【IKEについて】
このHPはIKEについてまとめたものです。
1-1 IKE(鍵交換プロトコル)
IKEとは、IPSecにおけるSAの作成管理、暗号化に利用する共有鍵交換のために利用される。
IPsecでの通信を行うためには、通信が開始される前に送信側と受信側とのネゴシエーションの段階で、認証・暗号アルゴリズムや鍵情報等をお互いに共有する必要があるので、事前に「SA」を確立する。
このSAを生成するための仕組みとして、IPsecで一般的に利用されているのが、IKEと呼ばれる鍵交換プロトコル。
また、IPSecSAは片方向のトンネルであるため、IPSecでVPN装置との間にデータを相互にやり取りするには2本のSAが必要。
IKEにおけるSAの確立は、フェーズ1とフェーズ2に分けられる。なお、IKEの通信そのものはUDPで行われ、ポート番号は500を使用。
またIKEで接続交渉(ネゴシエーション)を開始するほうを【イニシエーター】、受け付ける方を【レスポンダ】と呼ぶ。
1-2 IKEの動作概要
◆IKEフェーズ1
IKEフェーズ1は、ISAKMP SAを生成する。IPSec SAプロポーザルの交渉を行い、ISAKMP SA確立のネゴシエーションを行う。
【IKEフェーズ1の動作】
●IKE SAプロポーザルの交渉
●フェーズ2で利用する暗号化アルゴリズムを決定し、共有秘密鍵を生成する ※Diffie-Hellmanという方式を使用
●通信相手の認証に必要な情報を交換し、互いに正しい相手(ピア)と通信しようとしていることを確認する
ネゴシエーションでは、以下の5つのパラメータ情報を決定する。
●暗号化アルゴリズム
●ハッシュアルゴリズム
●SAのライフタイム
●認証方式
●Diffie-Hellman交換のパラメータ情報
VPNゲートウェイ間で認証が完了すると、ISAKAMP SAが確立する。
◆フェーズ2
フェーズ2では、フェーズ1で確立されたISAKMP SAを使用して、
IPSecセキュリティプロトコルのSAを確立する。
【IKEフェーズ2の動作】
●IPSecのプロポーザルの交渉
●暗号鍵生成/配送
IPSecSAのプロポーザルのネゴシエーションで、以下の5つの情報を交換する。
●セキュリティプロトコル (AH/ESP)
●暗号化アルゴリズム(DES/3DES/AES )
●認証アルゴリズム
●SAの有効期間
●カプセル化モード(トランスポートモード/トンネルモード)
VPNゲートウェイ間でIPSec SAが確立すれば、IPSec SAを通じてIPSec通信が可能になる。