第 4 回 ICTSFC WG 合 同 会 合 ( 国 立 情 報 学 研 究 所 ) 2011 年 5 月 12 日 eduroamによるキャンパス 無 線 LAN 相 互 利 用 と 国 際 教 育 研 究 連 携 基 盤 の 構 築 後 藤 英 昭 東 北 大 学 サイバーサイエンスセンター 1
内 容 背 景 モバイルネットワーキング 環 境 キャンパスネットワークの 現 状 学 術 系 国 際 無 線 LANローミング 基 盤 eduroam しくみ 国 内 動 向 eduroam 普 及 に 向 けての 取 り 組 み eduroamの 産 学 連 携 国 際 動 向 産 学 連 携 のこれから -eduroamの 先 にあるもの- 2
背 景 屋 内 外 を 問 わず 移 動 中 でも 安 全 かつ 容 易 に ネットワーク 接 続 したい 商 用 無 線 LANサービス 大 学 等 のキャンパスネットワーク リッチコンテンツの 増 加 大 容 量 化 スマートフォンの 隆 盛 移 動 電 話 系 データ 通 信 の 帯 域 提 供 ユーザ 数 の 不 足 Wi-Fiインフラの 利 用 / 3Gオフローディング 秩 序 あるアクセス 環 境 の 運 用 乱 立 するアクセスポイントやサービス Wi-Fi 搭 載 機 器 の 増 加 干 渉 3
背 景 (キャンパスネットワークの 現 状 ) 多 くの 教 育 研 究 機 関 において 幹 線 ネットワークはよく 整 備 されていても 端 末 接 続 ポートが 少 ない または 特 定 の 部 屋 に 限 定. ユーザ 認 証 が 不 十 分 なシステム 部 外 者 による 不 正 利 用 故 意 または 無 意 識 の 加 害 に 対 して 責 任 が 曖 昧 部 局 ごとに 異 なるシステム 低 い 利 便 性 学 内 の 会 議 でさえ 非 常 に 不 便 訪 問 者 が 使 えない ゲストアカウントの 発 行 が 面 倒 会 議 講 義 などで 著 しい 不 便 アクセスネットワークの 大 きなマーケット 4
背 景 ( 大 学 等 のキャンパスネットワーク) アプリケーションの 例 国 内 国 際 会 議, 研 究 会, 集 会 ( 常 設 無 線 LAN) 講 義 など( 講 師 向 け/ 演 習 / 遠 隔 講 義 /ELS) キャンパスサポート( 学 生 の 携 帯 端 末 他 大 学 履 修 ) 機 関 間 ローミングが 必 要 ( 相 互 運 用 性 統 一 的 運 用 ) eduroam 5
エデュローム eduroamとは ヨーロッパのTERENAで 開 発 された 学 術 系 の 無 線 LANローミング 基 盤 http://www.eduroam.org/ ヨーロッパ 約 40か 国 の 他 アジア 太 平 洋 地 域 ではオーストラリア 中 国 台 湾 香 港 日 本 NZ フィリピン カナダ USが 参 加 日 本 では 東 北 大 学 が2006 年 に 初 導 入 し 運 用 の 責 任 校 としてR&D http://www.eduroam.jp/ 世 界 的 なデファクトスタンダード! 6
eduroam JP と 国 内 動 向 国 内 のeduroam 参 加 機 関 (2011.5 現 在 ) 国 立 情 報 学 研 究 所 北 海 道 大 学 北 海 道 医 療 大 学 東 北 大 学 宮 城 教 育 大 学 尚 絅 学 院 大 学 山 形 大 学 高 エネルギー 加 速 器 研 究 機 構 東 京 大 学 日 本 医 科 大 学 東 京 農 工 大 学 電 気 通 信 大 学 東 京 有 明 医 療 大 学 名 古 屋 大 学 名 古 屋 工 業 大 学 京 都 大 学 京 都 教 育 大 学 同 志 社 大 学 大 阪 大 学 九 州 大 学 九 州 工 業 大 学 参 加 機 関 募 集 中! 計 21 機 関 19 機 関 (2 月 ) 11 機 関 ( 昨 年 ) 7
eduroamのしくみ IEEE802.1x 認 証 に 基 づいた, 安 全 なユーザ 認 証 認 可 利 用 者 が 所 属 機 関 のアカウントを 使 って 訪 問 先 でネットワーク 利 用 RADIUSツリーを 介 して 認 証 情 報 を 相 互 利 用 ( 認 証 連 携 ) トップレベルRADIUSプロキシ (ヨーロッパ,アジア 太 平 洋 ) 訪 問 先 機 関 A au B C jp D ホーム 機 関 国 内 RADIUSプロキシ 機 関 RADIUSサーバ AP 無 線 LANアクセスポイント ( 認 証 スイッチ 付 き) user@institution-d.jp RADIUS Access 要 求 RADIUS Access 応 答 8
eduroamの 国 内 普 及 に 向 けて 課 題 1,200 以 上 の 高 等 教 育 機 関 の 接 続 ( 事 務 局 の 負 担 大 ) 各 機 関 のRADIUSサーバ 設 置 の 負 担 軽 減 アカウント 管 理 ( 作 成 配 布 )の 容 易 化 アクセスポイントの 設 置 管 理 の 容 易 化 これまでの 取 り 組 み 代 理 認 証 システム ( 東 北 大 ) eduroam 仮 名 アカウント 発 行 システム ( 京 大 ) 商 用 無 線 LANサービスとの 連 携 その 他 ( 可 搬 型 アクセスポイントなど) 9
代 理 認 証 システム 機 関 のRADIUS IdPを 不 要 に 導 入 の 容 易 化 RADIUSツリーの 単 純 化 1X 認 証 の 安 定 化 national top-level <secret key 1> 認 証 リクエスト <secret key 2> RADIUS IdP 機 関 RADIUSサーバ RADIUS proxy アクセスポイント 代 理 認 証 システム に 集 約 10
代 理 認 証 システム (つづき) 集 中 型 アカウント 発 行 システム 各 機 関 RADIUS server 5 機 関 が 利 用 中 eduroam 普 及 に 大 きな 貢 献 pseudonymous account アカウントは 1~6か 月 の 期 限 付 き IdM Web UI 統 合 認 証 システム 等 アカウント 発 行 ウェブサービス (ウェブ 画 面 ) または Shibbolethによるシングルサインオン ( 開 発 中 ) 認 証 連 携 なしのシステムは 既 に サービス 提 供 中! ID 取 得 だけで 管 理 者 がアカウントをバルク 請 求 発 行 可 能 ゲスト 用 アカウントの 発 行 も 可 能 11
eduroam 仮 名 アカウント 発 行 システム 仮 名 アカウント 発 行 システム 各 機 関 RADIUS server 期 限 付 きの 仮 名 アカウント pseudonymous account IdM Shibboleth IdP Web UI 学 術 認 証 フェデレーションによる シングルサインオン 個 別 ユーザが 個 人 用 アカウントを 随 時 取 得 可 能 学 認 のシステム 構 築 のみでeduroam 利 用 可 能 12
eduroamの 産 学 連 携 市 街 地 におけるeduroamサービスの 提 供 キャンパス 無 線 LANシステムのアウトソーシング キャンパスにおける 公 衆 無 線 LANサービスの 提 供 national top-level <secret key 1> 認 証 リクエスト <secret key 2> RADIUS IdP 機 関 RADIUSサーバ RADIUS proxy アクセスポイント 代 理 認 証 システム に 集 約 アウトソーシング 13
eduroamの 産 学 連 携 livedoorの 商 用 APからeduroamサービスを 提 供 130+ の 屋 内 AP( 喫 茶 室 会 議 場 商 業 施 設 など; 東 京 近 辺 ) 2,200+ 屋 外 AP( 東 京 都 心 の 電 柱 ) eduroam-livedoor が 市 中 で 利 用 可 能 キャンパスネットワークソリューションにもeduroamを 付 加 キャンパス 周 辺 の 電 柱 上 APが 利 用 可 能 な 大 学 も 学 内 APを 用 いた 商 用 無 線 LANサービス APの 共 用 試 行 的 他 にも 14
eduroamの 産 学 連 携 仮 想 的 なキャンパスネットワークの 拡 大!! 国 内 21 機 関 (2011.5 現 在 ) 学 術 クラウド 図 書 館 学 内 LAN Internet 電 子 ジャーナル 等 キャンパス 外 でも 自 由 に 学 術 NW コンテンツへ アクセス 可 能 に! 認 証 連 携 大 学 のアカウントによる NWアクセスを 実 現 関 東 地 域 のカフェ 会 議 場 大 型 店 舗 等 の 屋 内 130AP + 屋 外 ( 山 手 線 内 側 ) 約 2,200AP 世 界 の 約 50カ 国 が 加 盟 キャンパス 無 線 LANのアウトソーシング オプションの 創 成 15
大 学 から 見 た 産 学 連 携 現 状 背 景 運 用 スタッフの 不 足 部 局 や 学 内 に 閉 じた 無 線 LANインフラ 学 内 で 商 用 無 線 LANの 利 用 が 困 難 ( 要 望 はある) 学 内 ( 学 生 )で 携 帯 電 話 帯 域 接 続 容 量 が 不 足 キャンパスLANにおける 商 用 サービスは 困 難 ~ 不 可 能 産 学 連 携 のメリット 市 街 地 でもeduroamが 利 用 可 能 ネットワークインフラをまるごとアウトソーシング 複 数 社 の 参 入 が 望 ましい 認 証 サービスも 提 供 されれば 負 担 軽 減 と 安 定 化 商 用 品 質 の 無 線 LANサービスの 提 供 (プロにおまかせ) 学 内 での 商 用 無 線 LANサービス( 訪 問 者 も 対 応 ) 16
ISP/キャリアのメリット 現 状 公 衆 無 線 LANをキャンパスに 展 開 しにくい 大 学 のアクセスポイントと 干 渉 携 帯 電 話 帯 域 接 続 容 量 が 不 足 メリット キャンパスで 商 用 サービスを 展 開 可 能 公 衆 無 線 LANとキャンパス 無 線 LANの 一 元 管 理 利 用 者 に 会 社 のサービスをアピールしやすい ( 卒 業 後 の 契 約 に 期 待 ) 3Gオフローディングによる スマートフォンの 利 用 環 境 改 善 販 売 促 進 etc. 17
SIerのメリット 現 状 大 学 ごとに 異 なるシステム 大 学 ごとの 仕 様 調 整 が 面 倒 高 いユーザサポートコスト メリット 定 型 のソリューションをベースに 最 低 限 のカスタマイズで 導 入 システムの 簡 略 化 商 用 サービスとキャンパスネットワークの 一 元 管 理 ユーザサポートコストの 低 減 ISP/キャリアと 提 携 してシステム 提 案 または ISP/キャリアから 受 注 18
eduroam 連 携 の 課 題 コスト 回 収 eduroamでは 利 用 者 個 人 への 課 金 はできない システム 構 築 やサポートなど 他 の 経 費 から 回 収 す るビジネスモデルが 必 要 インシデント 対 応 大 学 と 連 携 して 不 正 利 用 者 を 追 跡 特 定 19
eduroamの 国 際 動 向 新 規 加 盟 国 の 募 集 技 術 支 援 小 規 模 国 のホスティング (NZ, PNGなど) 地 元 のキャリア ISPとの 連 携 街 頭 やカフェ バーなどでのeduroam 対 応 APの 提 供 地 方 自 治 体 のフリーWi-Fiでeduroamサービス 提 供 R&D 国 際 的 なルールの 整 備 ( 法 制 面 技 術 面 ) RADIUSの 安 定 化 (RadSecの 開 発 など) 1X 対 応 デバイスやサプリカントの 安 定 化 互 換 性 確 保 AP / RADIUS 死 活 監 視 システムの 開 発 大 規 模 NW 向 きのアーキテクチャ 開 発 ( 日 本 発 ) ISP 連 携 では 日 本 が 先 行! 20
これからの 産 学 連 携 -eduroamの 先 にあるもの- キャンパス/ 市 街 地 の 区 別 のない ボーダーレ スなサービスの 実 現 大 学 の 認 証 基 盤 とのフェデレーション フラットなアクセスネットワークの 実 現 安 全 安 心 快 適 な 無 線 LANサービスの 実 現 セキュリティ 面 で 大 きな 問 題 があるウェブ 認 証 からの 早 期 脱 却 1X 認 証 などへの 移 行 安 全 高 速 な 無 線 接 続 認 証 手 法 の 開 発 安 定 でグリーンな 無 線 LANインフラの 構 築 乱 立 するAPの 整 理 ローミングの 有 効 利 用 オペレータ 間 でのハンドオフの 実 現 Trueモバイル 環 境 の 実 現 21
まとめ キャンパス 無 線 LAN 整 備 の 際 は 大 学 SIerとも eduroam でローミング 対 応 を! 代 理 認 証 システム アカウント 発 行 だけで ゼロコストでeduroam 利 用 開 始 eduroam IdP (RADIUS) 構 築 不 要 eduroam 仮 名 アカウント 発 行 システム 学 認 に 参 加 するだけで eduroamアカウント 発 行 可 能 eduroam IdP 構 築 不 要 商 用 無 線 LANサービスとの 産 学 連 携 eduroamと 商 用 サービスを 同 時 整 備 キャンパスネットワークのアウトソーシング プロにおまかせで 商 用 品 質 の 無 線 LANサービス 22