著者
古村 隆明 岡部 寿男 中村 素典
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. SITE, 技術と社会・倫理 (ISSN:09135685)
巻号頁・発行日
vol.109, no.437, pp.153-158, 2010-02-22

eduroamは,802.11b/g等の無線LANで,802.1x認証を利用した国際無線LANローミング基盤で,国内外の数多くの教育研究機関で導入が進んでいる.ローミング時に訪問先機関や国や地域に設置されている複数のradiusサーバにアカウント名を含む認証情報が記録されることで,ロケーションプライバシが侵害される危険性がある.そこで我々は,SAML連携を用いて発行した仮名アカウントでeduroamを利用する手法を提案する.この手法では,平常時は,個人の特定だけでなく利用者の所属組織の特定もできなくなる.また,インシデント発生時などには,radiusサーバとSAML連携組織の情報を合わせることで個人を特定することが可能である.
著者
松本 亮介 岡部 寿男
出版者
一般社団法人情報処理学会
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.55, no.11, pp.2451-2460, 2014-11-15

Webサービスの大規模・複雑化にともない,Webアプリケーションの開発だけでなく,Webサーバソフトウェアの機能拡張も必要になる場合が多い.Webサーバの機能拡張において,高速かつ軽量に動作することを重視した場合,C言語による実装が主流であったが,生産性や保守性を考慮した場合はスクリプト言語で機能拡張を行う手法も提供されている.しかし,従来手法は,Webアプリケーションの実装だけでなく,Webサーバの内部処理を拡張することを主目的とした場合,高速性・省メモリ・安全性の面で課題が残る.そこで,スクリプト言語で安全に機能拡張でき,かつ,高速・省メモリに動作するWebサーバの機能拡張支援機構を提案する.Webサーバプロセスから内部処理としてスクリプトが呼び出された際,高速に処理するために,インタプリタの状態を保存する状態遷移保存領域の生成を,サーバプロセス起動時に生成しておいて,それを複数のスクリプトで共有して実行するアーキテクチャをとった.また,メモリ増加量を低減し,かつ,状態遷移保存領域を共有することにより生じるスクリプト間の干渉を防止して安全に機能拡張するために,スクリプト実行後に状態遷移保存領域からメモリ増加の原因となるバイトコード,および,任意のグローバル変数・例外フラグを解放するようにした.このアーキテクチャの実装には,組み込みスクリプト言語mrubyとApacheを利用し,Rubyスクリプトによって容易にApache内部の機能拡張を行えるようにした.このApacheの機能拡張支援機構をmod_mrubyと呼ぶことにする.As the increase of large-scale and complex Web services, not only a development of Web applications but also an implementation of Web server extensions is required in many cases. The Web server extensions were mainly implemented in C language because of fast and memory-efficient behavior, and extension methods using scripting language also are provided with consideration of maintainability and productivity. However, if the existing methods primarily intended to enhance not the implementation of Web applications but the implementation of internal processing of the Web server, the problem remains in terms of fast, memory-efficiency and safety. Therefore, we propose a fast and memory-efficient Web server extension mechanism using scripting language. We design the architecture that a server process create the region to save the state of the interpreter at the server process startup, and multiple scripts share the region in order to process fast when the script is called as internal processing from a Web server process. The server process free any global variables, the exception flag and the byte-code which cause the increase of memory usage mainly, in order to reduce the memory usage and extend safely by preventing interference between each scripts because of sharing the region. We implement the mechanism that can extend the internal processing of Apache easily by Ruby scripts using Apache and embeddable scripting language mruby. It's called "mod_mruby".
著者
丸山 伸 小塚 真啓 中村 素典 岡部 寿男
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. IA, インターネットアーキテクチャ (ISSN:09135685)
巻号頁・発行日
vol.106, no.173, pp.31-36, 2006-07-13
被引用文献数
1

複数のアドレスを同時に利用して通信を行うSCTPによる接続に対して、動的にIPアドレスの増減を行うための拡張であるmSCTPは、トランスポート層におけるモビリティ実現技術として知られている。しかしmSCTPは仕様上の制約によりアドレス増減の通知を連続して行うことが出来ないため、ハンドオーバにおいて本来は不必要なはずの長い時間が必要となったり、相互に通信可能なアドレスを取得したにもかかわらず接続を維持できない場合が発生したりする。本研究においては、アドレス増減の通知の再送を複数個まとめて送信できるようにmSCTPを拡張する手法を示し、この変更により複数のアドレスが連続して増減した際においても、通信できるアドレス対が存在する限り実用的な時間内で確実にハンドオーバできるようになることを示す。
著者
石橋 勇人 岡部 寿男 櫻井 恒正 金澤 正憲
雑誌
分散システム運用技術シンポジウム'97論文集
巻号頁・発行日
vol.1997, pp.87-92, 1997-02-06

京都大学では、全学をカバーするATMネットワークであるKUINS-II/ATMを1996年3月に導入した。このATMネットワークは、総計260台のATM交換機からなる大規模なものであり、交換機間を接続する回線容量は1.8Gbpsから311Mbpsとなっている。京都大学には、すでに全学をカバーするキャンパスネットワークであるKUINSが敷設されているが、 KUINS-II/ATMの基本的な考え方は、従来からあるキャンパスネットワークを置き換えてしまうのではなく、従来のネットワークを活かしつつ、これまでにはで
著者
古村 隆明 藤川 賢治 岡部 寿男
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. IA, インターネットアーキテクチャ (ISSN:09135685)
巻号頁・発行日
vol.106, no.309, pp.49-53, 2006-10-16
参考文献数
11
被引用文献数
2

みあこネットは,無線基地局の設置者が費用を負担し,そこを訪れる利用者に無料の無線インターネットを利用してもらうという,「おもてなし」の心をもとにした独特のモデルで成り立っている公衆無線インターネットプロジェクトである.我々は2002年5月からみあこネットの設計・開発・実験運用を行ない,安全に無線インターネットを利用するためにVPN接続を必須とするネットワーク環境を構築した.本稿では,従来の集中型VPNサーバを利用する「みあこネット2」方式の問題点を明らかにし,VPNサーバの分散について検討を行なった.そして,基地局にVPNサーバ機能を内蔵するという,「おもてなし」の心でみあこネットを支えている基地局設置者にとっても有益な「みあこネット3」のモデルを提案し,設計を行った.
著者
上田 浩 中村 素典 西村 健 古村 隆明 岡部 寿男 曽根 秀昭 ベアリー キース 牧原 功 久米原 栄
雑誌
大学ICT推進協議会2012年度年次大会論文集 (ISSN:21867127)
巻号頁・発行日
2012-12-18

大学ICT推進協議会 2012年度 年次大会 : 2012年12月17日(月)-12月19日(水) : 神戸国際会議場
著者
松本 亮介 岡部 寿男
雑誌
研究報告インターネットと運用技術(IOT)
巻号頁・発行日
vol.2012-IOT-16, no.13, pp.1-6, 2012-03-08

ホスティングサービスにおいて,仮想ホスト単位で権限を分離するためには,Web サーバ上のアクセス制御である suEXEC 等を利用する.しかし,既存の Web サーバにおけるアクセス制御方式は,プロセスの生成,破棄が必要となり,パフォーマンスが低く,Web API のような動的コンテンツに適していない.また,インタプリタやプログラム実行方式別に複数用意されており,システム開発者が扱いにくい.そこで,本稿では,コンテンツ処理時にサーバプロセス上で新規スレッドを生成し,スレッドで権限分離を行った上で,スレッド経由でコンテンツの処理を行うアクセス制御手法 “mod_process_security” を提案する.この手法は,高速に動作し,かつ,煩雑になっている Web サーバ上のアクセス制御手法を統一することで,システム開発者が扱いやすくなる.実装は,広く使われている Linux と Apache HTTP Server に対して Apache モジュールとして組み込む形式をとった.
著者
大平 健司 宋 中錫 高倉 弘喜 岡部 寿男
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会論文誌. D, 情報・システム = The IEICE transactions on information and systems (Japanese edition) (ISSN:18804535)
巻号頁・発行日
vol.93, no.7, pp.1125-1134, 2010-07-01

近年,インターネット上の攻撃活動の対象はマイナーなアプリケーション等に移行しつつあり,ワームやウイルス等によって講じられたバックドアまでもがねらわれる状況となった.それらに関する詳細情報を入手することは非常に困難であり,ゼロデイ攻撃に備えた新たな手法の開発が強く求められている.情報不足は攻撃者側も同様であり,開発初期の攻撃コードによる管理者権限奪取は極めて難しく,攻撃の成否は攻撃対象のシステム設定や状態に依存する.このためインターネット上のランダムに選んだノードによって攻撃コードを試験する事象が多数観測されている.試験段階の攻撃コードを追跡・解析することにより,その完成前に攻撃者の意図(攻撃対象など)を特定できる可能性があり,実現手法の一つとして,ハニーポットと呼ばれる観測装置が注目を集めている.本論文では攻撃状況に応じて待ち受け設定を自動的に変更する観測装置の設計方法を提案する.本装置により従来のセキュリティ機器では十分に解明できなかった攻撃についても解析が可能になる.インターネット上に展開した実験結果から,本装置の長所及び短所,また従来の観測機器と連携する広範囲な攻撃予知システムの構築の可能性について述べる.
著者
丸山 伸 小塚真啓 中村 素典 岡部 寿男
出版者
一般社団法人情報処理学会
雑誌
情報処理学会研究報告インターネットと運用技術(IOT) (ISSN:09196072)
巻号頁・発行日
vol.2006, no.80, pp.31-36, 2006-07-20

複数のアドレスを同時に利用して通信を行うSCTPによる接続に対して、動的にIPアドレスの増減を行うための拡張であるmSCTPは、トランスポート層におけるモビリティ実現技術として知られている。しかしmSCTPは仕様上の制約によりアドレス増減の通知を連続して行うことが出来ないため、ハンドオーバにおいて本来は不必要なはずの長い時間が必要となったり、相互に通信可能なアドレスを取得したにもかかわらず接続を維持できない場合が発生したりする。本研究においては、アドレス増減の通知の再送を複数個まとめて送信できるようにmSCTPを拡張する手法を示し、この変更により複数のアドレスが連続して増減した際においても、通信できるアドレス対が存在する限り実用的な時間内で確実にハンドオーバできるようになることを示す。SCTP is a transport protocol which handles multiple IP addresses for each end, and mSCTP ,which is an extention of SCTP, supports the dynamic modification of IP addresses of SCTP association after it is established. mSCTP is an realization technology of transport layer IP mobility. When the IP addresses changes one by one with a certain interval, the handover of mSCTP is carried out within a practical time. When multiple addresses are deleted and added continuously, there is a case that an unnecessary delay is caused becaused of the feature of mSCTP definition. We show in this research that when the IP addresses are modified continuously, as long as there is an address pair which can communicate exists, an extention of mSCTP to bundle multiple retransmission of packets which carry the information of IP addresses change together enables to handover within a practical time.
著者
岡部 寿男 宮崎 修一 廣瀬 勝一
出版者
京都大学
雑誌
萌芽研究
巻号頁・発行日
2005

物理的に離れた場所にいるプレイヤがネットワーク上で対戦ゲームを行う環境構築の基盤を作ることが本研究の目標である。信頼できるサーバを用意することにより容易に実現できるが、サーバ自身の不正やサーバの負荷を考え、サーバなしのいわゆるpeer-to-peer型の環境を対象とする。そのような条件下で、対戦相手の不正を如何に防御するかを考察するのが、本研究の目的である。これまでの研究において、順序機械を用いてゲームを形式的に定義し、その定式化の汎用性を示すとともに、具体的ゲーム(軍人将棋)に対して計算量の削減を行いJaval.4を使って実装した。本年度は、その関連研究として、プライバシーを確保したまま二者間で情報をやりとりし、所望の計算結果(主に認証、認可)を得るためのプロトコルの研究を行った。本研究では、基盤となる認証体系としてShibbolethを仮定し、その上で「マジックプロトコル」と呼ばれる暗号技術を利用して所望のプロトコルを実現する方法を提案した。以下に例を2つ挙げる。例えば、年齢制限のあるWebコンテンツの閲覧の為には、利用者は制限年齢より上であることを証明すれば良く、自分の年齢そのものはできるだけ公開したくない。また、サービス提供側も、年齢制限がどこにあるのかを公開したくない場合がある。このような状況で、お互いに自分の秘密情報を公開しないまま、結果となる判定だけは正しく行いたいという要求が生じるが、これを、Yaoの金持ち比べプロトコル(2人の参加者が、自分の所持金を相手に知らせずに、どちらが金持ちかを正しく判定するプロトコル)を用いて解決した。また、例えば、会社の採用の条件として、大学時代に科目Aの単位を取得しているという条件を課している場合、会社はそれがどの科目であるかを明かさずに、また、大学側は、その科目A以外の単位取得状況は知らせずに、学生が科目Aの単位を取得しているか否かのみを、会社が知るという要求が考えられる。この問題は、紛失通信というプロトコルを応用することにより解決した。
著者
津田 孝夫 中谷 いつ子 岡部 寿男 國枝 義敏 大久保 英嗣
出版者
京都大学
雑誌
試験研究(B)
巻号頁・発行日
1990

本研究は平成2年度から4年度まで実施された。作業としては、交付申請書の研究実施計画に沿って、自動ベクトル化/自動並列化コンパイラならびに仮想並列ベクトル計算機シミュレータを開発することとした。ただし、短期間で開発を進めるため、研究組織において既に開発した自動ベクトル化コンパイラV-Pascalを基にする。具体的な作業は、1.コンパイラの自動ベクトル化/自動並列化処理部の新規設計と作成、2.仮想並列ベクトル計算機シミュレータのための効率的なスタック機構/同期機構の設計と作成、3.コンパイラの目的コード生成部の新規作成、4.仮想並列ベクトル計算機シミュレータの作成、5.コンパイラのその他の各部の修正、6.システム全体の性能評価である。1.に際しては、他に類を見ない厳密な依存関係解析技術を新たに開発実装するとともに、粒度の大きな並列化を可能とするために、依存グラフをプログラム全体にわたって作成する手法を考案ならびに実現した。この依存グラフは、様々な並列実行の単位を想定して設計されている特徴を持つ。また、種々の粒度の並列タスクの候補を階層的に表現でき、かつ、タスク候補の分割・融合も容易なように設計されている。この新たに提案している階層的依存グラフを用い、各タスク候補の実行時間予測を行った上で、最適と思われる並列タスクを自動生成する技術を確立した。この時間予測では、本研究の設備備品費で購入した実験用計算機TITAN上で、各種実行時ライブラリの実行時間を計測したデータ等を基に、有効性を実際に検証した。2.のシミュレータとしては、日立のスーパーコンピュータS-820用のバージョンがベクトル命令のシミュレーションを含めて稼働している。並列同期/スケジューリング/スタック管理等の機構は、実行時ライブラリとして実現され、コンパイラが生成する目的コードと連携して、効率よく並列実行を進めるものである。
著者
丸山 伸 中村 素典 岡部 寿男 山井 成良 岡山 聖彦 宮下 卓也
出版者
一般社団法人情報処理学会
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.47, no.4, pp.1021-1030, 2006-04-15
被引用文献数
5

電子メールが広く利用されるようになるにつれて,メールを遅延なく即時に配送することが求められている.しかし,メール配送エージェント(MTA)に大量のメールが送りつけられて負荷がかかったときには,メールの配送に遅延が生じるだけでなく,MTA の運用の継続すら困難な事態となってしまう.このような高負荷時においても特定のメールを優先的に配送する技術が求められている.本論文では,メールが配送される直前に行われるネームサーバ(DNS)に対する問合せに着目し,DNS問合せのソースアドレスに基づいて信頼できる発信者からのメールを他のメールから分離し,遅延なく優先して配送する手法を提案する.まずDNS の問合せに対してその応答として毎回異なる回答を送り,回答したサーバにメールが送られてくるのを待つ手順を繰り返すことで,DNS 問合せ元のIPアドレスとメールの発信者との対応表を作成する.次に優先して配送するべきメールの基準に基づき,優先して配送するべきDNS 問合せ元の一覧「White DNS Server List」を抽出する.この表に基づいてメールの配送先を振り分けることで,大量のメールが配送されてくる際にも信頼できる発信者からのメールを他のメールとは独立したサーバで取り扱うことができ,遅延を引き起こすことなく配送できる.そのためのシステム構築方法を示すとともに,実験により有効性を確認した.Delivering e-mails without unnecessary delay is one of the very important issues as the spread of e-mail service and its use become very common. But in case that a "Mail Transfer Agent (MTA)" is heavily loaded by huge amount of mails sent to the MTA, not only the delay on mail delivery is inevitable but also managing the MTA service becomes difficult. Thus, a delivery method that treats legitimate mails with priority is requested. In this paper, we focus on the query to the "Domain Name Service (DNS)" which is usually processed just before the mail transfer, and propose a new delivery method which separates legitimate mails from others according to the source IP address of the DNS query. That is, employing a crafted DNS server which responds to each DNS query with separate IP address, and wait for incoming mails at each address, we get a correspondence table between a DNS query and the incoming mail. And we also show that we can lead legitimate mails to the separated mail servers by dynamically changing the DNS response based on this table, and deliver them with short delay even in the case that others servers are loaded by many other mails.
著者
渡部 郁恵 岡部 寿男 中村 素典
出版者
一般社団法人情報処理学会
雑誌
情報処理学会研究報告インターネットと運用技術(IOT) (ISSN:09196072)
巻号頁・発行日
vol.2007, no.3, pp.37-42, 2007-01-19

近年、双方向に映像・音声の伝送を行うTV会議システムのようなリアルタイム型アプリケーションが普及してきている。このようなシステムにおいて高品位映像を低遅延で伝送するには、広帯域な経路と、遅延やパケットロスの影響を抑える手法が必要になる。従来はパケットロスヘの低遅延の対策としてFECが使われているが、バースト的なパケットロスに対する耐性や狭帯域経路の利用に限界があった。そこで我々はこれまでFECとPacketPathDiversityによる冗長配送を組み合わせた方式を提案・実装してきた。さらに今回はTFRCのレート制御アルゴリズムを利用することにより、自動的に利用可能な帯域にあわせた冗長度で冗長配送を行うことで、ユーザの負担を軽減するとともに、不適切なレート設定によりネットワーク状況が不安定になるという問題を解決した。Recently, real-time applications like TV conferencing systems that interactively transmit image and voice are becoming widly used. These systems need broadband route and technique for curbing the influence of packet losses without unnecessary delay to transmit the high-definition video with low latency. Existing systems which use FEC as a measure against packet losses have limits in the tolerance to burst packet losses and the use of the narrowband route. Then, we have proposed and implemented a system which combined FEC with redundant transmission by Packet Path Diversity. In this paper, we have adopted the rate control algorithm of TFRC to set the sending rate automatically to the available bandwidth and have enabled to reduce the user's load and solve the problem that the network situation becomes unstable by the improper rate setting.