2005 Fiscal Year Annual Research Report
分散型セキュリティ維持機構を備えた高性能ルータのアーキテクチャに関する研究
| Project/Area Number |
16300017
|
|---|
| Research Institution | Kyoto Institute of Technology |
|---|
Principal Investigator |
柴山 潔 京都工芸繊維大学, 工芸学部, 教授 (70127091)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
平田 博章 京都工芸繊維大学, 工芸学部, 助教授 (90273549)
布目 淳 京都工芸繊維大学, 工芸学部, 助手 (60335320)
|
|---|
| Keywords | ルータ / パケットフィルタリング / DoS攻撃 / ネットワークプロセッサ / ファイアウォール / 分散処理 |
|---|
| Research Abstract |
ネットワークバックボーンに用いるハイエンドのルータを、コンピュータアーキテクチャ研究の観点から研究し、以下の成果を得た。
(1)パケットフィルタリングルールを複数のルータ間で交換し、ネットワーク全体でDDoS(Distributed Denial of Services)攻撃の防衛を行うルータ分散型セキュリティ維持方式を開発した。本方式によって、ルータの負荷状況に応じて適切に防衛境界を拡大・縮小できることを、シミュレーションにより確認した。
(2)各ルータにおけるパケットフィルタリングルールの管理方式と、フィルタリング処理の高速化について検討した。後者については、受信したパケットとフィルタリングルールとの照合の順序を攻撃の状況に応じて変更することにより、効率良く攻撃パケットを破棄することができることを確認した。
(3)上記(1)(2)を実現するルータ単体のアーキテクチャの検討を行った。当初の計画では、本研究で必要となるすべての機能をルータに備えること(ルータの高機能化)を想定していたが、検討の結果、むしろ上位の管理機能を各ルータから分離し、高速性を要する下位の機能のみに絞って構成する(ルータの専用化)ほうが性能および対価格性能の両面で優れているとの知見を得た。新たに得られたこの知見に基づき、ルータと上位管理機能との具体的な分離方式、パケットフィルタリングのための専用機構、ネットワークプロセッサのアーキテクチャ、についてそれぞれ検討を行った。
|
