JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris 11.1 でのネットワークのセキュリティー保護     Oracle Solaris 11.1 Information Library (日本語)
このドキュメントの評価
search filter icon
search icon

ドキュメントの情報

はじめに

1.  仮想化環境でのリンク保護の使用

2.  ネットワークのチューニング (タスク)

3.  Web サーバーと Secure Sockets Layer プロトコル

4.  Oracle Solaris の IP フィルタ (概要)

5.  IP フィルタ (タスク)

6.  IP セキュリティーアーキテクチャー (概要)

7.  IPsec の構成 (タスク)

8.  IP セキュリティーアーキテクチャー (リファレンス)

9.  インターネット鍵交換 (概要)

IKE による鍵管理

IKE の鍵ネゴシエーション

IKE の鍵用語について

IKE フェーズ 1 交換

IKE フェーズ 2 交換

IKE 構成の選択

IKE と事前共有鍵認証

IKE と公開鍵証明書

IKE ユーティリティーおよび IKE ファイル

10.  IKE の構成 (タスク)

11.  インターネット鍵交換 (リファレンス)

用語集

索引

ドキュメントの品質向上のためのご意見をください
簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
その他
Your rating has been updated
貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか?

IKE の鍵ネゴシエーション

IKE デーモン in.iked は、安全な方法で IPsec SA のキーイング素材をネゴシエートし、認証します。デーモンは OS によって提供される内部機能から鍵用のランダムシードを使用します。IKE は、PFS (Perfect Forward Secrecy) をサポートしています。PFS では、データ伝送を保護する鍵を使用しないで追加鍵を取得します。また、データ伝送の鍵の作成に使用するシードを再利用しません。in.iked(1M) のマニュアルページを参照してください。

IKE の鍵用語について

次の表は、鍵ネゴシエーションで使用される用語と、一般的に使われるその略語、各用語の定義と使用についてまとめたものです。

表 9-1 鍵ネゴシエーションの用語、略語、使用

鍵ネゴシエーションの用語
略語
定義と使用
鍵交換
非対称暗号化アルゴリズムの鍵を生成する処理。主な 2 つの方法は、RSA と Diffie-Hellman プロトコルです。
Diffie-Hellman アルゴリズム
DH
鍵生成と鍵認証を提供する鍵交換アルゴリズム。しばしば「認証された鍵交換」と呼ばれます。
RSA アルゴリズム
RSA
鍵生成と鍵転送を提供する鍵交換アルゴリズム。このプロトコル名は、作成者の Rivest、Shamir、Adleman の三氏に因んでいます。
Perfect Forward Secrecy
PFS
認証された鍵交換だけに適用されます。PFS では、データ伝送を保護するために使用される鍵が、追加の鍵を導き出すために使用されることはありません。さらに、データ伝送を保護するために使用される鍵のソースが、追加の鍵を導き出すために使用されることはありません。
Oakley グループ
フェーズ 2 の鍵を安全な方法で確立する 1 つの手法。Oakley グループは PFS のネゴシエーションに使用されます。The Internet Key Exchange (IKE) のセクション 6 を参照してください。

IKE フェーズ 1 交換

フェーズ 1 交換は、「メインモード」といわれているものです。フェーズ 1 交換では、IKE は公開鍵暗号方式を使用して、ピア IKE エンティティーと IKE 自体を認証します。その結果がインターネットセキュリティーアソシエーションと鍵管理プロトコル (ISAKMP) セキュリティーアソシエーション (SA) で、IKE で IP データグラムの鍵情報のネゴシエーションを行うためのセキュアなチャネルとなります。IPsec SA とは異なり、ISAKMP SA は双方向であるため、1 つの SA だけ必要です。

IKE がフェーズ 1 交換で鍵情報をネゴシエートする方法は構成可能です。IKE では、/etc/inet/ike/config ファイルから構成情報を読み取ります。次の構成情報があります。

認証方式には、事前共有鍵と公開鍵証明書の 2 つがあります。公開鍵証明書は自己署名付きであっても、公開鍵インフラ (認証局 (CA)) 組織の PKI が発行したものであってもかまいません。

IKE フェーズ 2 交換

フェーズ 2 交換は「クイックモード」といいます。フェーズ 2 交換では、IKE は IKE デーモンを実行するシステム間の IPsec SA を作成および管理します。また、フェーズ 1 交換で作成したセキュアなチャネルを使用して、鍵情報の伝送を保護します。IKE デーモンは、/dev/random デバイスを使用して乱数発生関数から鍵を作成します。また、IKE デーモンは、鍵を一定の割合 (構成可能) でリフレッシュします。この鍵情報は、IPsec ポリシーの構成ファイル ipsecinit.conf に指定されているアルゴリズムによって使用されます。