16:37:54.086496 IP 172.16.2.100.isakmp > 172.16.1.100.isakmp: isakmp: phase 2/others ? inf[E]
16:38:05.028189 IP 172.16.2.100.isakmp > 172.16.1.100.isakmp: isakmp: phase 2/others ? oakley-quick[E]
16:38:05.034376 IP 172.16.1.100.isakmp > 172.16.2.100.isakmp: isakmp: phase 2/others ? oakley-quick[E]
16:38:05.038972 IP 172.16.2.100.isakmp > 172.16.1.100.isakmp: isakmp: phase 2/others ? oakley-quick[E]
16:38:14.514760 IP 172.16.2.100 > 172.16.1.100: ESP(spi=0x028fa226、seq=0x1) 16:38:14.516088 IP 172.16.1.100 > 172.16.2.100: ESP(spi=0x0e96c28a、seq=0x1)
16:38:26.505464 IP 172.16.3.100.isakmp > 172.16.1.100.isakmp: isakmp: phase 2/others ? inf[E]
16:38:30.619865 IP 172.16.3.100.isakmp > 172.16.1.100.isakmp: isakmp: phase 2/others ? oakley-quick[E]
16:38:30.624776 IP 172.16.1.100.isakmp > 172.16.3.100.isakmp: isakmp: phase 2/others ? oakley-quick[E]
16:38:30.628804 IP 172.16.3.100.isakmp > 172.16.1.100.isakmp: isakmp: phase 2/others ? oakley-quick[E]
16:38:35.996463 IP 172.16.3.100 > 172.16.1.100: ESP(spi=0x09c74c8e、seq=0x1) 16:38:35.997632 IP 172.16.1.100 > 172.16.3.100: ESP(spi=0x008a3adc、seq=0x1)
spdadd 192.168.1.100 192.168.2.150 any -P out ipsec esp/tunnel/192.168.1.100-172.16.2.100/require;
spdadd 192.168.2.150 192.168.1.100 any -P in ipsec esp/tunnel/172.16.2.100-192.168.1.100/require;
iptables -I PREROUTING -t nat -p 50 -s 172.16.2.100 --dst 172.16.1.100 -j DNAT --to-destination 192.168.1.100 iptables -I PREROUTING -t nat -p udp --destination-port 500 -s 172.16.2.100 -j DNAT --to-destination 192.168.1.100
iptables -A POSTROUTING -t nat -s 192.168.1.100 -j SNAT --to-source 172.16.1.100
iptables -I PREROUTING -t nat -p 50 -s 172.16.3.100 --dst 172.16.1.100 -j DNAT --to-destination 192.168.1.200
iptables -I PREROUTING -t nat -p udp --destination-port 500 -s 172.16.3.100 --dst 172.16.1.100 -j DNAT --to-destination 192.168.1.200
iptables -A POSTROUTING -t nat -s 192.168.1.200 -j SNAT --to-source 172.16.1.100
本章では、IPsec Pass ThroughをNATルールにソースIPアドレスを用いる拡張を提案し た。
従来、NATとIPsecの親和性の低さが課題であった。特にNATを介するとIPsecパケット がNATを通過できないという課題が解決される必要がある。IPsecパケットがNATを通過す る手法としてIPsec Pass ThroughとUDP Encapsulation of IPsec ESP Packetsが用いられ てきたがそれぞれの技術には課題が存在した。
静的NATにより、NAT装置に到達したIPsecパケットを、内部の端末にアドレス変換する
IPsec Pass Throughでは、アドレス変換を一対一で行うために、IPsecを利用できるのは内部
の一台の端末のみであることが課題であった。UDP Encapsulation of IPsec ESP Packetsを 用いてUDPカプセル化した際には、NAT装置の中にある複数の端末が、NAPTを介して同時
にIPsec を利用できる。しかし、グローバルIPアドレス側からプライベートアドレスを用い
ている端末に対してIPsec通信を開始するには、IPsec Pass ThroughでUDPカプセル化した パケットを受け取った端末が内部に転送するNATルールを静的に設定しておく必要があるた め、外部からのIPsec要求を受けられるのは一台のみである点や、新たにカプセル化に対応し た実装が必要であり、非対応の端末では利用できないことが課題であった。
本章では、従来のIPsec Pass Throughでは不可能とされてきた、一つのグローバルIPアド レスを用いて、プライベートIPアドレスで接続された複数の端末が、同時にIPsec 通信を待 ち受けられることができるNAT方式を提案し、実装評価した。提案方式は従来のIPsec Pass
Throughと同様に通常のESPパケットとIKEパケットを疎通させることができる。その際に
NATルールを外部の端末のIPアドレスをソースIPアドレスとして用いる拡張を行うことに より、NATの外部の機器とNAT の内部の機器を対応付けることが可能になり、複数のLAN 内の端末に対して、異なる外部機器が同時にIPsecで通信を要求することを可能にしている。
またNATルールの設定は、WEBブラウザを用いて簡易に行うことができるため、本提案方 式を利用するための追加の設定やソフトウェアは必要ない。ただし、本提案方式では ESP パ ケットとIKEパケットのIPsec NAT Traversalを解決しているのみであり、機器同士のIPsec の通信の設定などは別に正しく行われている前提で動作する。本章のはじめに述べたような、
IPsec の直接通信をアプリケーションが要求する際には、IPsec の設定はアプリケーションが
解決することを期待できるが、より汎用的なケースにおいてはプライベート IP アドレスを持 つ機器と外部端末とのSP、SAの設定などのIPsecに関する設定はユーザによる設定を想定し ており、この設定の簡便化、自動化は利用を広げる上での今後の課題である。
本章では、本提案方式の実現性を確認するための試験を実施した。試験環境は仮想環境上に ネットワークを構築し、ルータは Linux 標準の NAT の実装を用い、IPsec 端末も標準的な
Linux OSによって構築した。実証試験では本提案方式を用いたNAT配下での複数の端末での
IPsecを同時に利用できることを確認し、本提案方式の有効性を実証した。
このように、本提案方式は、NATがある環境においても、IPsecを用いてEnd to Endの安
なる。また、本提案方式は、ルータ装置のみで実現でき、従来のIPsecの実装をそのまま用い ることができることから、普及が容易である。
本提案方式は、IPv4環境であってもIPsecをP2P通信に利用することを可能にし、その利 用は低コストで簡易であることから、ユビキタスネットワークの実現に向けた安全・安心なネ ットワーク環境の普及に寄与すると考えられる。
6 章 結果
本論文では、ユーザが有線、無線LANやPHS、3Gなどの多様な回線と、ノートPCやPDA、
携帯ゲーム機や情報家電など多様な端末を利用して、いつでも、どこからでもインターネット が利用できるユビキタスネットワークの普及が進んだ際に必要となる技術の提案と実装を行 った。いつでもネットワークに接続できる環境では、インターネットに接続している際にも、
人ごみの中にいたり、仕事中であったりするなどしてユーザ自身が双方向通信を行える状態に ない、アクセスしている回線が狭い帯域であるなど、双方向のコミュニケーションを常に受け られる状態ではないこともある。相互のプレゼンス情報を交換することで、双方向コミュニケ ーションを円滑に行えるようにするため、ユーザのプレゼンス情報をセンサデバイスから自動 生成し高い頻度で更新することで、ユーザ同士のコミュニケーションを円滑にする P2P 型プ レゼンスシステムを提案した。また、外出先で利用可能なノートPCやPDA、情報家電などの 任意の端末を用いて、オフィスや自宅ネットワーク内の機器へ安全かつ簡易にアクセスできる ファイアウォール・NAT制御方式を提案した。さらにこの制御方式を拡張し、NATがある環 境においても、IPsecを用いてEnd to Endの安全性を実現することを可能にするIPsec NAT Traversal技術を提案した。
3章ではSIMPLEプロトコルによるP2P型プレゼンスサービスを提案し、提案方式を実装
し評価を行った。従来、プレゼンスサービスではプレゼンティティの情報を中央サーバに集め、
中央サーバがウォッチャに送信する方式を用いていたが、本論文では、ユーザの保持する各端 末がプレゼンスサーバとして動作する、P2P型プレゼンスサービスを提案した。P2P型プレゼ ンスシステムとすることで、プライバシ情報の保護と、スケーラビリティの向上を実現した。
従来の中央サーバ方のプレゼンスシステムでは、プレゼンス情報を高頻度で更新すると、中央 のプレゼンスサーバに負荷が集中し、スケーラビリティの上での懸念が生じるが、P2P型プレ ゼンスシステムでは、各端末のプレゼンスサーバの負荷はプレゼンス情報を交換する端末の機 器に依存し、系全体の端末数に影響されないというスケーラビリティ上のメリットがある。ま た、各端末内でプレゼンス情報を収集・加工することで、個人情報をユーザが送信しようとし た相手のみに送ることができ、プライバシ情報を中央サーバに送る必要がなくなるため、プラ イバシ保護の観点から優位性がある。
提案方式のアーキテクチャでは、プレゼンス情報の加工や取得を高めるためにモジュール方 式を採用した。具体的には、端末のセンサデバイスから得た情報を加工してプレゼンス情報 とする機能では、情報を取得するセンサデバイスと、情報を加工するロジックの実装に対 してそれぞれAPIを規定し、各機能をモジュール方式とすることで、着脱や変更を容易に した。前述したように、プレゼンス情報の収集・加工の機能を端末内に実装することで、
個人情報を外部に出さずに、公開するプレゼンス情報を生成することができるため、未加
本研究では提案方式をLinuxで動作するPDA上に実装し、評価を行った。PDA上の比較的 非力な端末において、8ユーザとプレゼンス情報を交換する際に、CPU利用率が10%未満の 低負荷であり、提案方式ではPDAなどの非力な端末上で実装した際にも70台から80台程度 の端末とプレゼンス情報を交換できるスケーラビリティを有することを示した。また、本研究 では二種類のセンサデバイスを用いて提案方式を評価した。一つは、メディアハンドオーバ機 能からアクセス回線の情報を取得しプレゼンス情報を取得し、通信相手に対して、回線の帯域 によって適したアプリケーションを示す情報を送ることができた。もう一つは端末上で無線 LAN の情報から位置情報を生成するモジュールを実装した。これらのモジュール構成とした センサデバイスからの情報を端末が取得し、中央サーバを介さずにプレゼンス情報が自動生成 し交換できることを示した。
4章では家庭やオフィスのプライベートIPアドレスで構築ネットワークに接続された機 器に外出先からPCや情報家電、携帯用ゲーム機などの任意の端末から安全かつ簡単にア クセスする仕組みを提案し、提案方式を一般的なLinuxルータ上に実装し、提案方式の有 用性を確認した。本提案方式を実装したルータは、外部からユーザが LAN 内の機器と通 信する際に、WEBブラウザを用いてユーザ認証を行い、その際にユーザ端末のIPアドレ スをソースIPアドレスとするファイアウォールとNATのルールを動的に生成する。正規 のユーザが利用しているIPアドレスをファイアウォールルールのソースIPアドレスとし て動的に用いることで、正規のユーザがファイアウォール越しに LAN 内の機器を利用し ている最中でも、異なる IP アドレスを用いている非正規ユーザからの通信はファイアウ ォールで遮断することができる。また NAT ルールに外部機器のアドレスを用いることに より、同一のTCP/UDPのポート番号を持つ機器が、同時に外部からの通信を受けられる ことを実現している。これらのファイアウォールと NAT のルールは、ユーザの認証セッ ション単位で管理されており、ユーザ同士は独立して操作を行い、通信も独立して行うこ とができる。また、WEB ブラウザや端末の利用をユーザが中断し認証されたセッション からの通信がこなくなった際には、生成したファイアウォールと NAT のルールを自動的 に削除することができる。
本提案方式はアクセス制御の操作をWEBブラウザによるアクセスによって実現するた め、外出先で利用する端末に追加のソフトウェアやコンフィグレーションは必要ない。提 案方式を利用するには、提案方式を実装したルータを設置するのみで利用でき、LAN 内 の機器にソフトウェアやコンフィグレーションの追加を行う必要はない。本論文では、提 案方式をLinuxによる市販ブロードバンドルータの上に実装し、市販の情報家電などへの アクセスが行え、ルールが自動的に削除されることを確認した。また、本提案方式を外出 先からノン PCデバイス(情報家電)を用いて制御し、家庭内の LANに設置した情報家 電にアクセスできることを確認した。
第5章では、IPsec Pass ThroughをNATルールにソースIPアドレスを用いる拡張を提案 した。提案方式では、従来のIPsec Pass Throughでは不可能とされてきた、一つのグローバ ルIPアドレスを用いて、プライベートIPアドレスで接続された複数の端末が、同時にIPsec 通信を待ち受けられることができるNAT方式を提案し実装評価した。NATルールを外部の端