next up previous contents
Next: 7.2.6 鍵交換 Up: 7.2 IPsecの概略 Previous: 7.2.4 セキュリティポリシー

7.2.5 セキュリティアソシエーション

セキュリティアソシエーション(SA)は、IPsecを用いる具体的な通信の片方向に ついて、秘密鍵や暗号アルゴリズムなどのパラメータを定義したものです。 従って、双方向の通信においては、2つのSAを定義しなければなりません。 また、SAにおいては、AHまたはESPのいずれかしか持つことが出来ないので、 もし、AHとESPの両方を利用したい場合にはそのそれぞれについてSAが必要で、 それが双方向に必要なので計4つのSAが必要になります 。但し、先にも述べたように、ESPには認証メカニズムが後に追加されたので、 こうしたESPのSAをAHのSAでくるむようなやり方は少なくなりつつあるようです。

SAはホスト間の通信ごとに、あるいはプロトコルごとに定義されるので、 多くのSAが同時に一つのホストの内部に存在することになります。こうした多数 のSAは、セキュリティアソシエーションデータベース(SAD)に格納されます。 従って、パケットがホストから送信されようとする時や、受信する時には、 最初に先に述べたセキュリティポリシーデータベース(SPD)が検索され、 次にIPsecが適用される場合にはSADが検索されます。SPDが検索された結果、 IPsecの適用が必須ならば、自動的に何らかの方法でSAが確立されるように なっています(あるいは確立されない場合もありますが)。 なお、SA は期限の概念があり、期限切れになる前にSAの再確立などが行われ ますが、その中心は秘密鍵の再計算とその交換になります。



Noriyo Kanayama