ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 でのネットワークのセキュリティー保護 Oracle Solaris 11.1 Information Library (日本語) |
3. Web サーバーと Secure Sockets Layer プロトコル
4. Oracle Solaris の IP フィルタ (概要)
IKE デーモン in.iked は、安全な方法で IPsec SA のキーイング素材をネゴシエートし、認証します。デーモンは OS によって提供される内部機能から鍵用のランダムシードを使用します。IKE は、PFS (Perfect Forward Secrecy) をサポートしています。PFS では、データ伝送を保護する鍵を使用しないで追加鍵を取得します。また、データ伝送の鍵の作成に使用するシードを再利用しません。in.iked(1M) のマニュアルページを参照してください。
次の表は、鍵ネゴシエーションで使用される用語と、一般的に使われるその略語、各用語の定義と使用についてまとめたものです。
表 9-1 鍵ネゴシエーションの用語、略語、使用
|
フェーズ 1 交換は、「メインモード」といわれているものです。フェーズ 1 交換では、IKE は公開鍵暗号方式を使用して、ピア IKE エンティティーと IKE 自体を認証します。その結果がインターネットセキュリティーアソシエーションと鍵管理プロトコル (ISAKMP) セキュリティーアソシエーション (SA) で、IKE で IP データグラムの鍵情報のネゴシエーションを行うためのセキュアなチャネルとなります。IPsec SA とは異なり、ISAKMP SA は双方向であるため、1 つの SA だけ必要です。
IKE がフェーズ 1 交換で鍵情報をネゴシエートする方法は構成可能です。IKE では、/etc/inet/ike/config ファイルから構成情報を読み取ります。次の構成情報があります。
グローバルパラメータ (公開鍵証明書の名前など)
PFS (Perfect Forward Secrecy) を使用する場合
影響を受けるインタフェース
セキュリティープロトコルとそのアルゴリズム
認証方式
認証方式には、事前共有鍵と公開鍵証明書の 2 つがあります。公開鍵証明書は自己署名付きであっても、公開鍵インフラ (認証局 (CA)) 組織の PKI が発行したものであってもかまいません。
フェーズ 2 交換は「クイックモード」といいます。フェーズ 2 交換では、IKE は IKE デーモンを実行するシステム間の IPsec SA を作成および管理します。また、フェーズ 1 交換で作成したセキュアなチャネルを使用して、鍵情報の伝送を保護します。IKE デーモンは、/dev/random デバイスを使用して乱数発生関数から鍵を作成します。また、IKE デーモンは、鍵を一定の割合 (構成可能) でリフレッシュします。この鍵情報は、IPsec ポリシーの構成ファイル ipsecinit.conf に指定されているアルゴリズムによって使用されます。