2009 Fiscal Year Annual Research Report
認証およびアクセス制御機能と連携したソフトウェア資産管理システム
| Project/Area Number |
21500075
|
|---|
| Research Institution | Okayama University |
|---|
Principal Investigator |
岡山 聖彦 Okayama University, 総合情報基盤センター, 助教 (20252588)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
山井 成良 岡山大学, 総合情報基盤センター, 教授 (90210319)
|
|---|
| Keywords | ソフトウェア資産管理 / アクセス制御 / ユーザ認証 |
|---|
| Research Abstract |
平成21年度の研究計画では、(1) インストール情報集計・分析機能の設計・実装、(2) スケーラビリティ改善手法の検討、(3) NATルータ既て試作シス対策手法の検討を実施する予定であった。これらのうち、(3)の対策手法を実現する見込みが早期に得られたため、計画を前倒しして試作システムの実装と評価まで行うことができた。これに伴い、(1)および(2)については計画を変更し、次年度以降に実施するものとする。
以下、平成21年度に開発したNATルータ対策手法の詳細と成果について述べる。
本研究では、資産管理サーバとアクセス制御サーバを組み合わせ、アクセス制御サーバでユーザ認証およびPCの識別を行った後、資産管理サーバがPCにインストールされているソフトウェア情報の提出を促すという仕組みを提案している。PCはソフトウェア情報を提出するまでアクセス制御サーバよりも上位のネットワーク(インターネットを含む)にはアクセスできないため、組織外部からの持込PCなどについても、強制的にソフトウェア情報を収集できるという特長がある。
しかし、アクセス制御サーバの配下にNATルータがある場合、NATルータ配下のPCのIPアドレスやMACアドレスはNATルータのものに書き換えられるため、アクセス制御サーバでこれらのPCを識別できないという問題が生じる。この対策として、本研究では、レイヤ2(データリンク層)における機器の識別子であるMACアドレスに注目し、配下にあるPCのMACアドレスを上位ネットワークに伝播させるNATルータ(以下、MACアドレス中継型NATルータという)を考案した。MACアドレス中継型NATルータは、配下のPCから送出されたパケットのMACアドレスをEthernetヘッダに埋め込んだまま、上位ネットワークに中継する。これにより、上位ネットワークにあるアクセス制御サーバはパケットに埋め込まれたIPアドレスではなくMACアドレスを利用することにより、MACアドレス中継型NATルータ配下のPCを識別することが可能となる。
MACアドレス中継型NATルータの実現にあたっては、上位ネットワークのL3スイッチやルータのARPキャッシュに不整合が生じる可能性があるという懸念があった。MACアドレス中継型NATルータが上位に向けて中継するパケットのIPアドレスはMACアドレス中継型NATルータのものであるのに対し、MACアドレスは配下のさまざまなPCのものがそのまま埋め込まれることになる。このため、上位機器のARPキャッシュにMACアドレス中継型NATルータ配下のPCのMACアドレスが誤って登録されてしまうと、上位からの応答パケットがMACアドレス中継型NATルータに届かず正常な通信が行えなくなる。このことについては、RFC等の文献を調査したところ、ARPキャッシュはARP要求パケットによってのみ更新され、通常のIPパケットはARPキャッシュに影響しないことが判明し、MACアドレス中継型NATルータの実現にあたり支障にはならないという見込みを得た。
MACアドレス中継型NATルータを試作するため、UNIX系のOSであるFreeBSDのNATルータ機能を拡張した。FreeBSDでは、natdというプログラムがNATの機能を果たすが、FreeBSDカーネルがnatdに受信パケットを渡す際にはEthernetヘッダが取り除かれるので、natdがパケットのEthernetヘッダを読み書きできる機能を追加するとともに、IPアドレスの変換テーブルにPCのMACアドレスを保持するように拡張した。このとき、MACアドレス中継型NATルータが受信するすべてのパケットのEthernetヘッダをnatdが読み込むとスループットの低下が大きくなるため、対象をTCPのコネクション確立パケットに限定するといった工夫を施している。
試作したMACアドレス中継型NATルータを用いて動作確認実験を行い、配下のPCを上位のアクセス制御サーバが正しく識別できることと、上位ののL3スイッチにおいてARPキャッシュの不整合は発生しないことを確認した。さらに、100MbpsのEthernet環境にて性能評価実験を行った結果、既存NATルータのスループットが93.92Mbpsであるのに対し、MACアドレス中継型NATルータは93.89Mbpsと、スループットへの影響はほとんどないことが判明した。本年度に考案したMACアドレス中継型NATルータについては、平成21年11月に特許を出願するとともに、平成21年12月には国内のシンポジウムにおいて成果発表を行った。
|
