IPsec の セキュリティーアソシエーション (SA) は、同様に SA に格納されている IP パラメータに一致する IP パケットに適用するセキュリティープロパティーを定義します。各 SA は単方向です。ほとんどの通信は双方向のため、1 つの接続に 2 つの SA が必要です。
あわせて、次の 3 つの要素が IPsec SA を一意に識別します。
セキュリティープロトコル (AH または ESP)
宛先 IP アドレス
security parameter index (SPI)
さらなる保護を提供する SA の SPI は、IPsec で保護されたパケットの AH または ESP ヘッダー内で渡されます。AH および ESP によって保護される範囲については、ipsecah(7P) および ipsecesp(7P) のマニュアルページを参照してください。完全性チェックサム値を使用して、パケットを認証します。認証が失敗すると、パケットがドロップされます。
セキュリティーアソシエーションは、セキュリティーアソシエーションデータベース (SADB) に格納されます。ソケットベースの管理インタフェース PF_KEY により、特権を持つアプリケーションでそのデータベースをプログラムによって管理できます。たとえば、IKE デーモンと ipseckey コマンドは PF_KEY ソケットインタフェースを使用します。
IPsec SADB のより完全な説明については、IPsec のセキュリティーアソシエーションデータベースを参照してください。
SADB の管理方法の詳細については、pf_key(7P) および ipseckey(1M) のマニュアルページを参照してください。
セキュリティーアソシエーション (SA) は、認証および暗号化で使用するキー作成素材を必要とします。この鍵情報の管理は鍵管理と呼ばれます。Oracle Solaris では、IKE と手動鍵管理という 2 つの方法で IPsec SA の鍵を管理できます。
IKE (インターネット鍵交換) プロトコルにより、鍵管理が自動的に行われます。Oracle Solaris のこのリリースは、IKE プロトコルの IKE バージョン 2 (IKEv2) および IKE バージョン 1 (IKEv1) をサポートしています。
IPsec SA の管理には IKE の使用をお勧めします。これらの鍵管理プロトコルには、次のメリットがあります。
単純な構成
強力なピア認証を提供
高品質でランダムな鍵ソースにより SA を自動的に生成
新しい SA の生成に管理者の介入を必要としない
詳細は、IKE の動作を参照してください。
IKE を構成するには、IKEv2 の構成を参照してください。IKEv2 プロトコルをサポートしていないシステムと通信する場合は、IKEv1 の構成の手順に従います。
手動鍵の使用は IKE よりも複雑で、リスクを伴う可能性があります。システムファイル /etc/inet/secret/ipseckeys には、暗号化鍵が含まれます。これらの鍵のセキュリティーが侵害された場合、これらを使用して、記録されているネットワークトラフィックが復号化される可能性があります。IKE では鍵が頻繁に変更されるため、そのような脅威にさらされる可能性ははるかに低くなります。ipseckeys ファイルまたはそのコマンドインタフェースである ipseckey は、IKE をサポートしていないシステムにのみ適しています。
ipseckey コマンドには少数の一般オプションしかありませんが、多くのコマンド言語をサポートしています。マニュアルキー操作に固有のプログラムインタフェースで要求を配信するように指定することもできます。詳細は、ipseckey(1M) および pf_key(7P) のマニュアルページを参照してください。
通常、手動での SA 生成は、何らかの理由で IKE を使用できない場合に使用します。ただし、SPI の値が一意であれば、手動での SA 生成と IKE を同時に使用することができます。