FPNを実現するためにはいろいろな方式があり得ます.厳重なセキュリティを要求するのであればIPsec,モバイル環境を実現するにはMobile IPという既存技術があり,両者を合わせた技術も研究されています.しかし,これまで述べたようなFPNで要求される柔軟性に対応できる技術はまだありません.GSCIPはこの要求を満たすことができる一連の提案です.GSCIPパッケージ(GSCIPを実現するソフトウェア群)は,FreeBSDを改造することにより実現しており,すべて公開する方針で開発しています.
GSCIPの基本は非常にシンプルです.同一の暗号鍵を持つCE(Communication Entity)同士が同一の通信グループを形成します(図10).この暗号鍵をグループ鍵と呼びます.同一の通信グループのCE同士は,グループ鍵を用いて暗号化通信を行います.GSCIPでは,CEがサブネット単位であったり,個人単位であったり,両者が混在しても,ネットワーク構成の変化に対して柔軟に対応できます.グループ鍵は管理装置MSから定期的に配送されます.
CEにおいて実際に通信グループを構築するのは暗号装置EEです(図11).EEには,配下にサブネットワークが存在するルータタイプのEEN(Encryption Element for Network),配下にサーバが存在するブリッジタイプのEEA(Encryption Element for Adapter),移動端末に実装されるソフトウェアタイプのEES(Encryption Element for Software)があります.MSは通信グループの定義のみを行い,EEの物理的位置関係は管理しません.MSは各EEに対して,確実な認証後,グループ定義情報およびグループ番号に対応したグループ鍵を配送します.MSとEE間の認証はPKI(Public Key Infrastructure)の仕組みをそのまま利用します.セキュリティを確保するため,グループ鍵は定期的に更新します.
EEにはグループ外のメンバとの通信を全く禁止する閉域モードと,一般通信を可能とする開放モードがあります(図12).閉域モードEEは外部からの不正侵入を防ぐのが目的で使用され,サブネットの入り口か,重要なサーバの手前に設置します.一方,開放モードEEは一般にクライアントに適用し,重要なサーバへのアクセスが可能であると同時に,一般サーバへのアクセスが可能です.また開放モードは,閉域モード内のサブネットに存在するユーザが,外部ユーザとの通信を可能とするためのプロキシサーバにも適用されます.
グループ構成単位は,個人単位(権利者単位)とサブネットワーク単位(部門単位)があります(図13).個人単位の場合はきめ細かい定義が可能であり,EEAやEESで実現できます.サブネット単位の場合は管理単位が大きいので管理負荷を軽減できるという利点がありEENで実現できます.EEA,EES,EENは混在することが可能です.企業で言えば,部門単位の通信グループがEENで構成されていますが,部門内の特定メンバは社内横断のプロジェクトに参画したり,役職別にアクセスポリシーを設定しており,EESを保持して,個別に別通信グループにも帰属しているようなケースが想定できます.通信グループとは,このように同一の仕事をするメンバによるグループとほぼ対応させることができます.