IPsec セキュリティーアソシエーション

IPsec の セキュリティーアソシエーション (SA) は、通信するホストが認識するセキュリティープロパティーを示します。1 つの SA は、1 方向のデータを保護します。つまり、1 つのホストかグループ (マルチキャスト) アドレスのどちらかです。大部分の通信がピアツーピアかクライアントサーバーなので、両方向のトラフィックの安全性を確保するために 2 つの SA が必要です。

次の 3 つの要素は、IPsec SA を一意に識別します。

• セキュリティープロトコル (AH または ESP)

• 宛先 IP アドレス

• セキュリティーパラメータインデックス (SPI)

任意の 32 ビット値の SPI は、AH パケットまたは ESP パケットで転送されます。AH および ESP によって保護される範囲については、 ipsecah(7P) と ipsecesp(7P) のマニュアルページを参照してください。完全性チェックサム値を使用して、パケットを認証します。認証が失敗すると、パケットがドロップされます。

SA は、セキュリティーアソシエーションデータベース (SADB) に格納されます。ソケットベースの管理エンジン PF_KEY インタフェースにより、特権を持つアプリケーションでそのデータベースを管理できます。たとえば、IKE アプリケーションと ipseckeys コマンドは PF_KEY ソケットインタフェースを使用します。

• IPsec SADB のより完全な説明については、「IPsec のセキュリティーアソシエーションデータベース」を参照してください。

• SADB の管理については、pf_key(7P) のマニュアルページを参照してください。

IPsec での鍵管理

セキュリティーアソシエーション (SA) は、認証および暗号化で使用するキー作成素材を必要とします。この「キーを作成する素材」の管理を「鍵管理」と呼びます。IKE (インターネットキー交換) プロトコルにより、鍵管理が自動的に行われます。また、ipseckey コマンドを指定して、鍵管理を手動で行うこともできます。

IPv4 と IPv6 パケットの SA は、どちらの鍵管理方法も使用できます。手動で鍵管理を行う決定的な理由がない限り、自動の鍵管理をお勧めします。たとえば、Solaris システム以外のシステムと相互運用する場合などは、手動の鍵管理が必要な場合もあります。

現在のリリースでは、SMF は次の IPsec 鍵管理サービスを提供します。

• svc:/network/ipsec/ike:default サービス – 自動鍵管理のための SMF サービスです。 ike サービスは in.iked デーモンを実行して自動鍵管理を提供します。IKE については、第 22 章インターネットキー交換 (概要)を参照してください。in.iked デーモンの詳細については、in.iked(1M) のマニュアルページを参照してください。ike サービスについては、「サービス管理機能」を参照してください。

• svc:/network/ipsec/manual-key:default サービス – 手動での鍵管理のための SMF サービスです。manual-key サービスは ipseckey コマンドを各種オプションで実行して、鍵を手動で管理します。ipseckey コマンドについては、「IPsec キー生成ユーティリティー」を参照してください。ipseckey コマンドオプションの詳細な説明については、ipseckey(1M) のマニュアルページを参照してください。

Solaris 10 4/09 リリースより前のリリースでは、in.iked コマンドと ipseckey コマンドで鍵情報を管理します。

• in.iked デーモンは、自動的な鍵管理を提供します。IKE については、第 22 章インターネットキー交換 (概要)を参照してください。in.iked デーモンの詳細については、in.iked(1M) のマニュアルページを参照してください。

• ipseckey コマンドを使用すると、手動でキーを管理できます。このコマンドの説明については、「IPsec キー生成ユーティリティー」を参照してください。ipseckey コマンドオプションの詳細な説明については、ipseckey(1M) のマニュアルページを参照してください。