2001 Fiscal Year Annual Research Report
階層的セキュリティドメインの実現を可能とするVPN構成方式に関する研究
| Project/Area Number |
13680421
|
|---|
| Research Institution | Osaka City University |
|---|
Principal Investigator |
石橋 勇人 大阪市立大学, 学術情報総合センター, 講師 (70212925)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
山井 成良 岡山大学, 総合情報処理センター, 助教授 (90210319)
安倍 広多 大阪市立大学, 学術情報総合センター, 講師 (40291603)
松浦 敏雄 大阪市立大学, 学術情報総合センター, 教授 (40127296)
|
|---|
| Keywords | VPN / 階層的セキュリティドメイン / LDAP / インターネット / セキュリティ |
|---|
| Research Abstract |
従来から使用されているVPN技術では,VPNリンクを確立するためには接続先のセキュリティゲートウェイに対してIP層のレベルで直接到達可能であることが要求される.ところが,セキュリティドメイン(同じセキュリティポリシーを共有するネットワーク空間であって,異なるセキュリティポリシーを持つ空間とはセキュリティゲートウェイによって隔てられている)を階層的に構成すると,内側のセキュリティゲートウェイに対して外部からは直接到達不可能であるために,VPNリンクを確立することが不可能となる.この問題を解決するためには,セキュリティゲートウェイを外側の階層から順に1段づつトラバースすることが考えられるが,単純にこれを行うと,効率やセキュリティに関して問題が生ずる.そこで,セキュリティゲートウェイをトラバースしつつ仮想パスを確立した上でVPNリンクを確立する方式を提案し,その実現の一例として,SOCKS5を用いた実装を行って動作を確認した.また,セキュリティゲートウェイをトラバースする際には,何らかの形でセキュリティドメインの構造を知る必要があるが,このためにLDAPを利用してVPNパスの経路制御を行う方式について提案した.この方式では,各ドメインの管理者がLDAPによるディレクトリサービスによって参照できる形でセキュリティドメインの階層構造に関する情報を定義しておくことによって,VPNパスをシグナリングする際にシステムが自動的にその内容を参照する.したがって,分散管理が可能であり,接続する相手(クライアント)側にはセキュリティドメイン階層に関する情報を与える必要がないという利点がある.
|
