ PriorityDB 優先度 OpenFlow Controller Internet RADIUS proxies setting RADIUS server OpenFlow Switches RADIUS server Service server AP Roaming user IdP-side • 優先度制御の処理の流れ • (4)取得した情報を基に,そのパケットの優先度を決定 • (5)決定した優先度ルールをOpenFlow Switchに通知 SP-side

  18. 今後の検討項目 • 優先度制御における詳細部分の検討 • 複数の優先度が混在する場合の調整基準 • IdP側からの優先度指定の考慮 • 優先度制御に有効な属性情報の検討 • 具体的な機器による実現方法 • 優先度制御に必要な機器 • 制御対象のネットワークの範囲

  19. まとめ • 柔軟な優先度制御が可能なキャンパス間無線LANローミング • ユーザ認証時にIdPからユーザの属性情報を取得 • データ通信時にあて先やAPの設置場所を確認 • 収集した情報を基に優先度を設定 • [今後の課題] • 優先度制御における詳細部分の検討 • 具体的な機器による実現方法

  20. 謝辞 本研究の一部は,総務省の委託研究「情報通信ネットワークの耐災害性強化のための研究開発(大規模災害においても通信を確保する対災害ネットワーク管理制御技術の研究開発)」プロジェクトで実施された.

More Related