題名 | パケット認証を用いたDoS攻撃への対応手法の実装と評価 |
著者 | *今野 裕太, 佐藤 健哉 (同志社大学大学院理工学研究科) |
ページ | pp. 274 - 279 |
キーワード | パケット認証, 事前認証, 優先転送 |
アブストラクト | 今日の我々の生活においてインターネットを利用したサービスの利用は欠かせないものとなっている. 近年正規のユーザのサービス利用を妨害するDoS(Deny of Service)攻撃が増加しており,今後も増加傾向は続くと予想される. 一般にDoS攻撃には発信元を偽装できる,また,単純な攻撃規模からDoS攻撃であるという推定が困難という特徴があるために,発信元情報などを用いた 既存対策では効果がない場合がある. 本稿では事前認証した正規ユーザのパケットに認証値という値を付加し,ルータで認証値を基にパケット認証を行う. そして,正規ユーザの通信の優先転送処理を行うことにより,IPアドレスの偽装に対応した上でDoS攻撃に起因する問題として正規ユーザに対してのサービス利用妨害,DoSパケットによる無駄な帯域幅リソース占有問題回避の実現を目的とする. 既存対策のように攻撃自体の防御を行うのではなく,あくまで正規ユーザのパケットを優先転送することでDoS攻撃の特徴であった,対象パケットが攻撃に用いられたパケットか否かの判別が困難,といった問題自体の回避が可能となった. 評価においてはDoS攻撃環境を作成し,パケットの平均応答時間,応答率,DoSパケットの帯域占有度を計測した. 計測結果を基に既存対策との比較評価を行うことで,提案手法の優位性を示した. |
題名 | グループ管理システムを用いたネットワーク管理システムの実装 |
著者 | *清水 さや子, 横田 賢史, 戸田 勝善 (東京海洋大学) |
ページ | pp. 280 - 286 |
キーワード | 認証認可, グループ管理, ネットワーク管理, アクセス制限 |
アブストラクト | 近年,組織における物品や予算などの資産管理において電子情報システム化が進行している.しかし,大学のような教育研究機関においては,資産管理の方法が一元的ではなく,研究室ごとに担当者が個別に管理を行い,それらを必要に応じて担当の部局が取りまとめるなどの対応がなされていることが多い.担当者が流動的な場合も多く、引継ぎがうまくなされない場合も少なくない.このような組織に各資産を管理するシステムを導入する場合,各システムに対するユーザやアクセス制限を個々に行うことは,各システムの管理者にとって複雑で負担の多い業務となる.そこで研究室ごとの担当者をグループとして統合的に管理を行うことで,アクセス管理であるユーザ管理を各担当者に移譲することで,効率的にシステム管理を行う仕組みを実現する.本稿では,資産管理の中で先行的にシステム化されたネットワーク管理システムにおいて,先に提案中のグループ管理システムと連携することで,効率的に認証認可を行う仕組みについて報告する.これは,様々な資産管理システムが導入される際に応用できるよう,先行的に実装を行ったものである.本稿では,実装方法,および運用評価と今後の展望について述べる. |
題名 | 遅延時間制御手法の動的調整によるTCP公平性の向上 |
著者 | *花井 雅人, 山口 実靖, 小林 亜樹 (工学院大学) |
ページ | pp. 287 - 292 |
キーワード | TCP, 公平性, CoDel |
アブストラクト | 近年のルータのバッファの大容量化が原因で,恒常的にネットワーク遅延時間が大きくなるBufferbloat問題が指摘されている.そして,その解決策として遅延時間の観測による待ち行列制御手法が提案されており,今後は本手法が普及していくと期待できる.また,近年の多数の新しいTCPアルゴリズムの提案によりTCP公平性という問題が生じており,我々は過去に上記の遅延時間制御手法の改変によるTCPアルゴリズム間性能公平性向上手法を提案している.しかし,この公平性改善手法はネットワーク帯域を大きく消費する接続が既知であるとことを仮定しており,これが既知でない環境には適用することができない.本稿では,通信機器にてトラフィックを観察し,ネットワーク帯域消費の大きい接続を推定し,その接続のパケットを優先的に破棄することによりTCP公平性を改善する手法を提案する.そして,提案手法を実機に実装し,性能評価によりその有効性を示す. |
題名 | 隠蔽された分散処理環境を透過的に利用可能な基盤の提案 |
著者 | *阿部 博 (株式会社IIJイノベーションインスティテュート 技術研究所/北陸先端科学技術大学院大学), 井上 朋哉, 篠田 陽一 (北陸先端科学技術大学院大学) |
ページ | pp. 293 - 300 |
キーワード | 分散処理システム, 分散ストレージ, クラウド |
アブストラクト | 分散処理システムはリソース管理モデルと処理実行スケジューリングに強く依存しており,アプリケーションソフトウェアを常に高い性能で動作させるためには,ソフトウェア開発者がシステムの構成や内部状態の把握をした上で,分散処理システムを強く意識したソフトウェア開発を行う必要がある. ソフトウェア開発者が,分散処理システムのリソース管理や処理実行スケジューリングを意識せずに,「1台の計算機で行う処理を,透過的にスケールアウト可能な分散処理システムで実行する基盤」が利用できれば,システムの内部状態を意識しながら行うソフトウェア開発にかかる開発コストは抑えられる.そこで本研究では,「1台の計算機環境と同等の処理を実行可能なスケールアウトする分散処理環境」「1 台の計算機環境と同等のストレージアクセスを分散ストレージで行うアクセス抽象化」「1 台の計算機環境と同等の処理を分散処理環境で実行可能なスケジューラ」を実現し,システムの内部状態を隠蔽しつつ処理を分散実行する実装を行うことで問題解決を行った.また,概念検証のための実装より有効性の評価を行った結果問題となった処理実行スケジューリングへの解決策として,スケジューラへのDAGアルゴリズムの導入を行い,アクセス抽象化のために用いたFUSEによるアクセス遅延を解消するためのデータの保存場所と処理実行ノードの関係を意識したシステムアーキテクチャを再考した. |