...

Title SiNET4・認証基盤 Author(s) 安達, 淳 Citation Issue Date 2009

by user

on
Category: Documents
31

views

Report

Comments

Transcript

Title SiNET4・認証基盤 Author(s) 安達, 淳 Citation Issue Date 2009
Title
SiNET4・認証基盤
Author(s)
安達, 淳
Citation
Issue Date
2009-03-19
Type
Presentation
Text version
author
URL
http://hdl.handle.net/2297/17007
Right
*KURAに登録されているコンテンツの著作権は,執筆者,出版社(学協会)などが有します。
*KURAに登録されているコンテンツの利用については,著作権法に規定されている私的使用や引用などの範囲内で行ってください。
*著作権法に規定されている私的使用や引用などの範囲を超える利用を行う場合には,著作権者の許諾を得てください。ただし,著作権者
から著作権等管理事業者(学術著作権協会,日本著作出版権管理システムなど)に権利委託されているコンテンツの利用手続については
,各著作権等管理事業者に確認してください。
http://dspace.lib.kanazawa-u.ac.jp/dspace/
金沢大学データベースフォーラム
次世代最先端学術情報基盤(CSI)の
構築に向けて
ー SINET3、認証基盤、そして次期ネットワーク ー
国立情報学研究所
安達 淳
平成21年 3月19日
National Ins titute of Inf or m atic s
1
1
アウトライン
•
•
•
•
•
2
CSIとは?
SINET3の概要
グリッドの展開
UPKI
SINET4の構想
National Ins titute of Inf or m atic s
1
最先端学術情報基盤(CSI)とは
『学術情報基盤の今後の在り方について』(平成18年3月)
サイバー・サイエンス・インフラストラクチャ(CSI)
人材育成及び推進体制の整備
(推進組織・人材確保等)
バーチャル研究組織
ライブコラボレーション
学術コンテンツの確保・発信システム
産
業
・
社
会
貢
献
連携ソフトウェアとしての研究グリッドの実用展開
大学・研究機関としての認証システムの開発と実用化
NIIと大学情報基盤センター・図書館等連携による次世代学術情
報ネットワークの構築と学術コンテンツ整備
北海道大学
★
学術情報ネ トワ ク運営 連携本部設立 (H17.2)
学術情報ネットワーク運営・連携本部設立
★ 東北大学
学術コンテンツ運営・連携本部設立 (H17.10)
九州大学
京都大学
★★
●
★
☆ ★
NII
国
際
貢
献
・
連
携
東京大学
名古屋大学
★
大阪大学
(東京工業大学,筑波大学,千葉大学,早稲田大学, 慶
應義塾大学,高エネルギー加速器研究機構,国立天文
台,分子科学研究所,国文学研究資料館)
大学・研究機関の研究リソース整備・研究成果等の発信
3
National Ins titute of Inf or m atic s
CSI実現へ向けての取り組み
• 学術情報ネットワーク:SINET3
→ SINET4 (平成23年)
• (CSI向け連携ミドルウェア:NAREGI)
• 全国大学共同電子認証基盤:UPKI
• 次世代学術コンテンツ基盤、コンテンツサービス
4
National Ins titute of Inf or m atic s
2
CSIが実現する学術連携の姿
統合、分散されるサイ
エンスDB
ペタコンや国立大学
等のスパコン等リ
ソース
電子ジャーナル、学
術コンテンツ
観測ネット
ワーク
VO2
国立大学等
の実験装置
VO3
VO1
基盤ミドルウェア(グリッド、認証基盤等)
SINET3機能(VPN,QoS,L1オンデマンド等)
B研究所
D大学
A大学
C大学
E研究所
国際
連携
5
実組織
産業
界
National Ins titute of Inf or m atic s
学術情報ネットワーク(SINET3)
6
National Ins titute of Inf or m atic s
3
CSIの中核としてのSINET3の現状
„ 我が国の学術研究・教育活動の情報ライフラインの提供
•
•
•
接続機関数は700機関、利用者は200万人以上。今や学術コミュニティに不可欠なネット
ワーク機能を提供。
大学における利用状況
国立大学 99%
ネットワークの一元的整備による
公立大学 67%
大幅な経費節減効果
大幅な経費節減効果。
私立大学 53%
安全・安心の国家情報インフラの
学生
69% (1,988千人)
教員
71% (115千人)
ひとつとしても機能。
„ 先端的学術研究連携に不可欠な最先端ネットワーク基盤の提供
•
•
世界初の機能、最大40Gbpsの超高速接続でめざましい研究成果達成の基礎を形成。
法人化後、特に懸念される大学・研究機関の横への連携の具体的基盤として、SINET3
の重要性が拡大。
„ 国際連携の基盤の提供
•
国際学術情報ネットワークの一翼を担う。
¾ 欧米のみならず、アジア等を含む国際的な学術連携を促進
(Abilene, GEANT, TEIN2との相互接続)。
National Ins titute of Inf or m atic s
7
学術情報ネットワーク(SINET3)構成図
【回線速度】
中継ノード(12拠点)
10Gbps~40Gbps
一般ノード(62拠点)
1Gbps~20Gbps
国際回線
日本-米国間 10Gbps * 2
日本-シンガポール間 622Mbps
日本-香港間
622Mbps
【凡例】
中継ノード(12拠点)
一般ノード(62拠点)
10Gbps~40Gbps
1Gbps~20Gbps
National Ins titute of Inf or m atic s
8
4
利便性の高いサービスを提供
利用者重視の5つの便利なサービスを新技術で提供
サービス
内容
技術
①マルチレイヤサービス
①
ルチ イヤサ
複数のレイヤ (IP系、Ethernet系、専用線系)のサー
ビスを一つのネットワークで実現
ビスを
つのネ トワ クで実現
・次世代SDH技術
・高度MPLS技術
高度
技術
②マルチVPNサービス
仮想プライベート網により、大学間にまたがる共同研
究に対して、研究グループごとにセキュアな通信環境
を手軽に実現
・論理ルータ技術
・高度MPLS技術
・GMPLS技術
③マルチQoSサービス
実時間系アプリケーション(映像,音声等)を、イン
ターネットの混雑状況においてもストレスなく実現
・QoS制御技術
・次世代SDH技術
④帯域オンデマンドサービス
超高速の専用線接続環境が、必要な時に必要なとこ
ろに必要なだけ利用可能
・GMPLS技術
・オンデマンドサーバ
技術
⑤付加価値サービス
ネットワーク情報(トラフィック、 遅延等)を可視化して、
・トラヒック収集・分析
利用状況の把握、迅速なトラブル解明、今後のネット
技術
ワーク設計に利用
National Ins titute of Inf or m atic s
9
国際接続を強化
国際学術情報ネットワークのアジア・コアを担うSINET3
海外接続拠点をデータセンタに置いて安定性を強化
‹ 北米回線: 10Gbps(ニューヨーク)+10Gbps(ロサンゼルス)
‹ アジア回線: 622Mbps(シンガポール)+622Mbps(香港)
SURFnet
RENATER
CalREN
GEANT
欧州
アジア
中国
SINET3
北米
ニューヨーク
ロサンゼルス
622Mbps
CA *net4
香港
622Mbps
TEIN2
東京
シンガポール
10
Pacific
Wave
AARnet
Internet2
(Abilene)
MAN LAN
ESnet
National Ins titute of Inf or m atic s
5
SINET(Asia)&Partnersによるアジア学術ネットワークの構築
2006年1月
スタート
National Ins titute of Inf or m atic s
11
レイヤ1オンデマンドサービスの試行運用開始
•レイヤ1オンデマンドサービス
• ユーザから直接、接続対地、利用時間、利用帯域を指定することにより、自動的にレイヤ1パス(臨時専用線)を設定
するサービス
• 超大容量のデータ転送や超高品質な通信をユーザが必要な時に瞬時に可能
•2月1日にレイヤ1オンデマンドサービスのデモに成功
•2月1日にレイヤ1オンデマンドサ
ビスのデモに成功
• 北海道大学と国立情報学研究所との間を合計1.8Gbpsのレイヤ1パスで接続し、無
圧縮HDTV映像を伝送することにより実施。 (図1)
• 最高の通信品質(最小遅延、遅延揺らぎなし)と最高の高解像度映像(無圧縮
HDTV)の組み合わせにより、距離の壁を克服した臨場感あふれるコミュニケーション
環境を実現。 (図2)
•6月11日から試行サービス開始
北海道大学の映像(NII側)
オンデマンド
サーバ
IPルータ
L1OPS
IPルータ
ル タ
IPルータ
ル タ
IPルータ
ル タ
L2
Mux
NII
L2
Mux
東京
東京
筑波
仙台
札幌
北大
会場PC
: IP/Ethernet用パス
: L1パス(0.9Gbps)
: L1パス(0.9Gbps)
図1.サービス開始デモ(2月1日)におけるネットワーク構成
12
国立情報学研究所の映像(北大側)
図2.無圧縮HDTV端末で伝送した映像
National Ins titute of Inf or m atic s
6
VPN使用例
(核融合)
大型ヘリカル装置
(地震)
地震計測機
(天文)
電波望遠鏡
(GRID)
スーパーコンピュータ
共同利用
機器
GRID-VPN
eVLBI
VPN
核融合
VPN
SINET3
地震VPN
IP-VPN
L2/L3SW
大学
LAN
ユーザ
NW
バーチャル研究室
(独立したアドレス空間)
L2VPN
/L1オンデマンド
VPLS
L1オンデマンド
IP-VPN/VPLS
L2/L3SW
L2/L3SW
大学
LAN
VLAN
L2SW
L2SW
研究DB
A大学
核融合G
VLAN
B大学
核融合G
C大学
地震G
研究DB
L2/L3SW
大学
LAN
VLAN
L2SW
研究DB
D大学
地震G
E大学
天文研究G
F大学
○研究室
G大学
□研究室
H大学
○研究室
I大学
△研究室
J大学
□研究室
National Ins titute of Inf or m atic s
13
SINET3サービスの利用対象者
• SINET3では,従来のIPv4接続がメインだったSINETに比べて,レイ
ヤ1~レイヤ3までの様々なネットワークサービスを提供することが可
能になりました。
• そのため,従来のLAN接続に加えて,加入機関で教育・研究活動を
行う方々もVPN等のSINET3サービスを利用できるようになりました。
高精細映像の伝送に・・・
(QoS)
遠隔医療に・・・
(VPN, QoS)
e-VLBI実験に・・・
(L1オンデマンド)
高性能コンピュータの連携に
(L1オンデマンド)
講義ビデオの配信に・・・
(マルチキャスト)
14
高品質なTV会議に・・・
(QoS)
研究グループ間の
大容量データ転送に・・・
(VPN)
National Ins titute of Inf or m atic s
7
~意外と知られていないこと~
共同研究相手の企業の方もSINET3を利用可能です
共同研究契約があれば民間企業
の研究者もSINETに加入の上、利用
することができます
接続ノード
バックボーン
ックボ ン
加入機関
加入機関
ノ ドの接続機器
ノードの接続機器
L2SW等
xx株式会社研究所
アクセス回線
LAN
○○大学
▲▲研究室
ノードまでのアクセス回線
を準備いただくことで接続
できます。
Bフレッツ、広域VALNでの
接続も可能です。
学内LAN
大学研究者
共同研究企業
SINET3への接続OK
(ただし○○大学の許可
が必要)
National Ins titute of Inf or m atic s
SINET利用推進室設置の目的
• 平成19年10月に設置
• 今まで不十分であったユーザ様のネットワーク利用サポートの推進
¾ SINET3で提供する新接続サービスの利用促進
¾ 新接続サービスを用いた利用形態や利用者の発掘
• SINET3を使いこなすための技術サポートの推進
¾ ネットワーク性能不具合などに関する原因調査や改善策などの
アドバイス
¾ SINET3を快適に使って頂くための接続方法などのコンサルティ
ング
¾ ネットワークの技術や利用方法に関する啓蒙活動
16
National Ins titute of Inf or m atic s
8
SINET利用推進室の活動内容
ユーザ要望のヒアリング
調査活動
◎SINET3への要望・意見募集
技術普及・啓蒙活動
(講演会・交流会)
◎SINET3利用説明会の開催や啓蒙活動
・推進事例,説明等の作成,Webでの発信
17
ユーザコンサルティングと対策
SINET
利用推進室
問い合わせ先:
[email protected]
03-4212-2269
2007 10/1
開始
◎ネットワークサービス利用など
に関するコンサルティング
性能上の不具合
トラブルシューティング対応
◎ネットワークサービス利用時の不具
合や性能改善へのサポート
National Ins titute of Inf or m atic s
NAREGIグリッドミドルウェア概要
-NAREGI成果で実現する計算科学をサポートする次世代研究環境 -
18
National Ins titute of Inf or m atic s
9
大規模実証実験環境の構成
大阪大学
東京工業大学
Osaka Univ. Grid CA
NII
分子科学研究所
NAREGI CA
RENKEI-Osaka
GSIC-VOS
VO1
RENKEI-Naregi
CA/RA
CA/RA
RA
U
User
cert
Host cert
UMS
Portal
UMS/VOMS
Portal
UMS/VOMS
Portal
UMS/VOMS
Portal
SS連携
VOMS
SS
SS
SS
SS
rcs
IS-NAS
IS‐NAS
IS-NAS
GridVM Sch
dpca064
GridVM Sch
dpca128
GridVM Sch
dpcb064
GridVM Sch
dpcb128
GridVM Sch
dpcc128
GridVM Sch
dpcd048
GridVM Sch
dpcd049
GridVM Sch
dpcd057
GridVM Sch
sr11k
IS‐CDAS
名古屋大学
IS‐CDAS
内部利用 portal /…/cdas
IS‐CDAS
IS‐CDAS
IS‐CDAS
CDAS/GVM‐S
GridVM Sch
GridVM Sch
GridVM Sch
GridVM Engines
GridVM Sch
GridVM Sch
(Linux)
(Solaris)
GridVM Sch
GridVM sng0001
(sx)
GridVM Engines
vo1利用
GridVM pbg2043
GridVM S&E
GridVM png1051
png1054
GridVM pfg1005
九州大学
GridVM Sch
dpc.kyushu
(Linux)
GridVM Engines
National Ins titute of Inf or m atic s
19
研究開発成果:
NAREGIミドルウェアVer.1.0の主要機能
計算科学をサポート
1) 予約によるジョブ実行によるアーキテクチャの異なる
計算資源間での連成解析
2) バルクジョブ実行
3) GridMPI、GridRPCの組み込み
4) 資源管理と連携したデータグリッド
研究コミュニティー
をサポート
1) VO(Virtual Organization)単位のサービス
2) VO管理に必要なアクセス管理・制御・管理機能設定
3) VO単位でのデータ、及びアプリケーションの共有
利用環境の高度化・
平準化
運用をサポート
20
1) ポータルにより平準化された利用環境
2) GUIによる計算資源を意識しない操作、利用
3) コマンドラインインターフェイスによるアプリケーション管理とジョブ実行
4) 適合した計算資源の自動選択
1) 計算資源利用効率向上
予約ジョブ実行と非予約ジョブ実行の両立等
2 )管理者支援機能
3 )グリッドジョブとローカルスケジューリングジョブの共存
4 )インストール・運用性の向上
National Ins titute of Inf or m atic s
10
NAREGIミドルウェアVer.1.0による研究環境
計算資源、分散した大規模データを
意識せずに利用
計算・研究資源をどこからでも同じように
使える平準化された環境
ポータル
A 大学
B 研究所
C 大学
D 大学
バーチャルな研究コミュニティー
(VO)を容易に形成
計算・研究資源を連携した研究が容易
(リアルタイムコラボレーション)
仮想組織(Virtual Oganization)
A 大学
実組織
D 大学
B 研究所
C 大学
研究中のプログラムA
研究中のプログラムB
National Ins titute of Inf or m atic s
21
利用支援
UPKI
認証基盤
普及・教育
認証局
ヘルプデ
スク
NAREGI
ミドルウェア
開発者
SINET3
NOC管理者
SINET3
センター
管理者
VO
VO管理者
ユーザ
ユーザ
22
National Ins titute of Inf or m atic s
11
大学間連携のための
全国大学共同電子認証基盤(UPKI)
National Ins titute of Inf or m atic s
23
全国大学共同電子認証基盤(UPKI)とは
•
•
•
•
•
平成17年頃から,7大学情報基盤センターとNIIで,大学の資源を共有するための
認証基盤を検討
平成18年2月15日にキックオフのシンポジウムを開催
大学が保有するスパコン,電子コンテンツ,ネットワーク等の学術情報資源を,安心・
安全かつ有効な活用が可能な基盤を目標にする
先行する海外の学術機関の事例,PKI以外の技術も積極的に取り入れて研究・開
発する
7大学情報基盤センター群とNIIで概算要求を行い,平成18~20年度の3年間,
特別教育研究経費(研究推進:大学間連携)が認められた。
24
24
National Ins titute of Inf or m atic s
12
UPKIの構想段階では
„ プライベート認証局の連携による,大学間連携を模索
„ 大学の認証局を用いて,「サーバ証明書」「S/MIME証明書」「コード証明書」「官職証明
書」を発行し,大学間連携,産学連携に活用
„ このため,認証局間の連携方式の調査・分析を実施
イメージ
NII
ルートモデル
大学CA
ブリッジモデル
大学CA
大学CA
大学CA
NII
大学CA
短所
・ユーザ規模,用途により下位
CAを増やせる
・認証パスの構築が容易
・ウエブブラウザ等の製品が標
準でサポート
・ルートCAに権限が集中する
・ルートCAの鍵が危殆化した場
合,前証明書の再発行が必要
・他CAの追加が容易
・他ドメインのCA鍵危殆化の影
響範囲が局所的
・認証パスの構築,検証が複雑
になる
・ウエブブラウザ等が対応して
いない
・他CAの追加が容易
・ポリシーによる制約が可能
・他CAとの連携維持管理及び
認証パス構築が難しい
・相互認証証明書の登録が必
要
・ウエブブラウザ等が対応して
25
いない
大学CA
NII
Pear to pear
長所
大学CA
大学CA
大学CA
大学CA
UPKI3層アーキテクチャ
„
„
„
PKIの階層を3つに分け,認証局の用途や強度レベル等を分けて検討
階層内,階層間の認証技術,認証アプリケーションの研究・開発を実施
あわせて,大学で利用できるアプリケーションも開発
26
13
各階層のコンセプト
„ オープンドメインPKI層
„
„
„
いわゆるパブリックPKI
ルート証明書が予め配布されたPKI
皆が信頼しているPKI、誰でも検証できるPKI
„ キャンパスPKI層
„
„
„
各大学が個別のポリシに合わせて構築するプライベートPKI
その大学のユーザ(教職員and/or学生)であることを証明する
ユーザ(教職員and/or学生)への厳格な(対面等の配付が可能)
„ グリッドPKI層
グリ ドPKI層
„
„
AP Grid PMAなどグリッド独自のセキュリティレベル
プロキシ証明書など一般的なPKIとは明らかに異なる概念
27
6つの項目に基づく取り組み
項番
1
2
実施項目
「UPKI共通仕様」の作
成と配布
オープンドメイン認証
局の構築とサーバ証
明書の発行
内容
認証局連携のための運
用規程
A大学認
証局
セキュリティレベルを統一して認証局
連携を容易にする
B大学認
証局
NII認証局
の承認
実績
大学の認証局のための「認証局運用
規程」のひな形を作成
サーバ証明書
の発行
オープンドメイン認証局の構築
サーバ証明書の発行
Web Trust CA
NIIオープンドメイン認
証局の構築
大学のWebサーバ
平成18年度,19年度に作成し,Webで
公開中
成
年
「
書
導
平成19年度から,「サーバ証明書発行・導
入における啓発・評価研究プロジェクト」を開
始
→ 21年度から新プロジェクト開始
B大学
3
大学間無線LANロー
ミングの実現
認証を用いた大学間の
海外の
大学
A大学
無線LANローミングの実現
平成18年度から,eduroam方式による無
線LANローミングを開始
C大学
4
コンテンツサービスの
シングルサインオン実
現(フェデレーション
現(
構築)
5
NAREGI-CAを利用し
たキャンパスPKIス
タートパックの開発
6
S/MIME証明書の試
験利用
Shibboleth
電子ジャーナル
1つのIDで複数のDBに
アクセスを可能とする仕
様を検討
オープンソースの認証局ソフトウェアある
NAREGI-CAを用いて,大学認証局を簡単に構
築できるソフトウェアを開発
電子署名付きメール,
メールの暗号化の実現
S/MIMEを関係者間で使用
するとともに,発行方法等
の検討を実施
平成20年度,27機関の協力により,
シングルサインオン実証実験を実施
→ 21年度から試行運用を開始
平成18年度に開発し,Webで公開中
平成18年度から試験利用を開始
一部はサーバ証明書発行のための本人確
認に利用
28
14
0
UPKIイニシアティブ
„ UPKIの相互運用性,利用促進に関しての意見交換や技術的な検証を行う場として
設立(平成18年8月16日)
„ 運営主体は認証作業部会
„ UPKIイニシアティブの活動は,主にホ
UPKIイニシアティブの活動は 主にホームページ上のUPKIポータルを使用
ムペ ジ上のUPKIポ タルを使用
(https://upki-portal.nii.ac.jp/)
„ 各活動のページから関連情報、資料を発信
UPKIポータルの
トップページ
トップペ
ジ
各活動のページが
並んでいます。
29
1
UPKI共通仕様の作成
„ 目的
„ 大学認証局のセキュリティレベルを揃え,連携を容易にする
→ キャンパスPKI層の大学連携
„
CP/CPSのサンプル,仕様書のサンプルを作成し,運用コスト,調達コストを低減
する
„ 概要
„ 認証局を調達するための「仕様書」
„ 認証局のCP/CPSのひな形
„ CP/CPSは,アウトソース版とインソース版を作成
„ 情報セキュリティポリシーサンプル規程集の一部としても活用
UPKI共通仕様
キャンパス PKI 調達仕様ガイドライン(アウトソース版)
①キャンパス PKI調達仕様ガイドライン編
②キャンパス PKI調達仕様テンプレート編
キャンパス PKI CP/CPSガイドライン(アウトソース版)
①キャンパス PKI CP/CPSガイドライン編
②キャンパス PKI CP/CPSテンプレート編
キャンパス PKI CP/CPSガイドライン(インソース版)
①キャンパス PKI CP/CPSガイドライン編
②キャンパス PKI CP/CPSテンプレート編
30
15
2
サーバ証明書発行・導入における啓発・評価
研究プロジェクト
„ 目的
„ オープンドメイン層の認証基盤の構築
„ 大学等における,サーバ証明書発行時の審査・証明書配付方式の最適化
„ サーバ証明書の重要性の啓蒙活動
„ 概要
„ サーバ証明書発行業務(審査)の一部を大学で実施
„ プロジェクトではあるが,発行する証明書は“本物”のサーバ証明書
„ 1月末現在,90機関が参加し,1900枚の証明書を発行
„ 現在のプロジェクトは6月で終了し,新プロジェクトを4月から開始
31
3
無線LANローミング
„ 目的
„ 大学間で無線LANを共有し,安心・安全にインターネット環境を提供する
„
概要
„
„
„
„
欧州,アジア・オセアニア等で普及しているeduroam方
式により,無線LANローミングを実現
RADIUS連携で実現できることから構築が容易
海外のeduroam機関との連携により,海外の学術機
関とも相互利用
平成21年2月現在,国内10機関が運用
32
16
4
シングルサインオン(フェデレーション構築)
„ 目的
„ キャンパスPKI層の学内認証と,大学間の認証連携を実現
„ コンテンツサービス利用を中心とした認証基盤の構築
„ 概要
„ Internet2が開発したShibbolethを利用
„ 学内に,LDAP等で構築したデータベースがあれば,そのまま利用可能
„ 欧米の図書館を中心に,電子ジャーナル利用等に普及
„ 平成20年7月から,27機関により実証実験を開始
„ Science Direct(Elsevier)との利用実験を実施
認証
Shibboleth
IdP
利用者
認証DB
IdP
フィルタ
必要最小限の情報
LDAP
教職員のID
大学認証基盤
学術コンテンツ等
33
4 シングルサインオン実証実験(平成20年度)
平成18年度
平成19年度
平成20年度
平成21年度 …
シングルサインオン
の海外状況調査
シングルサインオンの
実現方法の検討
実証実験の実施
試行運用の実施
米国,欧州,
オーストラリア
Shibbolethを用
いたテストを実施
複数機関が連携し
て,安全・安心な運
用ができることを実
証
実データを用い
て,電子ジャーナ
ル等の認証基盤
として運用
運用に必要な規程
類の整備,技術基
準の整備
運用規程(ルー
ル)が確立してい
ないため,
21年度は試行
日本のフェデレーションを構築することが目的
34
17
5
キャンパスPKIスタートパックの開発
„ 目的
„ オープンソースの認証局ソフトウェアであるNAREGI-CAを活用し,低コストで
の認証局構築をサポートする
„ 概要
„ NAREGI-CAをコンパイル,インストールするためのスクリプト群から構成され
NAREGI CAをコンパイル インスト ルするためのスクリプト群から構成され
ている
„ 難しい設定をしなくても,無線LAN向け認証局として利用できる環境が自動的
に設定される
„ 本格利用のためには,手動で環境設定が必要
„ UPKIイニシアティブのサイトからダウンロード可能
35
5
グリッドとの連携
„ 目的
„ 大学の認証基盤を用いて,グリッドコンピュータ利用に必要な証明書発行を行う
„ 概要
„ UPKI3層の,グリッド層とキャンパスPKI層の連携
UPKI3層の グリッド層とキャンパスPKI層の連携
„ グリッド用の証明書は,厳格な管理と本人確認を求められている
„ アジア太平洋地区は”ApGrid”の基準を満たす必要がある
„ この実現のための,ポリシー検討等を実施した
キャンパス
PKI
グリッド利用
本人確認
ApGrid準拠
証明書申請
ユーザ
36
18
平成21年度以降のUPKI
21年度から,UPKIは研究開発のフェーズから運用フェーズに向けて一歩前進します。これまでの成果を生かして,次の2つの項目
を実施します。
„ サーバ証明書プロジェクトの継続
„ 現プロジェクトは,平成21年6月末で終了
„ 平成21年4月~24年3月までの3年間,新プロジェクトを実施
„ 平成21年4月~6月の3ヶ月間は移行期間
„ 新プロジェクトは,ウェブ画面からの証明書発行申請を可能に
„ 自動発行の技術的検証を実施
„ 認証フェデレーション試行運用
„ 実証実験の成果を利用し,日本での認証フェデレーション運用を開始
„ まずは,実証実験参加機関を中心に,実利用可能な認証基盤の構築
まずは 実証実験参加機関を中心に 実利用可能な認証基盤の構築
„ 電子ジャーナル等の実利用を実現
„ NIIのコンテンツサービスであるCiNiiも対応
„ フェデレーション運用のためのルール(規程等)の整備をあわせて実施
„ グリッド,ネットワーク利用のための認証基盤として利用
37
認証フェデレーションの構築
利用者(教職員,学生等)
所属大学で認証を受けると,
どこからでも簡単に,他大学,
他機関のサービスが利用でき
る。
認証
Elsevier
Springer
Wiley-Blackwell
利用
認証フェデレーション
認証フェデレ
ション
利用
(運用機関NII)
・ 運用規程作成と参加調整
・ 技術仕様作成・サポート
・ 海外フェデレーションとの連携交渉
OPAC
大学等
•
•
•
•
認証サーバ
機関リポジトリ
(IdP)
サイボウズなど
グリッド
無線LAN等
OUP
CUP
LWW/Ovid
などが参加表明
電子ジャーナル
NII,NDL,JST等
データベース等
学術Eリソース
大学等とNIIが連携して「認証フェデレーション」を構築・運用する
2009年4月からフェデレーション試行運用を開始
2009年4月時点で,複数の大学,NII内でのシングルサインオン実現
2010年4月からの本格運用を目指す
38
19
3つのキーワード
☑国際標準による認証方式の共通化
Shibboleth
=
(シボレス)の実装。
☑電子ジャーナルやDB毎の面倒なユーザ認証からの解放
SSO(シングルサインオン)を実現。
=
利用機関と提供機関による連合体で共同運用
☑
フェデレーション
デレ シ ンの構築・運営。
=
SSO(シングルサインオン)について
シングルサインオン single sign-on
•利用者が、1回のログイン手続きで、認証を必要とする複数のサービスを利用でき
るようにする仕組み
•代わりにその1回のログイン手続きは十分セキュアにする
(概念図)
SP
(Service Provider)
IdP
①認証サーバ(IdP)
に接続
ユーザ
②認証サーバ(IdP)経由で
各サービスに接続
20
現実のEリソースを当てはめると
各大学の
利用者
電子ジャーナル等
IdP一覧表示(DS)
所属する大学のIdP
(Xdaigaku.ac.jp)
CiNiiの有料論文が見たい。
認証されたら見られます。
私のIDは○○で,パスワードは△△です。
OK!確かにこの大学の人ですね。
認証されました。
TARO SUZUKI
08/07
どうぞご利用ください。
利用者
1度の認証で、
2度、3度・・・、おいしい。
2度
3度
おいしい
Science Direct の論文も見たくなった。
認証済ですね。どうぞ。
RefWorksの文献リストを更新したくなっ
た。
認証済ですね。どうぞ。
次期ネットワーク
42
SINET4
National Ins titute of Inf or m atic s
21
学術情報ネットワーク(SINET3)構成図
【回線速度】
中継ノード(12拠点)
10Gbps~40Gbps
一般ノード(62拠点)
1Gbps~20Gbps
国際回線
日本-米国間 10Gbps * 2
日本-シンガポール間 622Mbps
日本-香港間
622Mbps
【凡例】
中継ノード(12拠点)
一般ノード(62拠点)
10Gbps~40Gbps
1Gbps~20Gbps
43
SINETの回線整備状況
‹平成18年度から、地方大学等からの強い要請に応えて、すべてのノード回線を
1Gbps以上に増速した。
‹SINET3では、基幹回線について最大40Gbpsの超高速回線を実現した。また、基
幹回線をループ構成とし
幹回線をル
プ構成とし、高い信頼性を確保している。
高い信頼性を確保している。
H16.4
H17.4
H18.4
H19.4
SINET整備状況(総帯域・帯域*距離の総和)
40Gbps
0
0
0
2
20Gbps
0
0
0
8
500
10Gbps
28
28
29
28
400
2.4Gbps
p
1
3
4
8
1Gbps
6
10
32
30
30~200Mbps
26
22
2
0
総帯域(Gbps)
290.46
300.20
331.80
569.20
帯域*距離の総和
35580.97
36363.52
39886.42
66659.52
70,000
60,000
50,000
40,000
600
300
30 000
30,000
20,000
10,000
0
200
100
0
H16.4
H17.4
総帯域(Gbps)
H18.4
H19.4
帯域*距離の総和
44
22
学術情報ネットワークに関する意見・要望
科学技術・学術審議会 学術情報基盤作業部会等での意見
事項
意見等
全体
・学術情報基盤のあるべき姿の明確化と研究開発とサービスを一体化して実現していくことが
必要。
ネットワ ク、計算資源、グリッドだけでなく、学術研究や教育活動に不可欠な機能の 体的
・ネットワーク、計算資源、グリッドだけでなく、学術研究や教育活動に不可欠な機能の一体的
提供を期待。
回線の高速化
・高精細画像を用いた遠隔による研究教育に対応する格段に大きな回線速度の要請。また、
国際線の高速化も期待。
・ネットワークは地方大学にとって生命線、適切な速度の提供を期待。
・画像データの増加やインタネット閲覧等の利用の高まりにより、ネットワークの回線容量の増
加への対応が課題。
・非ノード校からノード校になりたいとの要望。
機能・サービス
の高度化
高度化
・メール等の一般学術支援機能への対応が必要。
SSL認証の事業化や帯域保証サ ビスなどの
ズに基 く各種サ ビスの高度化、多様化
・SSL認証の事業化や帯域保証サービスなどのニーズに基づく各種サービスの高度化、多様化
に期待。
・高機能なサービス、特に継続的に利用できるTV会議システムやセンサーネット等のサービス
の提供。
・キャンパス間LAN接続のニーズへの対応の要望。
・進化しつつけるネットワーク技術に対応するため、これらを担う人材育成プログラムの開発・実
施が必要。
・災害に強く、高速かつトラブルのないセキュアなネットワークを構築していくことが重要。
45
我が国の学術研究・教育を支える
最先端学術情報基盤(サイバー・サイエンス・インフラ:CSI)
‹学術情報ネットワーク(SINET)は、CSIの中核として、我が国の大学等における学術
研究・教育活動全般を支える基盤を形成。
‹ネットワーク基盤の上に、さまざまな基盤・機能群が重層的に構築され、CSIを実現。
大学等の学術研究・教育活動
学術研究・教育活動
レイヤー
推進・強化
共同利用・共同研究拠点形成基盤
地域連携基盤
先端学術研究基盤
産学共同研究基盤
一般学術支援基盤
実験装置共有基盤
学術計算資源基盤
(グリッド)
大学間電子認証基盤
(UPKI)
国際連携基盤
次世代最先端学術情報基盤
(CSI)
連携レイヤー
e-Education基盤
学術ストレージ基盤
サービスレイヤー
学術コンテンツ基盤
学術閉域網基盤
(VPN)
SINET3 (学術ネットワーク基盤)
E-サイエンスを支える情報基盤
セキュリティレイヤー
ネットワークレイヤー
46
23
学術情報ネットワーク(SINET3)の現況
‹トラフィック状況(平成19年6月~平成20年5月)
次期SINET整備は
この急激なニーズに
対応することが
最重要課題
¾ 総トラフィック量は、毎年1.3倍の増加
3年間で2.2倍以上の増加。
¾ 平成17-20年の3年間の統計ではそれ以上を記録。
‹ネットワークサービスの利用状況
¾ SINET3で新たに提供されるサービスについて順次提供が開始され、利用が着実に増えている。
総トラッフィク量「
単位 ペタビット」
SINET3と外部との入出力トラフィック
18
SINET3サービス利用数
300
年1.3倍程度の伸び
SINET3
VPN
利用
250
12
200
QoS
マルチキャスト
IPv6
フルルート
10GEサービス
L1オンデマンド
L1スタティック
L2VPN/VPLS
L3VPN
150
100
6
50
0
0
2007/06
2008/05
2007年3月
6月
9月
12月
2008年3月
6月
47
SINET3の中期的需要予測
‹次期SINETにおいては、次期中期計画期間(8年後)を見据えた需要予測に基づき、
ネットワークを整備する。
¾ 次期中期計画期間内には、全ノードの99%において最大使用率が50%を超える。また、全ノードの
86%のノードで100%を超え、52%のノードで200%以上となる。
¾ 回線帯域が1Gbpsのノードについては、平成25年度で全ノードにおいて最大使用率が50%を超え8
回線帯域が1Gbpsのノードについては 平成25年度で全ノードにおいて最大使用率が50%を超え8
2%が100%を超える。次期中期計画期間内には、94%のノードが100%を超え、71%が200%
以上となる。
全ノード最大使用率予測
1Gノード最大利用率予測
100%
100%
3%
90%
6%
90%
52%
80%
70%
80%
70%
63%
60%
50%
40%
99%
増
減
速
50%
40%
34%
30%
20%
71%
76%
60%
増
減
速
100%
30%
20%
10%
29%
0%
24%
10%
18%
6%
0%
H.20.6
H.21.3
H.23.3
H.26.3
H28.3
H.20.6
H.21.3
次期中期計画期間
10%以下
40-50%
10-20%
50%-100%
20-30%
100%-200%
30-40%
200%以上
H.23.3
H.26.3
H28.3
次期中期計画期間
10%以下
40-50%
10-20%
50%-100%
20-30%
100%-200%
30-40%
200%以上
48
24
次期SINET(SINET4)整備の基本的考え方
‹最先端学術情報基盤(CSI)の中核である学術情報ネットワーク(SINET)は、我が
国の大学等における研究・教育活動全般を支える基盤であり、NIIは大学等と連携・
協力して、持続的にSINETの開発、整備および運用を行う。
‹SINETの整備にあたっては、先端的ネットワ クの構築と同時に、ネットワ クを基
‹SINETの整備にあたっては、先端的ネットワークの構築と同時に、ネットワークを基
盤とする諸機能・サービスの開発・提供および利用支援を行う。
‹CSIの開発、利用促進における国内外の大学、研究機関、情報基盤センター等との
連携・協力を強化する。
取組
方針1: 最先端の学術研究・教育を支えるための先進性の
維持・拡大
さらなる高速化 高機能化 高信頼化 安定化の実現
さらなる高速化、高機能化、高信頼化、安定化の実現
方針2: 非ノード校を含む大学等のネットワーク環境の向上
方針3: 先進的なネットワーク設計と効率的な運用による一層の経費節減 (一括共同調達、
アカデミック・ディスカウント)
方針4: 産業界、国・公立研究機関等への新たな展開
方針5: 持続的な整備基盤の確立(参加機関の一部経費負担による新たなニーズ等への対
応)
*「学術情報基盤整備に関する対応方策について(議論の整理)」
49
SINET4を必要とするアプリケーション
アプリケーション
動 向 等
ネットワークへの
要求条件
学術系映像通信
・圧縮高精細映像(~30Mbps/ch)を用いた遠隔講義や遠隔医療(手術中継等)
が増大
・無圧縮高精細映像通信(1.5Gbps)による遠隔講義、多次元映像通信の研究(
1Gbps)なども実験的な利用
・ 4k超高精細映像(無圧縮時6Gbps)等の大容量の映像通信が期待
・高速化
・リソースオンディマンド(
帯域、VPN)
・マルチレイヤ
大容量データ転送
・高エネルギー、宇宙天文、核融合、グリッド、地震などの多様な学術研究が大容
量データを転送
・ネットワークを用いた超大容量遠隔バックアップへの期待増
・eVLBI解像度向上、ペタコンデータ転送、ITERデータ転送などがあり、データ転
送の大容量化は進む一方
・高速化
・リソースオンディマンド
・マルチキャスト
・VPN
・マルチレイヤ
研究教育環境形成
・全国の異なる組織の研究グループがネットワーク型共同研究拠点を形成するた
めに、VPN機能を活用
・複数のキャンパス間を接続するマルチキャンパス接続や産業界の参加による
ネットワーク型の産学連携拠点形成などの利用が増大
・ユーザ側からより柔軟なVPN設定、機能変更への期待増
・VPN
・リソースオンディマンド
・マルチレイヤ
・マルチキャスト
マルチキャスト
学術国際連携
・先端研究加速のため、米国、フランス、スイス、ドイツ等との国際共同研究が増
加
・データ量は、LHCは4Gbps、スパコンは1Gbps、GRID5000は1Gbps程度
・今後は、ITER関連の大容量データが伝送
・高速化
・VPN
・リソースオンディマンド
・マルチレイヤ
学術系コンテンツ
・ネットワークは、大学等における各種情報通信、文献検索、メール、e-Learning
等の基盤
・SINETを介したセキュアで経済的な一括サービスへの期待増
・新しい上位レイヤーサービスへの期待増
・高速化
・NW経由のサービス委託
・上位レイヤ支援のIF
50
25
SINET4要求条件まとめ(現時点)
アプリケーション以外の要求条件
大学間の格差解消
大学間の格差の解消が求められている。学割・共
同調達の輪に含めて同一費用で更なる高速化を
実現するなどの枠組みの整理が必要である。
・非ノード校も経済的高
速化を実現できるアー
キテクチャ。
・大学間の格差を少なく
する枠組み
信頼性・安定性の
強化
現在の制約条件(UPS設置・発電機準備、入室可
能時間の制限)の完全排除が求められており、デ
ータセンタへ設置することが望ましい。できる限り
の回線の冗長化や更なる高可用化を図ることが求
められている。
・エッジノードの信頼性・
安定性の強化
要求条件まとめ(現時点)
‹ 要求条件全体をまとめると、大きくは、①ネットワークの高速化、②サービスの多様化(継続)と利便
性の向上、③上位レイヤサービスの支援・展開、④大学間の格差の解消、⑤エッジノードの信頼性・
安定性の強化であり、これらを考慮した次期ネットワークの検討が必要である。
次期ネットワークの検討
51
SINET4の一つの方向性(案)
‹ NWの高速化:
‹ 格差の解消:
‹ エッジ高信頼化:
‹ 上位レイヤ展開:
‹ 利便性向上:
アクセス系にCWDM技術を導入し経済的な高速化・速度可変化を図る
上記の高速化を非ノード校へも展開できるよう、共同調達の枠組みを作る
エッジノードをデータセンタへ設置する(場所は長期的に固定)
上位サービスを支援するインタフェースを配備、共通基盤を検討
リソースオンデマンド(VPN自動設定など)、ユーザ機能連携等を強化・拡張
ユーザ装置・NII装置
(ストレージサーバ等)
ジ
バ等
L1オンデマンド機能
12 拠点
(データセンタ)
エッジノード
ノード
校
ノード
校
非
ノード
校
SINET4
40Gをベース
≦12
(データセンタ)
構造
変更
フレッツ光等
2.4G~40G
エッジノード
62 拠点
(ノード校)
<62
(データセンタ)
ノード
校
CWDM
技術導入
10M~1G
非
ノード
校
コアノード
広域LAN/
Bフレッツ
1G~20G
ノード
校
オンデマンド機能、ユーザ連携機能、サービス連携機能、等
SINET3
コアノード 10G~40G
サービス委託業者装置
(メールサーバ等)
バ等
非
ノード
校
非
ノード
校
630強拠点
(非ノード校)
2G~40G
加入
機関
加入
機関
加入
機関
加入
機関
加入
機関
加入
機関
加入
機関
加入
機関
約700拠点
(ユーザ拠点)
52
26
アクセス系アーキテクチャ(1)
‹ 経済的な高速化と柔軟な速度可変化
x 経済的な高速化を可能にすると同時に、波長の追加(GE、10GE等選択可能)により将来の増速や実験的な増速を柔
軟に実施する
‹ 大学独自の増速への対応
x NIIがベース部分を提供するが、大学が独自の費用で波長(帯域)を増やすことを可能にする。ただし、保守の考え方
の整理が必要である。
‹ グリーン対応
x 大学側の所要消費電力を大幅に削減する。
最大0.2kW程度
研究用1
SINET3
コア
ノード
ノ
ド
40G
10GE
10GE
大学LAN
波長多重(~40G)
研究用1
GE
研究用
new
GE
CWDM
C
10G(STM)
SINET3
GE
エッジ
ノード
ノ
ド
CW
WDM
10GE
大学LAN
SINET4
SINET3
合計最大5kW超
40G~
GE SINET4
エッジ
ノ ド
ノード
GE
UPS
A大学
データセンタ
•
•
•
•
A大学
速度固定
増速する場合工事含め非常に高価
大学独自の施策は不可能
NIIが全額負担
データセンタ
• 柔軟かつ経済的増速可能
• 大学独自での波長追加可能
• 大幅な省エネが可能
53
アクセス系アーキテクチャ(2)
‹回線の収容位置
x 基本的にデータセンタに収容する
x エッジノードを設置するデータセンタは、マルチキャリアの回線を収容可能とし、また、長期に固定することで、加入機関
側にとっての終端点を極力変えないようにする
x ネットワークの移行は、暫定的に旧ノード校での終端も考慮しながら進める
‹回線種類
x スペシャル回線: Ethernet系インタフェース(GE、10GE等)を波長多重する回線
x Ethernet専用線: 一般のEthernet系専用線(100M~1G)
x 共用アクセス回線: 次世代Bフレッツ等
データセンタ
データセンタ
SINET3
コアノード
SINET4
エッジノード
CWDM
CWDM
SINET4
SINET3
2G~
大学A
SINET3
エッジノード
10G
CWDM
2G~
1G~2G
100M~1G
次世代
Bフレッツ等
Bフレッツ等
CWDM
1G
大学A
1G
100M
10M
大学A
CWDM
CWDM
大学B
大学C
暫定的収容
大学B
大学C
大学D
大学E
大学C/D
大学D/E
54
27
SINET4における共有データセンターの活用
SINET4コア
ネットワーク
各県設置の
データセンター
NII千葉分館
(計算機棟データセンター)
B大学
学
SINET4
エッジノード
A大学
県内の機関
A大学
人事システム
ダークファイバによるインターネットアク
セス回線とキャンパス間接続
B大学
機関リポジトリ
会計システム
NIIの提供する高次アプリ
やサービス
●共用リポジトリ 【新規】
●UPKI共用サーバ
●学術コンテンツ・ポータル
・
・
・
A大学
Yキャンパス
SINET4構築のための連携体制の形成
‹ 加入機関に対する説明
¾ 地域説明会(名古屋、福岡、札幌、東京、大阪等) 平成20年11月~平成21年1月
‹ SINETオープンフォーラム(仮称)の形成
¾ パフォーマンス志向ユーザには、高速なアクセス回線を低価格で調達・整備。
¾ コモディティ志向/アプリ志向ユーザには、上位レイヤサービスをSINET上で容易に利用できる環境を提供する仕
組みを議論する場。
¾ 当面は、アクセス回線の一括調達によるボリュームディスカウントを実現するため、加入機関の賛同を得ながら調
達を進める。
¾ 地域との連携の強化を図る。
SINET加入機関で構成
…
アクセス回線
の一括調達
2G~40G
2G
40G
加入
機関
加入
機関
加入
機関
加入
機関
…
情報交換・技術交流
上位レイヤサービス
との連携
TARO SUZUKI
08/07
フォーラムのイメージ
56
28
フォーラムのロードマップ(案)
目的
地域連絡会
(第1回オープンフォ
ーラム開催前に各地
で開催予定)
オープン
フォーラム
(第1回開催:H21.6
頃予定)
役割
対象機関
・地域の事情を仕様に反
映したり、個別事情のあ
る大学と調整するなど、
きめの細かい対応を行
う場として機能
・当面は、アクセス回線
の一括調達に向けた情
報提供・意見交換
H23~
H20~H22
参加申込み方法
・各地域ごとのメー
各地域ごとのメ
リングリストでご案
内
SINET4構想、一
括共同調達に
賛同または関心
のある加入機関
主にアクセス
回線の調達に
向けての調整
、契約
アクセス回線
以外に、上位
レイヤ連携、技
術交流、意見
交換など
・将来的には、上位レイヤ
連携、技術交流の場へ
拡張
・H21.2頃に全加入
機関に郵送する資
料に同封した回答
書
57
アクセス回線の選択方法(案)
‹ 希望する回線速度に応じて下記から選択
SINET4スタート時
の回線速度
入手先
12G以上
NII
回線の種類
スペシャル回線
入手方法
(CWDM利用)
賛同大学を集めて一括共同調
達
任意
各機関で調達
加入機関
次世代Bフレッツ
現在のSINET Bフレッツと同様
の手続き
加入機関
任意
各機関で調達
NII
1G~12G
加入機関
10M~1G
備考
県内のエッジDCに収容
・基本はDC収容
・ノード校収容も検討
ベストエフォート
・基本はDC収容
・ノード校収容も検討
フォーラムで調達する回線
58
29
SINET4運用開始までのロードマップ
今後、加入機関の皆様に対応いただきたい内容は下記のとおりです
H20年度:次期ネットワーク計画についての情報提供を、説明会等を通じて行っていきますので、
積極的にご参加ください
H21年度:自機関としてのアクセス回線調達方針を年内(12月)までにご決定ください
H22年度:秋頃から移行作業を順次実施しますので、ご協力をお願いします
フォーラム開催
2008年度 (平成20年度)
2009年度 (平成21年度)
2011年度
2010年度 (平成22年度)
(平成23年度)
現在
今までどおり自前で調達
次期NW相談室の設置
調達説明会の開催
SINET3
利用説明会
の開催
次期NW資料の郵送
国立情
報学研
究所
個別事情のある大学との調整
(現行回線契約の統一化等)
仕様書確定・開札(第2回)
仕様書確定・開札(第1回)
設計・構築
契約
YES
引き続き検討いただく
次期学術情報ネットワーク運用
移行作業
運用開始
契約
未定 NO
共同調達参加の
検討
YES
アンケート調査回答
調達説明会への参加
3
次期NW資料の到着
SINET 利用説明
会への参加
加入機
関
移行作業
移行作業
59
30
Fly UP