【IKEについて】

　　　　　　　　　　このHPはIKEについてまとめたものです。

1-1　IKE（鍵交換プロトコル）

IKEとは、IPSecにおけるSAの作成管理、暗号化に利用する共有鍵交換のために利用される。

IPsecでの通信を行うためには、通信が開始される前に送信側と受信側とのネゴシエーションの段階で、認証・暗号アルゴリズムや鍵情報等をお互いに共有する必要があるので、事前に「ＳＡ」を確立する。

このSAを生成するための仕組みとして、IPsecで一般的に利用されているのが、IKEと呼ばれる鍵交換プロトコル。

また、IPSecSAは片方向のトンネルであるため、IPSecでVPN装置との間にデータを相互にやり取りするには2本のSAが必要。

IKEにおけるSAの確立は、フェーズ1とフェーズ2に分けられる。なお、IKEの通信そのものはUDPで行われ、ポート番号は500を使用。

またIKEで接続交渉（ネゴシエーション）を開始するほうを【イニシエーター】、受け付ける方を【レスポンダ】と呼ぶ。

1-2　IKEの動作概要

◆IKEフェーズ1

IKEフェーズ1は、ISAKMP SAを生成する。IPSec SAプロポーザルの交渉を行い、ISAKMP SA確立のネゴシエーションを行う。

【IKEフェーズ1の動作】

●IKE SAプロポーザルの交渉

●フェーズ2で利用する暗号化アルゴリズムを決定し、共有秘密鍵を生成する ※Diffie-Hellmanという方式を使用

●通信相手の認証に必要な情報を交換し、互いに正しい相手（ピア）と通信しようとしていることを確認する

ネゴシエーションでは、以下の５つのパラメータ情報を決定する。

●暗号化アルゴリズム

●ハッシュアルゴリズム

●SAのライフタイム

●認証方式

●Diffie-Hellman交換のパラメータ情報

VPNゲートウェイ間で認証が完了すると、ISAKAMP SAが確立する。

◆フェーズ2

フェーズ2では、フェーズ1で確立されたISAKMP SAを使用して、

IPSecセキュリティプロトコルのSAを確立する。

【IKEフェーズ2の動作】

●IPSecのプロポーザルの交渉

●暗号鍵生成/配送

IPSecSAのプロポーザルのネゴシエーションで、以下の５つの情報を交換する。

●セキュリティプロトコル （AH/ESP）

●暗号化アルゴリズム(DES/3DES/AES )

●認証アルゴリズム  

●SAの有効期間　

●カプセル化モード（トランスポートモード/トンネルモード）

VPNゲートウェイ間でIPSec SAが確立すれば、IPSec SAを通じてIPSec通信が可能になる。