ネットワークのおべんきょしませんか？ Cisco CCNA/CCNP/CCIE、ネットワークスペシャリスト試験の勉強にピッタリ

2007年11月アーカイブの最新記事

IPSec その2

（所属カテゴリー：ネットワークセキュリティ---投稿日時：2007年11月25日）

IKE(Internet Key Exchange)の必要性

IKEは、IPSecの通信を行うIPSec SAの生成、管理を行うためのプロトコルです。
IPSec SAを生成するには、利用する暗号化アルゴリズムやハッシュアルゴリズ ムを決定しなければいけません。また、SAを生成するデバイスが正しいデバイ スであるかを認証(ピア認証)する必要があります。そして、暗号化を行うため の暗号鍵を決めないといけません。IPSecの暗号化は秘密鍵暗号方式を利用し ます。秘密鍵をデータの送信側と受信側で共有しなければいけません。
さらに、同じ暗号鍵をずっと使い続けると、暗号が解読される可能性が増大し ます。そのため、定期的に暗号鍵を変更することも必要です。
こうした作業を手作業で行うのはとても手間がかかります。人間の手がかかる ほど、設定ミスの可能性も増えるし、暗号鍵が漏れてしまう危険性も増えてし まいます。

IPSec SAの暗号化アルゴリズム、ハッシュアルゴリズム、ピア認証や暗号鍵の 共有・更新などを自動的に行うことがIKEの目的です。

IKEの基本機能

IKEには3つの基本機能があり、これらの機能によってIPSec SAの生成、管理を 行います。

• プロポーザル交換 生成するSAの暗号化アルゴリズムやハッシュアルゴリズムをネゴシエーショ ンするための機能
• Diffie-Hellman交換 IPSec SAの暗号化を行うための秘密鍵を生成します。Diffie-Hellman交換で は、公開鍵暗号方式によって秘密鍵を安全に自動生成することができます。
• ピア認証 SAを生成する対向のデバイスが正規のデバイスであるかを認証します。ピア 認証として、次のものがあります。
  →PSK(Pre Shared Key：事前共有鍵)
  →公開鍵暗号認証
  →デジタル証明書

ISAKMP SA

ここでもう1種類のSAが出てきます。ISAKMP SAは「アイサキャンプエスエー」 もしくは「アイサカンプエスエー」と発音することが多いです。ISAKMP SAと は、IKEの制御を行うためのSAです。IKEの制御情報を安全にピア間でやりとり するためには、IKEの制御情報も暗号化し、整合性を確認するためにISAKMP SA を生成します。

ISAKMP SAを生成するためにピア間でプロポーザル交換をします。ISAKMP SAの ためのパラメータは、次の通りです。

• 暗号化アルゴリズム
• ハッシュアルゴリズム
• ピア認証方式
• Diffie-Hellman交換のパラメータ
• SAのライフタイム

これらの一連のパラメータがISAKMP SA用のプロポーザルで、ピア間でまずISAKMP SA のプロポーザル交換を行います。ピア間で一致するプロポーザルのパラメータ を用いて、ISAKMP SAを生成します。

こうしたISAKMP SAを生成するプロセスはIKEのフェーズ1と呼ばれています。