Title SiNET4・認証基盤 Author(s) 安達, 淳 Citation Issue Date 2009
by user
Comments
Transcript
Title SiNET4・認証基盤 Author(s) 安達, 淳 Citation Issue Date 2009
Title SiNET4・認証基盤 Author(s) 安達, 淳 Citation Issue Date 2009-03-19 Type Presentation Text version author URL http://hdl.handle.net/2297/17007 Right *KURAに登録されているコンテンツの著作権は,執筆者,出版社(学協会)などが有します。 *KURAに登録されているコンテンツの利用については,著作権法に規定されている私的使用や引用などの範囲内で行ってください。 *著作権法に規定されている私的使用や引用などの範囲を超える利用を行う場合には,著作権者の許諾を得てください。ただし,著作権者 から著作権等管理事業者(学術著作権協会,日本著作出版権管理システムなど)に権利委託されているコンテンツの利用手続については ,各著作権等管理事業者に確認してください。 http://dspace.lib.kanazawa-u.ac.jp/dspace/ 金沢大学データベースフォーラム 次世代最先端学術情報基盤(CSI)の 構築に向けて ー SINET3、認証基盤、そして次期ネットワーク ー 国立情報学研究所 安達 淳 平成21年 3月19日 National Ins titute of Inf or m atic s 1 1 アウトライン • • • • • 2 CSIとは? SINET3の概要 グリッドの展開 UPKI SINET4の構想 National Ins titute of Inf or m atic s 1 最先端学術情報基盤(CSI)とは 『学術情報基盤の今後の在り方について』(平成18年3月) サイバー・サイエンス・インフラストラクチャ(CSI) 人材育成及び推進体制の整備 (推進組織・人材確保等) バーチャル研究組織 ライブコラボレーション 学術コンテンツの確保・発信システム 産 業 ・ 社 会 貢 献 連携ソフトウェアとしての研究グリッドの実用展開 大学・研究機関としての認証システムの開発と実用化 NIIと大学情報基盤センター・図書館等連携による次世代学術情 報ネットワークの構築と学術コンテンツ整備 北海道大学 ★ 学術情報ネ トワ ク運営 連携本部設立 (H17.2) 学術情報ネットワーク運営・連携本部設立 ★ 東北大学 学術コンテンツ運営・連携本部設立 (H17.10) 九州大学 京都大学 ★★ ● ★ ☆ ★ NII 国 際 貢 献 ・ 連 携 東京大学 名古屋大学 ★ 大阪大学 (東京工業大学,筑波大学,千葉大学,早稲田大学, 慶 應義塾大学,高エネルギー加速器研究機構,国立天文 台,分子科学研究所,国文学研究資料館) 大学・研究機関の研究リソース整備・研究成果等の発信 3 National Ins titute of Inf or m atic s CSI実現へ向けての取り組み • 学術情報ネットワーク:SINET3 → SINET4 (平成23年) • (CSI向け連携ミドルウェア:NAREGI) • 全国大学共同電子認証基盤:UPKI • 次世代学術コンテンツ基盤、コンテンツサービス 4 National Ins titute of Inf or m atic s 2 CSIが実現する学術連携の姿 統合、分散されるサイ エンスDB ペタコンや国立大学 等のスパコン等リ ソース 電子ジャーナル、学 術コンテンツ 観測ネット ワーク VO2 国立大学等 の実験装置 VO3 VO1 基盤ミドルウェア(グリッド、認証基盤等) SINET3機能(VPN,QoS,L1オンデマンド等) B研究所 D大学 A大学 C大学 E研究所 国際 連携 5 実組織 産業 界 National Ins titute of Inf or m atic s 学術情報ネットワーク(SINET3) 6 National Ins titute of Inf or m atic s 3 CSIの中核としてのSINET3の現状 我が国の学術研究・教育活動の情報ライフラインの提供 • • • 接続機関数は700機関、利用者は200万人以上。今や学術コミュニティに不可欠なネット ワーク機能を提供。 大学における利用状況 国立大学 99% ネットワークの一元的整備による 公立大学 67% 大幅な経費節減効果 大幅な経費節減効果。 私立大学 53% 安全・安心の国家情報インフラの 学生 69% (1,988千人) 教員 71% (115千人) ひとつとしても機能。 先端的学術研究連携に不可欠な最先端ネットワーク基盤の提供 • • 世界初の機能、最大40Gbpsの超高速接続でめざましい研究成果達成の基礎を形成。 法人化後、特に懸念される大学・研究機関の横への連携の具体的基盤として、SINET3 の重要性が拡大。 国際連携の基盤の提供 • 国際学術情報ネットワークの一翼を担う。 ¾ 欧米のみならず、アジア等を含む国際的な学術連携を促進 (Abilene, GEANT, TEIN2との相互接続)。 National Ins titute of Inf or m atic s 7 学術情報ネットワーク(SINET3)構成図 【回線速度】 中継ノード(12拠点) 10Gbps~40Gbps 一般ノード(62拠点) 1Gbps~20Gbps 国際回線 日本-米国間 10Gbps * 2 日本-シンガポール間 622Mbps 日本-香港間 622Mbps 【凡例】 中継ノード(12拠点) 一般ノード(62拠点) 10Gbps~40Gbps 1Gbps~20Gbps National Ins titute of Inf or m atic s 8 4 利便性の高いサービスを提供 利用者重視の5つの便利なサービスを新技術で提供 サービス 内容 技術 ①マルチレイヤサービス ① ルチ イヤサ 複数のレイヤ (IP系、Ethernet系、専用線系)のサー ビスを一つのネットワークで実現 ビスを つのネ トワ クで実現 ・次世代SDH技術 ・高度MPLS技術 高度 技術 ②マルチVPNサービス 仮想プライベート網により、大学間にまたがる共同研 究に対して、研究グループごとにセキュアな通信環境 を手軽に実現 ・論理ルータ技術 ・高度MPLS技術 ・GMPLS技術 ③マルチQoSサービス 実時間系アプリケーション(映像,音声等)を、イン ターネットの混雑状況においてもストレスなく実現 ・QoS制御技術 ・次世代SDH技術 ④帯域オンデマンドサービス 超高速の専用線接続環境が、必要な時に必要なとこ ろに必要なだけ利用可能 ・GMPLS技術 ・オンデマンドサーバ 技術 ⑤付加価値サービス ネットワーク情報(トラフィック、 遅延等)を可視化して、 ・トラヒック収集・分析 利用状況の把握、迅速なトラブル解明、今後のネット 技術 ワーク設計に利用 National Ins titute of Inf or m atic s 9 国際接続を強化 国際学術情報ネットワークのアジア・コアを担うSINET3 海外接続拠点をデータセンタに置いて安定性を強化 北米回線: 10Gbps(ニューヨーク)+10Gbps(ロサンゼルス) アジア回線: 622Mbps(シンガポール)+622Mbps(香港) SURFnet RENATER CalREN GEANT 欧州 アジア 中国 SINET3 北米 ニューヨーク ロサンゼルス 622Mbps CA *net4 香港 622Mbps TEIN2 東京 シンガポール 10 Pacific Wave AARnet Internet2 (Abilene) MAN LAN ESnet National Ins titute of Inf or m atic s 5 SINET(Asia)&Partnersによるアジア学術ネットワークの構築 2006年1月 スタート National Ins titute of Inf or m atic s 11 レイヤ1オンデマンドサービスの試行運用開始 •レイヤ1オンデマンドサービス • ユーザから直接、接続対地、利用時間、利用帯域を指定することにより、自動的にレイヤ1パス(臨時専用線)を設定 するサービス • 超大容量のデータ転送や超高品質な通信をユーザが必要な時に瞬時に可能 •2月1日にレイヤ1オンデマンドサービスのデモに成功 •2月1日にレイヤ1オンデマンドサ ビスのデモに成功 • 北海道大学と国立情報学研究所との間を合計1.8Gbpsのレイヤ1パスで接続し、無 圧縮HDTV映像を伝送することにより実施。 (図1) • 最高の通信品質(最小遅延、遅延揺らぎなし)と最高の高解像度映像(無圧縮 HDTV)の組み合わせにより、距離の壁を克服した臨場感あふれるコミュニケーション 環境を実現。 (図2) •6月11日から試行サービス開始 北海道大学の映像(NII側) オンデマンド サーバ IPルータ L1OPS IPルータ ル タ IPルータ ル タ IPルータ ル タ L2 Mux NII L2 Mux 東京 東京 筑波 仙台 札幌 北大 会場PC : IP/Ethernet用パス : L1パス(0.9Gbps) : L1パス(0.9Gbps) 図1.サービス開始デモ(2月1日)におけるネットワーク構成 12 国立情報学研究所の映像(北大側) 図2.無圧縮HDTV端末で伝送した映像 National Ins titute of Inf or m atic s 6 VPN使用例 (核融合) 大型ヘリカル装置 (地震) 地震計測機 (天文) 電波望遠鏡 (GRID) スーパーコンピュータ 共同利用 機器 GRID-VPN eVLBI VPN 核融合 VPN SINET3 地震VPN IP-VPN L2/L3SW 大学 LAN ユーザ NW バーチャル研究室 (独立したアドレス空間) L2VPN /L1オンデマンド VPLS L1オンデマンド IP-VPN/VPLS L2/L3SW L2/L3SW 大学 LAN VLAN L2SW L2SW 研究DB A大学 核融合G VLAN B大学 核融合G C大学 地震G 研究DB L2/L3SW 大学 LAN VLAN L2SW 研究DB D大学 地震G E大学 天文研究G F大学 ○研究室 G大学 □研究室 H大学 ○研究室 I大学 △研究室 J大学 □研究室 National Ins titute of Inf or m atic s 13 SINET3サービスの利用対象者 • SINET3では,従来のIPv4接続がメインだったSINETに比べて,レイ ヤ1~レイヤ3までの様々なネットワークサービスを提供することが可 能になりました。 • そのため,従来のLAN接続に加えて,加入機関で教育・研究活動を 行う方々もVPN等のSINET3サービスを利用できるようになりました。 高精細映像の伝送に・・・ (QoS) 遠隔医療に・・・ (VPN, QoS) e-VLBI実験に・・・ (L1オンデマンド) 高性能コンピュータの連携に (L1オンデマンド) 講義ビデオの配信に・・・ (マルチキャスト) 14 高品質なTV会議に・・・ (QoS) 研究グループ間の 大容量データ転送に・・・ (VPN) National Ins titute of Inf or m atic s 7 ~意外と知られていないこと~ 共同研究相手の企業の方もSINET3を利用可能です 共同研究契約があれば民間企業 の研究者もSINETに加入の上、利用 することができます 接続ノード バックボーン ックボ ン 加入機関 加入機関 ノ ドの接続機器 ノードの接続機器 L2SW等 xx株式会社研究所 アクセス回線 LAN ○○大学 ▲▲研究室 ノードまでのアクセス回線 を準備いただくことで接続 できます。 Bフレッツ、広域VALNでの 接続も可能です。 学内LAN 大学研究者 共同研究企業 SINET3への接続OK (ただし○○大学の許可 が必要) National Ins titute of Inf or m atic s SINET利用推進室設置の目的 • 平成19年10月に設置 • 今まで不十分であったユーザ様のネットワーク利用サポートの推進 ¾ SINET3で提供する新接続サービスの利用促進 ¾ 新接続サービスを用いた利用形態や利用者の発掘 • SINET3を使いこなすための技術サポートの推進 ¾ ネットワーク性能不具合などに関する原因調査や改善策などの アドバイス ¾ SINET3を快適に使って頂くための接続方法などのコンサルティ ング ¾ ネットワークの技術や利用方法に関する啓蒙活動 16 National Ins titute of Inf or m atic s 8 SINET利用推進室の活動内容 ユーザ要望のヒアリング 調査活動 ◎SINET3への要望・意見募集 技術普及・啓蒙活動 (講演会・交流会) ◎SINET3利用説明会の開催や啓蒙活動 ・推進事例,説明等の作成,Webでの発信 17 ユーザコンサルティングと対策 SINET 利用推進室 問い合わせ先: [email protected] 03-4212-2269 2007 10/1 開始 ◎ネットワークサービス利用など に関するコンサルティング 性能上の不具合 トラブルシューティング対応 ◎ネットワークサービス利用時の不具 合や性能改善へのサポート National Ins titute of Inf or m atic s NAREGIグリッドミドルウェア概要 -NAREGI成果で実現する計算科学をサポートする次世代研究環境 - 18 National Ins titute of Inf or m atic s 9 大規模実証実験環境の構成 大阪大学 東京工業大学 Osaka Univ. Grid CA NII 分子科学研究所 NAREGI CA RENKEI-Osaka GSIC-VOS VO1 RENKEI-Naregi CA/RA CA/RA RA U User cert Host cert UMS Portal UMS/VOMS Portal UMS/VOMS Portal UMS/VOMS Portal SS連携 VOMS SS SS SS SS rcs IS-NAS IS‐NAS IS-NAS GridVM Sch dpca064 GridVM Sch dpca128 GridVM Sch dpcb064 GridVM Sch dpcb128 GridVM Sch dpcc128 GridVM Sch dpcd048 GridVM Sch dpcd049 GridVM Sch dpcd057 GridVM Sch sr11k IS‐CDAS 名古屋大学 IS‐CDAS 内部利用 portal /…/cdas IS‐CDAS IS‐CDAS IS‐CDAS CDAS/GVM‐S GridVM Sch GridVM Sch GridVM Sch GridVM Engines GridVM Sch GridVM Sch (Linux) (Solaris) GridVM Sch GridVM sng0001 (sx) GridVM Engines vo1利用 GridVM pbg2043 GridVM S&E GridVM png1051 png1054 GridVM pfg1005 九州大学 GridVM Sch dpc.kyushu (Linux) GridVM Engines National Ins titute of Inf or m atic s 19 研究開発成果: NAREGIミドルウェアVer.1.0の主要機能 計算科学をサポート 1) 予約によるジョブ実行によるアーキテクチャの異なる 計算資源間での連成解析 2) バルクジョブ実行 3) GridMPI、GridRPCの組み込み 4) 資源管理と連携したデータグリッド 研究コミュニティー をサポート 1) VO(Virtual Organization)単位のサービス 2) VO管理に必要なアクセス管理・制御・管理機能設定 3) VO単位でのデータ、及びアプリケーションの共有 利用環境の高度化・ 平準化 運用をサポート 20 1) ポータルにより平準化された利用環境 2) GUIによる計算資源を意識しない操作、利用 3) コマンドラインインターフェイスによるアプリケーション管理とジョブ実行 4) 適合した計算資源の自動選択 1) 計算資源利用効率向上 予約ジョブ実行と非予約ジョブ実行の両立等 2 )管理者支援機能 3 )グリッドジョブとローカルスケジューリングジョブの共存 4 )インストール・運用性の向上 National Ins titute of Inf or m atic s 10 NAREGIミドルウェアVer.1.0による研究環境 計算資源、分散した大規模データを 意識せずに利用 計算・研究資源をどこからでも同じように 使える平準化された環境 ポータル A 大学 B 研究所 C 大学 D 大学 バーチャルな研究コミュニティー (VO)を容易に形成 計算・研究資源を連携した研究が容易 (リアルタイムコラボレーション) 仮想組織(Virtual Oganization) A 大学 実組織 D 大学 B 研究所 C 大学 研究中のプログラムA 研究中のプログラムB National Ins titute of Inf or m atic s 21 利用支援 UPKI 認証基盤 普及・教育 認証局 ヘルプデ スク NAREGI ミドルウェア 開発者 SINET3 NOC管理者 SINET3 センター 管理者 VO VO管理者 ユーザ ユーザ 22 National Ins titute of Inf or m atic s 11 大学間連携のための 全国大学共同電子認証基盤(UPKI) National Ins titute of Inf or m atic s 23 全国大学共同電子認証基盤(UPKI)とは • • • • • 平成17年頃から,7大学情報基盤センターとNIIで,大学の資源を共有するための 認証基盤を検討 平成18年2月15日にキックオフのシンポジウムを開催 大学が保有するスパコン,電子コンテンツ,ネットワーク等の学術情報資源を,安心・ 安全かつ有効な活用が可能な基盤を目標にする 先行する海外の学術機関の事例,PKI以外の技術も積極的に取り入れて研究・開 発する 7大学情報基盤センター群とNIIで概算要求を行い,平成18~20年度の3年間, 特別教育研究経費(研究推進:大学間連携)が認められた。 24 24 National Ins titute of Inf or m atic s 12 UPKIの構想段階では プライベート認証局の連携による,大学間連携を模索 大学の認証局を用いて,「サーバ証明書」「S/MIME証明書」「コード証明書」「官職証明 書」を発行し,大学間連携,産学連携に活用 このため,認証局間の連携方式の調査・分析を実施 イメージ NII ルートモデル 大学CA ブリッジモデル 大学CA 大学CA 大学CA NII 大学CA 短所 ・ユーザ規模,用途により下位 CAを増やせる ・認証パスの構築が容易 ・ウエブブラウザ等の製品が標 準でサポート ・ルートCAに権限が集中する ・ルートCAの鍵が危殆化した場 合,前証明書の再発行が必要 ・他CAの追加が容易 ・他ドメインのCA鍵危殆化の影 響範囲が局所的 ・認証パスの構築,検証が複雑 になる ・ウエブブラウザ等が対応して いない ・他CAの追加が容易 ・ポリシーによる制約が可能 ・他CAとの連携維持管理及び 認証パス構築が難しい ・相互認証証明書の登録が必 要 ・ウエブブラウザ等が対応して 25 いない 大学CA NII Pear to pear 長所 大学CA 大学CA 大学CA 大学CA UPKI3層アーキテクチャ PKIの階層を3つに分け,認証局の用途や強度レベル等を分けて検討 階層内,階層間の認証技術,認証アプリケーションの研究・開発を実施 あわせて,大学で利用できるアプリケーションも開発 26 13 各階層のコンセプト オープンドメインPKI層 いわゆるパブリックPKI ルート証明書が予め配布されたPKI 皆が信頼しているPKI、誰でも検証できるPKI キャンパスPKI層 各大学が個別のポリシに合わせて構築するプライベートPKI その大学のユーザ(教職員and/or学生)であることを証明する ユーザ(教職員and/or学生)への厳格な(対面等の配付が可能) グリッドPKI層 グリ ドPKI層 AP Grid PMAなどグリッド独自のセキュリティレベル プロキシ証明書など一般的なPKIとは明らかに異なる概念 27 6つの項目に基づく取り組み 項番 1 2 実施項目 「UPKI共通仕様」の作 成と配布 オープンドメイン認証 局の構築とサーバ証 明書の発行 内容 認証局連携のための運 用規程 A大学認 証局 セキュリティレベルを統一して認証局 連携を容易にする B大学認 証局 NII認証局 の承認 実績 大学の認証局のための「認証局運用 規程」のひな形を作成 サーバ証明書 の発行 オープンドメイン認証局の構築 サーバ証明書の発行 Web Trust CA NIIオープンドメイン認 証局の構築 大学のWebサーバ 平成18年度,19年度に作成し,Webで 公開中 成 年 「 書 導 平成19年度から,「サーバ証明書発行・導 入における啓発・評価研究プロジェクト」を開 始 → 21年度から新プロジェクト開始 B大学 3 大学間無線LANロー ミングの実現 認証を用いた大学間の 海外の 大学 A大学 無線LANローミングの実現 平成18年度から,eduroam方式による無 線LANローミングを開始 C大学 4 コンテンツサービスの シングルサインオン実 現(フェデレーション 現( 構築) 5 NAREGI-CAを利用し たキャンパスPKIス タートパックの開発 6 S/MIME証明書の試 験利用 Shibboleth 電子ジャーナル 1つのIDで複数のDBに アクセスを可能とする仕 様を検討 オープンソースの認証局ソフトウェアある NAREGI-CAを用いて,大学認証局を簡単に構 築できるソフトウェアを開発 電子署名付きメール, メールの暗号化の実現 S/MIMEを関係者間で使用 するとともに,発行方法等 の検討を実施 平成20年度,27機関の協力により, シングルサインオン実証実験を実施 → 21年度から試行運用を開始 平成18年度に開発し,Webで公開中 平成18年度から試験利用を開始 一部はサーバ証明書発行のための本人確 認に利用 28 14 0 UPKIイニシアティブ UPKIの相互運用性,利用促進に関しての意見交換や技術的な検証を行う場として 設立(平成18年8月16日) 運営主体は認証作業部会 UPKIイニシアティブの活動は,主にホ UPKIイニシアティブの活動は 主にホームページ上のUPKIポータルを使用 ムペ ジ上のUPKIポ タルを使用 (https://upki-portal.nii.ac.jp/) 各活動のページから関連情報、資料を発信 UPKIポータルの トップページ トップペ ジ 各活動のページが 並んでいます。 29 1 UPKI共通仕様の作成 目的 大学認証局のセキュリティレベルを揃え,連携を容易にする → キャンパスPKI層の大学連携 CP/CPSのサンプル,仕様書のサンプルを作成し,運用コスト,調達コストを低減 する 概要 認証局を調達するための「仕様書」 認証局のCP/CPSのひな形 CP/CPSは,アウトソース版とインソース版を作成 情報セキュリティポリシーサンプル規程集の一部としても活用 UPKI共通仕様 キャンパス PKI 調達仕様ガイドライン(アウトソース版) ①キャンパス PKI調達仕様ガイドライン編 ②キャンパス PKI調達仕様テンプレート編 キャンパス PKI CP/CPSガイドライン(アウトソース版) ①キャンパス PKI CP/CPSガイドライン編 ②キャンパス PKI CP/CPSテンプレート編 キャンパス PKI CP/CPSガイドライン(インソース版) ①キャンパス PKI CP/CPSガイドライン編 ②キャンパス PKI CP/CPSテンプレート編 30 15 2 サーバ証明書発行・導入における啓発・評価 研究プロジェクト 目的 オープンドメイン層の認証基盤の構築 大学等における,サーバ証明書発行時の審査・証明書配付方式の最適化 サーバ証明書の重要性の啓蒙活動 概要 サーバ証明書発行業務(審査)の一部を大学で実施 プロジェクトではあるが,発行する証明書は“本物”のサーバ証明書 1月末現在,90機関が参加し,1900枚の証明書を発行 現在のプロジェクトは6月で終了し,新プロジェクトを4月から開始 31 3 無線LANローミング 目的 大学間で無線LANを共有し,安心・安全にインターネット環境を提供する 概要 欧州,アジア・オセアニア等で普及しているeduroam方 式により,無線LANローミングを実現 RADIUS連携で実現できることから構築が容易 海外のeduroam機関との連携により,海外の学術機 関とも相互利用 平成21年2月現在,国内10機関が運用 32 16 4 シングルサインオン(フェデレーション構築) 目的 キャンパスPKI層の学内認証と,大学間の認証連携を実現 コンテンツサービス利用を中心とした認証基盤の構築 概要 Internet2が開発したShibbolethを利用 学内に,LDAP等で構築したデータベースがあれば,そのまま利用可能 欧米の図書館を中心に,電子ジャーナル利用等に普及 平成20年7月から,27機関により実証実験を開始 Science Direct(Elsevier)との利用実験を実施 認証 Shibboleth IdP 利用者 認証DB IdP フィルタ 必要最小限の情報 LDAP 教職員のID 大学認証基盤 学術コンテンツ等 33 4 シングルサインオン実証実験(平成20年度) 平成18年度 平成19年度 平成20年度 平成21年度 … シングルサインオン の海外状況調査 シングルサインオンの 実現方法の検討 実証実験の実施 試行運用の実施 米国,欧州, オーストラリア Shibbolethを用 いたテストを実施 複数機関が連携し て,安全・安心な運 用ができることを実 証 実データを用い て,電子ジャーナ ル等の認証基盤 として運用 運用に必要な規程 類の整備,技術基 準の整備 運用規程(ルー ル)が確立してい ないため, 21年度は試行 日本のフェデレーションを構築することが目的 34 17 5 キャンパスPKIスタートパックの開発 目的 オープンソースの認証局ソフトウェアであるNAREGI-CAを活用し,低コストで の認証局構築をサポートする 概要 NAREGI-CAをコンパイル,インストールするためのスクリプト群から構成され NAREGI CAをコンパイル インスト ルするためのスクリプト群から構成され ている 難しい設定をしなくても,無線LAN向け認証局として利用できる環境が自動的 に設定される 本格利用のためには,手動で環境設定が必要 UPKIイニシアティブのサイトからダウンロード可能 35 5 グリッドとの連携 目的 大学の認証基盤を用いて,グリッドコンピュータ利用に必要な証明書発行を行う 概要 UPKI3層の,グリッド層とキャンパスPKI層の連携 UPKI3層の グリッド層とキャンパスPKI層の連携 グリッド用の証明書は,厳格な管理と本人確認を求められている アジア太平洋地区は”ApGrid”の基準を満たす必要がある この実現のための,ポリシー検討等を実施した キャンパス PKI グリッド利用 本人確認 ApGrid準拠 証明書申請 ユーザ 36 18 平成21年度以降のUPKI 21年度から,UPKIは研究開発のフェーズから運用フェーズに向けて一歩前進します。これまでの成果を生かして,次の2つの項目 を実施します。 サーバ証明書プロジェクトの継続 現プロジェクトは,平成21年6月末で終了 平成21年4月~24年3月までの3年間,新プロジェクトを実施 平成21年4月~6月の3ヶ月間は移行期間 新プロジェクトは,ウェブ画面からの証明書発行申請を可能に 自動発行の技術的検証を実施 認証フェデレーション試行運用 実証実験の成果を利用し,日本での認証フェデレーション運用を開始 まずは,実証実験参加機関を中心に,実利用可能な認証基盤の構築 まずは 実証実験参加機関を中心に 実利用可能な認証基盤の構築 電子ジャーナル等の実利用を実現 NIIのコンテンツサービスであるCiNiiも対応 フェデレーション運用のためのルール(規程等)の整備をあわせて実施 グリッド,ネットワーク利用のための認証基盤として利用 37 認証フェデレーションの構築 利用者(教職員,学生等) 所属大学で認証を受けると, どこからでも簡単に,他大学, 他機関のサービスが利用でき る。 認証 Elsevier Springer Wiley-Blackwell 利用 認証フェデレーション 認証フェデレ ション 利用 (運用機関NII) ・ 運用規程作成と参加調整 ・ 技術仕様作成・サポート ・ 海外フェデレーションとの連携交渉 OPAC 大学等 • • • • 認証サーバ 機関リポジトリ (IdP) サイボウズなど グリッド 無線LAN等 OUP CUP LWW/Ovid などが参加表明 電子ジャーナル NII,NDL,JST等 データベース等 学術Eリソース 大学等とNIIが連携して「認証フェデレーション」を構築・運用する 2009年4月からフェデレーション試行運用を開始 2009年4月時点で,複数の大学,NII内でのシングルサインオン実現 2010年4月からの本格運用を目指す 38 19 3つのキーワード ☑国際標準による認証方式の共通化 Shibboleth = (シボレス)の実装。 ☑電子ジャーナルやDB毎の面倒なユーザ認証からの解放 SSO(シングルサインオン)を実現。 = 利用機関と提供機関による連合体で共同運用 ☑ フェデレーション デレ シ ンの構築・運営。 = SSO(シングルサインオン)について シングルサインオン single sign-on •利用者が、1回のログイン手続きで、認証を必要とする複数のサービスを利用でき るようにする仕組み •代わりにその1回のログイン手続きは十分セキュアにする (概念図) SP (Service Provider) IdP ①認証サーバ(IdP) に接続 ユーザ ②認証サーバ(IdP)経由で 各サービスに接続 20 現実のEリソースを当てはめると 各大学の 利用者 電子ジャーナル等 IdP一覧表示(DS) 所属する大学のIdP (Xdaigaku.ac.jp) CiNiiの有料論文が見たい。 認証されたら見られます。 私のIDは○○で,パスワードは△△です。 OK!確かにこの大学の人ですね。 認証されました。 TARO SUZUKI 08/07 どうぞご利用ください。 利用者 1度の認証で、 2度、3度・・・、おいしい。 2度 3度 おいしい Science Direct の論文も見たくなった。 認証済ですね。どうぞ。 RefWorksの文献リストを更新したくなっ た。 認証済ですね。どうぞ。 次期ネットワーク 42 SINET4 National Ins titute of Inf or m atic s 21 学術情報ネットワーク(SINET3)構成図 【回線速度】 中継ノード(12拠点) 10Gbps~40Gbps 一般ノード(62拠点) 1Gbps~20Gbps 国際回線 日本-米国間 10Gbps * 2 日本-シンガポール間 622Mbps 日本-香港間 622Mbps 【凡例】 中継ノード(12拠点) 一般ノード(62拠点) 10Gbps~40Gbps 1Gbps~20Gbps 43 SINETの回線整備状況 平成18年度から、地方大学等からの強い要請に応えて、すべてのノード回線を 1Gbps以上に増速した。 SINET3では、基幹回線について最大40Gbpsの超高速回線を実現した。また、基 幹回線をループ構成とし 幹回線をル プ構成とし、高い信頼性を確保している。 高い信頼性を確保している。 H16.4 H17.4 H18.4 H19.4 SINET整備状況(総帯域・帯域*距離の総和) 40Gbps 0 0 0 2 20Gbps 0 0 0 8 500 10Gbps 28 28 29 28 400 2.4Gbps p 1 3 4 8 1Gbps 6 10 32 30 30~200Mbps 26 22 2 0 総帯域(Gbps) 290.46 300.20 331.80 569.20 帯域*距離の総和 35580.97 36363.52 39886.42 66659.52 70,000 60,000 50,000 40,000 600 300 30 000 30,000 20,000 10,000 0 200 100 0 H16.4 H17.4 総帯域(Gbps) H18.4 H19.4 帯域*距離の総和 44 22 学術情報ネットワークに関する意見・要望 科学技術・学術審議会 学術情報基盤作業部会等での意見 事項 意見等 全体 ・学術情報基盤のあるべき姿の明確化と研究開発とサービスを一体化して実現していくことが 必要。 ネットワ ク、計算資源、グリッドだけでなく、学術研究や教育活動に不可欠な機能の 体的 ・ネットワーク、計算資源、グリッドだけでなく、学術研究や教育活動に不可欠な機能の一体的 提供を期待。 回線の高速化 ・高精細画像を用いた遠隔による研究教育に対応する格段に大きな回線速度の要請。また、 国際線の高速化も期待。 ・ネットワークは地方大学にとって生命線、適切な速度の提供を期待。 ・画像データの増加やインタネット閲覧等の利用の高まりにより、ネットワークの回線容量の増 加への対応が課題。 ・非ノード校からノード校になりたいとの要望。 機能・サービス の高度化 高度化 ・メール等の一般学術支援機能への対応が必要。 SSL認証の事業化や帯域保証サ ビスなどの ズに基 く各種サ ビスの高度化、多様化 ・SSL認証の事業化や帯域保証サービスなどのニーズに基づく各種サービスの高度化、多様化 に期待。 ・高機能なサービス、特に継続的に利用できるTV会議システムやセンサーネット等のサービス の提供。 ・キャンパス間LAN接続のニーズへの対応の要望。 ・進化しつつけるネットワーク技術に対応するため、これらを担う人材育成プログラムの開発・実 施が必要。 ・災害に強く、高速かつトラブルのないセキュアなネットワークを構築していくことが重要。 45 我が国の学術研究・教育を支える 最先端学術情報基盤(サイバー・サイエンス・インフラ:CSI) 学術情報ネットワーク(SINET)は、CSIの中核として、我が国の大学等における学術 研究・教育活動全般を支える基盤を形成。 ネットワーク基盤の上に、さまざまな基盤・機能群が重層的に構築され、CSIを実現。 大学等の学術研究・教育活動 学術研究・教育活動 レイヤー 推進・強化 共同利用・共同研究拠点形成基盤 地域連携基盤 先端学術研究基盤 産学共同研究基盤 一般学術支援基盤 実験装置共有基盤 学術計算資源基盤 (グリッド) 大学間電子認証基盤 (UPKI) 国際連携基盤 次世代最先端学術情報基盤 (CSI) 連携レイヤー e-Education基盤 学術ストレージ基盤 サービスレイヤー 学術コンテンツ基盤 学術閉域網基盤 (VPN) SINET3 (学術ネットワーク基盤) E-サイエンスを支える情報基盤 セキュリティレイヤー ネットワークレイヤー 46 23 学術情報ネットワーク(SINET3)の現況 トラフィック状況(平成19年6月~平成20年5月) 次期SINET整備は この急激なニーズに 対応することが 最重要課題 ¾ 総トラフィック量は、毎年1.3倍の増加 3年間で2.2倍以上の増加。 ¾ 平成17-20年の3年間の統計ではそれ以上を記録。 ネットワークサービスの利用状況 ¾ SINET3で新たに提供されるサービスについて順次提供が開始され、利用が着実に増えている。 総トラッフィク量「 単位 ペタビット」 SINET3と外部との入出力トラフィック 18 SINET3サービス利用数 300 年1.3倍程度の伸び SINET3 VPN 利用 250 12 200 QoS マルチキャスト IPv6 フルルート 10GEサービス L1オンデマンド L1スタティック L2VPN/VPLS L3VPN 150 100 6 50 0 0 2007/06 2008/05 2007年3月 6月 9月 12月 2008年3月 6月 47 SINET3の中期的需要予測 次期SINETにおいては、次期中期計画期間(8年後)を見据えた需要予測に基づき、 ネットワークを整備する。 ¾ 次期中期計画期間内には、全ノードの99%において最大使用率が50%を超える。また、全ノードの 86%のノードで100%を超え、52%のノードで200%以上となる。 ¾ 回線帯域が1Gbpsのノードについては、平成25年度で全ノードにおいて最大使用率が50%を超え8 回線帯域が1Gbpsのノードについては 平成25年度で全ノードにおいて最大使用率が50%を超え8 2%が100%を超える。次期中期計画期間内には、94%のノードが100%を超え、71%が200% 以上となる。 全ノード最大使用率予測 1Gノード最大利用率予測 100% 100% 3% 90% 6% 90% 52% 80% 70% 80% 70% 63% 60% 50% 40% 99% 増 減 速 50% 40% 34% 30% 20% 71% 76% 60% 増 減 速 100% 30% 20% 10% 29% 0% 24% 10% 18% 6% 0% H.20.6 H.21.3 H.23.3 H.26.3 H28.3 H.20.6 H.21.3 次期中期計画期間 10%以下 40-50% 10-20% 50%-100% 20-30% 100%-200% 30-40% 200%以上 H.23.3 H.26.3 H28.3 次期中期計画期間 10%以下 40-50% 10-20% 50%-100% 20-30% 100%-200% 30-40% 200%以上 48 24 次期SINET(SINET4)整備の基本的考え方 最先端学術情報基盤(CSI)の中核である学術情報ネットワーク(SINET)は、我が 国の大学等における研究・教育活動全般を支える基盤であり、NIIは大学等と連携・ 協力して、持続的にSINETの開発、整備および運用を行う。 SINETの整備にあたっては、先端的ネットワ クの構築と同時に、ネットワ クを基 SINETの整備にあたっては、先端的ネットワークの構築と同時に、ネットワークを基 盤とする諸機能・サービスの開発・提供および利用支援を行う。 CSIの開発、利用促進における国内外の大学、研究機関、情報基盤センター等との 連携・協力を強化する。 取組 方針1: 最先端の学術研究・教育を支えるための先進性の 維持・拡大 さらなる高速化 高機能化 高信頼化 安定化の実現 さらなる高速化、高機能化、高信頼化、安定化の実現 方針2: 非ノード校を含む大学等のネットワーク環境の向上 方針3: 先進的なネットワーク設計と効率的な運用による一層の経費節減 (一括共同調達、 アカデミック・ディスカウント) 方針4: 産業界、国・公立研究機関等への新たな展開 方針5: 持続的な整備基盤の確立(参加機関の一部経費負担による新たなニーズ等への対 応) *「学術情報基盤整備に関する対応方策について(議論の整理)」 49 SINET4を必要とするアプリケーション アプリケーション 動 向 等 ネットワークへの 要求条件 学術系映像通信 ・圧縮高精細映像(~30Mbps/ch)を用いた遠隔講義や遠隔医療(手術中継等) が増大 ・無圧縮高精細映像通信(1.5Gbps)による遠隔講義、多次元映像通信の研究( 1Gbps)なども実験的な利用 ・ 4k超高精細映像(無圧縮時6Gbps)等の大容量の映像通信が期待 ・高速化 ・リソースオンディマンド( 帯域、VPN) ・マルチレイヤ 大容量データ転送 ・高エネルギー、宇宙天文、核融合、グリッド、地震などの多様な学術研究が大容 量データを転送 ・ネットワークを用いた超大容量遠隔バックアップへの期待増 ・eVLBI解像度向上、ペタコンデータ転送、ITERデータ転送などがあり、データ転 送の大容量化は進む一方 ・高速化 ・リソースオンディマンド ・マルチキャスト ・VPN ・マルチレイヤ 研究教育環境形成 ・全国の異なる組織の研究グループがネットワーク型共同研究拠点を形成するた めに、VPN機能を活用 ・複数のキャンパス間を接続するマルチキャンパス接続や産業界の参加による ネットワーク型の産学連携拠点形成などの利用が増大 ・ユーザ側からより柔軟なVPN設定、機能変更への期待増 ・VPN ・リソースオンディマンド ・マルチレイヤ ・マルチキャスト マルチキャスト 学術国際連携 ・先端研究加速のため、米国、フランス、スイス、ドイツ等との国際共同研究が増 加 ・データ量は、LHCは4Gbps、スパコンは1Gbps、GRID5000は1Gbps程度 ・今後は、ITER関連の大容量データが伝送 ・高速化 ・VPN ・リソースオンディマンド ・マルチレイヤ 学術系コンテンツ ・ネットワークは、大学等における各種情報通信、文献検索、メール、e-Learning 等の基盤 ・SINETを介したセキュアで経済的な一括サービスへの期待増 ・新しい上位レイヤーサービスへの期待増 ・高速化 ・NW経由のサービス委託 ・上位レイヤ支援のIF 50 25 SINET4要求条件まとめ(現時点) アプリケーション以外の要求条件 大学間の格差解消 大学間の格差の解消が求められている。学割・共 同調達の輪に含めて同一費用で更なる高速化を 実現するなどの枠組みの整理が必要である。 ・非ノード校も経済的高 速化を実現できるアー キテクチャ。 ・大学間の格差を少なく する枠組み 信頼性・安定性の 強化 現在の制約条件(UPS設置・発電機準備、入室可 能時間の制限)の完全排除が求められており、デ ータセンタへ設置することが望ましい。できる限り の回線の冗長化や更なる高可用化を図ることが求 められている。 ・エッジノードの信頼性・ 安定性の強化 要求条件まとめ(現時点) 要求条件全体をまとめると、大きくは、①ネットワークの高速化、②サービスの多様化(継続)と利便 性の向上、③上位レイヤサービスの支援・展開、④大学間の格差の解消、⑤エッジノードの信頼性・ 安定性の強化であり、これらを考慮した次期ネットワークの検討が必要である。 次期ネットワークの検討 51 SINET4の一つの方向性(案) NWの高速化: 格差の解消: エッジ高信頼化: 上位レイヤ展開: 利便性向上: アクセス系にCWDM技術を導入し経済的な高速化・速度可変化を図る 上記の高速化を非ノード校へも展開できるよう、共同調達の枠組みを作る エッジノードをデータセンタへ設置する(場所は長期的に固定) 上位サービスを支援するインタフェースを配備、共通基盤を検討 リソースオンデマンド(VPN自動設定など)、ユーザ機能連携等を強化・拡張 ユーザ装置・NII装置 (ストレージサーバ等) ジ バ等 L1オンデマンド機能 12 拠点 (データセンタ) エッジノード ノード 校 ノード 校 非 ノード 校 SINET4 40Gをベース ≦12 (データセンタ) 構造 変更 フレッツ光等 2.4G~40G エッジノード 62 拠点 (ノード校) <62 (データセンタ) ノード 校 CWDM 技術導入 10M~1G 非 ノード 校 コアノード 広域LAN/ Bフレッツ 1G~20G ノード 校 オンデマンド機能、ユーザ連携機能、サービス連携機能、等 SINET3 コアノード 10G~40G サービス委託業者装置 (メールサーバ等) バ等 非 ノード 校 非 ノード 校 630強拠点 (非ノード校) 2G~40G 加入 機関 加入 機関 加入 機関 加入 機関 加入 機関 加入 機関 加入 機関 加入 機関 約700拠点 (ユーザ拠点) 52 26 アクセス系アーキテクチャ(1) 経済的な高速化と柔軟な速度可変化 x 経済的な高速化を可能にすると同時に、波長の追加(GE、10GE等選択可能)により将来の増速や実験的な増速を柔 軟に実施する 大学独自の増速への対応 x NIIがベース部分を提供するが、大学が独自の費用で波長(帯域)を増やすことを可能にする。ただし、保守の考え方 の整理が必要である。 グリーン対応 x 大学側の所要消費電力を大幅に削減する。 最大0.2kW程度 研究用1 SINET3 コア ノード ノ ド 40G 10GE 10GE 大学LAN 波長多重(~40G) 研究用1 GE 研究用 new GE CWDM C 10G(STM) SINET3 GE エッジ ノード ノ ド CW WDM 10GE 大学LAN SINET4 SINET3 合計最大5kW超 40G~ GE SINET4 エッジ ノ ド ノード GE UPS A大学 データセンタ • • • • A大学 速度固定 増速する場合工事含め非常に高価 大学独自の施策は不可能 NIIが全額負担 データセンタ • 柔軟かつ経済的増速可能 • 大学独自での波長追加可能 • 大幅な省エネが可能 53 アクセス系アーキテクチャ(2) 回線の収容位置 x 基本的にデータセンタに収容する x エッジノードを設置するデータセンタは、マルチキャリアの回線を収容可能とし、また、長期に固定することで、加入機関 側にとっての終端点を極力変えないようにする x ネットワークの移行は、暫定的に旧ノード校での終端も考慮しながら進める 回線種類 x スペシャル回線: Ethernet系インタフェース(GE、10GE等)を波長多重する回線 x Ethernet専用線: 一般のEthernet系専用線(100M~1G) x 共用アクセス回線: 次世代Bフレッツ等 データセンタ データセンタ SINET3 コアノード SINET4 エッジノード CWDM CWDM SINET4 SINET3 2G~ 大学A SINET3 エッジノード 10G CWDM 2G~ 1G~2G 100M~1G 次世代 Bフレッツ等 Bフレッツ等 CWDM 1G 大学A 1G 100M 10M 大学A CWDM CWDM 大学B 大学C 暫定的収容 大学B 大学C 大学D 大学E 大学C/D 大学D/E 54 27 SINET4における共有データセンターの活用 SINET4コア ネットワーク 各県設置の データセンター NII千葉分館 (計算機棟データセンター) B大学 学 SINET4 エッジノード A大学 県内の機関 A大学 人事システム ダークファイバによるインターネットアク セス回線とキャンパス間接続 B大学 機関リポジトリ 会計システム NIIの提供する高次アプリ やサービス ●共用リポジトリ 【新規】 ●UPKI共用サーバ ●学術コンテンツ・ポータル ・ ・ ・ A大学 Yキャンパス SINET4構築のための連携体制の形成 加入機関に対する説明 ¾ 地域説明会(名古屋、福岡、札幌、東京、大阪等) 平成20年11月~平成21年1月 SINETオープンフォーラム(仮称)の形成 ¾ パフォーマンス志向ユーザには、高速なアクセス回線を低価格で調達・整備。 ¾ コモディティ志向/アプリ志向ユーザには、上位レイヤサービスをSINET上で容易に利用できる環境を提供する仕 組みを議論する場。 ¾ 当面は、アクセス回線の一括調達によるボリュームディスカウントを実現するため、加入機関の賛同を得ながら調 達を進める。 ¾ 地域との連携の強化を図る。 SINET加入機関で構成 … アクセス回線 の一括調達 2G~40G 2G 40G 加入 機関 加入 機関 加入 機関 加入 機関 … 情報交換・技術交流 上位レイヤサービス との連携 TARO SUZUKI 08/07 フォーラムのイメージ 56 28 フォーラムのロードマップ(案) 目的 地域連絡会 (第1回オープンフォ ーラム開催前に各地 で開催予定) オープン フォーラム (第1回開催:H21.6 頃予定) 役割 対象機関 ・地域の事情を仕様に反 映したり、個別事情のあ る大学と調整するなど、 きめの細かい対応を行 う場として機能 ・当面は、アクセス回線 の一括調達に向けた情 報提供・意見交換 H23~ H20~H22 参加申込み方法 ・各地域ごとのメー 各地域ごとのメ リングリストでご案 内 SINET4構想、一 括共同調達に 賛同または関心 のある加入機関 主にアクセス 回線の調達に 向けての調整 、契約 アクセス回線 以外に、上位 レイヤ連携、技 術交流、意見 交換など ・将来的には、上位レイヤ 連携、技術交流の場へ 拡張 ・H21.2頃に全加入 機関に郵送する資 料に同封した回答 書 57 アクセス回線の選択方法(案) 希望する回線速度に応じて下記から選択 SINET4スタート時 の回線速度 入手先 12G以上 NII 回線の種類 スペシャル回線 入手方法 (CWDM利用) 賛同大学を集めて一括共同調 達 任意 各機関で調達 加入機関 次世代Bフレッツ 現在のSINET Bフレッツと同様 の手続き 加入機関 任意 各機関で調達 NII 1G~12G 加入機関 10M~1G 備考 県内のエッジDCに収容 ・基本はDC収容 ・ノード校収容も検討 ベストエフォート ・基本はDC収容 ・ノード校収容も検討 フォーラムで調達する回線 58 29 SINET4運用開始までのロードマップ 今後、加入機関の皆様に対応いただきたい内容は下記のとおりです H20年度:次期ネットワーク計画についての情報提供を、説明会等を通じて行っていきますので、 積極的にご参加ください H21年度:自機関としてのアクセス回線調達方針を年内(12月)までにご決定ください H22年度:秋頃から移行作業を順次実施しますので、ご協力をお願いします フォーラム開催 2008年度 (平成20年度) 2009年度 (平成21年度) 2011年度 2010年度 (平成22年度) (平成23年度) 現在 今までどおり自前で調達 次期NW相談室の設置 調達説明会の開催 SINET3 利用説明会 の開催 次期NW資料の郵送 国立情 報学研 究所 個別事情のある大学との調整 (現行回線契約の統一化等) 仕様書確定・開札(第2回) 仕様書確定・開札(第1回) 設計・構築 契約 YES 引き続き検討いただく 次期学術情報ネットワーク運用 移行作業 運用開始 契約 未定 NO 共同調達参加の 検討 YES アンケート調査回答 調達説明会への参加 3 次期NW資料の到着 SINET 利用説明 会への参加 加入機 関 移行作業 移行作業 59 30