6/1に投稿した内容の中から、SA(Security Association)について詳しく見ていきます。
【6/1の投稿内容】:
IPsecプロトコルの概要【IPsec】 (miraclejob.com)
///////////////////////////////////////////////////////////////////////////////////
またIPsecでは、AHやESPを実装するためにVPN間でコネクションを確立する必要がありますが、
このコネクションの事をSA(Security association)と言います。
SAコネクションを確立後、認証(AH)、暗号化(AH/ESP)などを行えるようになります。
SAのコネクションを確立する段階では、鍵交換(IKEv1/v2)を使用します。
※厳密に言うと、更にフェーズ1(ISAKMPの生成)とフェーズ2(IPsec SAの生成)に分けられます。
///////////////////////////////////////////////////////////////////////////////////
今回はSAコネクションを確立するために必要なIKEv1(Internet Key Exchange)について確認しましょう。
※IKEv2については別途投稿
SAコネクションを確立するために、VPNゲートウェイはまずSA自体を生成します。
そのために、IKEと呼ばれる鍵交換できるプロトコルを使います。
厳密に言うと、IKEv1によって認証と暗号化を行うための鍵が生成されます。
またSAコネクションの確立には、IKEv1によるフェーズ1の段階とフェーズ2の段階があります。
フェーズ1とフェーズ2の具体的な内容は、フェーズ別に別途投稿いたします。
ざっくりですが、フェーズ1とフェーズ2の内容です。
フェーズ1:IKEv1によって各種パラメータを交換し合い、ISAKMP SAを生成する
フェーズ2: フェーズ1で生成されたISAKMP SAで、さらに各種パラメータを交換し合うことによりSAを生成
これによってSAが生成がされ、コネクションが確立します。
とりあえず覚えておくべきことは、
・SAコネクション確立するためには、SA自体を生成することが必要
・SAを生成するためにIKEv1(鍵交換プロトコル)が必要
・IKEv1によるSA生成は、フェーズ1とフェーズ2がある
・フェーズ1とフェーズ2を行う中で、ISAKAMPを生成し、最終的にそれを元にSAが生成される
※IKEv1はISAKMPのアーキテクチャ(一部)になります。
今回は以上になります。
以下は、IPsecに関して私の方で投稿した内容です。
IPsecプロトコルの概要【IPsec】 (miraclejob.com)
IPsec SAの概要について【IPsec】 (miraclejob.com)
今回:IPsec SAのコネクションの確立(IKE)の概要について【IPsec】 (miraclejob.com)
次のIPsec関連では、IKEv1フェーズ1について、ISAKMPに絡めて投稿します。