インターネットキー交換とは何ですか?

インターネットキーエクスチェンジ(IKE)は、インターネットエンジニアリングタスクフォース(IETF)によって作成されたサポートプロトコルのセットであり、インターネットプロトコルセキュリティ(IPSec)標準とともに使用され、ネットワークを介して2つのデバイスまたはピア間で安全な通信を提供します。 プロトコルとして、IKEは多くのソフトウェアアプリケーションで使用できます。 一般的な例の1つは、セキュアな仮想プライベートネットワーク(VPN)のセットアップです。 事実上すべての最新のコンピューターオペレーティングシステムとネットワーク機器で標準ですが、インターネットキーエクスチェンジが行うことの多くは、平均的なユーザーからは見えません。

IKEのプロトコルは、IPSecを介した安全な通信に必要な、IPSecを介した2つ以上のピア間のセキュリティアソシエーション(SA)と呼ばれるものを確立します。 SAは、通信で使用される暗号化アルゴリズム、暗号化キー、およびそれらの有効期限を定義します。 これはすべて、各ピアのセキュリティアソシエーションデータベース(SAD)に入ります。 IPSecはSAを手動で構成できますが、Internet Key Exchangeはピア間のセキュリティアソシエーションを自動的にネゴシエートおよび確立します(独自の機能を作成する機能を含む)。

インターネットキーエクスチェンジは、ハイブリッドプロトコルとして知られています。 IKEは、Internet Security Association and Key Management Protocol(ISAKMP)と呼ばれるプロトコルフレームワークを利用します。 ISAKMPはIKEにSAを確立する機能を提供し、データペイロードの形式を定義し、使用するキー交換プロトコルを決定するジョブを実行します。 ISAKMPはキーを交換するためにいくつかの方法を使用できますが、IKEでの実装は2つの側面を使用します。 鍵交換プロセスのほとんどは、さまざまなモードを定義するOAKLEY鍵決定プロトコル(OAKLEY)メソッドを使用しますが、IKEは、公開鍵暗号化を可能にし、次の機能を持つSource Key Exchange Mechanism(SKEME)メソッドも使用しますキーを迅速に更新します。

ピアが安全に通信したい場合、ピアは互いに「興味深いトラフィック」と呼ばれるものを送信します。 興味深いトラフィックは、ピアで確立されたIPSecポリシーに準拠したメッセージです。 ファイアウォールおよびルーターに見られるこのポリシーの一例は、アクセスリストと呼ばれます。 アクセスリストには暗号化ポリシーが与えられます。これにより、ポリシー内の特定のステートメントは、接続を介して送信される特定のデータを暗号化するかどうかを決定します。 セキュアな通信に関心のあるピアが相互にIPSecセキュリティポリシーを一致させると、インターネットキー交換プロセスが開始されます。

IKEプロセスは段階的に行われます。 多くの安全な接続は安全でない状態で開始されるため、最初のフェーズでは、2つのピアが安全な通信のプロセスを継続する方法をネゴシエートします。 IKEは最初にピアのIDを認証してから、両方のピアが使用するセキュリティアルゴリズムを決定することにより、そのIDを保護します。 Internet Key Exchangeは、保護されていないネットワークを介して一致するキーを作成できるDiffie-Hellman公開キー暗号化プロトコルを使用して、セッションキーを作成します。 IKEは、フェーズ2で使用されるピア間に安全な接続、トンネルを作成することにより、フェーズ1を終了します。

IKEがフェーズ2に入ると、ピアは新しいIKE SAを使用して、残りの接続中に使用するIPSecプロトコルを設定します。 送信されたメッセージがそのまま受信されたことを確認する認証ヘッダー(AH)が確立されます。 パケットも暗号化する必要があるため、IPSecはカプセル化セキュリティプロトコル(ESP)を使用してパケットを暗号化し、覗き見から安全に保ちます。 AHはパケットの内容に基づいて計算され、パケットは暗号化されるため、パケットは偽のパケットに置き換えようとしたり、パケットの内容を読み取ったりすることから保護されます。

IKEは、フェーズ2で暗号化ナンスも交換します。ナンスは、1回だけ使用される数字または文字列です。 ノンスは、新しい秘密鍵を作成する必要がある場合、または攻撃者が偽のSAを生成することを防ぐためにピアによって使用され、いわゆるリプレイ攻撃を防ぎます。

IKEのマルチフェーズアプローチの利点は、フェーズ1 SAを使用することにより、いずれかのピアがいつでもフェーズ2を開始して新しいSAを再ネゴシエートし、通信の安全性を確保できることです。 インターネットキー交換がフェーズを完了すると、情報交換のためのIPSecトンネルが作成されます。 トンネルを介して送信されるパケットは、フェーズ2で確立されたSAに従って暗号化および復号化されます。終了すると、トンネルは、所定の時間制限に基づいて期限切れになるか、一定量のデータが転送された後に終了します。 もちろん、追加のIKEフェーズ2ネゴシエーションにより、トンネルを開いたままにするか、新しいフェーズ1およびフェーズ2ネゴシエーションを開始して、新しい安全なトンネルを確立できます。

他の言語

この記事は参考になりましたか? フィードバックをお寄せいただきありがとうございます フィードバックをお寄せいただきありがとうございます

どのように我々は助けることができます? どのように我々は助けることができます?

関連記事