研究トピック

Programmable Network技術を活用したネットワークの持続的な発展を支える技術

コンピュータネットワークは複雑になる一方です。 これは、ネットワークのパケット転送やその制御の部分に利用される仕組みが複雑になっているだけでなく、他のシステム(代表的なものとしてはネットワークセキュリティ関連のシステム)と連携した通信の制御が求められ、ネットワークの大規模化と相まって、管理・運用面でも複雑になっています。 一方で、ネットワーク技術は多様なニーズに応えられるように可能な限り汎用的なものとして設計されており、必要以上に複雑であったり、組み合わせにおいて高度なノウハウが必要とされていることも要因であろうと考えています。

OpenFlowやP4に代表されるプログラマブルなパケット処理を高速に実現する技術やXDPやDPDK等のソフトウェアのパケット処理の高速化技術により、パケットの転送制御を、ネットワーク機器ベンダーではなく、ネットワークの運用者に近いところで柔軟にカスタマイズすることができるようになってきました。 この技術により、ユースケース毎に必要十分な機能を持つパケットの転送制御やその管理・運用が実現でき、結果としてネットワークの制御・管理・運用をシンプルにできる可能性があると考え、それを実現する技術を研究しています。

研究例

  • Acila
    • ホストのアイデンティティ (属性の組) をパケットに付与しアクセス制御に用いることにより、アクセス制御に係る処理をシンプルにする手法の提案
  • NI-SPA
    • ネットワーク中で観測できるホストの挙動情報をパケットに付与し、リスクベースの通信制御に活用する手法の提案

Zero TrustとID連携・認可技術

Zero Trustは暗黙な信頼をできるだけ排除し、すべてのアクセスが適切であるかを検証し、検証結果に基づき必要最小限のアクセスの認めるセキュリティの考え方です。 リスクベースの認証認可の一種であり、アクセスが適切であるかを検証するために必要十分な情報を収集することが重要です。 特に、重要な情報を扱う場面におけるセキュリティの強化は重要であり、リスクベースの考え方を取り入れることが求められています。 企業のようにアクセス環境やデータが中央集権的に管理されている環境ではある程度情報を収集することが可能であろうと考えられます。 そうではない状況(個人向けのサービスや大学がその代表例である)においては、プライバシーの兼ね合いもあり情報を収集することが困難ですが、 そのような状況でもZero Trustに基づくアクセス制御を実現することを目指し、そのアーキテクチャや、鍵となるID連携・認可連携技術の研究を進めています。

研究例

クラウド・コンテナ基盤

クラウドやコンテナ基盤のような、オンデマンドに計算資源を利用できる超大規模な計算機環境は社会を支える上で重要な役割を果たしていますが、その規模を捌ける計算機システムを構築し管理・運用・制御する技術は大きな課題であり続けています。 クラウドやコンテナ基盤の制御 (Control Plane) と実行環境 (Data Plane) の両方の観点から研究を進めています。

研究例

  • Distributed Tracing for Cascading Changes of Objects in the Kubernetes Control Plane
    • KubernetesのControl Planeにおいて、Objectの変更が他のどのObjectに影響を及ぼしたのかを追跡する手法の提案
  • Tiaccoon
    • コンテナプラットフォームのネットワークにおいて、様々なトランスポート (RDMA, TCP/IP, UNIX Domain Socket) を、状況に応じて適切なものに切り替える枠組みをアクセス制御と両立させて実現する手法の提案
  • PiCoP
    • マイクロサービスで構成される同一の複数のシステムを効率的にdeployするために共用可能なマイクロサービスを共用するための通信制御手法の提案

研究設備

以下の設備を利用しながら研究を進めています。

  • 400GbE NIC搭載サーバ x 2台
  • 100GbE NIC搭載サーバ x 4台
    • うち1台はBlueField-2 DPU搭載
  • SONiC搭載ネットワークスイッチ
  • 学内ネットワークへの10Gbps接続
  • 学内ネットワークから独立したインターネット接続環境 (AS番号、IPアドレス等)