第 6 章 EC( ( 電 子 商 取 引 ) の イ ン フ ラ と な る 「 IP VPN」 」 IP VPN と は ? 6.1 [1] IP VPN の登場の背景 (→Virtual Private Network 仮想私設網) アメリカでは… 1995 年 AT&T(まだ IP ネットワーク上ではない) 1996 年後半 IP ネットワーク上で VPN サービス 日本では… 1997 年後半 インターネットを利用した VPN サービス 1999年 ネットワーク機器ベンダ、ソフトウェアベンダによる VPN 対応機器、ソフトウェアの発売 1999 年 3 月 マイクロソフト∼Windows 環境での VPN ソフトの無償提供スタート (→IP VPN 元年=キャリア、ISP、エンドユーザーの注目) ◎ 単に新しい IP 技術が出現しただけではない ⇒既存の専用回線やフレーム・リレーよりコスト効率よく、 ネットワーク設計に柔軟性高い通信インフラを実現 高速で安全なインターネット利用の実現 (ex. 在宅勤務、EC など) [2] IP VPN の定義 VPN のもともとの意味:共有ネットワーク上に専有ネットワークを構築すること ↓ 現在注目されている VPN:IP を 利 用 し て い る イ ン タ ー ネ ッ ト 上 に 専 有 ネ ッ ト ワ ー ク ⇒これより、IP VPN という 正式な定義:IP インフラ上で、専用 WAN の振る舞い(エミュレート)させること (IP インフラ=インターネット、プライベートな IP バックボーン) ◎IP バ ッ ク ボ ー ン =ISP、企業内 IP ネットワーク IP VPN と ユ ー ザ ー / ISP/ /キャリアのメリット 6.2 [1]Web ベースと IP VPN ベースの EC(電子商取引)環境 (→手軽なため主流) (1) Web ベースの EC Web 上でのオンライン・ショッピング∼SSL を使ってデータを暗号化=安全な取引 ( Secure Sockets Layer) ) =セキュリティ・プログラム。 ◎SSL( Netscape Navigator や IE に標準装備されている。 ①Web を通せばいかなる情報資源にもアクセスできる →利用したいサービスを Web 上に統合しなければならない ②SSL によるアプリケーションの暗号化は用途ごと →手間がかかる (2) IP VPN ベースの EC アプリケーションを(IPsec のような)凡庸セキュリティ・プロトコルで暗号化 ⇒リモート・ユーザーはイントラネット上のすべてのアプリケーションや情報資源へのア クセスができる。 ⇒イントラネットの LAN 内からアクセスしているように、社内のすべての情報に遠隔地 (例えば自宅)からアクセスすることができる。 セキュリティ部分の処理は IP VPN のためのネットワーク機器で行われるので、コンピ ュータにかかる負担小さい。 (3) 両者が使用される分野 IP VPN=制約のないイントラネット・アクセス ⇒より高度で大規模なアプリケーション向き 例.在宅勤務、企業間での多くの業務システムの共有、 オンライン・トレーディング(高い信頼性必要) Web と SSL の組み合わせ=クライアント側に標準のブラウザあればよい ⇒手軽。一般ユーザーによるオンライン・ショッピングでは主流 [2]エンド・ユーザーにとってのメリット (1) 通信コストの削減 インターネットの特徴:通信距離と費用が比例しない →IP VPN は遠距離データ通信費を大きく提言 通信費=最寄りの ISP アクセスポイントまでの電話料金+ISP 固定接続料金 (通信距離が長いほど、通信相手が多いほど費用低減) (2) アクセス・サーバとリモート・アクセス・アウトソーシング ◎ ア ク セ ス ・ サ ー バ =リモート・アクセス実現のためにイントラネットの入り口に設 けら れる通信装置。ダイヤル回線を多数収容するための機器。 But… 高価&維持・管理費大 そこで アウトソーシング) リモート・アクセス機能を ISP に委託(ア 企業側は IP VPN 装置(IP VPN 機能をもつルータあるいは専用装置) (3) IP VPN による新しいインターネットの利用 ①遠隔地からイントラネットに、高速で安価に安全にアクセスできるようになる テ レ コ ミ ュ ー テ ィ ン グ (在宅勤務) ⇒テ 、企業の EOS(電子受発注システム) モ バ イ ル ・ コ ン ピ ュ ー テ ィ ン グ を利用した戦略的な営業情報システムの構築が容易 ②モ [3]ISP にとってのメリット (1) 2 極化する ISP 通常の ISP:ユーザーにインターネットへのアクセス機能を提供 ASP:アプリケーションやコンテンツを提供 (2)IP ISP サービスで差別化 従来:一般ユーザーのダイヤルアップ接続料金が収入源>小口、収益小 ↓ ビジネス・ユーザーは専用線(常時接続) 、乗換え少ない ⇒IP VPN はビジネス・ユーザー獲得に重要 つまり… 企業からの IP VPN の申し込み ① 新たな常時接続契約、回線容量の拡大 ② モバイル・コンピューティングや EC の為に、IP VPN で当該企業に接続する従業員や 取引先のダイヤルアップ契約を獲得 ③ IP VPN をセキュリティやホスティング・サービスの上位に位置するサージスとして提 供 ④IP VPN サービスを他の ISP との差別化の要因として利用 (3)ISP は ASP のサービス・インフラ アクセス業務(加入者サポート)∼設備投資大、労力大 ↓ コンテンツ、ホスティング、マルチメディア・データの提供やゲームのサービスに特化し たアプリケーションをユーザーに提供=ASP [4]キャリアにとってのメリット ◎キャリア:巨大な電話交換機などの通信インフラをもつ通信事業者 ↓ 通信インフラの IP 化 そのメリット ① インターネット/IP 化は今後の通信の根幹⇒ビジネスの拡大・成長機会 ② システムの IP 化により設備投資を削減、最適化 (1) ダイヤル・オフロード インターネット利用の急増⇒長時間接続の急増=パンク状態 <従来の交換機は短時間(5 分以内)に設定> ⇒交換回線の収容能力を超える接続要求や回線増設要求に対応できない ⇒交換機の増設迫られる ダ イ ヤ ル ・ オ フ ロ ー ド :インターネット・トラフィックを音声と分離 ◎ダ ⇒ユーザーと ISP の間を IP VPN で接続 ⇒膨大な交換機の増設の費用を節減 (2) データ通信における IP VPN 今後、データ通信の IP ネットワーク化 ⇒キャリア、バックボーン・ネットワーク(内部ネットワーク)の全面 IP 化 IP VPN によるデータ通信提供 ⇒従来の専用線やフレーム・リレー・サービス以上の内部回線の効率化 ⇒投資の抑制、高品質のサービス提供 「 ANX」 」 6.3 世 界 最 大 の EC「 IP VPN=コストの削減、高度な電子商取引のインフラ ( 電 子 デ ー タ 交 換 ):ネットワークを活用して、商品の受発注や決済、あるいは出 ◎EDI( 荷や入荷などのデータをやり取り(交換)すること [1]自動車メーカーのビッグ 3 がリードする ANX ( Automotive Network Exchange) ) ◎ ANX( :アメリカ自動車部品調達ネットワーク・システム。EDI のためのインフラ(1998 年) 従来/自動車メーカーと部品メーカー ⇒電子メール、CAD データ交換、グループウェア、 クライアント-サーバ・アプリケーションの共有、SCM ⇒専用 EDI の活用(個別の取引) ⇒これをインターネット上の取引に簡素化>取引コスト大幅削減、高度なサービス提供 オンライン取引、インターネットの使用>通信サービスの確保必要 ◎CSP:ANX が一定以上のサービス提供ができる ISP に対して認定 →アメリテック、AT&T、EDS ほか 6 社に認定 ( ANX Overseer) ):ISP がサービス品質を維持しているか監視 ◎ANXO( ◎IPsec:IP VPN のプロトコル。暗号機能を標準搭載 ◎JNX 6.4UMIN に お け る IP VPN の 活 用 ◎UMIN:大学医療情報ネットワーク 全国の大学病院を結ぶ情報ネットワーク。2000 年から IP VPN の導入 →事務系の情報を扱う [1]導入の目的はセキュリティの強化 ◎ VLL 仮想専用線 [2]IPsec と SSL で二重の暗号化 ←HTTP← Web サーバ クライアント (大学から UMIN へアクセス) ←SSL-HTTP← メールサーバ (大学から UMIN へアクセス) 「 クライアント ⇔SMTP ・ POP ・ IMAP⇔ (メールの送受信) ビデオサーバ クライアント ←VOD← UMIN (ビデオ・データの取得) ↑ IPsec で暗号化 6.5 色 々 な IP VPN を 分 類 す る IP VPN の形態と種類←ユーザー、設計者は最適のモデルを選択 リ モ ー ト ・ ア ク セ ス VPN [1]LAN 間 接 続 VPN とリ 前者:LAN と LAN を接続(RFC2764 では VLL と定義) メリット①遠距離での通信コスト削減 ②インターネットを使用した仮想専用線の柔軟な構築 ③IPX などのマルチプロトコルの利用可能 ⇒専用線やフレーム・リレー・サービスを置き換える形態 ⇒コスト的なメリットが定量的に把握可能 後者:モバイル端末も含めた個別のリモート・アクセス・ユーザーをイントラネットにア クセスさせるための手法 (別名バーチャル・ダイヤルアップ、VPDN、ダイヤル VPN) メリットは、接続費用やアクセス・サーバを使用しないことで機器費用を節減できること。 ↓それ以上に… 対象がビジネスユーザーだけではなく、一般のインターネット・ユーザーへも拡大期待 ⇒不特定多数による EC のインフラとして利用される期待 エ ン ド ・ ユ ー ザ ー ・ ベ ー ス VPN」 [2]「ISP ベ ー ス VPN」と「エ 提供者や構築者で分類 両者の違い=トンネルの始点と終点によって決定 ト ン ネ ル :インターネット上で、色々なプロトコルのデータを流せるようにする仮想的 ◎ト な通信路 (1)ISP ベ ー ス VPN ISP 内でトンネルが完結⇒企業側の設定の簡素化(IP VPN 機能をサポートしなくていい) ↓ 内部ネットワークの完全管理=QoS を保証 暗号化などのセキュリティの必要性低い エ ン ド ・ ユ ー ザ ー ・ ベ ー ス VPN (2)エ ユーザー自身が IP VPN に対応したネットワーク機器を準備、IP VPN を構築 利用する企業のイントラネットの入り口に設置される VPN 装置の部分でトンネル終端 ↓ IP VPN の構築を 1 つの ISP に限定しなくていい (特定の ISP のアクセス・ポイントを使用するサービスに限定されない) ⇒任意のネットワーク経由上に自由にトンネルを張ること可能 ↓そのため… データがどこの経路を通ってくるかわからない いわゆる「The Internet」を経由することを想定 ⇒①データの盗聴、改変防止のための暗号化 ②パケットの認証 (ユーザー名とパスワードにより、その利用者がアクセス権のある利用者かどうか判定) などのセキュリティの実践が重要 イ ン ト ラ ネ ッ ト 拡 張 とエ エクストラネット [3]イ IP VPN の適用領域の分類 イ ン ト ラ ネ ッ ト :オープンなインターネットに対比、企業内に閉じたネットワーク ◎イ イントラネットを IP VPN で拡張 ① 本店と支店間の「LAN 間接続 VPN」の構築 ② 従業員による「リモート・アクセス VPN」によるイントラネットへのアクセス エ ク ス ト ラ ネ ッ ト →接続先が取引先や顧客=組織外/技術的にはイントラネット同様 ◎エ ⇒管理体系異なるので、ネットワーク設計の上で IP アドレス空間の整合性(アドレス変換) や利用可能な情報資源への制約(フィルタリング)を行うなど、事前の配慮が必要。 [4]VPRN と VPLS ◎VPRN:LAN 間接続 VPN を拡張した概念。複数の拠点間を結ぶために IP VPN を利用し、 ルーティング情報を共有できるようにするネットワーク。 ◎VPLS:複数の拠点間で IP VPN を構成することは VPRN と同様。OSI レイヤーの 3 層(IP 層)でネットワークが接続されるのではなく、2 層レベルで複数拠点間の IP VPN を構成。 6.6IP VPN の ト ン ネ ル ・ プ ロ ト コ ル と 基 礎 技 術 IP VPN の機能 ① トンネル ② 暗号化とパケット認証 ③ ユーザー認証 ④ QoS(通信のサービス品質) [1]データのカプセル化とトンネルの原理 (1)身近な例に見るカプセル化とトンネル 例)本店と支店のネットワークを IP VPN で接続 パ ケ ッ ト →グ グ ロ ー バ ル IP ア ド レ ス (正規の IP アドレス) データのカプセル化=パ プ ラ イ ベ ー ト IP ア ド レ ス →相手 →通信経路=トンネル→支店のイントラネット→プ [2]自発トンネルと強制トンネル 自 発 ト ン ネ ル の原理 (1)自 ⇒トンネルの始点がリモート・ユーザーであるパソコン(クライアント・パソコン) 例)Windows で動作する VPN 手順:パソコン接続後、VPN クライアント・ソフトウェアから VPN ゲートウェイまで 接続試みる→認証が成功すると…→イントラネットへのアクセス自由になる ⇒ユーザーはインターネット環境が使用できる所ならどこからでも、自社のイントラネッ トへアクセス可能になる=エンド・ユーザー・ベース VPN に分類 強 制 ト ン ネ ル の原理 (2)強 ユーザーは自動的に(強制的に)インターネット経由でイントラネットへ接続 つまり… VPN クライアント・ソフトウェア使用しない→標準のダイヤルアップ・ソフトウェアで ISP のアクセス・ポイントへダイヤルするだけで、目的の社内ネットワークへ接続 前提として… ISP 内のアクセス・サーバからユーザーを特定企業のイントラネットに自動的(強制的) に送り込むように設定 ⇒ユーザー認証はイントラネット内のユーザー・データベースで認証 (企業内認証サーバ) ◎企業が ISP と強制トンネル使用契約を事前に行う。 ⇒利用できるアクセス・ポイントも特定の ISP に限定 =ISP ベース VPN に分類 ◎ダイヤルアップでの PPP 利用 PPP を VPN ゲートウェイまで延長することで、普通の IP 利用ではできないユーザー認証 が可能。 (3)トンネル・プロトコルの種類 レ イ ヤ 2 ト ン ネ ル :レイヤ 2 レベルのプロトコルである PPP セッションをカプセル化の 対象とし、PPP セッションをポイント・ツー・ポイントからエンド・ ツー・エンドへ拡張 レ イ ヤ 3 ト ン ネ ル :PPP を用いないトンネル・プロトコル。レイヤ 2 と対比 ポ イ ン ト ・ ツ ー ・ ポ イ ン ト :隣り合う 2 点間の通信 ◎ポ エ ン ド ・ ツ ー ・ エ ン ド :目的となる機器間(間の経路は問わない)での通信 ◎エ トンネル・プロトコルの例 ① L2F ②PPTP ③L2TP ④GRE ⑤MPLS ⑥SOCKS [3]暗号化とパケット認証 暗号化は必須の機能ではない ○ プライベート IP アドレスの拡張が目的 ○ ISP ベース VPN で ISP がトンネル経路のセキュリティを保証 ⇒暗号化なしでも IP VPN を構築できる しかし… 通信経路がオープンでセキュリティが保証されない時、安心した通信に必要 ◎ セ キ ュ リ テ ィ 機 能 ①データを外部から解読できなくする=暗号化 ②データの改変をチェック=パケット認証 ③利用者の特定=ユーザー認証 (1) データの暗号化 共通鍵暗号方式(秘密暗号方式) ①共 (データ暗号標準) 例)DES( ⇒暗号化の演算アルゴリズムが全て単純なマトリックス演算によって構成。 ⇒通信データの暗号化に適する 欠点:暗号化する側と解読側とで同一の鍵必要 ⇒鍵の共有の手間、その際の盗聴の危険性 公開鍵暗号方式 ②公 ⇒暗号化の鍵と複号(解読)の鍵が異なる 例)RSA ⇒DES などに使用する共通鍵の交換の際に使用 ( 公 開 鍵 イ ン フ ラ ):公開鍵発行者の身元保証をする認証が、認証局で行われる ◎PKI( まとめ:インターネット上での安全性の確保は重要 (2)パケット認証 通信データが途中で改変されているかどうかを検出 ◎ハッシュ:パケット認証をして安全性を保証するアルゴリズム [4]ユーザー認証 (1)ユーザー認証用のプロトコル ○PPP を利用しているレイヤ 2 プロトコルで利用 PAP、CHAP=ユーザー認証機能 ○IPsec(レイヤ 3 プロトコル)/リモート・アクセス VPN PKI により身元保証 ⇒ユーザー名、パスワードの形のユーザー認証を行わないことがある。 ただし、 ①PKI の普及が急速に進まない ②ワンタイム・パスワードの必要性 ⇒ユーザー名、パスワード利用の製品もある (2)AAA 機 能 とユーザー・データベース ◎ユーザー・データベース:ユーザー認証、権限の許可、アカウンティングの管理 例) RADIUS(リモート認証ダイヤルイン・ユーザー・サービス X.500 ディレクトリ [5]QoS(通信のサービス品質) インターネット=日常生活で必需品に IP VPN は、企業活動の根幹 ↓ 本支店間、顧客・取引先との取引 通信品質が重要 例)クライアント・サーバ利用のオンライン・トレードは システム・ダウン=機械損失 になりかねない。 (2)QoS を定義する要素 ① 稼働率 ② 遅延時間 ③ 揺らぎ ④ スループット ⑤ パケット損失率 通信経路も特定できない→品質保証なし 特定の ISP に経路限定→品質保証あり ISP ⇔ ユーザー 通信品質保証契約 =SLA (3)QoS を実現する方法 ○ネットワークにより多くの帯域幅 ○通信経路の単純化 ⇒経済効率も考慮=同帯域に複数のユーザー共有 例)フレーム・リレー ATM のトラフィック・シューピング機能
© Copyright 2024 Paperzz
