[:ja]
概要
GETVPN (Group Encryption Transport VPN)とは, 各サイトのアドレスがrouting可能なPrivate WANにおいて各サイト間で暗号化通信を実現する技術である. 暗号化通信を実現する方法としてGDOI (Group Domain of Interpretation)とIPsecが使用される.
GETVPNでは, 暗号化に使用する鍵を配布するKey Serverと実際に暗号化通信を行うGroup Memberから構成される.
Group MemberはKey Serverにレジストすることで暗号化通信に使用する鍵を入手し, これを使用することでGroup Member間での暗号化通信が可能となる. このため, DMVPNのように各サイト間でIPsec VPNを確立する必要がない.
また, 暗号化の際には既存パケットのIP addressを使用してカプセル化を行う. そのため, WANでは各サイトのアドレスがRouting可能である必要がある.
動作の概要は次の通り.
STEP1 :
Group MemberはKey Serverにレジストする.
STEP2 :
Key ServerはレジストしてきたGroup Memberの認証に成功すると, 暗号化に使用する鍵とIPsec policyを配布する.
STEP3 :
Group MemberはIPsec policyと一致する通信を暗号化して送信する.
STEP4 :
Key Serverは定期的に鍵を生成(rekey)し, Group Memberに再配布する.
関連用語
GETVPNで使用される用語は次の通り.
GDOI (Group Domain of Interpretation)
Group key managementのための暗号プロコトル. ISAKMPとIKEv1を基に構成されており, Group MemberとKey Serverの間で安全な鍵交換を行う.
GM (Group Member)
実際に暗号化通信を行うルータ.
KS (Key server)
Group MemberにKEKやTEK, IPsec policyを配布するルータ. 自身は暗号化通信には参加しない.
KEK (Key Encryption Key)
鍵を暗号化するために使用する鍵. Key Serverが鍵を再配布する際にKEKで暗号化することで, 新しい鍵を安全に配布することができる.
TEK (Traffic Encryption Key)
通信を暗号化するために使用する鍵. Group MemberがIPsec policyに一致するパケットを転送する際は, この鍵を使用して暗号化する.
リンク
Next : GETVPNの詳細
[:]
