セキュリティアソシエーション

セキュリティアソシエーション (SA) では、1 つのホストから別のホストにセキュリティ属性を指定します。互いに通信し合う 2 つのシステムが安全に通信するには、少なくとも 2 つの SA が必要です。pf_key(7P) インタフェースは、セキュリティアソシエーションを管理します。IPsec は自動 SA 管理をサポートしていませんが、ipseckey(1M) をコマンド行フロントエンドとして使用できます。AH または ESP、宛先 IP アドレス、セキュリティパラメータインデックス (SPI) は、IPsec SA を識別します。任意の 32 ビット値のセキュリティパラメータインデックスは、AH パケットまたは ESP パケットで転送されます。SPI が保護パケットのどこにあるかについては、ipsecah(7P) と ipseesp(7P) のマニュアルページを参照してください。

キー管理

セキュリティアソシエーションには、キー情報、アルゴリズムの選択、エンドポイントの識別、その他パラメータがあります。SA の管理をキー管理といいます。現在のところ、キー管理は手動で行います。