JPWO2016136223A1 - インターコネクション装置、管理装置、リソース分離型コンピュータシステム、方法、及び、プログラム - Google Patents

インターコネクション装置、管理装置、リソース分離型コンピュータシステム、方法、及び、プログラム Download PDF

Info

Publication number
JPWO2016136223A1
JPWO2016136223A1 JP2017501928A JP2017501928A JPWO2016136223A1 JP WO2016136223 A1 JPWO2016136223 A1 JP WO2016136223A1 JP 2017501928 A JP2017501928 A JP 2017501928A JP 2017501928 A JP2017501928 A JP 2017501928A JP WO2016136223 A1 JPWO2016136223 A1 JP WO2016136223A1
Authority
JP
Japan
Prior art keywords
resource
management
fabric switch
data
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017501928A
Other languages
English (en)
Inventor
隆士 吉川
隆士 吉川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2016136223A1 publication Critical patent/JPWO2016136223A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/10Program control for peripheral devices
    • G06F13/12Program control for peripheral devices using hardware independent of the central processor, e.g. channel or peripheral processor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/36Handling requests for interconnection or transfer for access to common bus or bus system
    • G06F13/362Handling requests for interconnection or transfer for access to common bus or bus system with centralised access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/20Design optimisation, verification or simulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Evolutionary Computation (AREA)
  • Geometry (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Bus Control (AREA)
  • Small-Scale Networks (AREA)

Abstract

リソース分離型コンピュータシステムにおける、リソース毎の、あるいは、システム全体の安全性を確保するための、インターコネクション装置は、ファブリックスイッチ、及び、それに接続された複数のモジュールを包含し、モジュールの組み合わせでコンピュータを構成するリソース分離型コンピュータシステムにおけるコンピュータの構成情報を記憶して、入力された管理データに基づいて当該構成情報の読み書きを行う管理手段と、管理手段に接続され、管理データの認証、または、暗号化/復号を行う保護手段と、ファブリックスイッチ、保護手段、及び、リソースに接続され、管理データをファブリックスイッチと保護手段間で、管理データ以外のデータをファブリックスイッチとリソース間で転送する伝達手段と、を備え、前記リソースと共に前記モジュールに包含される。

Description

本発明は、スイッチなどを介して接続された複数の資源を組み合わせてコンピュータを構成する、インターコネクション装置、管理装置、リソース分離型コンピュータシステム、方法、及び、プログラムに関する。
コンピュータは、システムバス(以下、バスともいう)を介して接続されたCPU(Central Processing Unit)とデバイスを備えている。デバイスへのアクセスは、CPU上で実行されるプログラムの指示によって行われる。デバイスへのアクセスは、入出力処理またはI/O(Input / Output)処理と呼ばれる。
デバイスを制御するソフトウェアは、OS(Operating System)と呼ばれる。OSのうちの特にデバイスを制御するためのソフトウェアは、デバイスドライバと呼ばれる。多くの場合、デバイスにはバスを通してのデータや制御信号をやりとりするコントローラが搭載されている。コントローラを制御するプログラムは、ファームウェアと呼ばれる。
CPUは、例えば、Intel(登録商標)社のXeon(登録商標)やAtom(登録商標)である。OSは、例えば、Linux(登録商標)やMicrosoft(登録商標)社のWindows(登録商標)である。また、システムバスは、例えば、PCI(Peripheral Component Interconnect)バスやPCI Express(登録商標)バスである。デバイスは、例えば、ハードディスクドライブ(HDD:Hard Disk Drive)、ネットワークインターフェースカード(NIC:Network Interface Card)、GPU(Graphic Processor Unit)アクセラレータである。
デバイスは、コンピュータの起動時にBIOS(Basic Input / Output System)によってスキャンされ、ID(識別子、IDentifier)やメモリ領域などが割り当てられる。この時点で、デバイスは未だ利用可能な状態ではない。OSの起動後、OSが、デバイスドライバを用いてデバイスの初期化を行う。これにより、デバイスは利用可能な状態となる。
一般的にコンピュータは、ひとつの筐体の中にCPU/メモリ、各種デバイス(以降まとめて、リソースと称する)を備え、それらはメモリバスやPCI Expressバスで接続されている。
これに対して、リソース分離型コンピュータにおいては、コンピュータがリソース毎の複数のハードウェアモジュールに分割され、各モジュールが別々の筐体に配置されている。リソース分離型コンピュータは、I/O分離型コンピュータ、モジュール型コンピュータ、モジュラーコンピュータ、あるいは、ディスアグリゲート(Disaggregated)コンピュータ、リソース分離型コンピュータシステムなどとも呼ばれる。
リソース分離型コンピュータにおいて、複数のモジュール間を接続するインタフェースはインターコネクションと呼ばれ、特にスイッチを用いたインターコネクションは、ファブリックスイッチ、または、ファブリックと呼ばれる場合が多い。また、ラックに搭載されるサーバコンピュータなどの機器では、インターコネクションは、バックプレーン接続とも呼ばれる。
リソース分離型コンピュータは、複数のリソースをプールしている場合が有る。リソースのプールは、例えば、複数のGPUアクセラレータからなるグラフィックアクセラレータプールである。このように複数のリソースをプールしているリソース分離型コンピュータは、特に、リソースプール型コンピュータ、あるいは、ラックスケールアーキテクチャなどと呼ばれることがある。
リソースプールを備えるリソース分離型コンピュータは、プールにある複数のリソース、すなわち、CPU/メモリ、および、デバイスの中から適当なものを選び、それらの間に物理的な接続と論理的な接続を行う事で、ひとつのコンピュータを形成できる。ここで、物理的な接続は、例えばデータや制御信号のパスの確立を意味し、論理的な接続は、例えばBIOSやOSレベルでのデバイスツリー構造の認識を意味する。
すなわち、デバイスプールを備えるリソース分離型コンピュータは、多数のハードウェアリソースの集合体の上に、いくつかの区切り(パーティション、グループ)を作り、それぞれに個別のコンピュータを形成することができる。
このようなリソース分離型コンピュータ上に複数のコンピュータ(テナントとも呼ぶ)を有するシステムは、マルチテナントシステムと呼ばれる。マルチテナントシステムでは、個々のテナント間でのリソース利用の干渉を防ぐ事が重要である。
リソース分離型コンピュータは、リソースの設定や状態モニタ、並びにリソース間の接続、すなわち、どのデバイスをどのテナントで利用可能にするかを管理、制御するリソースマネージメント機構、例えば、リソースマネージメントソフトウェアが必要である。このマネージメント機構は、全リソースの情報、並びに、それらの接続情報を有し、かつ、その接続を変更する機能を有する。従って、このマネージメント機構がテナントや、テナントを跨ったリソース管理を行う。
特許文献1は、リソース分離型コンピュータシステムの例を開示する。このリソース分離型コンピュータシステムは、イーサネット(登録商標)を介したPCI Expressスイッチと、当該スイッチに接続されたCPU/メモリとデバイスを包含する。このシステムにおいて、スイッチを介して接続されたCPU/メモリとデバイスが、組み合わされてコンピュータを構成する。
特許第4670676号公報
特許文献1に開示されたシステムにおいて、CPU/メモリとデバイスを組み合わせて、複数のユーザのコンピュータを構成した場合、以下の課題がある。
先ず、あるユーザのコンピュータで利用されているデバイスが、他の悪意のあるユーザのコンピュータに乗っ取られる可能性がある。乗っ取られたデバイスがストレージ装置の場合には、当該装置に格納されているデータごと盗まれてしまう。そのため、損害が大規模となる可能性が高い。
また、あるユーザのコンピュータに、有害なデバイスを組み込まれてしまう可能性がある。例えば、大量のデータ受信割り込みを報告するネットワークインターフェースカードがコンピュータに接続されてしまう可能性がある。この場合、CPUに大量の割り込みが報告され、CPUが割り込み処理に忙殺されてしまう。割り込み処理は、処理の優先順位が高い。その結果、CPUは、本来行うべき処理を実行できなくなる可能性がある。
一方、上述のシステムは、リソース管理を行う制御装置が必要である。この制御装置は複数のユーザのコンピュータに跨ってCPU/メモリやデバイスの付けはずしを実行できる。従って、制御装置からの信号が、悪意を持ってスイッチに接続された装置に、盗み見されたり、改ざんされたりする事は、システム全体にとって致命傷となる可能性がある。
本発明の目的は、スイッチなどを介して接続されたCPUとデバイス等のリソースを組み合わせて1以上のコンピュータを構成するリソース分離型コンピュータシステムにおける、リソース毎の、あるいは、システム全体の安全性を確保することである。
本発明の実施の形態のインターコネクション装置は、ファブリックスイッチ、及び、前記ファブリックスイッチに接続された複数のモジュールを包含し、前記モジュールの組み合わせでコンピュータを構成するリソース分離型コンピュータシステムにおける前記コンピュータの構成情報を記憶して、入力された管理データに基づいて当該構成情報の読み書きを行う管理手段と、前記管理手段に接続され、管理データの認証、または、暗号化/復号を行う保護手段と、前記ファブリックスイッチ、前記保護手段、及び、前記リソースに接続され、管理データを前記ファブリックスイッチと前記保護手段間で、管理データ以外のデータを前記ファブリックスイッチと前記リソース間で転送する伝達手段と、を備え、前記リソースと共に前記モジュールに包含される。
本発明の実施の形態の方法は、ファブリックスイッチ、及び、前記ファブリックスイッチに接続された複数のモジュールを包含し、前記モジュールの組み合わせでコンピュータを構成するリソース分離型コンピュータシステムの各モジュールにリソースと共に包含されるインターコネクション装置が、前記ファブリックスイッチから暗号化された管理データを入力して、送信元の認証及び復号を行い、前記コンピュータの構成情報を記憶して、入力された管理データに基づいて当該構成情報の読み書きを行い、管理データ以外のデータを前記ファブリックスイッチと前記リソース間で転送する。
本発明の実施の形態の機械読み取り可能な記録媒体は、ファブリックスイッチ、及び、前記ファブリックスイッチに接続された複数のモジュールを包含し、前記モジュールの組み合わせでコンピュータを構成するリソース分離型コンピュータシステムの各モジュールにリソースと共に包含される情報処理装置に、前記ファブリックスイッチから暗号化された管理データを入力して、送信元の認証及び復号を行い、復号された管理データに基づいて、記憶している前記コンピュータの構成情報の読み書きを行う処理と、管理データ以外のデータを前記ファブリックスイッチと前記リソース間で転送する処理と、を実行させるプログラムを格納する。
本発明にかかるインターコネクション装置は、リソース分離型コンピュータシステムにおける、リソース毎の、あるいは、システム全体の安全性を確保することができる。
図1は、第1の実施の形態のリソース分離型コンピュータシステムの全体構成図である。 図2は、第1の実施の形態のインターコネクション装置の構成を示す図である。 図3は、第2の実施の形態のインターコネクション装置の構成を示す図である。
本発明の実施の形態について図面を参照して説明する。なお、図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものである。図面及び図面参照符号は、本発明を図示の態様に限定することを意図するものではない。
<第1の実施の形態>
<全体構成>
図1は、本実施の形態にかかるリソース分離型コンピュータシステム50の全体構成図である。リソース分離型コンピュータシステム50は、ファブリックスイッチ10、1以上のデバイスモジュール20、1以上のコンピュートモジュール30、及び、管理装置40を包含する。
デバイスモジュール20、コンピュートモジュール30、及び、管理装置40は、ファブリックスイッチ10に接続されている。ファブリックスイッチ10は、インターコネクションとも呼ばれ、例えば、産業用途に広く使われているEthernet(登録商標)、InfiniBand、PCI Expressである。
デバイスモジュール20は、インターコネクション装置21、リソース22、及び、図示されないデバイスコントローラを包含する。インターコネクション装置21は、ファブリックスイッチ10との間でデータをやりとりする。
デバイスモジュール20のリソース22は、入出力装置(以降、デバイス)であり、例えば、ストレージ装置、ネットワークインターフェースカード、USB(Universal Serial Bus)デバイス、アクセラレータである。アクセラレータは、パケット送受信、計算処理のアクセラレーションを行う。なお、デバイスコントローラは、コンピュートモジュール30のI/Oコントローラとデバイスとの間の仲介を行って、データ送受信やデバイスの管理を行う。
コンピュートモジュール30は、インターコネクション装置31とリソース32を包含する。コンピュートモジュール30のリソース32は、プロセッサ、メモリ、および、I/Oコントローラ(以降、まとめて、コンピュートと呼ぶ)である。なお、I/Oコントローラは、ファブリックスイッチ10を介してデバイスモジュール20のデバイスを収容し、プロセッサ、および、メモリとの仲介を行う。
管理装置40は、構成管理部41、及び、ネットワーク監視部42を包含する。
リソース分離型コンピュータシステム50において、デバイスモジュール20、および、コンピュートモジュール30(以降、まとめて、モジュールとも呼ぶ)は、物理的に異なる位置におかれ、ファブリックスイッチ10により物理的に相互接続されている。リソース分離型コンピュータシステム50のユーザは、用途に合わせて、適当なモジュールを選んで論理的にも接続することで、独立したコンピュータとして動作させることが出来る。上記のモジュールが複数存在し、プールされている場合がある。その場合、リソース分離型コンピュータシステム50は、プールにあるモジュールを用いて複数のコンピュータを作ることができる。
モジュールの状態や、どのモジュールを論理的に接続するかなどのモジュール間の接続の管理と制御は、管理装置40の構成管理部41が管理データフレームを用いて行う。構成管理部41は、ネットワーク監視部42が取得した情報を用いて、インターコネクション装置21、インターコネクション装置31、あるいは、ファブリックスイッチ10の機能を用いて、リソース分離型コンピュータシステム50の構成・管理・制御を行う。ネットワーク監視部42は、ファブリックスイッチ10を流れるデータの方向、帯域、遅延などを監視している。
リソース分離型コンピュータシステム50は、複数のモジュールでコンピュータを構成し、例えば、当該コンピュータに対して、モジュールの組み込み/切り離しによる構成変更が可能である。これは、1つのコンピュータを構成する各モジュールが、同じグループID(IDentification)を共有することで実現される。
例えば、コンピュートモジュール30のインターコネクション装置31と、デバイスモジュール20のインターコネクション装置21は、自モジュールが属するコンピュータのグループIDを記憶する。そして、両装置は、同じグループIDを持つモジュールとだけファブリックスイッチ10を介して通信する。どちらの装置も、相手モジュールが自モジュールと異なるグループIDを持つ場合は、通信を拒否する。
例えば、インターコネクション装置31は、相手モジュールが自モジュールと同一のグループIDを記憶しているときだけ、PCI Expressのコマンドをイーサネット(登録商標)でカプセル化して、ファブリックスイッチ10経由で相手モジュール宛に送信する。
構成管理部41は、例えば、コンピュータaにモジュールaのデバイスを組み込むときは、自身が記憶する構成情報からコンピュータaのグループIDを取り出し、モジュールaのインターコネクション装置21に送信する。モジュールaのインターコネクション装置21は、構成管理部41から送信されてきたグループIDを記憶する。これにより、モジュールaのデバイスは、コンピュータaを構成する他のモジュールからアクセス可能になる。
構成管理部41は、コンピュータaからモジュールaのデバイスを切り離すときは、自身が記憶する構成情報から無効なグループIDを取り出し、モジュールaのインターコネクション装置21に送信する。モジュールaのインターコネクション装置21は、構成管理部41から送信されてきた無効なグループIDを記憶する。これにより、モジュールaのデバイスは、コンピュータaを構成する他のモジュールからアクセス不能になる。
このコンピュータごとのグループIDが、ファブリックスイッチ10の通信過程で、漏えいした場合、例えば、悪意ある人間が、コンピュータに不正なプログラムを実行させることが可能になる。すなわち、悪意ある人間が、不正なプログラムを記憶したコンピュートモジュール30に、当該コンピュータのグループIDを設定してファブリックスイッチ10に接続すると、当該コンピュータで不正なプログラムを実行することができることになる。したがって、悪意ある人間は、当該コンピュータのデータベースからデータを盗むことが可能となる。
また、同様に、或るコンピュータに不正なデバイスを組み込むことが可能となる。例えば、不正なネットワークカードが組み込まれ、このネットワークカードが端末装置に成りすまして、コンピュータからデータを送受信することが出来てしまう。さらに、あるコンピュータに属するデバイスを、悪意ある別のコンピュータに組み込んでしまうことも可能となる。
なお、構成情報は、グループIDに限られない。例えば、構成情報は、デバイス、または、コンピュートの動作を規定するパラメータも包含する。パラメータは、例えば、通信処理デバイスが使用するプロトコルの指定である。悪意のある人間が、当該パラメータの指定を、セキュアなプロトコルから、そうでないプロトコルに変更した場合、通信路から機密情報を不正取得されてしまう。
また、構成変更の方式も、グループIDを利用するものに限られない。構成変更の方式は、L2スイッチのVLAN(Virtual Local Area Network)を用いる等のグルーピング・パーティション方式でも良い。
本実施の形態のリソース分離型コンピュータシステム50は、上述のリスクを回避するため、構成情報を保護する機構を備える。インターコネクション装置21、および、インターコネクション装置31が、この保護機構を備え、管理装置40とも連携しながら機能する。
リソース分離型コンピュータシステム50においては、デバイス、コンピュートが独立してシステムへの組み込み、システムから切り離しが可能である。そのため、リソース毎に有効なセキュリティ確保を行う必要がある。そこで、リソース分離型コンピュータシステム50は、モジュールごと、並びに、システム全体の各レイヤで、種々のセキュリティ機能を備えている。
<インターコネクション装置21とインターコネクション装置31>
ところで、インターコネクション装置21、および、インターコネクション装置31は、接続される物がデバイスとコンピュートであり、構成及び動作がまったく同一というわけではない。しかし、両者は共通部分も多く、どちらにも使用可能な同一の装置の設計も可能である。特に、本発明にかかる部分は、共通であることが多いので、以下では、特に断りのない限り、インターコネクション装置21を例にあげて説明を行う。
図2は、インターコネクション装置21の構成を示す図である。インターコネクション装置21は、物理インタフェース23、データブリッジ24、デバイスインタフェース25、保護部28、管理部29を備える。データブリッジ24は、伝達部24とも呼ばれる。
物理インタフェース23は、ファブリックスイッチ10とデータをやりとりするための、トランシーバや符号化、イコライザなどの機能を有する。データブリッジ24は、ファブリックスイッチ10側のプロトコルとデバイスやコンピュートモジュール30側のプロトコルを変換する。
デバイスインタフェース25は、デバイスとのインタフェースを整合させる。管理部29は、データブリッジ24、並びに、デバイスインタフェース25との間の管理や設定などの情報をやりとりする。さらに、管理部29は、グループIDのような構成情報やその他の管理情報を保存する、図示されない管理情報レジスタを包含し、そこに保存している管理情報の読み出し、書き込みも行う。
保護部28は、リソース分離型コンピュータシステム50のモジュール間を流れる構成情報を含む管理データを保護する。保護は、通信相手の認証、および、暗号化で達成する。
インターコネクション装置21は、通常時に使用されるデータ系と管理系の2つのパスを有する。データ系のパスは、物理インタフェース23、データブリッジ24、及び、デバイスインタフェース25を通るパスである。データ系のパスは、例えば、コンピュートモジュール30がデバイスに読み書きするデータ(以降、処理データ)が流れるパスである。
管理系のパスは、物理インタフェース23、データブリッジ24、保護部28、及び、管理部29を通るパスである。管理系のパスは、例えば、管理装置40の構成管理部41が、管理部29との間で通信する管理データが流れるパスである。
管理データは、例えば、その旨の表示を通信パケットのヘッダに有している。構成管理部41は、構成制御過程において、モジュールの管理情報を読み書きするときは、読み書き要求のヘッダに管理データの表示を立てて、モジュールに送信する。モジュールが、他のモジュールの管理情報を読み書きするときも、同様に読み書き要求のヘッダに管理データの表示を立てる。データブリッジ24は、通信パケットのヘッダの表示を見て、通信データを、データ系パスに流したり、管理系パスに流したりする。
保護部28は、データブリッジ24から、受信した管理データを受け取った時、その送信元(管理装置40、または、他のモジュール)の認証を行う。また、保護部28は、管理部29から、送信する管理データを受け取った時、その送信先(管理装置40、または、他のモジュール)の認証を行う。
この認証は、グループIDの一致/不一致を問わず行われる。認証は、例えば、相手のMAC(Media Access Control)アドレスが、あらかじめ登録された通信許諾リストに登録されているか否かで行われる。通信許諾リストは、管理者により人手で設定される、または、リソース分離型コンピュータシステム50の初期化時に、構成管理部41が各モジュールに送信する。保護部28は、他の方法で認証を行っても良い。
保護部28は、データブリッジ24から、受信した管理データを受け取った時、暗号を復号して管理部29に送信する。また、保護部28は、管理部29から、送信する管理データを受け取った時、データを暗号化して、データブリッジ24に送信する。
暗号化/復号は、例えば、共通キーを使用して行われる。共通キーは、管理者により人手で設定される、または、リソース分離型コンピュータシステム50の初期化時に、構成管理部41が各モジュールに送信する。保護部28は、他の方法で暗号化/復号を行っても良い。
インターコネクション装置21の外部から管理部29へのアクセスは、インバンド通信で行われても良い。インバンド通信は、主たるデータ・ストリームの一部に他のデータ・ストリームを混ぜて行うデータ通信である。この場合、物理インタフェース23、データブリッジ24が、処理データと管理データを分離する。
通常、暗号化や認証は、システムから外部への通信や、外部からシステムへの通信に対してなされる。リソース分離型コンピュータシステム50の場合、システムの内部に悪意のあるデバイスやコンピュートが入り込む可能性がある。このため、上記のとおり、コンピュートモジュール30やデバイスモジュール20のすべてが、個別にセキュリティの仕組みを有する。セキュリティの実装部位である保護部28は、データ系のパスではなく、インターコネクション装置21やインターコネクション装置31の内部で、データ系パスから分岐された後の管理系パスに置かれる。そのため、保護部28は、リソース分離型コンピュータシステム50に大きな性能劣化を引き起こすことは無い。
なお、デバイスモジュール20のインターコネクション装置21は、コンピュート疑似部26を備えていても良い。
デバイスモジュール20において、悪意のあるデバイスが、インターコネクション装置21のデバイスインタフェース25に接続される場合がある。この場合、データブリッジ24は、そのデバイスからコンピュートモジュール30へのアクセス要求をブロックしても良い。
代わりに、データブリッジ24は、そのデバイスからのアクセス要求をコンピュート疑似部26に転送しても良い。コンピュート疑似部26は、コンピュートモジュール30に代わって、当該悪意のあるデバイスのアクセス要求を受け入れて、ログを取得した後に破棄、または、ログを取得した後に偽の応答を返信する。偽の応答の返信は、例えば、不正データ送出要求に対し、不正データを受け取ってログを取得したのち破棄し、偽の正常応答を返信することである。
これにより、悪意あるデバイスが、コンピュータの動作を阻害することを防止しつつ、悪意のあるデバイスに偽の情報を与え、その動作を解析することが可能となる。解析の結果は、リソース分離型コンピュータシステム50の管理者が、脅威の種類、有効な対策方法を検討する際の助けとなる。さらには、当該管理者が、加害者への対抗策を考え、コンピュート疑似部26を用いて実行する、など多様な対応が可能となる。
また、コンピュートモジュール30のインターコネクション装置31は、デバイス疑似部27を備えていても良い。
コンピュートモジュール30において、悪意のあるコンピュートが、インターコネクション装置31のデバイスインタフェース25に接続される場合がある。この場合、データブリッジ24は、そのコンピュートからデバイスモジュール20へのアクセス要求をブロックしても良い。
代わりに、データブリッジ24は、その悪意のあるコンピュートからのアクセス要求をデバイス疑似部27に転送しても良い。デバイス疑似部27は、デバイスモジュール20に代わって、当該悪意のあるコンピュートのアクセス要求を受け入れて、ログを取得した後に破棄、または、ログを取得した後に偽の応答を返信する。偽の応答の返信は、例えば、データ読み出し要求に対して偽のデータ返信、あるいは、データ消去要求に対して、偽の消去完了応答を返信することである。
なお、デバイスモジュール20のインターコネクション装置21は、デバイス疑似部27は不要である。コンピュートモジュール30のインターコネクション装置31は、コンピュート疑似部26は不要である。但し、デバイスモジュール20にもコンピュートモジュール30にも使用できるように、インターコネクション装置21も、インターコネクション装置31もデバイス疑似部27とコンピュート疑似部26の両者を備えていても良い。
なお、悪意のあるデバイス、及び、悪意のあるコンピュートの検出は、例えば、管理装置40の構成管理部41がファブリックスイッチ10を流れるデータから行う(後述)。悪意のあるデバイス、及び、悪意のあるコンピュートの検出をした時、構成管理部41は、当該デバイス、コンピュートを包含するモジュールの管理部29に悪意あるリソースが接続されている旨の通知を出力する。管理部29は、当該通知を受けると記憶し、データブリッジ24に、自モジュールに含まれるデバイス、コンピュートが悪意のあるものである旨の通知を行う。この通知を受けたデータブリッジ24は、デバイス疑似部27やコンピュート疑似部26を上述のように使用する。
インターコネクション装置21の、物理インタフェース23、データブリッジ24、デバイスインタフェース25、コンピュート疑似部26、デバイス疑似部27、保護部28、及び、管理部29は、半導体記憶装置を含む論理回路で構成される。それらは、コンピュータ、すなわち、情報処理装置でもある、インターコネクション装置21またはインターコネクション装置31の図示されないメモリに格納されて、図示されないプロセッサで実行されるプログラムで実現されても良い。この場合、インターコネクション装置21またはインターコネクション装置31のプロセッサが、物理インタフェース23、データブリッジ24、デバイスインタフェース25、コンピュート疑似部26、デバイス疑似部27、保護部28、及び、管理部29として機能する。
<管理装置40>
管理装置40のネットワーク監視部42はファブリックスイッチ10を通して送受信されるデータの流れ(送信元、宛先、帯域、データ量、遅延など)を監視する。ネットワーク監視部42は、これらのネットワーク監視データを管理、保存する。一方、構成管理部41は、コンピュートモジュール30やデバイスモジュール20の接続に関する構成管理情報を管理、保存する。
構成管理部41は、これらのネットワーク管理情報と構成管理情報を用いて、リソース分離型コンピュータシステム50の異常を検知する。さらに、構成管理部41は、システム構成や管理パス、データパスの変更などで行える、セキュリティ対策を実行する。
例えば、管理装置40の監視対象に悪意のあるデバイスが混じっていて、勝手に他のデバイスに格納されている秘密情報のバックアップを取っている場合がある。この場合、その悪意のあるデバイスに対するリード命令やライト命令のダイレクトメモリアクセスが連続する。その場合、ネットワーク監視部42が取得するネットワーク監視データからは、バックアップを取得しているデバイスに対しバルク的なデータ転送が観測される。構成管理部41は、当該デバイスを悪意があると判断する。
また、構成管理部41は、コンピュートモジュール30を通さずに、デバイス間でデータ転送が行われている場合も、データを読み出している側のデバイスを悪意があると判断する。構成管理部41は、リソース分離型コンピュータシステム50が構成している複数のコンピュータに跨ってデータが移動している場合も、データを読み出している側のデバイスを悪意があると判断する。
さらに、構成管理部41は、コンピュータが提供するオンラインサービスの低負荷時間帯に、顧客情報を格納するデバイスから大量にデータリードを行っているコンピュートを悪意があると判断する。
悪意のあるデバイス、及び、悪意のあるコンピュートを検出した時、構成管理部41は、当該デバイス、コンピュートを包含するモジュールの管理部29にその旨通知する。上述したように、このようなデバイス、コンピュートのアクセス要求はデータブリッジ24によって、コンピュート疑似部26やデバイス疑似部27に転送される。
通常のネットワーク監視装置は、スイッチやルータなどのノードを含むネットワークトポロジー情報、各リンクやノードの状態監視などを行なう。当該装置は、主にこれらのノードやリンクの状態に対しての異常検出を行う。たとえば、あるリンクで障害が発生している、あるノードでパケット損失が多発している、などが検知できる内容である。
これに対して、管理装置40は、監視しているネットワークが、リソース分離型コンピュータシステム50の構成デバイス間の内部接続である。各構成デバイスはストレージ、ネットワークインタフェース、アクセラレータなど、それぞれに固有の機能を有している。コンピュータは、それらの結合で構成されているため、それらの間のデータの流れは、データのプロセッシングを反映したものとなる。そのため、ある処理における標準的なデータの流れが決まっている。その流れからはずれているものが異常といえる。それに加えて、セキュリティの観点での怪しい流れが定義できる。管理装置40が、データの流れとシステム構成やプロセッシング情報とをあわせて、セキュリティ上の異常を発見する点、ならびに、その対策を行う点で、管理装置40が行う監視は、通常のネットワーク監視と異なる。
構成管理部41は、新しくリソース分離型コンピュータシステム50に追加されたモジュールのデータブリッジ24に対し、デバイスやコンピュートを、コンピュート疑似部26やデバイス疑似部27に接続するように指示しても良い。その後、構成管理部41は、追加されたモジュールがセキュリティ上問題のある動作をしないかをテストしてから、他のモジュールへの接続に切りかえても良い。
また、構成管理部41は、悪意あるデバイスやコンピュートを検出した場合、コンピュート疑似部26やデバイス疑似部27ではなく、ファブリックスイッチ10に接続された、ダミーのコンピュートモジュール30やダミーのデバイスモジュール20に接続しても良い。ここで、ダミーのコンピュートモジュール30やダミーのデバイスモジュール20は、悪意あるデバイスなどの調査用に設けられた特別なモジュールである。これは、構成管理部41から指示を受けたインターコネクション装置21またはインターコネクション装置31が、ルーティング先を変更する事で実現する。
管理装置40の構成管理部41、及び、ネットワーク監視部42は、半導体記憶装置を含む論理回路で構成される。それらは、コンピュータでもある、管理装置40の図示されないプロセッサで実行されるソフトウェアで実現されても良い。
ソフトウェアとして実装されるとき、構成管理部41、及び、ネットワーク監視部42は、BIOS(Basic Input Output System)、OS(Operating System)やデバイスドライバを用いて実装可能である。例えば、LINUX(登録商標)におけるlspciコマンドは、PCI Expressの構成情報を得ることが出来る。lsusbコマンドは、USBの構成情報を得ることが出来る。また、interruptコマンドは、割り込みキューごとの割り込み回数の情報を得ることが出来る。dmsgコマンドは、種々の管理系のメッセージを得ることが出来る。一方、BIOS(Basic Input Output System)は、デバイススキャンによりPCI Expressを含めた全構成モジュール情報を得ることが出来る。
これらは、ネットワーク監視部42や構成管理部41に含まれる機能である。したがって、それらの機能は、OSやドライバ、BIOSを使って実装することができる。さらにはそれらを連携した実装も可能である。
<効果>
本実施の形態のインターコネクション装置21は、リソース分離型コンピュータシステム50における、デバイスまたはコンピュート毎の、あるいは、リソース分離型コンピュータシステム50全体の安全性を確保することができる。インターコネクション装置31も、同様である。
その理由は、リソース分離型コンピュータシステム50を構成する各モジュールにおいて、保護部28が構成情報をはじめとする管理データの安全を確保するからである。これにより、リソース分離型コンピュータシステム50を構成する各モジュールは、構成変更にかかわる操作とデータのやりとりを不正なアクセスから守る。
インターコネクション装置21、および、インターコネクション装置31は、不正なデバイスやコンピュートがリソース分離型コンピュータシステム50に組み込まれてしまった場合、データの盗難や偽造、正常なデバイスやコンピュートへの攻撃を防ぐ。その理由は、管理装置40が、データの方向、量、時間をデバイスやコンピュートごと、更には、リソース分離型コンピュータシステム50全体で監視して、悪意のあるデバイスやコンピュートを検出するからである。そして、管理装置40が、悪意のあるデバイスやコンピュートをコンピュート疑似部26やデバイス疑似部27に接続してしまうように、データブリッジ24を制御するからである。
<第2の実施形態>
図3は、第2の実施の形態のインターコネクション装置60の構成を示す図である。
このインターコネクション装置60は、ファブリックスイッチ、及び、ファブリックスイッチに接続された複数のモジュールを包含し、モジュールの組み合わせでコンピュータを構成するリソース分離型コンピュータシステムに包含されている。リソース分離型コンピュータシステムの各モジュールは、リソースと共にこのインターコネクション装置60を包含する。
インターコネクション装置60は、伝達部24、保護部28、および、管理部29を備える。
伝達部24は、ファブリックスイッチ、保護部28、及び、リソースに接続され、管理データをファブリックスイッチと保護部28間で、管理データ以外のデータをファブリックスイッチとリソース間で転送する。
保護部28は、管理部29に接続され、管理データの認証、または、暗号化/復号を行う。管理部29は、コンピュータの構成情報を記憶して、入力された管理データに基づいて当該構成情報の読み書きを行う。
このインターコネクション装置60は、インターコネクション装置21、および、インターコネクション装置31の両方の実装に使用することが出来る。
本実施の形態のインターコネクション装置60は、リソース分離型コンピュータシステムにおける、デバイスまたはコンピュート毎の、あるいは、リソース分離型コンピュータシステム全体の安全性を確保することができる。
その理由は、リソース分離型コンピュータシステムを構成する各モジュールにおいて、保護部28が構成情報をはじめとする管理データの安全を確保するからである。これにより、リソース分離型コンピュータシステムを構成する各モジュールは、構成変更にかかわる操作とデータのやりとりを不正なアクセスから守る。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2015年02月25日に出願された日本出願特願2015-035062を基礎とする優先権を主張し、その開示の全てをここに取り込む。
10 ファブリックスイッチ
20 デバイスモジュール
21 インターコネクション装置
22 リソース
23 物理インタフェース
24 データブリッジ
24 伝達部
25 デバイスインタフェース
26 コンピュート疑似部
27 デバイス疑似部
28 保護部
29 管理部
30 コンピュートモジュール
31 インターコネクション装置
32 リソース
40 管理装置
41 構成管理部
42 ネットワーク監視部
50 リソース分離型コンピュータシステム
60 インターコネクション装置
本発明の実施の形態のプログラムは、ファブリックスイッチ、及び、前記ファブリックスイッチに接続された複数のモジュールを包含し、前記モジュールの組み合わせでコンピュータを構成するリソース分離型コンピュータシステムの各モジュールにリソースと共に包含される情報処理装置に、前記ファブリックスイッチから暗号化された管理データを入力して、送信元の認証及び復号を行い、復号された管理データに基づいて、記憶している前記コンピュータの構成情報の読み書きを行う処理と、管理データ以外のデータを前記ファブリックスイッチと前記リソース間で転送する処理と、を実行させる

Claims (10)

  1. ファブリックスイッチ、及び、前記ファブリックスイッチに接続された複数のモジュールを包含し、前記モジュールの組み合わせでコンピュータを構成するリソース分離型コンピュータシステムにおける前記コンピュータの構成情報を記憶して、入力された管理データに基づいて当該構成情報の読み書きを行う管理手段と、
    前記管理手段に接続され、前記管理データの認証、または、暗号化/復号を行う保護手段と、
    前記ファブリックスイッチと、前記保護手段と、前記モジュールで用いられるリソースとに接続され、前記管理データを前記ファブリックスイッチと前記保護手段間で、前記管理データ以外のデータを前記ファブリックスイッチと前記リソース間で転送する伝達手段と、を備え、前記リソースと共に前記モジュールに包含されるインターコネクション装置。
  2. 同一の前記モジュール内に包含される前記リソースが、デバイス、または、プロセッサを含む、請求項1のインターコネクション装置。
  3. 前記入出力装置を疑似するデバイス疑似手段と、前記プロセッサを疑似するコンピュート疑似手段の少なくとも一方、をさらに備え、
    前記伝達手段は、自モジュール内の前記リソースが悪意のある前記リソースであるとの悪意通知を入力した場合、当該リソースから受信したデータを、前記デバイス疑似手段または前記コンピュート疑似手段に転送する、請求項2のインターコネクション装置。
  4. 請求項1乃至3の何れか1項のインターコネクション装置を含む複数の前記モジュールと共に前記ファブリックスイッチに接続され、
    前記ファブリックスイッチを流れる処理データおよび前記管理データの通信情報を取得するネットワーク監視手段と、
    前記コンピュータの前記構成情報を記憶し、前記通信情報および前記構成情報から前記コンピュータの異常を検出する構成管理手段と、を備える管理装置。
  5. 請求項3のインターコネクション装置を含む複数の前記モジュールと共に前記ファブリックスイッチに接続され、
    前記ファブリックスイッチを流れる前記処理データおよび前記管理データの通信情報を取得するネットワーク監視手段と、
    前記コンピュータの前記構成情報を記憶し、前記通信情報および前記構成情報から前記コンピュータの異常を検出する構成管理手段と、を備え、
    前記構成管理手段は、前記通信情報および前記構成情報から悪意のある前記リソースを包含する前記モジュールを特定し、特定された前記モジュールの前記管理手段に悪意のあるリソース接続通知を送信し、
    前記管理手段は、前記悪意のあるリソース接続通知を受信すると、前記伝達手段に前記悪意通知を出力する管理装置。
  6. 請求項1乃至3の何れか1項のインターコネクション装置を含む複数の前記モジュールと、
    請求項4の管理装置と、
    前記ファブリックスイッチと、を包含するリソース分離型コンピュータシステム。
  7. ファブリックスイッチ、及び、前記ファブリックスイッチに接続された複数のモジュールを包含し、前記モジュールの組み合わせでコンピュータを構成するリソース分離型コンピュータシステムの前記モジュールの各々にリソースと共に包含されるインターコネクション装置が、
    前記ファブリックスイッチから暗号化された管理データを入力して、送信元の認証及び復号を行い、
    復号された前記管理データに基づいて、記憶している前記コンピュータの前記構成情報の読み書きを行い、
    前記管理データ以外のデータを前記ファブリックスイッチと前記リソース間で転送する、方法。
  8. 同一の前記モジュール内に包含される前記リソースが、入出力装置、または、プロセッサを含む、請求項7の方法。
  9. 自モジュール内の前記リソースが悪意のある前記リソースであるとの悪意通知を入力した場合、当該リソースから受信したデータを、前記プロセッサを疑似するコンピュート疑似手段、または、前記入出力装置を疑似するデバイス疑似手段に転送する、請求項8の方法。
  10. ファブリックスイッチ、及び、前記ファブリックスイッチに接続された複数のモジュールを包含し、前記モジュールの組み合わせでコンピュータを構成するリソース分離型コンピュータシステムの前記モジュールの各々にリソースと共に包含される情報処理装置に、
    前記ファブリックスイッチから暗号化された管理データを入力して、送信元の認証及び復号を行い、復号された前記管理データに基づいて、記憶している前記コンピュータの構成情報の読み書きを行う処理と、
    管理データ以外のデータを前記ファブリックスイッチと前記リソース間で転送する処理と、を実行させるプログラムを格納する機械読み取り可能な記録媒体。
JP2017501928A 2015-02-25 2016-02-19 インターコネクション装置、管理装置、リソース分離型コンピュータシステム、方法、及び、プログラム Pending JPWO2016136223A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015035062 2015-02-25
JP2015035062 2015-02-25
PCT/JP2016/000900 WO2016136223A1 (ja) 2015-02-25 2016-02-19 インターコネクション装置、管理装置、リソース分離型コンピュータシステム、方法、及び、プログラム

Publications (1)

Publication Number Publication Date
JPWO2016136223A1 true JPWO2016136223A1 (ja) 2017-12-21

Family

ID=56788363

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017501928A Pending JPWO2016136223A1 (ja) 2015-02-25 2016-02-19 インターコネクション装置、管理装置、リソース分離型コンピュータシステム、方法、及び、プログラム

Country Status (3)

Country Link
US (1) US20180241723A1 (ja)
JP (1) JPWO2016136223A1 (ja)
WO (1) WO2016136223A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11138146B2 (en) * 2016-10-05 2021-10-05 Bamboo Systems Group Limited Hyperscale architecture
WO2019196721A1 (en) * 2018-04-11 2019-10-17 Beijing Didi Infinity Technology And Development Co., Ltd. Methods and apparatuses for processing data requests and data protection
JP7525486B2 (ja) 2018-11-26 2024-07-30 アルカス インコーポレイテッド 分解されたネットワーク要素を含む論理ルータ
JP7400551B2 (ja) * 2020-03-05 2023-12-19 富士通株式会社 コマンド生成装置、システムおよびコマンド生成方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3996105B2 (ja) * 2003-08-26 2007-10-24 日本電信電話株式会社 顧客宅内装置の不正動作監視方法
JP4797636B2 (ja) * 2006-01-16 2011-10-19 株式会社日立製作所 複合型情報プラットフォーム装置とその情報処理装置構成方法
JP4670676B2 (ja) * 2006-02-17 2011-04-13 日本電気株式会社 スイッチ及びネットワークブリッジ装置
KR101401874B1 (ko) * 2010-02-22 2014-05-29 닛본 덴끼 가부시끼가이샤 통신제어 시스템, 스위칭 노드, 통신제어 방법, 및 통신제어용 프로그램

Also Published As

Publication number Publication date
WO2016136223A1 (ja) 2016-09-01
US20180241723A1 (en) 2018-08-23

Similar Documents

Publication Publication Date Title
US11921906B2 (en) Security device with programmable systolic-matrix cryptographic module and programmable input/output interface
CN109842585B (zh) 面向工业嵌入式系统的网络信息安全防护单元和防护方法
KR101713045B1 (ko) 보안 환경에서 엔드포인트 하드웨어 지원형 네트워크 방화벽을 위한 시스템 및 방법
CN105409164B (zh) 通过使用硬件资源来检测网络业务中的矛盾的根套件检测
EP2754278B1 (en) System and method for supporting at least one of subnet management packet (smp) firewall restrictions and traffic protection in a middleware machine environment
US8694636B2 (en) Method and apparatus for network filtering and firewall protection on a secure partition
US7650510B2 (en) Method and apparatus for in-line serial data encryption
US11252183B1 (en) System and method for ransomware lateral movement protection in on-prem and cloud data center environments
US10972449B1 (en) Communication with components of secure environment
CN108259226B (zh) 网络接口设备管理方法与装置
US10896266B1 (en) Computer hardware attestation
US9065799B2 (en) Method and apparatus for cyber security
EP3994595B1 (en) Execution environment and gatekeeper arrangement
CN107787495B (zh) 安全输入/输出设备管理
CN111444519B (zh) 保护日志数据的完整性
WO2016136223A1 (ja) インターコネクション装置、管理装置、リソース分離型コンピュータシステム、方法、及び、プログラム
WO2013023105A1 (en) Apparatus and method for enhancing security of data on a host computing device and a peripheral device
US20080244716A1 (en) Telecommunication system, telecommunication method, terminal thereof, and remote access server thereof
US20060184785A1 (en) Apparatus, system, and method for securing I/O communications between a blade and a peripheral interface device of a blade-based computer system
US11503000B2 (en) Technologies for establishing secure channel between I/O subsystem and trusted application for secure I/O data transfer
Zhou et al. All your VMs are disconnected: Attacking hardware virtualized network
US11106788B2 (en) Security for active data request streams
JP5548095B2 (ja) 仮想制御プログラム、情報処理装置及び仮想制御方法
US10757078B2 (en) Systems and methods for providing multi-level network security
US20220318047A1 (en) Device and method for managing communication via interfaces in a virtualized system

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170801