An Approach to High-speed Security Middleboxes based on Programmable Data Planes
| Project/Area Number |
21K19771
|
|---|
| Research Category |
Grant-in-Aid for Challenging Research (Exploratory)
|
| Allocation Type | Multi-year Fund |
|---|
| Review Section |
Medium-sized Section 60:Information science, computer engineering, and related fields
|
|---|
| Research Institution | Osaka University |
|---|
Principal Investigator |
小泉 佑揮 大阪大学, 大学院情報科学研究科, 准教授 (50552072)
|
|---|
| Project Period (FY) |
2021-07-09 – 2024-03-31
|
| Project Status |
Granted (Fiscal Year 2022)
|
| Budget Amount *help |
¥6,500,000 (Direct Cost: ¥5,000,000、Indirect Cost: ¥1,500,000)
Fiscal Year 2023: ¥1,040,000 (Direct Cost: ¥800,000、Indirect Cost: ¥240,000)
Fiscal Year 2022: ¥1,300,000 (Direct Cost: ¥1,000,000、Indirect Cost: ¥300,000)
Fiscal Year 2021: ¥4,160,000 (Direct Cost: ¥3,200,000、Indirect Cost: ¥960,000)
|
|---|
| Keywords | プログラマブルデータプレーン / セキュリティ / 暗号 / P4 / ChaCha / ミドルボックス / Tofino / セキュリティミドルボックス / 匿名ルーティング / パケット転送 |
|---|
| Outline of Research at the Start |
侵入検知機器などのセキュリティミドルボックスの重要性は高まる一方であるが、セキュリティミドルボックスは、ルーターやスイッチなどに比べて数桁パケット転送速度が遅く、ネットワーク性能のボトルネックとなっている。この課題に対して、本研究では、パケット転送に特化したプログラム可能なASICを備えたスイッチ(プログラマブルデータプレーン)と暗号化やハッシュ関数などの複雑な処理をする汎用計算機上を組み合わせることで、高速パケット転送が可能なセキュリティミドルボックスを開発する。
|
| Outline of Annual Research Achievements |
本年度は、大きく次の3つの研究成果を挙げた。第一に、前年度に設計した軽量な匿名通信プロトコルに対して、パケット転送情報の改竄の防止技術を組み込んだ。メッセージ認証コードの付与と検証プログラムをプログラマブルスイッチ上に実装した。計算に要するプログラマブルスイッチ上のパケット周回数を増やすことなく、プログラムのレイアウトをすることで、匿名通信プロトコルの通信速度を悪化させることなく安全性を向上した。
第二に、より高度なセキュリティプロトコルのプログラマブルデータプレーン上での実装を目指した暗号化手法をプログラマブルスイッチ上に実装した。具体的には、TLS 1.3などにも採用されており、AESと比較してもスイッチ上への実装に適しているストリーム暗号であるChaChaをプログラマブルスイッチ上に実装した。プログラマブルスイッチへの暗号・復号のプログラムを効果的に配置することで、処理に要するデータのプログラマブルスイッチ上の周回数を最小化し、同スイッチ上のAES実装よりも高速な 200 Gbps以上の速度で暗号化・復号を達成した。
第三に、学習型インデックスに基づくデータベース上に、IPv6プレフィクスなど大きな整数(64ビット以上)をキーとするエントリーを収容する際に、回帰誤差が設計値よりも大きくなる課題に対して、キーの空間の分割する方法を設計した。さらに、テーブルと木構造を併用することで、広大なキーをコンパクトに収容する方法を設計した。
|
| Current Status of Research Progress |
Current Status of Research Progress
1: Research has progressed more than it was originally planned.
Reason
研究提案時よりも、プログラマブルデータプレーン上へのプロトコル処理の配置に関する研究が進展し、多くの技術をプログラマブルデータプレーン上で完結できるようになった。これにより、目標としていた100 Gbpsを超える速度でセキュリティプロトコルの通信が実現しつつある。
さらに、本研究は、提案時には想定していなかった、セキュリティプロトコルの基盤技術となる汎用的な暗号技術の実装などへも発展している。以上より、予定以上の成果があったと言える。
|
| Strategy for Future Research Activity |
今後は、今年度実装した暗号化技術の高度化と他のプロトコルへの応用、さらに、学習型インデックスに基づくテーブルデータ構造の汎用化を目指す。
暗号化技術は、セキュリティプロトコルの基盤技術であり、今年度までにプログラマブルデータプレーン上に実装した暗号法を応用することで、様々なプロトコルをプログラマブルデータプレーン上に実装できる可能性がある。これをふまえ、次年度は、この暗号技術の他のセキュリティプロトコルへの応用を検討する。
さらに、これまでに暗号化のさらなる高速化の鍵となる箇所、つまり現在の処理のボトルネックが判明している。次年度は、計算法の改善によりこのボトルネックの解消とさらなる高速な暗号計算の実現を目指す。
最後に、学習型インデックスについては、IPv6への対応法に基づいて、ICN (Information-centric networking) ルータや、5Gコアネットワーク上のUPF (User Plane Function) など、テーブル検索が必要なミドルボックスへの応用を検討する。
|
Report
(2 results)
Research Products
(8 results)
