このページの目次

トリプルデータ暗号化標準(3DES)
アダプティブサービスPIC
AES(次世代暗号化標準)
AH(認証ヘッダー)
認証機関(CA)
証明書失効リスト (CRL)
暗号ブロックチェーン(CBC)
DES(データ暗号化標準)
デジタル証明書
ES PIC
カプセル化セキュリティペイロード(ESP)
ハッシュメッセージ認証コード (HMAC)
インターネット鍵交換(IKE)
Message Digest 5(MD5)
完全転送機密保持(PFS)
公開カギ基盤(PKI)
登録機関(RA)
ルーティングエンジン
セキュリティアソシエーション(SA)
セキュリティアソシエーションデータベース(SADB)
セキュアハッシュアルゴリズム 1(SHA-1)
セキュアハッシュアルゴリズム 2(SHA-2)
セキュリティポリシーデータベース(SPD)
SPI(セキュリティパラメーターインデックス)
簡易証明書登録プロトコル(SCEP)

IPSec の用語と頭字語

トリプルデータ暗号化標準(3DES)

3 つの異なる鍵でデータを 3 回処理することにより、168 ビット暗号化を提供する拡張 DES アルゴリズム。

アダプティブサービスPIC

M SeriesおよびT Seriesプラットフォーム上で、IPsecサービスおよびNAT(ネットワークアドレス変換)やステートフルファイアウォールなどのその他のサービスを提供する次世代PIC(物理インターフェイスカード)。

AES(次世代暗号化標準)

Rijndael アルゴリズムに基づいており、128 ビットのブロック、3 つの異なるキーサイズ (128、192、および 256 ビット)、および複数の処理ラウンドを使用してデータを暗号化する次世代の暗号化方式。

AH(認証ヘッダー)

パケットの内容が変更されていないことの確認(データ整合性)および送信者の身元の検証(データソース認証)に使用されるIPsecプロトコルのコンポーネント。AH の詳細については、RFC 2402 を参照してください。

認証機関(CA)

デジタル証明書を生成、登録、検証、および失効させる信頼できる第三者組織。CA は、ユーザーの ID を保証し、メッセージの暗号化と復号化のために公開キーと秘密キーを発行します。

証明書失効リスト (CRL)

有効期限が切れる前に無効化されたデジタル証明書のリスト (失効の理由および発行したエンティティーの名前を含む)。CRL は、侵害されたデジタル証明書と署名の使用を防止します。

暗号ブロックチェーン(CBC)

1 つのブロックの暗号化結果を使用して次のブロックを暗号化することにより、暗号文のブロックを暗号化する暗号化方式。復号化時に、暗号文の各ブロックの有効性は、先行するすべての暗号文ブロックの有効性に依存します。DES および ESP で CBC を使用して機密性を提供する方法の詳細については、RFC 2405 を参照してください。

DES(データ暗号化標準)

単一の共有鍵でデータを処理することにより、パケット・データの暗号化と暗号化解除を行う暗号化アルゴリズム。DES は 64 ビットブロック単位で動作し、56 ビット暗号化を提供します。

デジタル証明書

秘密キーと公開キーのテクノロジを使用して、証明書の作成者の ID を確認し、ピアにキーを配布する電子ファイル。

ES PIC

M SeriesおよびT Seriesプラットフォーム上でIPsec向けの第1世代の暗号化サービスとソフトウェアサポートを提供するPICです。

カプセル化セキュリティペイロード(ESP)

IPv4 または IPv6 パケット内のデータの暗号化、データの整合性の提供、およびデータソース認証の確保に使用される IPsec プロトコルのコンポーネント。ESP の詳細については、RFC 2406 を参照してください。

ハッシュメッセージ認証コード (HMAC)

暗号ハッシュ関数を使用したメッセージ認証のメカニズム。HMAC は、MD5 や SHA-1 などの反復的な暗号化ハッシュ関数と共に、秘密の共有キーと組み合わせて使用できます。HMAC の詳細については、RFC 2104 を参照してください。

インターネット鍵交換(IKE)

IPsec を使用して、すべてのホストまたはルーターの共有セキュリティパラメーターを確立します。IKE は、IPsec の SA を確立します。IKE の詳細については、RFC 2407 を参照してください。

Message Digest 5(MD5)

任意の長さのデータメッセージを受け取り、128 ビットのメッセージダイジェストを生成する認証アルゴリズム。詳細については、RFC 1321 を参照してください。

完全転送機密保持(PFS)

Diffie-Hellman 共有シークレット値によってセキュリティを強化します。PFS では、1 つのキーが侵害されても、前後のキーは以前のキーから派生していないため、安全です。

公開カギ基盤(PKI)

パブリックネットワークのユーザーが、信頼できる機関を通じて取得され、ピアと共有される公開鍵と秘密鍵のペアを使用して、セキュアかつプライベートにデータを交換できるようにする信頼階層。

登録機関(RA)

CA の代理としてユーザーの身元を保証する、信頼されたサードパーティ組織。

ルーティングエンジン

Junos OS ベースのルーターの PCI ベースのアーキテクチャ部分で、ルーティングプロトコルプロセス、インターフェイスプロセス、一部のシャーシコンポーネント、システム管理、ユーザーアクセスを処理します。

セキュリティアソシエーション(SA)

仕様は、IKEまたはIPsecが機能する前に、2つのネットワークデバイス間で合意する必要があります。SA は、主にプロトコル、認証、および暗号化オプションを指定します。

セキュリティアソシエーションデータベース(SADB)

すべての SA が IPsec によって格納、監視、処理されるデータベース。

セキュアハッシュアルゴリズム 1(SHA-1)

長さが 264 ビット未満のデータメッセージを受け取り、160 ビットのメッセージダイジェストを生成する認証アルゴリズム。SHA-1 の詳細については、RFC 3174 を参照してください。

セキュアハッシュアルゴリズム 2(SHA-2)

SHA-1 認証アルゴリズムの後継で、SHA-1 バリアント(SHA-224、SHA-256、SHA-384、SHA-512)のグループが含まれています。SHA-2 アルゴリズムは、より大きなハッシュサイズを使用し、AES などの拡張暗号化アルゴリズムで動作するように設計されています。

セキュリティポリシーデータベース(SPD)

SADB と連携してパケットの最大セキュリティーを確保するデータベース。インバウンドパケットの場合、IPsecはSPDをチェックして、着信パケットが特定のポリシーに設定されたセキュリティと一致するかどうかを確認します。送信パケットの場合、IPsec は SPD をチェックして、パケットをセキュリティで保護する必要があるかどうかを確認します。

SPI(セキュリティパラメーターインデックス)

ネットワーク・ホストまたはルーターで SA を一意的に識別するために使用される ID。

簡易証明書登録プロトコル(SCEP)

CA および登録機関 (RA) 公開キーの配布、証明書の登録、証明書の失効、証明書のクエリ、および証明書失効リスト (CRL) のクエリをサポートするプロトコル。