統合的なVPNサーバソフトウェアに関する研究

 インターネット上に安全なオーバーレイネットワーク構築する手法である仮想プライベートネットワーク（VPN）には，多様なプロトコルや実装がある．従来手法では，多様なVPNプロトコルを使用するクライアントに対してサービスを提供する場合，単一，または少数のVPNプロトコルを実装したVPNサーバソフトウェアを複数組み合わせる必要があり，管理が難しい．システム管理者は，異なる複数のVPNサーバソフトウェアの特性を理解し，相互依存関係や周辺システムとの相性，相互干渉の問題などに対応しなければならない．VPNサーバを検閲回避目的で設置するボランティアにとっても，多数のユーザが多様なクライアントで利用できるVPNサーバを設置する場合のインストールと管理が難しい．

 本研究では，これらの問題を解決するため，単一のインスタンスで，多様なVPNプロトコルを統一的に扱うことができるようにし，VPNサーバの設定や管理を簡単にするための，統合的なVPNサーバソフトウェアを実現した．

 統合的なVPNサーバでは，レイヤ2のVPNプロトコルと，レイヤ3のVPNプロトコルの両方をサポートしなければならない．このレイヤの違いの解決のために，本研究ではL2アダプタを提案し，L2とL3とを統一的に扱えるようにした．統合的なVPNサーバは，複数のVPNプロトコル間で，ユーザ認証，セキュリティ設定の適用，ログの管理，IPアドレス割当管理などの処理を単一化することにより，管理を簡単にするものである．本研究では，VPNサーバ内の通信処理を，すべてL2に統一することで，これらの処理を単一化できるようにした．

 本研究では，提案手法に基づいて，統合的なVPNサーバソフトウェアであるSoftEther VPN Serverを実装した．SoftEther VPN Server は，L2TP/IPsec，SSTP，OpenVPN（L2およびL3），L2TPv3/IPsec，EtherIP/IPsecおよびSoftEther VPN Protocol（SEVP）を1つのVPNサーバインスタンスでサポートした．本ソフトウェアは，さらに，異なるVPNプロトコル間を接続した場合において，従来方式と比較して，最大7%程度のスループットの向上を実現した．

 本研究では，実装した統合的VPNサーバソフトウェアを用いて，政府によるインターネット検閲を回避するための，ボランティアベースの分散型公開VPN中継システムであるVPN Gateを実現した．政府の検閲当局は，このような公開VPN中継システムの中継サーバのIPアドレスを，公開されているサーバリストから発見し，遮断する．本研究では，新たに，無実のIP混入手法を提案し，検閲当局にサーバリスト内のすべての中継サーバが本物であるかどうかの検証を強いた．本研究では，さらに，当局による検証活動を防ぐため，新たに協調的スパイ発見手法を実装し，検閲当局の検証用IPアドレスを発見できるようにした．これらの手法により，VPN Gateでは，政府による検閲用ファイアウォールによる遮断に対する耐性を実現した．

 今後の発展として，統合的VPNサーバソフトウェアについては，さらなる高速化，外部依存の最小化，OSのプロトコルスタックを含んだより良い統合方法の考案などがある．検閲回避システムについては，遮断耐性のさらなる強化などがある．