IKEでは、実際のデータ送受信に使用する
IPsecSAを確立する前に、まず、
ISAKMPSAを確立し、
ISAKMPSAは、相手認証を行い、個々の
IPsecSAで使用する共通かぎを安全に交換できるようにするための特別な
SAとして動作します。
ISAKMPSA
は、安全なかぎ交換の仕組みとして、
Diffie-Hellmanかぎ配送方式を利用しています。
Diffie-Hellmanかぎ配送方式とは、米スタンフォード大学のDiffieとHellman研究員が開発した、
離散対数問題の考え方を利用した公開かぎ暗号方式を用い、
両者間で必要となる秘密かぎ配送を安全に行えるようにした方式です。
また、ISAKMPSAにおける相手認証方式には、
メインモードと、
アグレッシブモードがあり、
メインモードに比べて、アグレッシブモードの方がやり取りが簡略化されています。
また、メインモードでは、認証を行う根拠に送信元IPアドレスを含むので、
ダイヤルアップ接続のような、グローバルIPアドレスが変動してしまう環境では、
認証が行えない点にも留意しましょう。
|
|
|
Internet Key Exchange の頭文字をとったもの。
IPsec に先立って、ポリシーや暗号方式のネゴシエーションを行うほか、安全な鍵交換や相互認証を実現するプロトコル。 |
|
実際のデータ送受信を行うSA。AHやESPによってセキュリティー保護されている。 |
|
Internet Security Association and Key Management Protocol の略。
IKEにおいて相手を相互に認証し、安全に共通かぎを交換するためのSA。 |
|
Security Association の頭文字をとったもの。
IPsecにおいてセキュリティーゲートウェイ間で構築されるトンネル。 |
|
離散対数問題の考え方を利用した公開かぎ暗号方式を用い、
両者間で必要となる秘密かぎ配送を安全に行えるようにした方式。 |
|