IP セキュリティー環境における IKE デーモンの主な役割は、暗号鍵の自動管理です。IKE デーモンが提供する動的鍵管理機能を使用すれば、暗号鍵の作成、配布、および保守に必要な管理作業に伴う負担の大半を排除できます。IKE は以下のサービスを提供します。
IKE はアプリケーション層で動作します。IKE ネゴシエーションは、一連の UDP メッセージにより 2 つの IKE ピア間で通信されます。IKE デーモンは、ポート 500 および 4500 を使用します。IKEv1 および IKEv2 の両方とも、セキュリティー・アソシエーションのネゴシエーションはフェーズごとに進みます。各フェーズにおいて、IKE はリモート・ホストとの間でセキュリティー・アソシエーションをネゴシエーションします。初期フェーズでは、IKE はフェーズ 1 セキュリティー・アソシエーションをネゴシエーションし、これにより、IKE ピアが通信に使用するセキュア・チャネルが確立されます。次に、後続の IP トラフィックについてデータの認証と暗号化を行うために、フェーズ 2 セキュリティー・アソシエーションがネゴシエーションされます。フェーズ 1 セキュリティー・アソシエーションとフェーズ 2 セキュリティー・アソシエーションの違いは、それぞれのセキュリティー・アソシエーションが何を保護するかという点にあります。
IKE デーモンがネゴシエーションする各セキュリティー・アソシエーションには、次の情報があります。すなわち、保護対象のトラフィック・タイプ、2 つのエンドポイントの IP アドレス、提供される暗号化と認証のタイプ、データを保護するために使用する鍵、鍵をリフレッシュする頻度、および、セキュリティー・アソシエーションを一意的に識別するために使用されるセキュリティー・パラメーター・インデックス (SPI) と呼ばれる ID です。
IPSec 構成には、それぞれのフェーズを管理する別々のポリシーが含まれています。フェーズ 1 とフェーズ 2 のネゴシエーションおよび鍵に対して多くの同じ属性が適用されますが、両者間には以下の大きな相違点が 2 つあります。
各フェーズ 1 セキュリティー・アソシエーションおよび各フェーズ 2 セキュリティー・アソシエーションに関する厳密な仕様は、IP セキュリティー構成ファイル内で構成します。 フェーズ 1 およびフェーズ 2 の仕様に適用される特定の IP セキュリティー・ポリシー・ステートメントは、KeyExchangeOffer ステートメント (フェーズ 1) と IpDataOffer ステートメント (フェーズ 2) です。KeyExchangeOffer ステートメントおよび IpDataOffer ステートメントについて詳しくは、「z/OS Communications Server: IP 構成解説書」を参照してください。
IKE プロトコルは、鍵の初期化を処理するため、セキュリティーの存在が想定されていないリンク上で実行できることが必要です。IKE は、安全な鍵配布の問題を解決するために、IKE フェーズ 1 ネゴシエーションの際に、Diffie-Hellman 交換を使用して、鍵生成材料を自動的に導出させます。フェーズ 1 で鍵の自動作成と配布を行うことにより、リモート・サイトの間でセッション鍵を手動で配布する必要がなくなります。IKE には管理の点でも明らかな利点があるばかりでなく、鍵の手動による配布方法には鍵漏えいが伴います。
さらに、IKE は、お客様のシステム環境のセキュリティー・ポリシーに基づいて、中断なしでセッション鍵をリフレッシュします。 IKE は、このリフレッシュを、時間 (期間指定によるライフ・サイクル) および伝送バイト数 (サイズ指定によるライフ・サイクル) に基づいて行えることを指定しています。 IKE は、Perfect Forward Secrecy (PFS) と呼ばれるプロパティーを提供しており、PFS 使用時は、フェーズ 2 の各鍵は、独立した Diffie-Hellman 交換により個々に導出されます。PFS では、1 つの鍵が破られることがあっても、その後で生成される鍵の保全性は影響を受けません。