KEYVPN™ CLIENT アンドロイド端末OEMと企業ユーザ向けに最適化された、業界最先端のIPSEC VPNクライアント KeyVPN Client™の特長とベネフィット • • 最新のアンドロイドバージョンをサポート(Ice Cream Sandwich, Jelly Bean) Configuration Wizard for IT administratorsによ り、ユーザによるVPN設定はワンクリックで実現 • 出荷後の端末にインストール可能なアプリとして提供 (Android 4.x以降) • スプリットトンネリングにより、必要なデータのみをセ キュアにし、バッテリ節約も実現 • 通信キャリア要件に準拠 • エンタープライズ認証:Hybrid RSA、EAP— MSCHPv2、EAP-MD5、RSA Secure ID • 政府、金融機関、ヘルスケア産業のセキュリティ要件 を満たすスイートBアルゴリズムとFIPS140-2レベル 1認定暗号(オプション) 現在、モバイル市場では消費者レベルでのアンドロイド端末の普及が急激に進んでいます。現在企業は、世界各国の 消費者たちが容認していたアンドロイド端末の特徴、機能性、そしてユーザエクスペリエンス等に注目をしています。 ア ンドロイド端末OEMは消費者向け端末を企業向きへと移行しつつありますがBlackberryやiPhoneと競争するにはよ り高度なセキュリティ機能が必要など、課題は多々存在します。 KeyVPN™ Client: 業界最先端のモバイルVPNソリューション KeyVPN Clientは徹底されたアンドロイドOEM用のセキュリティソリューションとして開発されました。企業機密を扱 う際に必要とされるVPN通信トンネルを簡単にアンドロイド端末へと組み込むことが出来ます。そのうえ、 アンドロイド 4.X の端末にはダウンロード可能なモバイルアプリとしてワンクリックで活用出来ます。 KeyVPN™ ClientはVPNコンソーシアムの相互接続性試験で実証済みであるNanoSecをベースに作られており、直 感的に操作できるGUIと最新のアンドロイドOS対応可能なサポートが付いています。 マルチプラットフォームにも対応可能なので、OEMは一つの暗号モジュールを複数のSecurity Detail™ Android OEM製品(NanoSecやKeyDARなど)を活用する事が出来、 システムレベルでの効率そしてサイズやパフォーマンス の改善が実現されます。 モカナの暗号モジュールは全てNSAスイートBを使用しています。 さらに、オプションであるモカナFIPS140-2レベル1 認証済み暗号モジュールを採用する事で、OEMは消費者、企業そして政府機関のセキュリティ要件全てに準拠する事 が可能となります。 © 2014 Mocana Corporation Updated July 17, 2014 1 小規模なパッケージで大幅なVPN活用性 KeyVPN™ Clientは全てのエンドユーザに簡単で直感的な操作が出来るGUIを含んでいます。他にもマルチVPN構 成プロファイルや多数のゲートウェイ処理、VPN有無の同時トラフィックのサポートやスイートB暗号などが特長として あります。 高度な構成を簡単操作 • モジュラーデザイン:GUIの無い組み込み端末に統合を促進 • カスタマイズ性が高い:ほぼ全ての市場にあてはまる、オープンソースIPSecベースVPNサーバソフトウェアまたは アプライアンスへの接続が可能 • 多目的:一つのIPSecコアサポートをIMS 4Gと企業用VPNの連結性へ使用 • 効率が良い:一つの暗号モジュールを複数のセキュリティアプリケーションに使用することが可能 企業と政府アプリをサポート • NSAスイートB暗号含む • FIPS140-2レベル1認定暗号モジュール モバイルOSプラットフォームをサポート • アンドロイド Ice Cream Sandwich • アンドロイド Jerry Bean • アンドロイド KitKat ハードウェア プラットフォームをサポート KeyVPN™ Clientのベネフィット アンドロイド情報端末が企業や政府機関へ普及するにつれ、バックエンドのITシステムや基盤などの安全性を確保す る必要性が高まりつつあります。モカナのKeyVPN™ Clientを利用することでOEM は標準的なアンドロイドを遥かに 上回るセキュリティ機能を確保できます。 企業の通信手順に見合う IKE/IPSec VPNは企業のデスクトップPCやラップトップPCなどに頻繁に活用されています。今や企業はモバイル端 末にもパソコンなどと同様のVPNを要しており、KeyVPN Clientはこれに見合う通信手順であります。 現在市場にあるBlackberryやiPhoneは既にIKE/IPSec VPNを使用しています。 © 2014 Mocana Corporation Updated July 17, 2014 2 対応性と相互運用性 IPSecベースのVPNトンネルをアンドロイドのエンドポイントと企業のVPNゲートウェイ間に設定すること で、KeyVPN™ Clientは遠方にあるアンドロイドスマートフォンやタブレットに企業資料への安全なアクセスを許可す ることが出来ます。 エンドポイントとゲートウェイ間の通信手順として主にIKEv/v2を使用しています。KeyVPN™ Clientは相互運用性の ある標準に基づいたソリューションな為、事前のVPNゲートウェイベンダーとエンドツーエンドの実装が不要となりま す。 米国政府機関との関係 全ての米国政府機関関係者とその大半の外注業者は、認証が至難なFIPS暗号法の使用を要します。 (*FIPSに関して の資料はウェブサイトに記載されていますので、是非ご参照ください) KeyVPN™ Clientのコアな暗号モジュールはソースまたはFIPS140-2レベル1承認のバイナリモジュールにてお届け しています。 ソースとモジュールは両方ともNSAのスイートBアルゴリズムのフルサポートを含んでいる為、高度な保証 度システムと標準保証度のシステム間の異なるセキュリティレベル同士でも安全が確保された通信が行われます。 簡単な使用方法と開発時間の削減 KeyVPN™ ClientはGPLコードを一切使用していません。そのため、オープンソースのプロジェクトのように知的財産 が知らぬ間に公有に属していたなどのGPL Contaminationの心配は無用です。KeyVPN™ Clientの暗号は表にはそ の複雑性が見えないデザインになっているので使用する際に暗号法専門知識を必要としません。KeyVPN™ Client を 採用したOEMは製品開発へ専念することができ、競争の激しいモバイル市場において製品出荷に要する時間を大幅 に短縮する事ができます。 さらに、KeyVPN™ Clientはハードウェアアーキテクチャ内に依存していないため小さなメモリ使用量で利用出来ま す。 モカナの特許取得中であるAcceleration Harnessを使用するこで非同時的な送信方式が可能になり、ハードウェア をオフロードする際にパフォーマンスの改善とバッテリー消耗防止が実現できます。KeyVPN™ Clientは必要な要素 を含んだパッケージであるため、 プロジェクトを適切にそして時間をかけず完成させることができます。 新規市場への上場 企業のアンドロイド採用にはIKE/IPsecVPNが不可欠です。KeyVPN™ Clientを採択することによりアンドロイド OEMはアンドロイド端末を企業市場へと進出する事ができます。 さらに、オプションであるモカナFIPS140-2レベル1 認証済み暗号モジュールを採用する事で、OEMは消費者や企業以外にも政府機関や金融機関など新規市場への上場 が可能となります。 競争力の向上 アップル社のiPhoneとiPadはIKE/IPsecVPNをサポートしていますが、対応するのはCisco社のみで機能性は限られ ています。KeyVPN™ Clientは先導しているVPNゲートウェイベンダーとの相互運用性があるため、99+%の企業市場 で活用できます。 Get There Fast 多くのアンドロイド情報端末OEMのロードマップ上にはVPNクライアントの機能性が用意されています。KeyVPN™ Clientを採択することで、市場で数少ない企業向けのプロバイダになることが実現されます。企業向けアンドロイド端 末として、 さらに、先導するOEMとして、情報端末の業務使用化に Key VPN Clientは最適な機能性を発揮します。 © 2014 Mocana Corporation Updated July 17, 2014 3 KeyVPN™ Clientの特長 特長 ベネフィットと明細 簡単な操作 & ユーザフレンドリー 最小のクリック数になるよう最適化 直感的なデザイン ITのトラブルシュートとチケットを減少 IKEv1 (アグレッシブとメインモード) IKEv2/IPv4/IPv6/XAUTH/ NAT Traversal 徹底的な通信手順 Data Encryption Standard (DES)/Triple DES (3DES) (56/168ビット)またはMD5かSHAのAES (128/256ビット)を使用し たIPSec (ESP) ベスト・イン・クラス暗号法/ RSA、Diffie-Hellman 、Elliptic Curve、NSAスイートB暗号法のフ ルサポート 認証 RSA SecurID、Hybrid RSA、EAP-MD5、EAP-MSCHAPv2 NSAスイートBアルゴリズムとオプション のFIPS140-2 レベル1認証暗号法 高度な暗号法基準と認証を使用 ヘルスケア、金融そして米国政府機関が必要最低限とする暗号法 余分な設備は不要 VPNC(VPNコンソーシアム)承認の 相互運用性 現存しているVPNゲートウェイと共存可能 最高限度で事業水準の通信手順との共存 MDMコンソールで VPNプロフィール設定 MDMコンソールからVPNプロファイルを設定する場合APIを提供 VPNとVPN無しのトラフィックを同時サポート スプリット・トンネル・モード スムーズなユーザ・エクスピリアンスを提供 帯域幅のネックであった企業ネットワークを撤去 © 2014 Mocana Corporation Updated July 17, 2014 4 Key Feature Benefits & Specifications 組み込みエラー探知と 時間と資金の無駄を省く ロギングメカニズム 早いトラブルシューティングと問題解決とITチケット 連結性 ネイティブのアンドロイドでWiFi (802.11a/b/g/b)、GPRS、3G、 Edge、UMTS、IMS 4Gワイヤレスをサポート ホストベースの設定ツールでVPNプロファイルの作成 KeyVPN設定ウィザード ユーザは複雑なVPN設定をする必要なし 主要のゲートウェイが作動しなくなった場合に自動的にバックアッ プ・サーバへと繋がります バックアップ・サーバ X.509 v3証明書のサポート 電子証明書とアドバンス・キー・マネージメ ント・サポート PKCS#12、 プロビジョニング・サポート (電子証明書)Diffie-Helman (DH法)グループ1、2、そして5の Perfect Forward Secrecy (PFS)鍵変更 KeyVPN™ Client の機能性と実装 Figure 1: ユーザインターフェイスとホームスクリーン 端末のホームスクリーンにVPNアプリケーションアイコンが拝見できます。 © 2014 Mocana Corporation Updated July 17, 2014 5 Figure2: 基本的な特長 KeyVPN Clientは完全に設定可能なVPNクライアントです。ユーザまたは企業のシステム管理者は独自のIKEバージ ョン(v1)、ユーザ認証方法(証明書や既知共有鍵)またはXAUTHを選択できます。 Figure3: アドバンスレベルの特長 KeyVPN Clientは基本より高度なアドバンスレベル設定でDead Peer Detection (DPD)とスプリットトンネリング などが利用できます。多くの設定可能なオプション(メインモードかアグレッシブモードの選択やスイートBアルゴリズ ムの選択等)から選択利用できます © 2014 Mocana Corporation Updated July 17, 2014 6 KeyVPN™ Client コンプライアンスとサポート基準 KeyVPN Clientは実績があり、多くの端末に配置されているモカナNanoSec(IKE/IPSec)製品をベースに組み立て られています。NanoSecは以下のIETF RFC、暗号化アルゴリズム、そして多々ある企業標準に準拠しています。 RFC コンプライアンス • RFC-2367, PF_KEY Key Management API, Version 2 • RFC-3566, The AES-XCBC-MAC-96 Algorithm and Its Uses With IPsec • RFC 2401/4301, Security Architecture for the Internet Protocol • RFC-3602, The AES-CBC Cipher Algorithm and Its Use with IPsec • RFC-2402/4302, IP Authentication Header • RFC 3610: Counter with CBC-MAC (CCM) • RFC-2403/4303, The Use of HMAC-MD5-96 within ESP and AH • • RFC-2404, The Use of HMAC-SHA-1-96 within ESP and AH RFC 3686: Using Advanced Encryption Standard (AES) Counter Mode With IPsec Encapsulating Security Payload (ESP) • RFC-3706, A Traffic-Based Method of Detecting Dead Internet Key Exchange (IKE) Peers • RFC-3715, IPsec-Network Address Translation (NAT) Compatibility Requirements • RFC-3748, Extensible Authentication Protocol (EAP) • RFC-3947, Negotiation of NAT-Traversal in IKE • RFC-3948, UDP Encapsulation of IPsec ESP Packets • RFC 4106: The Use of Galois/Counter Mode (GCM) in IPsec Encapsulating Security Payload (ESP) • RFC-4306, Internet Key Exchange (IKEv2) Protocol • RFC 4307: Cryptographic Algorithms for Use in the Internet Key Exchange Version 2 • RFC 4308: Cryptographic Suites for IPsec • RFC-4434, The AES-XCBC-PRF-128 Algorithm for the Internet Key Exchange Protocol (IKE) • RFC-2405/4305, The ESP DES-CBC Cipher Algorithm With Explicit IV • RFC-2406/4306, IP Encapsulating Security Payload (ESP) • RFC-2407, The Internet IP Security Domain of Interpretation for ISAKMP • RFC-2408, Internet Security Association and Key Management Protocol (ISAKMP) • RFC-2409, The Internet Key Exchange (IKE) • RFC-2410, The NULL Encryption Algorithm and Its Use With IPsec • RFC-2451, The ESP CBC-Mode Cipher Algorithms • RFC-3280, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile • RFC 3526: More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE) © 2014 Mocana Corporation Updated July 17, 2014 7 • RFC 4478: Repeated Authentication in Internet Key Exchange (IKEv2) Protocol • RFC 4835: Cryptographic Algorithm Implementation Requirements for ESP and AH • RFC 4543: The Use of Galois Message Authentication Code (GMAC) in IPsec ESP and AH • RFC 4868: Using HMAC-SHA-256, HMACSHA-384, and HMAC-SHA-512 with IPsec • RFC 4894: Use of Hash Algorithms in Internet Key Exchange (IKE) and IPsec • RFC-4555, IKEv2 Mobility and Multihoming • RFC-4718, IKEv2 Clarifications and Implementation Guidelines • RFC 4869: Suite B Cryptographic Suites for IPsec • RFC 4753: ECP Groups for IKE and IKEv2 • • RFC 4754: IKE and IKEv2 Authentication Using ECDSA RFC 5685: Redirect Mechanism for the Internet Key Exchange Protocol Version 2 (IKEv2) • RFC 4806: Online Certificate Status Protocol (OCSP) Extensions to IKEv2 • ModeConfig: draft-dukes-ike-mode-cfg-02.txt • XAUTH: draft-ietf-ipsec-isakmp-xauth-06.txt • RFC-2560, X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP • RFC-3280, X.509 certificate and CRL profiles Complete control of AH and ESP protocols configuration • IKE APIs to handle VendorIDs, customization of Initial Payload Exchange –– Multiple concurrent instances for multihoming, VLAN, per-interface, etc. • IKE APIs to set / retrieve information in XAUTH and ModeConfig interactions • Complete control of transport and tunnel modes • Support for Dead Peer Detection (DPD) and hooks for customization of DPD interactions. • Simple and complete control of shared secrets (IKE authentication) • Supports Dual-Mode Operation (IKEv1 and IKEv2) • Complete control of IKE exchange • Tight integration with Mocana NanoEAP • Complete control of non-compliant security policy packets • Supports RSA tokens for EAP-GTC with IKEv2 (RFC 3748) • Full-featured IKE implementation as initiator or responder 認証マネージメントRFCs サポート • IETF Draft: draft-nourse-scep-14.txt • X.509 v3 certificate • X.509 v2 CRL format Very Granular IKE / IPsec 機能のコントロール: • © 2014 Mocana Corporation Updated July 17, 2014 8 豊富な暗号アルゴリズムのサポート 乱数生成期 • FIPS 186-2 – General Purpose (x-change notice; SHA1) • FIPS 186-2 - Regular ( x-change notice, k-change notice; SHA1) • NIST SP 800-90 - Random Number Generation Using Deterministic Random Bit Generators (DRBG) 対称暗号: • 3DES-168-CBC • AES-128-CBC • AES-256-CBC • Blowfish—CBC • AES-192-CBC • DHE with Perfect Forward Secrecy (PFS) • Suite-B-GCM-256 • ECDSA • Suite-B-GMAC-128 • ECDH • Suite-B-GMAC-256 • SUITE B CRYPTO: • Suite-B-GCM-128 • HMAC-SHA1-160 • SHA1 • HMAC-MD5-96 • SHA-224 • MD2 • SHA-256 • MD4 • SHA-384 • MD5 • SHA-512 非対称暗号: • RSA • PKCS #1 v 1.5 • PKCS #7 • PKCS #8 • Diffie-Hellman Groups 1, 2, 5, 14, 24 シグネチャ / 認証 / インテグリティ • Certificate-based (X.509) authentication • PKCS #10 • PKCS #12 • HMAC-SHA1-96 • HMAC-MD5-128 © 2014 Mocana Corporation Updated July 17, 2014 9 モカナの包括的なモバイルデバイスセキュリティソリュー ション システムレベルでの高効率性 KeyVPN™ Clientは業界最高レベルのモカナ暗号モジュールNanoCrypto™を使用し、完備されたVPN ソリューショ ンをアンドロイドOSに組込む事が可能です。KeyVPN™ Clientは、NanoSec™ (IPSec)やKeyDAR™ Encryptionな ど、他のモカナ製セキュリティモジュールを同時活用する事が可能で、同じNanoCrypto™ ベース の暗号アルゴリズム を使用することが出来ます。 これにより、KeyVPN™ Clientは他社のDAR暗号化ソリューションに比べ、 より高いシステ ムレベルの高効率性を提供しています。 将来性を考えたデザイン さらに、将来性を考えたデザインのKeyVPN™ Clientを採用する事で、OEMはモカナSecurity Detail™に含まれて いるKeyDAR Encryption™などのモカナ社のアンドロイド用モジュールを自社コードベースに追加し、将来の機能拡 張・追加に備える事が可能です。 これにより、KeyVPN™ Clientを採用したOEMは製品開発へ専念することができ、競 争の激しいモバイル市場において製品出荷に要する時間を大幅に短縮する事ができます。 KeyVPN™ Client Mocana’s KeyVPN™ Client IMS NanoSec™ IPSec / IKEv1 / v2 / MOBIKE User Space Tools GUI KeyDAR™ Encryption Data-at-Rest Encryption Other Mocana Devie Security Framework™ (DSF™) Modules NanoCrypto™ FIPS 140-2 Level 1 Certified Suite B Algorithms モカナSecurity Detail™ for Android mocana.com/sd/android © 2014 Mocana Corporation Updated July 17, 2014 10 モカナSmart Device Security Platform™ (SDSP) 全てのモカナ製品はモカナSmart Device Security Platform™ (SDSP)の一部で、多様なデバイスに対する全方位 セキュリティを提供する為に設計されています。SDSPの全てのコンポーネントは単一のコモンアーキテクチャとAPI上 に構築されています。デバイス開発者はプロジェクトに必要なコンポーネントのみを選択する事で、 コードサイズとリソ ース使用量の削減、 さらには開発工程の短縮が可能となります。 さらに、ハードウェアやオペレーティングシステムに依 存しないSDSPの利点を活かし、共通基盤ソフトウェアを標準化・統一化する事で、全社的なソフトウェア資産の活用、 コストダウン、OEMとしての競争力強化を実現出来ます。 Device-Resident Code LIT M ES gm Y Ke yD cur NanoS SH™ fe CA Na noEA ty TIO N P™ oot™ N a n o er ™ d D efe n DE ion Sa TI a N d Up VIC E I at ™ ed TH gn TE no EN N Na AU Si n at o e™ CE ITY Na e rt ™ DEVI NanoC FIPS 140-2 Certified Cryptographic Core vent Mgmt VPN™ Key ity E Na no Nan Wirele o ss™ ty VIC Se L™ SS c™ noSe Na nti ™ AR Integrati o 3r d P a r t y S n wi t h y and Appl ic stem atio s ns VI ON F I D ENT I A CE C Ide ER t DE Device t Cloud and On-Premise Services m ob ile Ap gm pM &S noB M D ANAGEMENT GR SM T AR CE M EVI Re C o m pliance © 2014 Mocana Corporation Updated July 17, 2014 11 モカナコーポレーション会社概要 Mocanaは企業のデータモビリティ化の促進とInternet of Thingsから成る全てのスマートデバイスのセキュリティを 提供しています。数多くの賞を受賞した企業用モバイルアプリケーションのセキュリティプラットフォームは企業に安全 なアプリ対策をシンプルで優れたユーザエクスピリアンスを可能にしつつ、最高レベルのセキュリティを提供していま す。Fortune50の企業を始めに、政府機関や多数の端末製造者などMocanaは幅広い分野にお客様があります。 Awards and Certificates Mocana Corporation 710 Sansome Street San Francisco, CA 94111 tel (415) 617-0055 toll free (866) 213-1273 www.mocana.com [email protected] [email protected] Mocana is Part of the Trident Portfolio © 2014 Mocana Corporation Updated July 17, 2014 12
© Copyright 2024 Paperzz
