1 / 60

利用者主導型仮想プライベート・ サブネットワークに関する研究

利用者主導型仮想プライベート・ サブネットワークに関する研究. 慶應義塾大学政策・メディア研究科修士二年 サイバーインフォマティクス (CI)  青柳禎矩 主査 徳田英幸,副査 高汐一紀,戸辺義人. : Shepherd. 概要. 利用者主導型 VPN 構築機構の Shepherd の提案 ノード単位のアクセス制御が可能 既存ネットワーク構成,設定などを変更する必要がない 導入回数はプライベートネットワーク毎に一度のみ. アウトライン. 利用者主導型 VPN の必要性 Shepherd の提案および関連研究との比較 Shepherd の設計・実装 評価

howard-walton
Download Presentation

利用者主導型仮想プライベート・ サブネットワークに関する研究

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 利用者主導型仮想プライベート・サブネットワークに関する研究利用者主導型仮想プライベート・サブネットワークに関する研究 慶應義塾大学政策・メディア研究科修士二年 サイバーインフォマティクス(CI) 青柳禎矩 主査 徳田英幸,副査 高汐一紀,戸辺義人

  2. :Shepherd 概要 • 利用者主導型VPN構築機構のShepherdの提案 • ノード単位のアクセス制御が可能 • 既存ネットワーク構成,設定などを変更する必要がない • 導入回数はプライベートネットワーク毎に一度のみ

  3. アウトライン • 利用者主導型VPNの必要性 • Shepherdの提案および関連研究との比較 • Shepherdの設計・実装 • 評価 • 今後とまとめ

  4. 本研究の背景と目的

  5. プライベートネットワーク • IP通信可能なノードの増加 • ノード:個人利用する端末 • 組織でのプライベートネットワーク構築 :プライベートネットワーク

  6. 仮想プライベートネットワーク(VPN: Virtual Private Network) • 遠隔地に存在する同一組織のプライベートネットワークの結合 • ノード間の透過的な通信の実現 • ネットワーク管理者による構築 VPN Public Network

  7. 接続形態によるVPNの分類 CE CE CE CE CE private network A private network B private network A private network B private network C (a) Virtual Leased Line (b) Virtual Private Routed Networks/Virtual Private LAN Segment node a node c CE mobilenode node b node d private network A private network B private network public network (c) Virtual Private Dial Networks (d) Virtual Private SubNetworks

  8. 本研究の着目点 • 利用者主導型のVPNに着目 • 従来の多くのVPNは管理者主導型 • 利用者は無意識にVPNを利用していた • 利用シナリオ • 利用者が他のプライベートネットワークのノードと通信したい時 • プライベートネットワークは同一組織とは限らない • 機能要件 • ノード単位のアクセス制御が可能であること • 利用者のみで容易にVPN構築機構を導入・利用可能であること 映像が見たい 映像が見たい

  9. 本研究の目的 • 利用者主導型VPNの機能要件 • ノード単位のアクセス制御が可能であること • VPNの接続形態の一種であるVPSNによって実現可能 • 利用者のみで容易にVPN構築機構を導入可能であること • 既存のVPSN構築機構には存在しない 利用者のみで容易に導入可能なVPSN構築機構を提案し,設計・実装すること

  10. 本研究による貢献 グループ専用のアプリケーション実装 プライベートネットワーク専用のアプリケーション使用(DLNAなど) • 下記を実現可能 • プライベートネットワーク専用アプリケーションの利用 • グループ専用アプリケーションの通信基盤 新しいユビキタスアプリケーション 映像鑑賞 映像鑑賞

  11. Shepherdの提案および関連研究との比較

  12. :Shepherd Shepherdの提案 • 利用者のみで容易に導入可能なVPSN構築機構 • 既存ネットワーク構成,設定などを変更する必要がない • 導入回数はプライベートネットワーク毎に一度のみ

  13. 関連研究 • ノードが送信したEthernetフレームの集約手法の観点から分類 • Bridge Model • Routing Model • Flat Model

  14. :VPSN構築機構 関連研究 (1/3) • Bridge Model 既存の実装 ・P2P-CUG (NEC) など 問題点 ・ネットワーク構成変更が必要 ・ネットワークの知識が必要 ブリッジノードが必要 ネットワーク構成の変更が必要

  15. :VPSN構築機構 関連研究 (2/3) • Routing Model ルーティングテーブルの書き換え必要 既存の実装 ・SoftEther (ソフトイーサ) など 問題点 ・ルータの設定変更が必要 ・ネットワークの知識が必要

  16. :VPSN構築機構 関連研究 (3/3) • Flat Model 既存の実装 ・i3・hamachi・ELA など 問題点 ・導入の手間が多い・ノードによっては導入困難 ノードのソフトウェア改変が必要 全てのノードにインストールの必要

  17. Shepherd • Shepherdのトラフィック集約手法 • Proxy ARP を利用する • シェパード(羊飼い)のようにトラフィックを特定ノードに呼び寄せることができる 送信先 送信元 ns ss nd sd 本来応答すべきノード ARP要求 ARP代理応答

  18. 比較 • シェパードは導入が容易である

  19. Shepherdの設計と実装

  20. Shepherd の機能要件 • ノード単位のアクセス制御 • 既存プライベートネットワークの物理的変更の不要 • 既存プライベートネットワークの論理的変更の不要 • 少ない機構導入回数 • 接続先の容易な発見 • IP アドレス衝突の回避

  21. 機能要件の実現手法 (1/4) • ノード単位のアクセス制御 • ⇒フォールドの概念を導入 fold 1 fold 2 The Internet sa na nb sb Private Network A Private Network B

  22. 機能要件の実現手法 (2/4) • 既存プライベートネットワークの物理的変更の不要 • 既存プライベートネットワークの論理的変更の不要 • 少ない機構導入回数 • ⇒Proxy ARP によって実現 送信先 送信元 ns ss nd sd 本来応答すべきノード ARP要求 ARP代理応答

  23. 機能要件の実現手法 (3/4) • 接続先の容易な発見 • プライベートネットワークによってはIPアドレスが不定 • 利用者が接続毎に手動で教えてもらうのは利便性に欠ける • ⇒XMPP (eXtensible Messaging and Presence Protocol) の利用 • インスタントメッセンジャのオープンプロトコル • XMPPサーバによるアカウントの発行,認証 • アカウント毎の Jabber ID 割り当て • すでに多くの実装が存在 • Google Talk など

  24. 機能要件の実現手法 (4/4) • IPアドレス衝突の回避 • 新しいアドレス空間の形成 (10.0.0.0/8 など) • 既存アドレス空間と衝突する可能性がある • 既存アドレス空間の拡張 • IPアドレスを多く消費するが,衝突の可能性はない 実際のIPアドレス: 192.168.0.1 192.168.0.2192.168.0.1 192.168.0.2 送信先IPアドレス: 192.168.0.3 192.168.0.4192.168.0.3 192.168.0.4

  25. 全体構成と制約条件 • プライベートネットワーク • インターネットとの接続を持つEthernet , IPv4のネットワーク • Shepherdを導入した1台のシェパードノード • DHCPサーバの存在 • XMPPサーバ • シェパードノードのアカウントが存在すること • 他のアカウントを追加していること(フレンドシェパードノード) XMPP サーバ Shepherd シェパードノード(ssのフレンドシェパードノード) ns ss nd sd シェパードノード

  26. モジュール構成 Internal Message Traffic User Interface Module Shepherd ID, password Edit Folds Account Module Managing Fold Module Authenticate Refresh Refer Refresh Define Fold ShepherdNodes List Nodes List Fold List Refresh Refer Tending Module Proxy Module Shepherd Network ARP, DHCP Node’s traffic To Shepherd Managing Server To Nodes To Nodes, Friend Shepherd Nodes To Friend Shepherd Nodes

  27. 実装 • Shepherd • 実装対象OS • Windows XP • 実装言語 • C++ (Visual Studio .NET) • ヘッダを合わせて約6000行 • 使用ライブラリ • WinPcap: 低レイヤのネットワーク処理 • Libjingle: XMPP通信

  28. スクリーンショット 初期設定 フレンドシェパードノード一覧 フォールド一覧 メッセージ

  29. Shepherdの利用手順 (1/5) • XMPPサーバへのログイン • フレンドシェパードノードの発見 XMPP サーバ フレンドシェパードノードが表示される 発見 ns ss nd sd

  30. Shepherdの利用手順 (2/5) • フォールドの作成 • 把握したノードの指定 • フレンドシェパードノードの指定 • フォールド名の指定 ns ss ブロードキャストフレーム(ARP要求等)

  31. フォールドが表示される ns ss nd sd

  32. Shepherdの利用手順 (3/5) • 送信先IPアドレスの決定 • リレーエージェントDHCP要求を出す • ndのIPアドレスが決定される • 画面に表示されるIPアドレスに送信 (192.168.2.197) ns ss nd sd 192.168.2.190 192.168.2.198 10.0.0.2 10.0.0.1 DHCP要求 DHCP応答受信

  33. Shepherdの利用手順 (4/5) • トラフィックの誘導 • nsが 192.168.2.197 宛に送信するためARP要求する • シェパードノードssがARPに応答する (Proxy ARP) →nsが192.168.2.197 宛IPパケットをssに送信するようになる ARP要求where 192.168.2.197 (192.168.2.197) ns ss nd sd 192.168.2.190 192.168.2.198 10.0.0.2 10.0.0.1 ARP応答

  34. Shepherdの利用手順 (5/5) • 実際のトラフィック転送 • nsが192.168.2.197宛に送信→ssへ • ssはカプセリングしてsdに転送 • sdは宛先を10.0.0.1に書き換え等してndへ転送 IP Packet To:192.168.2.197 (192.168.2.197) ns ss nd sd 192.168.2.190 192.168.2.198 10.0.0.2 10.0.0.1

  35. Shepherdの評価

  36. 評価手法 • 定性的評価 • 機能の観点による関連研究との比較 • 定量的評価 • 遅延・スループットの計測によるShepherdの性能評価

  37. 定性的評価 - 評価項目 - • 利用者主導型VPNの機能要件 • ノード単位のアクセス制御 • 既存プライベートネットワークの物理的変更の不要 • 既存プライベートネットワークの論理的変更の不要 • 少ない機構導入回数 • 接続先の容易な発見 • IP アドレス衝突の回避

  38. 定性的評価 - 評価対象 - • ノード単位のアクセス制御可能な機構に限定

  39. 定性的評価 - 評価結果 -

  40. 定量的評価 • 計測項目 • 遅延 • node 1 - node 4間のRTT • pingを用いて計測 • スループット • node 1 -> node 4 に対するUDPスループット • netperfを用いて計測 : Shepherd router node 1 node 2 node 3 node 4 private network A private network B 192.168.1.0/24 192.168.2.0/24 計測環境

  41. 定量的評価 (1/2) 遅延 • RTT増加(中央値で約 2.84 msec の増加) • Shepherdによる処理増加 • ホップ数の増加 • ばらつき(q1は2.72 msec, q3は4.05 msec) • 結果⇒許容範囲内である • インターネットでは定常的に発生しうる値 • 実装改良・ハードウェア性能向上により改善 1 2

  42. Shepherdの処理時間の分析 (1) • Pentium Counter を用いて計測 • Shepherdに評価用実装を加えたため,若干性能が減少する • ノードからシェパードノードへのEthernetフレーム転送時 • Ethernetフレームの修正に用いるデータのキャッシュなどによって改善の余地あり router 1 node 1 node 2 node 3 node 4

  43. Shepherdの処理時間の分析 (2) • シェパードノードからノードへのEthernetフレーム転送時 • 検索処理は処理削減による改善の余地あり • ノードへの転送は,WinPcapに頼らない手法 (Raw Socketなど) を検討する必要あり router 2 node 1 node 2 node 3 node 4

  44. 定量的評価 (2/2) スループット • スループットは 35.53 Mbps(中央値) • Shepherdによる処理の限界 • 結果⇒許容範囲である • インターネットの方がボトルネックになる

  45. スループット減少の過程の検証 • IPヘッダのIDに着目 • 考察 • 最初:バッファ内の受信したEthernetフレーム全てを送信しようとする • 途中から:Shepherdは処理が追いつかずバッファが溢れ,受信したEthernetフレームを間引いて送信する

  46. 今後とまとめ

  47. 今後の課題 • セキュリティ • 既存プロトコルなどを用いた下記項目の実装 • 通信の暗号化 • 改ざん検出 • 成りすまし検出 • オーバヘッド軽減 • 実装改良による遅延の軽減,スループットの向上 • 利用制限 • 必要に応じて,管理者による制限

  48. まとめ • 動的ノードグルーピングの必要性 • 利用者主導型VPSN構築機構 Shepherd の提案 • ノード単位のアクセス制御が可能なVPN • 利用者のみで導入可能 • 導入はプライベートネットワーク毎に一回のみ

  49. 参照文献 • "異種セグメント端末による分散型仮想LAN構築機構の設計と実装" 青柳 禎矩, 滝沢 允, 斉藤 匡人, 間 博人, 徳田 英幸 情報処理学会全国大会 Vol.66 (3) 2004年3月 March. 2004 • "ELA: 分散型VPNの設計と実装" 青柳 禎矩, 滝沢 允, 斉藤 匡人, 間 博人, 徳田 英幸 日本ソフトウェア学会インターネットテクノロジーワークショップ(WIT2004) • "ELA: A Fully Distributed VPN System over Peer-to-Peer Network" Sadanori Aoyagi, Makoto Takizawa, Masato Saito, Hiroto Aida, Hideyuki Tokuda IEEE International Symposium on Applications and the Internet (SAINT 2005) 2005年1月 January. 2005 pp.89-92 • "Shepherd: 利用者主導型動的ノードグルーピング機構" 青柳禎矩, 高橋ひとみ, 斉藤匡人, 間博人, 徳田英幸 日本ソフトウェア学会 SPA X

More Related