2021 Fiscal Year Research-status Report
An Approach to High-speed Security Middleboxes based on Programmable Data Planes
| Project/Area Number |
21K19771
|
|---|
| Research Institution | Osaka University |
|---|
Principal Investigator |
小泉 佑揮 大阪大学, 情報科学研究科, 准教授 (50552072)
|
|---|
| Project Period (FY) |
2021-07-09 – 2024-03-31
|
| Keywords | セキュリティミドルボックス / プログラマブルデータプレーン / 匿名ルーティング / パケット転送 / P4 |
|---|
| Outline of Annual Research Achievements |
今年度は、プログラマブルデータプレーンとコンピューターを複合したミドルボックス設計に向けて軽量で高速なテーブルデータ構造の設計と、セキュリティミドルボックスとして匿名プロトコルに焦点を当て、プログラマブルデータプレーン上で1 Tbps級の高速な匿名フォワーディングを設計した。
軽量で高速なデータ構造については、学習型インデックスと呼ばれるデータ構造をベースに、高速な検索と実装を実現した。学習型インデックスは、データベース内の各エントリーのキーとその格納位置の関係を機械学習の回帰で予測し、予測位置周辺を探索してデータを発見するデータ構造である。これに対して、機械学習の代わりに区分線形近似モデルを採用し、その区分線形近似モデルを再現するニューラルネットワークを決定的に導出する設計を提案し、その設計に基づいて、高速な実装をした。このデータ構造をIPのFIBに適用し、木に基づくFIB用の最新のデータ構造と比較し、半分のサイズで同程度の高速な検索を達成した。
匿名フォワーディングについては、ネットワーク層上の匿名プロトコルをプログラマブルスイッチ上に実装した。対象とした匿名プロトコルは、攻撃者が、盗聴した送信者と受信者の識別子を紐付けることを阻止するプロトコルである。これを実装する観点で、限定されたプログラマブルデータプレーン上の計算能力に適合する暗号化方式とヘッダ処理方式を開発した。プログラマブルデータプレーン上に実装し、1 Tbps級の匿名フォワーディングを実現した。
|
| Current Status of Research Progress |
Current Status of Research Progress
1: Research has progressed more than it was originally planned.
Reason
セキュリティミドルボックスの実装をプログラマブルデータプレーン上で完結させることで、1 Tbps級のフォワーディングが可能なセキュリティミドルボックスを達成した。今年度に実装した匿名プロトコルに限って得られた知見ではあるものの、コンピューターのインターフェースの速度に律速されることなく、当初予定の100 Gbpsのフォワーディングを大きく超える速度を達成していることから、予定以上の成果があったと言える。
|
| Strategy for Future Research Activity |
今年度に設計した学習型インデックスに基づくテーブルデータ構造の汎用化と、匿名プロトコルの実装で得た知見を他のセキュリティミドルボックスへ展開して一般化することを目指す。
学習型インデックスに基づく軽量で高速なデータ構造については、今年度に検討したIPv4以外に、IPv6、5Gコアネットワーク上のUPF、ICN (Information-centric networking) の匿名化ミドルボックス、あるいはファイアウォールなどのテーブル検索が主となるセキュリティミドルボックスへの適用可能性を検討する。特に、多次元のキーを必要とするテーブルへの適用、および、キーの空間が広大であるテーブルへの適用を検討する。
プログラマブルデータプレーン上のセキュリティミドルボックスへの実装については、IPルーターとの共存を検討し、より汎用的に利用可能なシナリオを検討する。IPと共存するときに、IP FIBの搭載によるメモリ利用とセキュリティミドルボックスによる計算資源利用を検討し、同一のプログラマブルデータプレーン上にレイアウトすることが課題となる。
|
| Causes of Carryover |
コロナと半導体不足の影響で、購入手続きをしていたプログラマブルスイッチの納品が年度内に完遂しなかったため、残額が生じている。研究については既存のスイッチで代替と、最先端スイッチを用いた場合の理論的考察が完了しているため、進捗に大きな影響はない。残額は、次年度に改めて最先端のプログラマブルスイッチの購入に充当する予定である。
|
