5/27 ITRC15
公開鍵暗号による電子署名を用いた
公衆インターネットアクセス方式の提案
黄 穎
中村 素典
岡部 寿男
京都大学
情報学研究科
[email protected]
Made with OpenOffice.org
1
公衆無線インターネットとは
認証
Gateway
AP
MN
AP
自由モデル
(Free Spot)
MN
事業者モデル
特徴
利用者が不特定
端末のモビリティがある
発信者特定の必要がある
Made with OpenOffice.org
2
VPN方式(例：みあこネット)
認証
Gateway
PPTP
AP
特徴
MN
VPNサーバで認証
既存のアクセス線利用
利点
既存のアプリケーション(PPTP)で実現
欠点
経路の煩雑化、パケットのオーバーヘッド
VPNサーバにかかる負担が集中
Made with OpenOffice.org
3
分散VPN方式(みあこネットの改善)
Foreign
Gateway
Foreign
Gateway
Foreign
Gateway
認証
Residential
Gateway
Foreign
Gateway
MN
特徴
ResidentialGatewayがVPNの機能
利点
セキュアな分散ネットワークを実現
欠点
経路の冗長化 、通信の効率が悪い
Made with OpenOffice.org
4
提案モデル
CN
Foreign
Gateway
Foreign
Gateway
Foreign
Gateway
認証
Residential
Gateway
Foreign
Gateway
MN
課題
MobileNodeのパケットの真正性を保証(電子署名)
Foreign Gatewayの負担を最小限
Mipv6+IPsecの公開鍵拡張で実現
Made with OpenOffice.org
5
Mipv6+IPsecの公開鍵拡張
Mipv6
ホームアドレスオプションを利用し拡張できる
MobileNodeのIDとなるホームアドレス
をパケットに埋め込むことができる
IPsec
秘密鍵暗号を用いた暗号(ESP)、認証(AH)機能
サービス単位ではなくホスト単位の通信にセキュリ
ティを保証
公開鍵暗号
鍵配布リスクが低い
Made with OpenOffice.org
6
関連研究 -MSEC
draft-ietf-msec-ipsec-signatures-00.txt
RSAアルゴリズムを利用したマルチキャスト認証
の提案
受信者が送信者の公開鍵を入手
送信者が署名したパケットを配信
受信者がハッシュ値を認証
鍵の生成や暗号のパフォーマンスに懸念あるが
ハードウェアの改善が期待できる
Made with OpenOffice.org
7
鍵配布方式(HAが管理)
CN
HAに問い合わせ
MNを認証
通信開始
HA
HAに問い合わせAR
MNを認証
MNのホームアドレス MNの公開鍵
FG
Care of Address
をHAに通知
MN
HomeAgentがMobileNodeの公開鍵を管理
問題点：HomeAgentを持たないノードに対応で
きない
Made with OpenOffice.org
8
鍵配布方式(PKI方式)
CN
HAに問い合わせ
MNを認証
電子証明書
MNの
公開鍵
電子署名CA
通信開始
CA
AR
CAに問い合わせ
FG MNを認証
MN
CAが鍵を管理
メリット 信頼性が高い
デメリット：PKIのインフラが必要
Made with OpenOffice.org
9
その他の方式
DNSSEC
RFC2535
DNSセキュリティ拡張の公開鍵配布機能を利用
公開鍵をKey Resource Recordに蓄積
PGP
信用の輪で広げるor権限者で証明
Made with OpenOffice.org
10
考察および今後の課題
考察
処理時間
パケットのオーバヘッド
スケーラビリティ
今後の課題
bsd上で提案プロトコルを実装
性能検証
Made with OpenOffice.org
11