GE GMS IP GMS GMS GE GSCIP DPRP Dynamic Process Resolution Protocol [1] 3 GSCIP GMS GMS GE GE GE GSCIP GE Web PHP GE GMS GMS GSCIP GSCIP/GMS DPR

Similar documents
GSCIP IPsec LAN GSCIP IPsec End-to-End A Proposal and Evaluation for a Remote Access Method using GSCIP and IPsec Keisuke Imamura, Hidekazu Suzuki and

2ACL DC NTMobile ID ACL(Access Control List) DC Direction Request DC ID Access Check Request DC ACL Access Check Access Check Access Check Response DC

IPsec徹底入門

Microsoft PowerPoint - IPsec徹底入門.ppt

中村隼大 鈴木秀和 内藤克浩 渡邊晃 名城大学理工学部愛知工業大学情報科学部

PowerPoint プレゼンテーション

Vol. 52 No (Sep. 2011) NAT 1, IPsec DPRP Dynamic Process Resolution Protocol DPRP NAT Network Address Translation NAT-f NAT-free pr

スライド 1

C02.pdf

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

中継サーバを用いたセキュアな遠隔支援システム

PowerPoint Presentation

2. 機能 ( 標準サポートプロトコル ) NTT ドコモの Android スマートフォン / タブレットでは標準で対応している VPN プロトコルがあります 本章では 動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-to-

2. 機能 ( 標準サポートプロトコル ) SECURITY for Biz 対応スマートフォンでは標準で対応している VPN プロトコルがあります 本章では NTT ドコモで動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-t

1 暗号化通信におけるリスク ~ SSH に潜む落とし穴 ~ 暗号化すれば安全ですか? 目次 1. はじめに SSH とは SSH に潜む落とし穴 SSH での効果的な対策 最後に... 13

実務に役立つサーバー運用管理の基礎 CompTIA Server+ テキスト SK0-004 対応

xr-set_IPsec_v1.3.0

2) では, 図 2 に示すように, 端末が周囲の AP を認識し, 認識した AP との間に接続関係を確立する機能が必要である. 端末が周囲の AP を認識する方法は, パッシブスキャンとアクティブスキャンの 2 種類がある. パッシブスキャンは,AP が定期的かつ一方的にビーコンを端末へ送信する

Mobile IPの概要

マークについて 本文中では マークについて 次のように表記しています メモ 知っていると便利なことや 補足を記載しています 商標について Brother ロゴはブラザー工業株式会社の登録商標です ブラザー製品および関連資料等に記載されている社名及び商品名はそれぞれ各社の商標または登録商標です 01

今後の予定 第 10 回 :6 月 22 日 暗号化ソフトウェア :SSL,SSH 第 11 回 :6 月 29 日 サーバセキュリティ 第 12 回 :7 月 6 日 理論 : 計算論, 暗号プロトコル 第 13 回 :7 月 13 日 企業 組織のセキュリティ :ISMS, 個人情報保護法 第

赤堀蒼磨, 納堂博史, 鈴木秀和, 内藤克浩, 渡邊晃 名城大学理工学部 愛知工業大学情報科学部

平成18年度電気関係学会東海支部連合大会

インターネットVPN_IPoE_IPv6_fqdn

PowerPoint Presentation

第5回_ネットワークの基本的な構成、ネットワークの脆弱性とリスク_pptx

Kerberos の設定

2.5 トランスポート層 147

Anonymous IPsec with Plug and Play

IPSEC(Si-RG)

Template Word Document

製品の 機能 と 性能 を見極める 機能面と性能面を評価し ニーズに合った製品を選択 機能面 IPsec の実装レベル 拡張機能 性能面 スループット SA 数 3 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec 機器の形態 製品形

シナリオ:サイトツーサイト VPN の設定

(Microsoft PowerPoint - 2.\(\220\274\222J\202\263\202\361\)JANOG ppt [\214\335\212\267\203\202\201[\203h])

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

クラウド接続 「Windows Azure」との接続

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

NTMobile SIP 1 SIP Session Initiation Protocol IP IP NAT Network Address Translation NTMobile Network Traversal with Mobility NTMobile RST Relay Serve

Mobile Access IPSec VPN設定ガイド

本資料について

PowerPoint プレゼンテーション

TFTP serverの実装

PAN-OS: パケット処理 PAN-OS のパケットフローシーケンス パロアルトネットワークス合同会社

目次 1. はじめに 接続設定例 ~ 基本的な設定 ~ ネットワーク構成 接続条件 XR の設定... 5 パケットフィルタ設定 VPN Client の設定 仮共有鍵の設定... 7

Vol.54 No (June 2013) GSRAv2 1,a) 1,b) 1,c) 1,d) , IPsec-VPN SSL-VPN OpenVPN PacketiX VPN GSRA Group-based Secure Remote

conf_example_260V2_inet_snat.pdf

UCSセキュリティ資料_Ver3.5

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

内容 1 本書の目的 用語 WiMAX WiMAX LTE WiMAX2+ サービス WiMAX サービス WiMAX2+ デバイス ノーリミットモード

IPSEC(Si-RGX)

NTMobile LAN NT- Mobile(Network Traversal with Mobility) [1] NTMobile LAN 2. NTMobile NTMobile NTMobile NTM IP DC(Direction Coordinator)

MIRACLE LoadBalancerを使用したネットワーク構成と注意点

センターでは,WAP からの位置情報を受信し, WAP が適切に設置されたかどうかを確認する 提案システムのシーケンス概要 図 2 に提案システムのシーケンスを示す. 携帯端末は,WAP から無線 LAN の電波を受信すると, DHCP サーバに対して IP アドレスを要求する. この要

Real4Dumps Real4dumps - Real Exam Dumps for IT Certification Exams

スライド 1

InfoPrint SP 8200使用説明書(5. ネットワークのセキュリティ強化)

USAGI IPv6 神田充 USAGI/ 東芝研究開発センター

本製品に接続された端末の IPv6 情報が表示されます 端末に割り当てられた IPv6 アドレス IPv6 アドレスを取得した端末の MAC アドレスが確認できます 注意 : 本ページに情報が表示されるのは本製品が 上位から IPv6 アドレスを取得した場合のみとなります DDNSサービス :DDN

パススルー IPSecトンネル インターフェイスに AVC トラフィックを有効に する 回避策

正誤表(FPT0417)

PowerPoint プレゼンテーション

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

Si-R/Si-R brin シリーズ設定例

スライド 1

Fujitsu Standard Tool

p_network-management_old-access_ras_faq_radius2.xlsx

製品ラインアップ ハードウェア < 部品としてのご提供 > ーお客様でソフトエアの開発が必要ですー弊社で受託開発も可能です チャレンジ & レスポンス Web 構築に最適ドライバレスタイプ : epass1000nd チャレンジ & レスポンス方式 電子証明書の格納に両方対応可能汎用型タイプ : e

VPN 接続の設定

SGX808 IPsec機能

Web

TECHNICAL BRIEF RealServer ロードバランス時の BIG-IP 設定方法 本ドキュメントは複数の RealServer をロードバランスする際の BIG-IP コントローラの設定方法を紹介するもので F5 Networks Japan K.K. と RealNetworks

なぜIDSIPSは必要なのか?(v1.1).ppt

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

TGP ネットワーク クライアント証明書 VPN ソフト導入手順 OS:MacOS X ブラウザ :Safari 2018/11/02 Copyright 2018 環岐阜地区医療介護情報共有協議会 All Right Reserved. 0

PowerPoint プレゼンテーション

_mokuji_2nd.indd

Microsoft Word - トンネル方式(3 UNI仕様書5.1版)_ _1910.doc

サブスクライバー / 署名者 Subscriber 側 ( アリス ) の要件 セキュアな署名 なりすましをいかに防ぐか 署名に使用する私有鍵をいかに保護私有鍵をいかに保護するか?? セキュアなハードウェアトークンなどが有効 セキュアな装置のセキュリティ基準 欧州の電子署名では SSCD (Secu

Microsoft Word - ID32.doc

AirStationPro初期設定

1 本人認証の 本人認証の必要性 ネットワーク社会は 非対面性 非書面性が特性 プライバシーの問題から 実データ 各種証明書の利用が困難 潜在的な なりすまし の危険が潜んでいる 電子認証 の 必要性 現状 現状 ほとんどが固定 ほとんどが固定パスワード 固定パスワードを パスワードを利用

Powered BLUE メールプラス

目次 1. はじめに SSL 通信を使用する上での課題 SSL アクセラレーターによる解決 SSL アクセラレーターの導入例 SSL アクセラレーターの効果... 6 富士通の SSL アクセラレーター装置のラインナップ... 8

Microsoft Word - r0703.doc

VPN とは? VPNとは共有ネットワーク上にプライベートネットワークを構築すること またはそのための技術 仮想的な専用線のように利用できることから Virtual( 仮想的 ) なPrivate Network( 専用線 ) と呼ぶ 最近ではインターネットを専用線のように利用する技術として注目され

Microsoft Word - u-CAT’Ý™è…K…C…

Microsoft Word - MyWebPortalOffice_Levelup.doc

PowerPoint プレゼンテーション

Microsoft PowerPoint _y.kenji.pptx

Clearswift PPT Template

スライド 1

FUJITSU Cloud Service K5 認証サービス サービス仕様書

FIDO技術のさらなる広がり

情報漏洩対策ソリューション ESS REC のご説明

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

Configuring VPN from Proventia M Series Appliance to Cisco PIX 515E

口やかましい女ソフト VPN Client を RV130 および RV130W の IPSec VPN サーバと接続するのに使用して下さい

修士論文進捗報告

030403.インターネット問題

カスタマーコントロール接続設定 (VPN クライアントソフト設定マニュアル :SSL-VPN 経由 ) 第 1.8 版 2017 年 4 月 KDDI 株式会社 1 Copyright KDDI Corporation All Rights Reserved.

Transcription:

GSCIP 073432006 1 FPN Flexible Private Network FPN GSCIP Grouping for Secure Communication for IP GSCIP GSCIP GMS Group Management Server GMS GSCIP / IPsec IKE KINK GSCIP [1] GSCIP IPsec GMS GSCIP GSCIP IPsec 2 2.1 IPsec IPsec IP IPsec SA Security Association SA IKE KINK IKE SA DH 3 SA 1 IKE IKE 2 IKE SA INIT SA SA IKE AUTH SA 1: IKE KINK IKE KINK Kerberos IPsec SA KINK Kerberos SA IKE 2.2 GSCIP GSCIP 2 GSCIP GSCIP GE GSCIP Element GE GES GE realized by Software GEN GE for Network GES GEA GE realized by Adapter 3 GEN GEN GSCIP GE GK Group Key IP 2:

GE GMS IP GMS GMS GE GSCIP DPRP Dynamic Process Resolution Protocol [1] 3 GSCIP GMS GMS GE GE GE GSCIP GE Web PHP GE GMS GMS GSCIP 4 4.1 GSCIP/GMS DPRP IPsec/IKE IPsec/Kerberos KINK 1 1 3 3 1 4 1 2 4 2 GSCIP 1 4 GES1 4 GE GES1 4 1 GES2 4 2 GSCIP 1 1 2 2 GSCIP GE GMS DPRP GE ID GMS GMS 3 GMS 8 GE 13 33 3: 1: GSCIP IPsec/IKE IPsec/KINK Node1 3 27 18 Node2 3 29 18 Node3 3 29 18 Node4 3 31 21 Server 13 8 15 33 116 90 IKE IPsec 1 1 4 2 2 4 IKE IKE 1 27 2 3 29 4 31 116 KINK IKE Kerberos ID Kerberos IP 1 3 ID 1 3 4 2 ID 2 5 IKE KINK ID KINK 1 3 18 4 21 Kerberos ID 15 90 IKE KINK 4.2 2 GSCIP 0.38ms 1.78ms IKE KINK 264.09ms 3.07ms TCP 3 GSCIP IKE DH KINK IKE IKE KINK TCP 3 5 FPN GSCIP GSCIP GSCIP IPsec GSCIP GSCIP GMS [1] DPRP vol. 47 pp. 2976 2991 (2006).

セキュア通信アーキテクチャ GSCIP を実現するグループ管理サーバの実装と運用評価 Implementation and operational evaluation of Group Management Server which realize 名城大学大学院理工学研究科 渡邊研究室 今村圭佑

研究背景 企業ネットワークのセキュリティ対策は急務 情報漏洩は社会的信頼の低下 外部 ファイアウォール侵入検知暗号通信 (VPN) IP-VPN 内部 パスワード認証平文通信 イントラネット パスワード認証 セキュリティの脅威は組織内部にも存在する 部門や業務に応じた通信グループを構築 Firewall 盗聴, 改ざん 通信グループ内の通信を暗号化 1

通信グループ構築方法 個人単位 グループ単位 相手認証暗号通信 きめ細かいグルーピングが可能個々に設定が必要 : 負荷大 大きな単位でグルーピングが可能設定を集約できる : 負荷小 両者の利点を活かした混在環境が有効 2

研究の目的 柔軟性 セキュリティ 部門や業務内容による通信グループの構築 通信グループ間の通信は暗号化 管理コスト 業務単位 クライアントには最低限の設定 複雑な通信グループ構成であっても設定コストは尐なく 部門単位 セキュリティを保ちつつ, 管理コストを抑えた GSCIP(Grouping for Secure Communication for IP) 混在環境を実現する場合の管理コストの比較評価 GSCIP IPsec(IKE,KINK) 3

既存技術 :IPsec TCP/IP 上において汎用的に利用できる トンネルモード : 端末 (SGW)-SGW トランスポートモード : 端末 - 端末 トランスポートモード SA 送信元 / 宛先アドレス, プロトコル (ESP,AH) モード ( トンネル, トランスポート ) 通信に使用する暗号鍵 N o d e 1 トンネルモード N o d e 2 S G W N o d e 3 一般端末 互換性がないため別々に設定する必要がある SA 共有のネゴシエーション技術 IKE(Internet Key Exchange):RFC 4306 KINK(Kerberized Internet Negotiation of Keys):RFC 4430 4

IKE(Internet Key Exchange) ノード間 SA パラメータの交換 通信に使用する暗号鍵の生成 DH 鍵交換 相手認証 事前共有鍵方式 ( 事前に通信ピア間で鍵を共有する ) 通信グループを導入する場合 Node X 互いに事前共有鍵を設定する必要がある :n(n-1)/2 IKE では IP アドレスとペアで設定 :2n(n-1) IKE の設定に通信相手のアドレスを指定 :n(n-1) DH 鍵交換 DH 鍵交換 相手認証,SA 条件交換相手認証,SA 条件交換 Node Y x.x.x.x y.y.y.y z.z.z.z KeyX KeyY KeyZ 多台数間の設定は負担がかかる複数のグループの定義は煩雑 5

KINK(Kerberized Internet Negotiation of Keys) Kerberos の共通鍵認証機構を利用した SA 交換方法 ノードは事前に Kerberos サーバ (KDC) と秘密鍵を共有 Kerberos ID と秘密鍵のペアを KDC が管理 KDC が提供するセッション鍵を用い SA の交換 通信ピア間で鍵を共有する必要がない 通信相手の Kerberos ID のみ設定 KDC- ノードの共有鍵 :n 通信相手の ID:n(n-1) KDC Node X KDC Node Y 認証要求認証応答 認証要求認証応答 セッション鍵要求 セッション鍵応答 SA 交換 SA 交換 IKE に比べ尐ない 6

GSCIP の概要 同じ暗号鍵を持つノードを同一の通信グループと定義 暗号鍵 = グループ鍵 GK グループ管理サーバ (GMS) おいて通信グループを定義 GK3 GMS-GE 間で認証 GK の配送 GES3 Group 3 GMS Delivery GK GK2 GES1 Group 2 GK1 CL GEN Group 1 Terminal GES2 GE:GSCIP に対応した装置 GES(Software 型 ): ホストタイプ GEN(Network 型 ): ルータタイプ GMS(Group Management Server) グループ管理サーバ GMS-GE 間で鍵を共有 GE に対応する GK を配送 動作モード : 他グループとの通信を定義 開放モード OP: 平文通信可 閉域モード CL: 一切禁止 グループ鍵と通信グループを 1 対 1 で対応させる 7

DPRP(Dynamic Process Resolution Protocol) の概要 通信開始時にネゴシエーション 端末間の認証処理 : グループ鍵による認証 動作処理情報の決定 : 所属通信グループ, 動作モード GES1 GEN GES2 IP:PA1 IP:PA2 IP:PA3 Store 通信経路上の各 GE の設定情報を取得し動作処理情報を決定 DPRP Release 動作処理情報の生成と通知 暗号通信 PIT PA1:s PA3:d 暗号化 / 復号 PIT PA1:s PA3:d 透過中継 PIT PA1:s PA3:d 暗号化 / 復号 パケットは動作処理情報に従って処理される 8

グループ管理サーバ GMS GSCIP のユーザや通信グループを管理する グループ鍵の管理と通信グループの定義 GE 情報 ユーザ ID, 動作モード, 共通鍵 (GMS- 各 GE 間 ) グループ鍵情報 通信グループ番号, グループ鍵 GK, 鍵バージョン 所属通信グループ ユーザ ID, 通信グループ番号 端末起動時に要求 所属する通信グループの鍵情報を応答 通信開始時に DPRP ネゴシエーションを実行 端末間の動作処理情報の決定 ユーザ ID 共通鍵 GMS 鍵の更新 設定情報要求グループ鍵動作モード グループ鍵配送 GE 端末起動時 9

本システムの有効性の評価 各方式の比較評価 IPsec/IKE IPsec/Kerberos+KINK GSCIP/GMS+DPRP Group1 Group2 Group1 Node2 評価項目 ノード数に応じた設定コスト 実環境を想定した設定コスト 一般端末 SGW Node1 Node3 ノードおよびサーバで行う設定 1 つあたりに必要な項目を負荷 1 と定義し, 管理コストの比較を行う 10

鍵設定数 ノード数に応じた鍵管理コスト IKE は全ピア間で鍵を共有するため設定コストは高い IP アドレス, 鍵のペアを互いに共有 KINK,GSCIP はサーバ, ノード間の共有鍵 自己の ID, サーバとの共通鍵 IKE: 全ピア間で鍵を共有 :n (n-1) 2 KINK:KDC とノード間の ID, 共通鍵 :2n 2 GSCIP:GMS とノード間の ID, 共通鍵 :2n 2 多台数間の設定は大幅にコストが増加 6000 5000 4000 3000 2000 1000 0 IKE KINK GSCIP 5 10 20 30 40 50 ノード数 11

設定コスト ノード数に応じた設定コスト IPsec では SA に通信相手の IP アドレスを送受信ペアで設定 ノード数に大きく影響する IKE:SA に全ノードのアドレスのペア :2(n-1) 2 KINK: SA に全ノードのアドレスのペア :2(n-1) 2 GSCIP: 所属通信グループの定義 :n ノード A 送信 :IP_A IP_B 受信 :IP_B IP_A IKE,KINK はネゴシエーションに IP アドレスの設定要素を含む GSCIP はグループ鍵で管理している IP アドレスに依存しない 1000 900 800 700 600 500 400 300 200 100 0 IKE KINK GSCIP 5 10 20 30 40 50 ノード数 12

初期管理負荷 :IPsec/IKE 事前共有秘密鍵事前共有鍵情報セキュリティポリシ IKE IKE 合計設定項目ノード1 通信相手識別子 2: ノード1 ノード2通信ペア識別子 IPsec Transport:14 ( 送信元, 宛先 ) 通信相手識別子 11 27 ノード2 事前共有鍵 6: ノード2 1,3,SGW 処理内容 IPsec (IPsec/Discard/None) Transport:14+2 暗号化アルゴリズム 13 51 プロトコル IPsec (ESP/AH) Tunnel:16 ハッシュアルゴリズムモード (Transport/Tunnel) 認証方式ノード3 2: ノード3 ノード2ポリシ適用レベル IPsec Transport:14 etc. DH 11 グループ 27 etc. 項目数 SGW 2 2:SGW ノード2 16( トンネルモードは None:8, Discard:8 14) 11 11 29 合計 12 76 46 134 Group2 トンネル, トランスポートモードに互換がなく別々に定義する必要がある Group1 Node2 通信ペアが増加すると事前共有鍵の設定が増加する 一般端末 SGW Node1 Node3 13

初期管理負荷 :IPsec/Kerberos+KINK KDC セキュリティポリシ KINK 合計 ノード 1 3 IPsec Transport:14 1 18 ノード2 3+2 IPsec Transport:14+2 IPsec Tunnel:16 3 39 ノード 3 3 IPsec Transport:14 1 18 SGW 3 None:8, Discard:8 1 20 合計 14 76 6 96 KDC:15 + 96 = 111 ノード :ID, 共通鍵,KDC KDC:ID, 共通鍵, 通信グループ Group2 Group1 一般端末 SGW Node1 Node2 KDC Node3 トンネル, トランスポートモードに互換がなく別々に定義する必要がある 所属する通信グループが増加すると ID とサーバとの共通鍵が増加する 14

初期管理負荷 :GSCIP/GMS+DPRP GMS に所属する通信 グループを定義するのみ ユーザ ID, 共通鍵 GMS アドレス G E S 2 G K 1 G K 2 G M S グループ番号鍵バージョン,GK ユーザ ID, 動作モード共通鍵 G K 1 一般端末 G E N G K 1 G E S 1 G K 2 G E S 3 所属通信グループ情報 GES1 グループ1 GES2 グループ1 GES2 グループ2 GES3 グループ2 GEN グループ1 設定数 台数 合計 GE 情報 3 4 12 グループ鍵情報 3 2 6 所属通信グループ情報 2 5 10 GE:12 + 28 = 40 15

各方式の比較 GSCIP/GMS+ DPRP IPsec/IKE IPsec/Kerberos +KINK ノード数に応じた鍵管理コスト サーバ, クライアント間のみ 全ピア間で鍵を共有 n (n-1) 2 サーバ, クライアント間のみ ノード増加による管理コスト 通信グループの定義のみ IP アドレスに依存し増加する IP アドレスに依存し増加する イニシャル管理コスト ( 想定した環境の設定数 ) グループ鍵と通信グループを一対一で対応付け :40 事前共有鍵が大幅に増加 134 ID, 共通鍵のペアがグループに応じて増加 :111 IPsecは複雑なネットワーク構成になると大幅にコストが増加する柔軟性とセキュリティを兼ね備えたグループ通信が可能である 16

まとめ 柔軟性とセキュリティを兼ね備えた通信アーキテクチャ GSCIP 通信グループとグループ鍵を 1 対 1 で対応させることで,IP アドレス, 物理的配置に依存しないグルーピングが可能 グループ管理サーバの実装を行い, 実運用にて有効性を確認 今後 管理負荷を抑えつつ運用が可能でありセキュリティ対策として有効な方法である 負荷分散のため GMS の分散化とその連携 GSCIP をインターネット空間へ適用 GMS の運用方法の検討 17

付録 18

通信性能測定環境 [1] ネゴシエーション時間 [2] 通信開始までの時間 [0] 情報配送時間 OS:FreeBSD6.1 CPU:Pentium4 3.0GHz MEMORY:1GB Ethernet:1000BASE-TX 試行回数 :10 回 IKE,KINK には racoon2 を使用 Kerberos サーバには Heimdal を使用 G E S X G M S I N I T _ I N F O _ R E Q [ 0 ] I N I R _ I N F O _ R E S D D E R G I [ 1 ] [ 2 ] M P I T C D N T C P / U D P G S C I P / G M S + D P R P G E S Y N o d e X N o d e Y I K E _ S A _ I N I T [ 1 ] [ 2 ] I K E _ A U T H T C P / U D P I P s e c / I K E N o d e X K D C N o d e Y A S _ R E Q [ 0 ] A S _ R E P T G S _ R E Q T G S _ R E P [ 1 ] [ 2 ] K I N K _ C R E A T E K I N K _ R E P L Y T C P / U D P I P s e c / K e r b e r o s + K I N K 19

測定結果 ネゴシエーション GSCIP: 起動時にグループ鍵を取得 IKE: ネゴシエーション時に共通鍵を生成 (DH) KINK:KDCがセッション鍵を生成し配送 通信開始までの時間 GSCIPではトリガーとなったパケットをカーネル内に待避 IPsecではTCPの DPRP IKE KINK 再送処理に頼っている [0] 情報配送 6.11 0.89 [1] ネゴシエーション 0.38 264.09 3.07 TCP 再送処理 [2] 通信開始までの時間 (TCP) 1.78 2862.15 3037.98 [2] 通信開始までの時間 (UDP) 1.89 429.92 16.03 単位 : ミリ秒 20

暗号化処理モジュールについて PCCOM(Practical Cipher COMmunication) パケットフォーマットを変更せずに 本人性確認, パケット全体の完全性保証を実現 NATやFWを通過可能 ( イントラネットでは有効 ) FTP ダウンロード時間 単位 :sec Normal PCCOM IPsec ESP 13.94 20.22 43.43 500MBのファイルをダウンロード スループットの低下は尐ない 21

PCCOM 詳細 完全性保証 本人性確認 疑似データを用いたTCP/UDPチェックサムの独自計算により実現 IPアドレスとポート番号の完全性は動作処理情報の検索過程で保証 NATと共存可能 ユーザデータのみを暗号化 従来どおりパケットフィルタリング可能で, ファイアウォールと共存可能 完全性保証 ( 転送中に変化しないフィールド ) PCCOM IP ヘッダ TCP ヘッダ データ 暗号部分 22

IPsec ESP 詳細 TCP ヘッダを含め暗号化 TCPヘッダにポート番号を含む NATを通過させるにはUDPでカプセル化 完全性保証 IPヘッダ ESPヘッダ TCPヘッダデータ ESPトレーラ ESP 認証値 23

IPsec ESP と PCCOM IPsec は強靱なセキュリティ インターネット空間への適用 PCCOM はイントラネットの環境に特化 NAT や FW と共存できるためイントラネットへの適用 IPsec ESP PCCOM 機密性 本人性確認 完全性保証 NAT ファイアウォール フラグメント トラフィック解析 24

KINK(Kerberized Internet Negotiation of Keys) Kerberos の共通鍵認証機構を利用した SA 交換方法 ノードは事前にKDCと秘密鍵を共有 ノードIDと秘密鍵をKDCが管理 Node X KDC Node Y 認証チケット要求認証チケット応答 認証チケット要求認証チケット応答 サービスチケット 要求 サービスチケット応答 SA 交換 SA 交換 ノードと KDC は事前に鍵を共有ノードはレルムに所属 サービスチケット鍵 x{ セッション鍵, 鍵 y{ セッション鍵,IDx}} KDC が提供するセッション鍵を用い SA の交換 25

KINK(Kerberized Internet Negotiation of Keys) KINK でグループ通信を導入すると 通信グループの定義をKDCに集約 クライアントには通信相手のKerberos IDだけでよい :n 所属グループに応じてKerberos ID, 共通鍵が必要である 複数のID, 共通鍵を所持する X@ レルム A,Z@ レルム A Y@ レルム B,Z@ レルム B KDC レルム B レルム A Node X 所属する通信グループが増加すると ID と KDC との共通鍵が増加する Node Y Node Z 26

SSL(TSL) 特徴 ペイロードを暗号化した TCP 長所 NAT との併用が可能 Web アプリケーションのセキュリティ確保は, 事実上標準 短所 WWW サービス以外ではあまり普及していない Socket API とは別の API を利用するため, 非 SSL アプリケーションを SSL 対応させるには, アプリケーションの修正が必要 27

グループ鍵の更新 通信グループから離脱 一日毎に更新 (3 時 ) v2 v1 管理者 GMS GK の更新 配送 v1 GES1 グループからの離脱 GES2 28

グループ管理サーバの実装 Fedora6(Linux) に実装 サーバデーモン :gmsd データベース :MySQL Webアプリケーション :Apache GE:FreeBSD6.1 クライアントデーモン :gmcd Data Base gmcd Administrator SSL WebAP GMS gmsd SPAIC gmcd GES GEN gmcd GEA 29

IKE の相手認証方式 事前共有鍵方式 スケーラビリティに欠ける デジタル署名方式 公開鍵方式 キック ( 通信グループの定義方法?) 事前共有鍵方式以外は実装が必須ではない 30

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック