...

見る/開く

by user

on
Category: Documents
19

views

Report

Comments

Transcript

見る/開く
別紙第1号様式
No.1
のアクセス制御機能の設計と実装は,非常に重要
な課題である.
博 士 論 文 の 要 旨
また,大学などの組織内において利用されるネ
専攻名 システム創成科学専攻
氏名
末 永 光 弘 (福岡県)
ットワークにおいては,不正利用やセキュリティ
印
博士論文題名
セキュアネットワーク構築のためのアクセス
制御に関する研究
リスクは常に存在しており,利用者認証を行うネ
ットワークにおいては,NAT 機器を経由して接続
することにより,様々な問題が発生する.これら
の問題の発生回数を低下させ,利用上,運用上の
双方の視点において安全なネットワークとする
2000 年以降,一般家庭におけるインターネッ
トを含めたネットワーク利用の普及により,情報
には,NAT 機器を経由する通信を禁止する必要が
ある.
化社会の発展は著しく加速し,通信基盤の整備が
本研究では,特に重要な機能の一つであるネッ
望まれている.ネットワークの利用者の視点から
トワークにおけるアクセス制御を目的とし,利用
は,様々な機能が利用でき,個人情報の漏えいや
者認証を行うネットワークにおける NAT 機器の
ウィルス感染の防止といったセキュリティ上の
設置により発生する問題の解決と,SDN に基づ
安全性が確保されることが望ましく,ネットワー
いた次世代ネットワークにおける認証システム
ク管理者の視点からは,ネットワークの高機能
の設計および実装を行うものである.
化・複雑化にともなう管理コストの上昇を抑制し,
認証ネットワークにおける NAT 機器の設置に
管理・運用のしやすいネットワークが求められて
よるリスクに対しては,署名済み Java アプレッ
いる.本研究においては,これらの要求を満たす,
トによる NAT 検出手法と,TTL 値の観測による
より安全で高機能な次世代のネットワークを「セ
NAT 検出手法を,既存の Web 認証システムへの
キュアネットワーク」と定義する.
導入が容易な追加機能として実装した.本研究に
大規模化・複雑化に伴うネットワーク管理コス
おいて実装した機能の最大の特徴は,ネットワー
トの増加に対する解決策の一つとしては,ネット
ク利用認証を行う前に NAT 経由の通信であるか
ワークの構成,機能,性能などをソフトウェアに
どうかを判断し,NAT 経由の通信であればアクセ
より動的に設定・変更し,
制御する SDN(Software
スを禁止できることである.従来の手法では,
Defined Network)と呼ばれる概念がある. SDN
Web 認証ネットワークにおいて,認証が行われる
の特徴の一つとして,プログラマブルであること
前に NAT を検出し,NAT 経由の通信を禁止する
を前提とした多数のネットワーク機器の集中管
ことが困難である,あるいは一定の条件を満たさ
理や自動化が挙げられ,ネットワークの複雑化に
なければ有効に NAT を検出できないといった問
より増大する管理コストや管理者への負担を軽
題があった.本研究による実装では,多種多様な
減できると考えられている.
端末・OS の混在する環境においても NAT を検出
SDN に基づくネットワークにおいては,ネッ
し,認証前に NAT 経由の通信を禁止することが
トワークの運用に必要な様々な機能をアプリケ
可能である.検証実験,および小規模ネットワー
ーションとして実装する必要があり,SDN に基
クにおける試験運用においても,誤動作や誤検知
づくネットワークをセキュアネットワークの基
はなく,良好な結果を示した.
盤として利用するためには,利用者認証機能など
さらに,次世代ネットワークにおけるアクセス
別紙第1号様式
No.2
博 士 論 文 の 要 旨
専攻名 システム創成科学専攻
氏 名 末永 光弘
制御機能として,OpenFlow に導入可能なネット
ワーク利用者認証システムの設計と実装を行っ
た.認証には Shibboleth を使用しており,同一
の IdP を使用する Web システムのシームレスな
利用が可能である.Shibboleth を採用したことに
より,学術認証フェデレーションを利用して,複
数の組織にまたがる外部訪問者の認証も可能で
ある.また,同一の IdP を利用するネットワーク
であれば,ネットワーク間を移動しても再認証が
簡単に行われることを確認できた.OpenFlow の
採用により,従来の L3 レベルでのフィルタリン
グを行うゲートウェイ設置型の Web 認証システ
ムと比較すると,
OpenFlow スイッチにおいて L2
レベルでフィルタリングが可能なため,各スイッ
チにフィルタリング時の負荷が分散する.また,
認証システム自体を L2 スイッチのように容易に
ネットワークに挿入可能である.
今後のネットワークにおいては,利用者,管理
者の双方にとっても,セキュリティ上のリスクを
可能な限り低減可能であることが求められると
考えられる.また,管理負担の低減可能な SDN
に基づくネットワークが普及すると考えられ,既
存のネットワークにおいて提供されている機能
のすべてが利用できる必要があり,特に認証やア
クセス制御に関するアプリケーションの開発が
重要な課題となると考えられる.よって,本研究
は,今後のネットワークの発展に大いに寄与する
ものであると期待できる.
Fly UP