IKE は、動的鍵管理の機能を提供するために鍵交換ポリシーを必要とします。このポリシーには、鍵のネゴシエーションの実行方法 (IKEv1 または IKEv2 を使用)、ネゴシエーションの保護方法、およびどのホストが鍵のネゴシエーション可能かについての定義が含まれています。 鍵交換ポリシーが存在しなくてもエラーとは見なされませんが、これがないと、IKE デーモンは動的鍵管理の機能を提供できません。
鍵交換ポリシーは、鍵交換規則の番号付きリストから成っています。鍵交換規則は、一組のセキュリティー・エンドポイントと、2 つのセキュリティー・エンドポイントが IKE フェーズ 1 ネゴシエーションに関与するときに取るべきアクションから成っています。
オプションとして、鍵交換規則にはその規則内で記述されている 2 つのネゴシエーションするエンティティーのみに知らされている、共有秘密鍵を含めることができます。IKE ネゴシエーションが開始されると、現行の鍵交換規則リストを検索して、以下の 4 つの基準に基づいて一致しているかどうかチェックされます。
以下に示すのは、KeyExchangeRule ブロックのサンプルであり、これにより、9.2.2.2 および 9.4.4.4 にある 2 つの IKE デーモン間の IKE ネゴシエーションを許可します。 サンプルの後で、サンプル内の各行について説明します。
1 KeyExchangeRule ZoneB_KeyExRule1
2 {
3 LocalSecurityEndpoint
4 {
5 Identity IpAddr 9.2.2.2
6 Location 9.2.2.2
7 }
8 RemoteSecurityEndpoint
9 {
10 Identity X500dn CN=ZoneB Cert,T=IKE ServerB,OU=endicott,O=ibm,C=US
11 Location 9.4.0.0/16
12 CaLabel CA4endicott
13 }
14 KeyExchangeActionRef Gold-RSA
15 SharedKey Ascii TheEagleHasLanded
16 }
KeyExchangeAction Gold-RSA
{
HowToInitiate main
HowToRespondIKEv1 main
KeyExchangeOffer
{
HowToEncrypt 3DES
HowToAuthMsgs SHA1
HowToAuthPeers RsaSignature
}
}
KeyExchangeAction ステートメントは、2 つのセキュリティー・エンドポイント間のフェーズ 1 ネゴシエーションを規定する詳細パラメーター (例えば、誰がネゴシエーションを開始できるか、およびどのタイプの暗号化を使用するか) を指定します。