Triple-DES を参照してください。
Advanced Encryption Standard。対称ブロックのデータ暗号技術。2000 年の 10 月、米国政府は暗号化標準としてこのアルゴリズムの Rijndael 方式を採用しました。AES は DES に代わる米国政府の標準として採用されています。
メッセージの送受信側で異なる鍵を使用してメッセージの暗号化および暗号解除を行う暗号化システム。非対称鍵を使用して、対称鍵暗号に対するセキュアなチャネルを作成します。Diffie-Hellman アルゴリズムは、非対称鍵プロトコルの例です。対称鍵暗号化と比較してください。
32 ビットから 448 ビットまでの可変長鍵の対称ブロックの暗号化アルゴリズム。その作成者である Bruce Schneier 氏は、鍵を頻繁に変更しないアプリケーションに効果的であると述べています。
アドレスのホスト部分のビットがすべてゼロ (10.50.0.0) か 1 (10.50.255.255) である IPv4 ネットワークアドレス。ローカルネットワーク上のマシンからブロードキャストアドレスに送信されたパケットは、同じネットワーク上のすべてのマシンに配信されます。
デジタル署名および公開鍵と非公開鍵のペアの作成に使用するデジタル証明書を発行する、公証された第三者機関または企業。CA は、一意の証明書を付与された個人が当該の人物であることを保証します。
X.509 証明書では、トラストアンカーからユーザーの証明書までの証明書が、一続きの認証チェーンを提供しているという認証局からの保証。
IP パケットを参照してください。
通常の文字列を使用して共有情報を表すための標準化された方法。識別名は、LDAP 証明書や X.509 証明書などのテクノロジーで使用されています。詳細は、A String Representation of Distinguished Namesを参照してください。
データ形式や、ネットワークトラフィック交換タイプ、セキュリティー関連情報の命名規約を定義します。セキュリティー関連情報の例としては、セキュリティーポリシーや、暗号化アルゴリズム、暗号化モードなどがあります。
デジタル署名アルゴリズム。512 ビットから 4096 ビットまでの可変長鍵の公開鍵アルゴリズム。米国政府標準である DSS は最大 1024 ビットです。この場合、DSA では入力に SHA-1 を使用します。
「公開鍵」暗号化としても知られています。1976 年に Diffie 氏と Hellman 氏が開発した非対称暗号鍵協定プロトコルです。このプロトコルを使用すると、セキュアでない伝達手段で、事前の秘密情報がなくても 2 人のユーザーが秘密鍵を交換できます。Diffie-Hellman は、IKE プロトコルで使用されます。
ステートフルパケットフィルタを参照してください。
Elliptic Curve Digital Signature Algorithm。楕円曲線数学に基づく公開鍵アルゴリズム。ECDSA 鍵サイズは、同じ長さの署名の生成に必要な DSA 公開鍵のサイズより大幅に小さくなります。
パケットに対して完全性と機密性を提供する拡張ヘッダー。ESP は、IP セキュリティーアーキテクチャー (IPsec) の 5 つのコンポーネントの 1 つです。
組織のプライベートネットワークやイントラネットをインターネットから切り離し、外部からの進入を防止するためのデバイスまたはソフトウェア。ファイアウォールには、フィルタリングや、プロキシサーバー、NAT (ネットワークアドレス変換) などを組み込むことができます。
メッセージ認証を行うための鍵付きハッシュ方法。HMAC は秘密鍵認証アルゴリズムの 1 つです。HMAC は秘密共有鍵と併用して、MD5 、SHA-1 などの繰り返し暗号化のハッシュ関数で使用します。HMAC の暗号の強さは、基になるハッシュ関数のプロパティーによって異なります。
インターネットプロトコル (IP)、IPv4、IPv6 を参照してください。
IP 経由で転送される情報パケット。IP パケットはヘッダーとデータを含みます。ヘッダーにはパケットのソースと宛先のアドレスが含まれます。ヘッダーのその他のフィールドは、データと付随するパケットを宛先で識別し、再結合する際に役立ちます。
インターネットパケットを固有に識別する 20 バイトのデータ。ヘッダーには、パケットの送信元と送信先のアドレスが含まれています。さらに、ヘッダー内のオプションによって、新しいバイトを追加できます。
リンク層でノード間の通信に使用される通信設備や通信メディア。リンク層とは IPv4 および IPv6 のすぐ下の層です。例としては、Ethernet (ブリッジされたものも含む) や ATM ネットワークなどがあります。1 つまたは複数の IPv4 サブネット番号またはネットワーク接頭辞が IP リンクに割り当てられます。同じサブネット番号またはネットワーク接頭辞を複数の IP リンクに割り当てることはできません。ATM LANE では、IP リンクは 1 つのエミュレートされた LAN です。ARP を使用する場合、ARP プロトコルの有効範囲は単一の IP リンクです。
TCP/IP はしばしば「スタック」と呼ばれます。データ交換のクライアントエンドとサーバーエンドですべてのデータが通過する層 (TCP、IP、場合によってはそのほかを含む) のことを意味します。
管理者がストレージ領域 (つまり、キーストア) に与える、ネットワークインタフェースカード (NIC) 上の名前。キーストア名は、「トークン」、「トークン ID」とも呼ばれます。
1. IKEv2 ルールのキーワードで、その値は、auth_method が preshared の場合には共有鍵ファイルの label キーワードの値に一致する必要があります。
2. IKEv2 証明書の作成時に使用されるキーワード。この値は、キーストア内の証明書のあらゆる部分 (非公開鍵、公開鍵、および公開鍵証明書) を特定する際に便利です。
3. オブジェクトまたはプロセスの機密性レベルの強制アクセス制御 (MAC) の表示。Confidential および Top Secret はラベルの例です。ラベル付きネットワーク送信には MAC ラベルが含まれます。
4. IKEv1 ルールのキーワードで、その値はルールの取得に使用されます。
IPv6 では、自動アドレス構成などのために、単一リンク上でアドレスを指定するために使用することを表します。デフォルトでは、リンク - ローカル・アドレスはシステムの MAC アドレスから作成されます。
1. diffserv アーキテクチャーおよび IPQoS のモジュールの 1 つ。パケットの転送方法を指示する値を IP パケットの DS フィールドに付けます。IPQoS 実装では、このマーカーモジュールは dscpmk です。
2. IPQoS 実装のモジュールの 1 つで、ユーザー優先順位の値を Ethernet パケットの仮想 LAN タグに付けます。ユーザー優先順位の値は、VLAN デバイスを備えたネットワーク上でパケットが転送される方法を示します。このモジュールは dlcosmk と呼ばれます。
特定の方法でインタフェースのグループを特定する IPv6 アドレス。マルチキャストアドレスに送信されるパケットは、グループにあるすべてのインタフェースに配信されます。IPv6 マルチキャストアドレスには、IPv4 ブロードキャストアドレスに似た機能があります。
ネットワークアドレス変換 (NAT) を参照してください。
あるネットワークで使用されている IP アドレスを、別のネットワークで認識されている異なる IP アドレスに変換すること。必要となる大域 IP アドレスの数を抑えるために使用されます。
ネットワークへのインタフェースになる、ネットワークアダプタカード。NIC によっては、igb カードなど複数の物理インタフェースを装備できるものもあります。
IP ヘッダーを参照してください。
PFS では、データ伝送を保護するために使用される鍵が、追加の鍵を導き出すために使用されることはありません。さらに、データ伝送を保護するために使用される鍵のソースが、追加の鍵を導き出すために使用されることはありません。したがって、PFS は以前に記録されたトラフィックの復号化を回避できます。
PFS は認証された鍵交換だけに適用されます。Diffie-Hellman アルゴリズムも参照してください。
リンクへのシステムの接続。この接続は通常、デバイスドライバとネットワークインタフェースカード (NIC) として実装されます。NIC によっては、igb のように複数の接続点を持つものもあります。
IPsec では、パケットが侵入者によって捕捉されるような攻撃のこと。格納されたパケットは、あとで元のパケットを置き換えるか繰り返します。そのような攻撃を防止するために、パケットを保護している秘密鍵が存在している間、値が増加を続けるフィールドをパケットに含めることができます。
複数のインタフェースを通常もち、ルーティングプロトコルを実行し、パケットを転送するシステム。システムが PPP リンクのエンドポイントである場合は、ルーターとしてのインタフェースを 1 つだけもつようなシステムを構成できます。
パケットにどのレベルの保護を適用するかを指定するデータベース。SPD は、IP トラフィックをフィルタして、パケットを破棄すべきか、検証済みとして通過させるべきか、IPsec で保護すべきかを決めます。
リモートロケーションから IP ブロードキャストアドレス または複数のブロードキャストアドレスに向けられた ICMP echo request パケットを使用して、深刻なネットワークの輻輳や中断を引き起こすこと。
コンピュータに不正にアクセスするために、メッセージが、信頼されるホストから来たかのように見える IP アドレスを使ってコンピュータにメッセージを送信すること。IP のなりすましを行うために、ハッカーはまず、さまざまなテクニックを使って、信頼されるホストの IP アドレスを見つけ、次にパケットヘッダーを変更します。それによって、パケットは、そのホストから来たかのように見えます。
アクティブな接続の状態をモニターし、そこから得た情報を使ってパケットフィルタを通過させるネットワークパケットを決めるファイアウォール。要求と応答を追跡、照合することによって、ステートフルパケットフィルタは、要求と一致しない応答を選別できます。
TCP と似た方法で接続指向の通信を行う転送層プロトコル。さらに、このプロトコルは、接続のエンドポイントの 1 つが複数の IP アドレスをもつことができる複数ホーム機能をサポートします。
メッセージの送信側と受信側が 1 つの共通鍵を共有する暗号化システム。この共通鍵は、メッセージを暗号化および復号化するために使用されます。対称鍵は、IPsec での大量データ転送の暗号化に使用します。AES は対称鍵の 1 つの例です。
TCP/IP (伝送制御プロトコル/インターネットプロトコル) は、インターネットの基本的な通信言語またはプロトコルです。プリベートネットワーク (イントラネットやエクストラネット) の通信プロトコルとしても使用されます。
Triple-Data Encryption Standard。対称鍵暗号化システムの 1 つ。Triple-DES では鍵の長さとして 168 ビットが必要です。Triple-DES を「3DES」と表記することもあります。
パケットがカプセル化される間に通過するパス。カプセル化を参照してください。
IPsec では、構成されたトンネルはポイントツーポイントインタフェースです。トンネルによって、IP パケットを別の IP パケット内にカプセル化できます。
ソフトウェアおよびハードウェアのネットワークリソースとネットワーク機能を組み合わせたもの。単一のソフトウェアエンティティとしてまとめて管理されます。「内部」仮想ネットワークは、ネットワークリソースを単一のシステムに統合したもので、「ワンボックスネットワーク (network in a box)」と呼ばれることもあります。