IKE認証について

インターネット鍵交換ネゴシエーションでは、2 つの当事者が通信できるセキュリティで保護されたチャネルを確立する機能のみが提供されます。それでも、それらが互いに認証する方法を定義する必要があります。ここでIKE認証を使用して、相手にVPNを確立する権限が与えられます。

以下のIKE認証が可能です。

• 事前共有鍵認証:VPN 接続を確立する最も一般的な方法は、事前共有鍵を使用することです。これは、基本的に両当事者にとって同じパスワードです。このパスワードは、電話、口頭でのやりとり、または電子メールなどのセキュリティの低いメカニズムなどの帯域外メカニズムで事前に交換する必要があります。次に、当事者は、Diffie-Hellman 交換で得られたピアの公開鍵で事前共有鍵を暗号化することで、互いを認証します。

  事前共有鍵は、単一の組織内、または異なる組織間のサイト間 IPsec VPN に導入されるのが一般的です。事前共有キーを最も安全な方法で使用するには、少なくとも 8 文字で構成され、12 文字以上で、文字、数字、非英数字を組み合わせて構成することが推奨されています。文字については大文字と小文字が区別されます。事前共有鍵には、辞書にある単語を使用しないでください。

• 証明書認証:証明書ベースの認証は、証明書キーが簡単に侵害されないため、事前共有キー認証よりも安全であると考えられています。また、認定書は、全員が事前共有鍵を共有するわけではない多数のピア サイトを有する大規模な環境において、より理想的です。認定書は公開鍵と秘密鍵で構成されており、認証局(CA)と呼ばれる一次認定書による署名を受けることができます。このようにして、証明書が信頼できる CA で署名されているかどうかを確認できます。