2000年度森基金 プロジェクト科目助成-A
公開鍵基盤を用いた IP Security 認証機構の開発
モービル広域ネットワークプロジェクト
村井 純
本研究の概要
現在インターネットが重要な社会基盤として,急速に普及しつつあり,安全に通信できるネットワークへの要求が急速に高まっている. そこで,IPレベルで安全な通信(通信の暗号化,通信相手の認証)を実現する機構として IP Security (IPsec) が広く使われ始めている. また,IPsec における暗号化や認証の際に使われる鍵を自動で行なうための機構である Internet Key Exchange (IKE)も実現されている. IKE は通信を開始する前に,通信相手の認証を必要とする. そこで本研究では IKE の認証に電子証明書を利用し,証明書の検証をオンラインでリアルタイムに行なうための機構を実現し,認証の自動化や移動計算機における IPsec の普及を促す.
研究活動
Online Certificate Status Protocol (OCSP) は,オンラインでリアルタイムに電子証明書の有効性を検証することのできるプロトコルである. その仕様は固まっているが,その実装はいまだ非常に少ない状況である. そこで,まず初めにオープンソースの SSL の実装である,OpenSSL に対する OCSP の実装の検証から始めた.
検証により,サーバ側において OCSP が動くことの確認がとれたので,次にクライアント側での動作のための実装を行なった.
OpenSSL に対して OCSP に対応するための改良を行なったものをサーバとして,また OCSP に対応するための改良を行なった IKE をクライアントとして使用し,IKE における OCSP の利用の検証を行なった.
研究成果
本研究は継続中のため,まだまとまった成果は出ていない.しかし,実験段階で以下のような検証を行なうことができた.
電子証明書の検証
| ホスト証明書の検証 | CA 証明書の検証 | リアルタイムの検証 | |
| IKE | ○ | × | × |
| IKE + OCSP | ○ | ○ | ○ |
運用コストの違い
| 既存の技術を利用した場合 | CA が証明書を発行したホストと通信をするホストにすべて,手動でその CA の証明書を登録しなければならない |
| 本研究を利用した場合 | CA の証明書は一度 OCSP サーバとなる CA に登録すれば,証明書の検証が必要なホストは OCSP を用いて検証するだけでよい |
また IPsec の研究の一環として以下の論文を INET2000 に投稿し,発表を行なった.
今後の展望
今回の実験では OCSP の動作を検証することが目的であったため,移動ホストを対象とした動作実験を行なうことができなかった.そのため,今後,移動ホストにおいて本機構を動作させ,検証を行なうことが必要と考える.
また現在,Mobile IP が実際に稼働する段階にまで開発が進んでいる.本研究は,Mobile IP のように,移動するホストが「不特定多数」の通信相手と通信する際に,もっとも有用となるので,今後,Mobile IP を実行するホストにおいて本機構を動作させ,さまざまな通信先と通信を行なう,といった実験が必要と思われる.
また,商用の CA には OCSP に対応したものがあるため,そのような CA パッケージに対して,本機構を用いた検証ができるかどうかも,確認する必要がある.これは,相互接続性の問題のため,継続的に行なう必要がある.
さらに,本研究で改変を加えた IKE はすでに古くなってしまっているので,最新の IKE に対する実装も行なわなければならない.
参考文献