2ACL DC NTMobile ID ACL(Access Control List) DC Direction Request DC ID Access Check Request DC ACL Access Check Access Check Access Check Response DC

Size: px

Start display at page:

Download "2ACL DC NTMobile ID ACL(Access Control List) DC Direction Request DC ID Access Check Request DC ACL Access Check Access Check Access Check Response DC"

あかりみつだ
7 years ago
Views:

1 NTMobile IPv4/IPv6 NTMobileNetwork Traversal with Mobility [1] NTMobile NTMobile IPsec NAT IPsec GSCIPGrouping for Secure Communication for IPGSCIP NAT NTMobile ACL Access Control List ACL NT- Mobile IPsec IPsec IP IPsec IP IPsec ESPEncapsulating Security Payload IP IKE Internet Key Exchange ESP NAPT IPsec IPsec 2.2 GSCIP GSCIP GSCIP IP IPsec GSCIP GK GSCIP NAT NAT NAT-f NAT NAT MobilePPC NAT 3. NTMobile NTMobile IP NAT IP 1 NTMobile IP IP IP NAT RSRelay Server NTMobile IPv6 IPv4 IPv4 IPv6 NTMobile 4. NTMobile NTMobile 1: NTMobile

2 2ACL DC NTMobile ID ACL(Access Control List) DC Direction Request DC ID Access Check Request DC ACL Access Check Access Check Access Check Response DC Mobile Node DNS Request for A Record DNS Request for NTM Record 5. DNS Server Direction Request Direction Coordinator Access Check Request Access Check Response Tunnel Request / Response Capsulated Packet Direction Correspondence Coordinator Node Access Check 2: ACL 5.1 IPsec/ESP GSCIP ACL NTMobile 1 IPsec ESP TCP/UDP GSCIP TCP/UDP NTMobile NTM MAC GSCIP NTMobile TCP/UDP IPsec IPsec GSCIP NTMobile NAT NAT IPsec GSCIP NAT NAT NTMobile NAT IPsec IP IP GSCIP GSCIP NAT NTMobile 1: IPsec GSCIP NTMobile(ACL) NAT NTMobile IPsec NAT 5.2 NAT ms ms 6. NTMobile NTMobile [1] NTMobile DICOMO2011 pp (2011).

3 NTMobile におけるグループ認証方式の提案と実装名城大学大学院理工学研究科情報工学専攻渡邊研究室村橋孝謙

4 研究背景通信接続性の需要 IPv6 移行の停滞から, 今後は IPv4/IPv6 は共存 IPv4 プライベート / グローバル共存環境でも自由に通信を行いたい通信接続性移動通信の需要複数無線 I/F 搭載通信中のネットワーク切り替え時にも通信を継続したい移動透過性 NTMobile 1 NTMobile: Network Traversal with Mobility

5 研究背景 (NTMobile) 仮想 IP アドレス, トンネル技術を使用アプリケーションは仮想 IPアドレスを使用した通信実際の通信は実 IPアドレスでトンネル通信 RS DC DC DC: Direction Coordinator RS: Relay Server Internet Global Network NTM 端末 -C NTM 端末 -A NTM 端末 -B 2

6 NTMobile への要求エンドエンドの確実な認証情報漏洩の危険社内サーバの保護などセキュリティとアクセス制御を可能とする技術 IPsec 特徴 : 強固なセキュリティ GSCIP 特徴 : 柔軟なグルーピング 3 GSCIP: Grouping for Secure Communication for IP

7 IPsec の課題暗号化, 相手認証など強固なセキュリティ NAT への対応移動透過性管理負荷の課題あり NAT への対応暗号化のため NAT を通過できない移動透過性 IP アドレスの変化への対応が難しい管理負荷大規模ネットワークでの管理負荷は巨大 Internet IPsec Gateway NAT IPsec Gateway NAT への対応移動透過性管理負荷 4

8 GSCIP 通信グループと暗号鍵を 1 対 1 に対応柔軟な通信グループ構築が可能新たな管理装置 (GMS) が必要管理装置との信頼関係が必要 GMS 管理者 Group A Private Network GEN 一般端末解決 NTMobile へ Group B GES1 GES2 5 GSCIP: Grouping for Secure Communication for IP

9 提案方式 (1/2) NTMobile にアクセス制御機能を追加各端末はいずれかのグループに所属通信時に両エンド端末の所属グループを確認同一グループ所属のときネゴシエーション処理を継続 User 1 User 2 Server Group A Group E Group C Group C Group D Group E Group E 6

10 提案方式 (2/2) DC に ACL(Access Control List) を追加 ACL: 各ノードの Node ID, 所属グループを格納所属グループの確認アクセス制御 DC-A DC-B Access [OK] / NG User X Server 1 Server 2 Group A Group B Group A Access OK? User X ACL Group B Group C Server 1 登録 ACL Manager Server 1 Server 2 Server 3 システム管理者社内サーバ 7

11 NTMobile ( 基本動作 ) MN DC DC CN 経路指示要求 Direction Request DNS Request / Reply NTM 情報取得 Node ID Real IP Virtual IP 経路指示トンネル要求 / 応答 Tunnel Request / Response Capsulated Packet 8 MN: Mobile Node CN: Correspondence Node

12 NTMobile (Access Check による拡張 ) NodeID : MN MN DC DC CN NodeID : CN Direction Request OK: Continue Negotiation NG: Stop Negotiation DNS Request / Reply Access Check Request Access Check Response Access Check Access OK? NodeID MN NodeID CN Search... Access OK/NG Tunnel Request / Response Access OK/NG NodeID MN NodeID CN 9 Capsulated Packet

13 実装概要 (Direction Coordinator) NTMobile Daemon (Direction Coordinator) Tunnel Establishment Access Checker Access Check Access Control List (SQL Server) Resister ACL Manager (Web Server) Route Direction Direction Request Access Check Request User Space Kernel Space Access Check Response Real I/F DC に Access Check 関係処理を実装 NTMobile Daemon 内に問合せ要求 / 応答処理端末内 SQL ServerからAccess Check 問合せ ACL Manager( 管理画面 ) から端末情報の登録が可能 10

14 管理画面 (ACL Manager) DC 配下端末のグループ登録 / 編集 DC 配下端末へアクセス可能な端末の情報登録 / 編集 11

15 性能測定 ( 測定方法 ) NTMobile ネゴシエーション時間アクセスチェック関係処理に要する時間の測定 Wiresharkを利用 Access Check 自体は処理前後の時刻差分から計算プライベート環境下 MN から外部の端末 CN へトンネル構築 NTM Node (MN, CN) OS:Ubuntu CPU: Core 2 Duo U GHz Memory:2048MB Ethernet:1000Base-T Switching Hub NAT Direction Coordinator (DC-A, DC-B) OS:Ubuntu CPU: Core 2 Duo P GHz Memory:2048MB Ethernet:1000Base-T Private Network Switching Hub, NAT Ethernet:100Base-TX CN DC-A DC-B MN 12

16 測定結果 MN DC-B DC-A CN DNS for A Record DNS for NTM Record Direction Request Access Check Request Access Check 8.64ms 24.52ms 12.37ms Access Check Request Tunnel Request / Response 13 Capsulated Packet

17 まとめアクセス制御を追加した NTMobile の概要アクセス制御方法 DC 内に ACL を構築同一グループ所属のときネゴシエーション完了へ実装測定グルーピングによるアクセス制御の実現追加機能に対し僅かなオーバヘッド 14

18 --

19 機能比較 IPsec(ESP) GSCIP NTMobile NTMobile(ACL) 機密性グループ認証 NAT 移動透過性環境に依存しない通信グループ単位のアクセス制御必要十分なセキュリティ社内向けなど情報漏洩の抑制などに適当 16

20 性能測定 ( 測定方法 ) NTMobile ネゴシエーション時間アクセスチェック関係処理に要する時間の測定 Wiresharkを利用 Access Check 自体は処理前後の時刻差分から計算プライベート環境下 MN から外部の端末 CN へトンネル構築 RTT[ms] NTM Node (MN, CN) OS:Ubuntu CPU: Core 2 Duo U GHz Memory:2048MB Ethernet:1000Base-T Direction Coordinator (DC-A, DC-B) OS:Ubuntu CPU: Core 2 Duo P GHz Memory:2048MB Ethernet:1000Base-T Switching Hub NAT Private Network CN ~ DS-A CN ~ DS-B MN ~ CN DC-A ~ DC-B MN ~ DC-B Switching Hub, NAT Ethernet:100Base-TX CN DC-A DC-B MN 17

21 NTMobile ( 基本動作 ) MN DNS Server DC DC CN 経路指示要求 Direction Request DNS Request / Reply NTM 情報取得 Node ID Real IP Virtual IP 経路指示トンネル要求 / 応答 Tunnel Request / Response Capsulated Packet 18

22 NTMobile (Access Check による拡張 ) NodeID : MN Mobile Node DNS Server Direction Coordinator Direction Correspondence Coordinator Node NodeID : CN Direction Request OK: Continue Negotiation NG: Stop Negotiation DNS Request / Reply Access Check Request Access Check Response Access Check Access OK? NodeID MN NodeID CN Search... Access OK/NG Tunnel Request / Response Access OK/NG NodeID MN NodeID CN 19 Capsulated Packet

NTMobile LAN NT- Mobile(Network Traversal with Mobility) [1] NTMobile LAN 2. NTMobile NTMobile NTMobile NTM IP DC(Direction Coordinator)

NTMobile LAN NT- Mobile(Network Traversal with Mobility) [1] NTMobile LAN 2. NTMobile NTMobile NTMobile NTM IP DC(Direction Coordinator) NTMobile 110425321 1. LAN NT- Mobile(Network Traversal with Mobility) [1] NTMobile LAN 2. NTMobile NTMobile NTMobile NTM IP DC(Direction Coordinator) NTM DC NTM DC IP NTM NTM (MN) DC NTM (CN) UDP MN CN