H O M E > ネットワークのおべんきょしませんか? Cisco CCNA/CCNP/CCIE、ネットワークスペシャリスト試験の勉強にピッタリ > 2007年11月
(所属カテゴリー:ネットワークセキュリティ---投稿日時:2007年11月25日)
IKEは、IPSecの通信を行うIPSec SAの生成、管理を行うためのプロトコルです。
IPSec SAを生成するには、利用する暗号化アルゴリズムやハッシュアルゴリズ
ムを決定しなければいけません。また、SAを生成するデバイスが正しいデバイ
スであるかを認証(ピア認証)する必要があります。そして、暗号化を行うため
の暗号鍵を決めないといけません。IPSecの暗号化は秘密鍵暗号方式を利用し
ます。秘密鍵をデータの送信側と受信側で共有しなければいけません。
さらに、同じ暗号鍵をずっと使い続けると、暗号が解読される可能性が増大し
ます。そのため、定期的に暗号鍵を変更することも必要です。
こうした作業を手作業で行うのはとても手間がかかります。人間の手がかかる
ほど、設定ミスの可能性も増えるし、暗号鍵が漏れてしまう危険性も増えてし
まいます。
IPSec SAの暗号化アルゴリズム、ハッシュアルゴリズム、ピア認証や暗号鍵の 共有・更新などを自動的に行うことがIKEの目的です。
IKEには3つの基本機能があり、これらの機能によってIPSec SAの生成、管理を 行います。
ここでもう1種類のSAが出てきます。ISAKMP SAは「アイサキャンプエスエー」 もしくは「アイサカンプエスエー」と発音することが多いです。ISAKMP SAと は、IKEの制御を行うためのSAです。IKEの制御情報を安全にピア間でやりとり するためには、IKEの制御情報も暗号化し、整合性を確認するためにISAKMP SA を生成します。
ISAKMP SAを生成するためにピア間でプロポーザル交換をします。ISAKMP SAの ためのパラメータは、次の通りです。
これらの一連のパラメータがISAKMP SA用のプロポーザルで、ピア間でまずISAKMP SA のプロポーザル交換を行います。ピア間で一致するプロポーザルのパラメータ を用いて、ISAKMP SAを生成します。
こうしたISAKMP SAを生成するプロセスはIKEのフェーズ1と呼ばれています。