- - PR -
IPsec制御用トンネルの作成について
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2004-05-06 17:24
IPsecの制御用トンネル(ISAKMP SA)作成について質問させてください。
IPsecでは、IPsecゲートウェイ間(もしくはIPsecゲートウェイとリモートアクセス用PC との間)で、まず制御用トンネル(ISAKMP SA)を確立し、暗号鍵を安全に交換した上で 改めて通信用トンネル(IPsec SA)を確立します。 そのうち、制御用トンネルを作る手順は2種類(メイン・モードとアグレッシブ・モー ド)あって、メイン・モードでは認証の前に秘密鍵の交換をするので、認証に使うIDや 算出したハッシュ値は秘密鍵で暗号化されて相手のIPsecゲートウェイに届くと思います。 そこで、このメイン・モードについて、以下のようにとある参考書に書かれておりました。 「最後の認証段階になるまで相手にIDが伝わらないので、IDとは別に誰かを知らせる 必要がある。なぜなら、通信相手が特定できないと、プリシェアード・キーが 選べず、鍵交換が成り立たないためである。」 ここで、なぜ「プリシェアード・キーが選べないと鍵交換が成り立たないのか」が、 よく分からないのです。だってプリシェアード・キーは認証に使うキーであり、認証 手順でIDが伝わってから初めてIDと組み合わせてハッシュ値を算出するものだという 認識が私のなかであるからです。 また、「IDとは別に誰かを知らせる必要」は別にないのではないか、と思ってしまいます。 それは認証処理時に分かればよいものだと思うからです。 参考書の上記の記述について、ご理解の方は何卒ご教示お願いします。 [ メッセージ編集済み 編集者: DNSはQR? 編集日時 2004-05-07 15:22 ] |
1