モダンな機能を搭載した標準プロトコル(IPsec / IKEv2)ベースのユーザ ...

More documents

Recommendations

Info

証明書ストア X.509証明書SPI ( librhpcert.so ) セキュア・プロセス PF_NETLINK 暗号処理SPI ( librhpcrypto.so ) Rockhopper daemon プロセス間通信 Network Stack ( TCP/IP ) 暗号ハードウェア外部ライブラリ外部ライブラリ外部ライブラリメイン・プロセス PF_INET ESPプロトコルSPI ( librhpesp.so ) /dev/tun TUN/TAP Driver (tun.ko) ※ SPI : Service Provider interface Log SPI ( librhplog.so ) Debug Trace SPI ( librhptrace.so ) Authenticator SPI ( librhpeaps.so ) Supplicant SPI ( librhpeapc.so ) カーネル空間
Role / ID<strong>ベースの</strong>VPNポリシー管理 ● セキュリティポリシーを共有するノードを”VPNレルム” へロール化。ロール毎に設定を行うモデルを採用。 ● ピア毎に設定を記述する運用モデルはメンドウ。 ● マルチホスティングを実現 – 同一IP/Port番号上で複数のロールを定義可能。 ● ロールはIKE_AUTHで交換されるID値への部分マッチフィルタで識別。 – 設定可能な部分マッチ条件 ● E-Mailアドレスのサブドメイン部 (*@sales.hoge.com) ● FQDNのサブドメイン部 (*.sales.hoge.com) ● X.509証明書SubjectのRDNの組み合わせ (O=hoge,OU=sales) ● X.509証明書SubjectAltName: E-Mail / FQDN (上述と同様) (例) *@sales.hoge.com を含むID ==> 「営業部レルム」へマップ
Page 1 and 2: モダンな機能を搭載した
Page 3 and 4: 開発の経緯(1) ● 2004年頃(?
Page 5 and 6: 特徴(1) ● 標準プロトコル
Page 7 and 8: 特徴(3) ● Role / IDベースの
Page 9 and 10: 暗号プロトコルによるVPN
Page 11 and 12: IPsec(IKEv1+ESPv2)のイメージ(1
Page 17 and 18: IKEv2の登場!(2) ● 実際に必
Page 19 and 20: IKEv2の登場!(4) ● より安全
Page 21 and 22: Rockhopper : 設計方針
Page 23 and 24: (2)TCPカプセリングは。。
Page 25 and 26: (3)柔軟”すぎない”設計:
Page 27 and 28: IPsecの伝統的な実装モデル
Page 29 and 30: IPsecの伝統的な実装モデル
Page 31 and 32: 本ソフトウエアの実装モ
Page 33 and 34: TUN/TAPドライバ(Linux 2.6.x) (2
Page 35 and 36: TUN/TAP + Rockhopper application ap
Page 37 and 38: (問)Tunnelか?TAPか? または両
Page 39 and 40: 脱線(2)TUN/TAPドライバのMAC
Page 41 and 42: カプセリング方式 ● 2つ
Page 43 and 44: プロセスの分離によるセ
Page 45: カスタマイズしやすい設
Page 49 and 50: taro@role1.hoge.com ロール1 ロ
Page 51 and 52: リクエスト Key Store 暗号/
Page 53 and 54: 暗号化処理シーケンス例
Page 55 and 56: AJAX(Comet)ベースのWeb管理イ
Page 57 and 58: AJAX(Comet)ベースのWeb管理イ
Page 59 and 60: マルチコアCPU環境への対
Page 61 and 62: ルールベースのタスク負
Page 63 and 64: ルールベースのタスク負
Page 65 and 66: タスク実行の優先制御 ●
Page 67 and 68: タスク実行の優先制御の
Page 69 and 70: その他(詳細は論文をご覧
Page 71 and 72: 将来検討中(詳細は論文を
Page 73 and 74: (将来): End-to-End Security ●
Page 77 and 78: (将来): End-to-End Security ● I
Page 81: ご清聴ありがとうござい

モダンな機能を搭載した標準プロトコル(IPsec / IKEv2)ベースの ユーザ ...

Create successful ePaper yourself

Delete template?

Save as template?

モダンな機能を搭載した標準プロトコル(IPsec / IKEv2)ベースのユーザ ...