【IPA対策】IKEv1とIKEv2の違い

本稿ではIPA試験で必要とされる知識をまとめます。

目次

IKEv1とIKEv2の違い

IKEv1とIKEv2の違い

IKE(Internet Key Exchange)はIPsecのうち鍵交換機能と接続相手認証機能を担うプロトコルです。古くからIKEv1が利用されてきましたが,徐々にメーカーやバージョンによる互換性が失われていきました。そこでIKEv1の効率化を図るとともに改めてIKEを標準化しようとするIKEv2が考案されました。

IKEは他にもメッセージ認証機能やリプレイ防御機能も有します。

IKEv1がフェーズ1とフェーズ2に分けられます。フェーズ1はメインモードとアグレッシブモードに分けられますが,メインモードは認証時の暗号化を担保する代わりに通信に3往復を要し,アグレッシブモードは通信は1.5往復で済みますが認証時の暗号化を省略します。フェーズ1では制御用のSAを1つ作成し,フェーズ2では上り通信用と下り通信用のSAを2つ作成します。

フェーズモード手続き
フェーズ1メインモード・ISAKMP SAの設定合意
・ISAKMP SAの鍵交換
・接続相手認証
を3往復で実現。認証時には暗号化されている。
アグレッシブモード・ISAKMP SAの設定合意
・ISAKMP SAの鍵交換
・接続相手認証
を1.5往復で実現。認証時は暗号化されていない。
フェーズ2クイックモード・IPsec SAの設定合意
・IPsec SAの鍵交換
を1.5往復で実現。
IKEv1のフェーズ

ISAKMPはInternet Security Association and Key Management Protocolの略称で,アイサキャンプと読みます。ISAKMPはパラメータの交換方式を規定するプロトコルで,結果としてSAが生成されます。SAはトンネルのようなイメージですが,Security Associationという原義からも分かる通り,実態はISAKMPにより交換されたパラメータの合意のことを指します。ISAKMP SAはIPsec SAの制御用トンネルです。

IKEv2ではフェーズ1の一部をIKE_SA_INIT,フェーズ1の一部とフェーズ2をIKE_AUTHとして新たに定義して手続きを簡略化させました。IKEv1におけるISAKMP SAはIKEv2ではIKE SAと呼ばれ,IKEv1におけるIPsec SAはIKEv2ではChild SAと呼ばれます。

シェアはこちらからお願いします!
目次