NTMobile 103430037 1. IPv4/IPv6 NTMobileNetwork Traversal with Mobility [1] NTMobile NTMobile IPsec NAT IPsec GSCIPGrouping for Secure Communication for IPGSCIP NAT NTMobile ACL Access Control List ACL NT- Mobile 2. 2.1 IPsec IPsec IP IPsec IP IPsec ESPEncapsulating Security Payload IP IKE Internet Key Exchange ESP NAPT IPsec IPsec 2.2 GSCIP GSCIP GSCIP IP IPsec GSCIP GK GSCIP NAT NAT NAT-f NAT NAT MobilePPC NAT 3. NTMobile NTMobile IP NAT IP 1 NTMobile IP IP IP NAT RSRelay Server NTMobile IPv6 IPv4 IPv4 IPv6 NTMobile 4. NTMobile NTMobile 1: NTMobile
2ACL DC NTMobile ID ACL(Access Control List) DC Direction Request DC ID Access Check Request DC ACL Access Check Access Check Access Check Response DC Mobile Node DNS Request for A Record DNS Request for NTM Record 5. DNS Server Direction Request Direction Coordinator Access Check Request Access Check Response Tunnel Request / Response Capsulated Packet Direction Correspondence Coordinator Node Access Check 2: ACL 5.1 IPsec/ESP GSCIP ACL NTMobile 1 IPsec ESP TCP/UDP GSCIP TCP/UDP NTMobile NTM MAC GSCIP NTMobile TCP/UDP IPsec IPsec GSCIP NTMobile NAT NAT IPsec GSCIP NAT NAT NTMobile NAT IPsec IP IP GSCIP GSCIP NAT NTMobile 1: IPsec GSCIP NTMobile(ACL) NAT NTMobile IPsec NAT 5.2 NAT 24.521ms 12.368ms 6. NTMobile NTMobile [1] NTMobile DICOMO2011 pp. 1349 1359 (2011).
NTMobile におけるグループ認証方式の提案と実装 名城大学大学院理工学研究科情報工学専攻渡邊研究室 103430037 村橋孝謙
研究背景 通信接続性の需要 IPv6 移行の停滞から, 今後は IPv4/IPv6 は共存 IPv4 プライベート / グローバル共存環境でも自由に通信を行いたい 通信接続性 移動通信の需要 複数無線 I/F 搭載通信中のネットワーク切り替え時にも通信を継続したい 移動透過性 NTMobile 1 NTMobile: Network Traversal with Mobility
研究背景 (NTMobile) 仮想 IP アドレス, トンネル技術を使用 アプリケーションは仮想 IPアドレスを使用した通信実際の通信は実 IPアドレスでトンネル通信 RS DC DC DC: Direction Coordinator RS: Relay Server Internet Global Network NTM 端末 -C NTM 端末 -A NTM 端末 -B 2
NTMobile への要求 エンドエンドの確実な認証 情報漏洩の危険 社内サーバの保護など セキュリティとアクセス制御を可能とする技術 IPsec 特徴 : 強固なセキュリティ GSCIP 特徴 : 柔軟なグルーピング 3 GSCIP: Grouping for Secure Communication for IP
IPsec の課題 暗号化, 相手認証など強固なセキュリティ NAT への対応移動透過性管理負荷の課題あり NAT への対応暗号化のため NAT を通過できない 移動透過性 IP アドレスの変化への対応が難しい 管理負荷大規模ネットワークでの管理負荷は巨大 Internet IPsec Gateway NAT IPsec Gateway NAT への対応 移動透過性 管理負荷 4
GSCIP 通信グループと暗号鍵を 1 対 1 に対応 柔軟な通信グループ構築が可能 新たな管理装置 (GMS) が必要 管理装置との信頼関係が必要 GMS 管理者 Group A Private Network GEN 一般端末 解決 NTMobile へ Group B GES1 GES2 5 GSCIP: Grouping for Secure Communication for IP
提案方式 (1/2) NTMobile にアクセス制御機能を追加 各端末はいずれかのグループに所属通信時に両エンド端末の所属グループを確認同一グループ所属のときネゴシエーション処理を継続 User 1 User 2 Server Group A Group E Group C Group C Group D Group E Group E 6
提案方式 (2/2) DC に ACL(Access Control List) を追加 ACL: 各ノードの Node ID, 所属グループを格納 所属グループの確認 アクセス制御 DC-A DC-B Access [OK] / NG User X Server 1 Server 2 Group A Group B Group A Access OK? User X ACL Group B Group C Server 1 登録 ACL Manager Server 1 Server 2 Server 3 システム管理者 社内サーバ 7
NTMobile ( 基本動作 ) MN DC DC CN 経路指示要求 Direction Request DNS Request / Reply NTM 情報取得 Node ID Real IP Virtual IP 経路指示 トンネル要求 / 応答 Tunnel Request / Response Capsulated Packet 8 MN: Mobile Node CN: Correspondence Node
NTMobile (Access Check による拡張 ) NodeID : MN MN DC DC CN NodeID : CN Direction Request OK: Continue Negotiation NG: Stop Negotiation DNS Request / Reply Access Check Request Access Check Response Access Check Access OK? NodeID MN NodeID CN Search... Access OK/NG Tunnel Request / Response Access OK/NG NodeID MN NodeID CN 9 Capsulated Packet
実装概要 (Direction Coordinator) NTMobile Daemon (Direction Coordinator) Tunnel Establishment Access Checker Access Check Access Control List (SQL Server) Resister ACL Manager (Web Server) Route Direction Direction Request Access Check Request User Space Kernel Space Access Check Response Real I/F DC に Access Check 関係処理を実装 NTMobile Daemon 内に問合せ要求 / 応答処理端末内 SQL ServerからAccess Check 問合せ ACL Manager( 管理画面 ) から端末情報の登録が可能 10
管理画面 (ACL Manager) DC 配下端末のグループ登録 / 編集 DC 配下端末へアクセス可能な端末の情報登録 / 編集 11
性能測定 ( 測定方法 ) NTMobile ネゴシエーション時間 アクセスチェック関係処理に要する時間の測定 Wiresharkを利用 Access Check 自体は処理前後の時刻差分から計算 プライベート環境下 MN から外部の端末 CN へトンネル構築 NTM Node (MN, CN) OS:Ubuntu 10.04 CPU: Core 2 Duo U9400 1.4GHz Memory:2048MB Ethernet:1000Base-T Switching Hub NAT Direction Coordinator (DC-A, DC-B) OS:Ubuntu 10.04 CPU: Core 2 Duo P9400 2.4GHz Memory:2048MB Ethernet:1000Base-T Private Network Switching Hub, NAT Ethernet:100Base-TX CN DC-A DC-B MN 12
測定結果 MN DC-B DC-A CN DNS for A Record DNS for NTM Record Direction Request Access Check Request Access Check 8.64ms 24.52ms 12.37ms Access Check Request Tunnel Request / Response 13 Capsulated Packet
まとめ アクセス制御を追加した NTMobile の概要 アクセス制御方法 DC 内に ACL を構築 同一グループ所属のときネゴシエーション完了へ 実装 測定 グルーピングによるアクセス制御の実現 追加機能に対し僅かなオーバヘッド 14
--
機能比較 IPsec(ESP) GSCIP NTMobile NTMobile(ACL) 機密性 グループ認証 NAT 移動透過性 環境に依存しない通信 グループ単位のアクセス制御 必要十分なセキュリティ 社内向けなど情報漏洩の抑制などに適当 16
性能測定 ( 測定方法 ) NTMobile ネゴシエーション時間 アクセスチェック関係処理に要する時間の測定 Wiresharkを利用 Access Check 自体は処理前後の時刻差分から計算 プライベート環境下 MN から外部の端末 CN へトンネル構築 RTT[ms] NTM Node (MN, CN) OS:Ubuntu 10.04 CPU: Core 2 Duo U9400 1.4GHz Memory:2048MB Ethernet:1000Base-T Direction Coordinator (DC-A, DC-B) OS:Ubuntu 10.04 CPU: Core 2 Duo P9400 2.4GHz Memory:2048MB Ethernet:1000Base-T Switching Hub NAT Private Network CN ~ DS-A 0.797 CN ~ DS-B 0.747 MN ~ CN 1.306 DC-A ~ DC-B 0.705 MN ~ DC-B 1.229 Switching Hub, NAT Ethernet:100Base-TX CN DC-A DC-B MN 17
NTMobile ( 基本動作 ) MN DNS Server DC DC CN 経路指示要求 Direction Request DNS Request / Reply NTM 情報取得 Node ID Real IP Virtual IP 経路指示 トンネル要求 / 応答 Tunnel Request / Response Capsulated Packet 18
NTMobile (Access Check による拡張 ) NodeID : MN Mobile Node DNS Server Direction Coordinator Direction Correspondence Coordinator Node NodeID : CN Direction Request OK: Continue Negotiation NG: Stop Negotiation DNS Request / Reply Access Check Request Access Check Response Access Check Access OK? NodeID MN NodeID CN Search... Access OK/NG Tunnel Request / Response Access OK/NG NodeID MN NodeID CN 19 Capsulated Packet