| 末永 光弘 国立情報学研究所 特任技術専門員 |
[背景]ネットワーク利用の普及と管理運用の複雑化・高度化
[問題]NATの設置によるインシデントおよびSDNにおけるアクセス制御
[貢献]NAT経由のアクセス禁止とSDNにおけるセキュアな認証の実現
[問題]NATの設置によるインシデントおよびSDNにおけるアクセス制御
[貢献]NAT経由のアクセス禁止とSDNにおけるセキュアな認証の実現
近年ではネットワークの利用が一般的になり,ネットワークを利用する機器の入手と使用の敷居が低くなったことで,多くの人がパソコンやスマートフォンを通じてネットワークを利用する機会が増加している.ネットワークを利用する通信機器の増加により,ネットワークそのものも大規模化・複雑化が進み,管理および運用において,コストが増加するという側面も抱えている.今後のネットワークにおいては,高機能化・複雑化にともなう管理コストの上昇を抑制し,管理・運用のしやすいネットワークが求められている.これについては,ネットワークをプログラムにより制御するSDN(Software Defined Network)という概念について,研究・開発が行われ,次世代のネットワークとして期待されている.
大学などの組織内において利用されるネットワークにおいては,セキュリティの側面からも安全性や強固さが必要不可欠となっている.特に,ネットワークリソースの利用時に,認証により利用資格を確認することは一般的となっている.学生によるネットワーク端末の持ち込み利用が増加した近年ではその重要性はより高まっており,利用者の視点からは,さまざまな機能が利用でき,個人情報の漏えいやウィルス感染の防止といったセキュリティ上の安全性が確保されることが望ましい.
本研究においては,これらの要求を満たす,より安全で高機能な次世代のネットワークを「セキュアネットワーク」と定義し,特に重要な機能のひとつであるセキュアネットワークにおけるアクセス制御を目的とし,利用者認証を行うネットワークにおいて発生する問題の解決と,次世代ネットワークにおける認証システムの設計および実装を行うものである.
大学などにおいて,学生などが利便性の向上を目的とし,無線LANブロードバンドルータなどを無許可で組織のネットワークに接続し,使用するケースが存在する.しかし,ブロードバンドルータのようなNAT機器をネットワークに接続すると,ネットワークの利用者の利用資格を確認する認証システムによっては正しく動作せず,一部の利用者は利用資格の確認を受けずにネットワークを利用できることがある.そのため,ネットワーク中のNAT機器を検出し,それらを経由したアクセスを禁止する必要がある.本研究では,署名済みJavaアプレットによるIPアドレス比較と,通信パケットのTTL値の観測によりNAT経由の通信を検出し,該当する通信を禁止する手法を実装し,その有用性を示した.
また,次世代のネットワークとして期待されるSDNの実装のひとつとしてOpenFlowが存在する.現在のOpenFlow/SDN の利用は,データセンタなどにおける,負荷分散や管理コストの削減を目的としたケースがほとんどである.そのため,OpenFlow/SDNにおける認証技術やアクセス制御への応用研究は活発に行われているとは言えない.そこで,本研究では,OpenFlow/SDNの認証・アクセス制御分野での応用を目的とし,OpenFlowネットワークに導入可能な,Shibbolethによるシングルサインオン認証に対応した,ネットワーク利用者認証システムの設計と実装により,セキュアな認証を実現し,有用性を示した.
大学などの組織内において利用されるネットワークにおいては,セキュリティの側面からも安全性や強固さが必要不可欠となっている.特に,ネットワークリソースの利用時に,認証により利用資格を確認することは一般的となっている.学生によるネットワーク端末の持ち込み利用が増加した近年ではその重要性はより高まっており,利用者の視点からは,さまざまな機能が利用でき,個人情報の漏えいやウィルス感染の防止といったセキュリティ上の安全性が確保されることが望ましい.
本研究においては,これらの要求を満たす,より安全で高機能な次世代のネットワークを「セキュアネットワーク」と定義し,特に重要な機能のひとつであるセキュアネットワークにおけるアクセス制御を目的とし,利用者認証を行うネットワークにおいて発生する問題の解決と,次世代ネットワークにおける認証システムの設計および実装を行うものである.
大学などにおいて,学生などが利便性の向上を目的とし,無線LANブロードバンドルータなどを無許可で組織のネットワークに接続し,使用するケースが存在する.しかし,ブロードバンドルータのようなNAT機器をネットワークに接続すると,ネットワークの利用者の利用資格を確認する認証システムによっては正しく動作せず,一部の利用者は利用資格の確認を受けずにネットワークを利用できることがある.そのため,ネットワーク中のNAT機器を検出し,それらを経由したアクセスを禁止する必要がある.本研究では,署名済みJavaアプレットによるIPアドレス比較と,通信パケットのTTL値の観測によりNAT経由の通信を検出し,該当する通信を禁止する手法を実装し,その有用性を示した.
また,次世代のネットワークとして期待されるSDNの実装のひとつとしてOpenFlowが存在する.現在のOpenFlow/SDN の利用は,データセンタなどにおける,負荷分散や管理コストの削減を目的としたケースがほとんどである.そのため,OpenFlow/SDNにおける認証技術やアクセス制御への応用研究は活発に行われているとは言えない.そこで,本研究では,OpenFlow/SDNの認証・アクセス制御分野での応用を目的とし,OpenFlowネットワークに導入可能な,Shibbolethによるシングルサインオン認証に対応した,ネットワーク利用者認証システムの設計と実装により,セキュアな認証を実現し,有用性を示した.
(2015年6月10日受付)