IKEフェーズ2
IKEフェーズ2では、実際にデータを転送するためのIPSec SAを確立するための さまざまなパラメータのネゴシエーションを行います。フェーズ2でネゴシエ ーションするパラメータには次のものがあります。
- セキュリティプロトコル(ESP or AH)
IPパケットをESPもしくはAHのどちらでカプセル化するかを決めます。1つの SAにはESPかAHどちらかのみ適用できます。 - ライフタイム
IPSec SAの有効期間です。ISAKMP SAと同様に時間で指定することもできれ ばデータの転送量で指定することもできます。 - カプセル化モード
トンネルモード、トランスポートモードのどちらのモードでカプセル化する かを決めます。 - 暗号化アルゴリズム
セキュリティプロトコルとして、ESPを利用しているときの暗号化アルゴリ ズムを決めます。 - ハッシュアルゴリズム
IPSec化したパケットが改ざんされていないかをチェックするためのハッシ ュアルゴリズムを決定します。セキュリティプロトコルとしてAHを指定して いるときは必須です。ESPの場合はオプションです。 - Diffie-Hellman交換
基本的にIPSec SAでは、フェーズ1のDiffie-Hellman交換で生成した値とフェ ーズ2で生成する値から秘密対象鍵を生成します。
よりセキュリティを高めるためのオプションとして鍵のPFS(Perfect Forward Security) があり、フェーズ2でもDiffie-Hellman交換により、秘密対象鍵を生成する ことができます。
フェーズ2は、フェーズ1のネゴシエーションが完了して、ISAKMP SAが確立し てから行われます。フェーズ2でも複数のProposal交換を行うことができます。
フェーズ2のネゴシエーションでIPSec SAが確立すれば、IPパケットにESPもし
くはAHのカプセル化を行いIPSec化します。そして、そのIPSec化したパケット
を送信します。
また、生成されたIPSec SAはライフタイムが経過するとターミネートされるこ
とになります。
