この情報では、以下の用語と概念が使用されています。
- 3DES
- Triple-DES とも呼ばれます。この暗号化方式では、3 つの異なる鍵を使って単一のデータ・ブロックに対して 3 つの DES 操作を使用します。これは、単一 DES より高度なセキュリティーを提供します。
- アクティブ (Active)
- この用語は次の 3 通りの意味で使用されます。
- 現在有効になっているフィルター・ポリシー (デフォルトまたはポリシー・エージェント) を表す。
- ポリシー・エージェントで定義されている規則またはアクションの状態を表す。これらの規則またはアクションは、時間的な条件によりアクティブ、または非アクティブになることがあります。
- TCP/IP スタックにインストールされているマニュアル・トンネルの状態を表す。マニュアル・トンネルは、アクティブ (使用可能) の場合と、非アクティブ (使用不可) の場合があります。
- アクティブ IPSec ポリシー (Active IPSec policy)
- 現在有効なポリシー。これは、デフォルト・フィルター・ポリシーまたは IP セキュリティー・フィルター・ポリシーのいずれかです。
- Advanced Encryption Standard (AES)
- 情報の暗号化と暗号化解除 (復号) が可能な対称ブロック暗号。
z/OS® Communications
Server の IP セキュリティーは、鍵の長さが 128 ビットの AES をサポートします。
- AES Cipher Block Chaining (CBC) (AES_CBC) モード (AES Cipher Block Chaining (CBC) (AES_CBC) mode)
- CBC モードを使用する AES アルゴリズム。z/OS Communications
Server の IP セキュリティーは、鍵の長さが 128 ビットまたは 256 ビットの AES_CBC をサポートします。
- AES Galois Counter Mode (GCM)
- Galois Counter Mode および 16 バイトの保全性検査値 (ICV) を使用する AES アルゴリズム。Galois Counter Mode は、暗号化と認証の両方を同時に実行する結合モードのアルゴリズムです。z/OS Communications
Server の IP セキュリティーは、鍵の長さが 128 ビットまたは 256 ビットの AES_GCM をサポートします。
- AES Galois Message Authentication Code (GMAC)
- AH ヘッダーまたは ESP ヘッダーのいずれかで認証データをエンコードする、Galois Counter Mode を使用した AES アルゴリズム。AES_GMAC
は結合モードのアルゴリズムとして機能します。; ただし、暗号化を使用しない認証を提供します。z/OS Communications Server の IP セキュリティーは、鍵の長さが 128 ビットまたは 256 ビットの AES_GMAC をサポートします。
- AES Extended Cipher Block Chaining (XCBC)
- 128 ビット鍵と 96 ビットへのハッシュ切り詰めによって、AH ヘッダーまたは ESP ヘッダーのいずれかで認証データをエンコードする XCBC モードを使用した AES アルゴリズム。
- 非対称暗号化 (Asymmetric encryption)
- 公開/秘密鍵暗号化とも呼ばれます。このタイプの暗号化は、暗号化鍵と暗号化解除鍵のペアを使用して、両者間で行われます。
- 認証ヘッダー (AH)(Authentication Header)
- IP パケットの認証のために、IPSec セキュリティー・アソシエーションと共に使用される IP プロトコル (51)。
- 自動活動化
- TCP/IP スタックに IP セキュリティー・ポリシーがインストールされている場合に動的トンネルを活動化するプロセス。ユーザー・アクションの結果として、あるいは TCP/IP または IKED の初期化の結果として活動化されます。
- 認証局 (Certificate authority)
- X.509 デジタル証明書に含まれている情報を検査する、信頼のおける第三者機関。
- 証明書取り消しリスト (CRL: Certificate Revocation List)
- 認証局により署名された、取り消された証明書のタイム・スタンプ付きリスト。
- チャイルド・セキュリティー・アソシエーション (Child Security Association)
- フェーズ 2 セキュリティー・アソシエーションの IKEv2 名。
- コマンド行からの活動化
- ipsec コマンドを使用してトンネルを活動化するプロセス。マニュアル・トンネルと動的トンネルのどちらも、z/OS UNIX コマンド行から活動化することができます。
- CRLDistributionPoints
- 証明書の CRL がある 1 つ以上の場所を識別する、オプションの X.509 証明書拡張。
- データ暗号化規格 (DES)(Data encryption standard)
- 64 ビット・ブロックと 56 ビット鍵を持つブロック暗号。
- デフォルト IP フィルター・ポリシー (Default IP filter policy)
- これは、ポリシー・エージェントにより IP セキュリティー・フィルター・ポリシーがインストールされるまで使用されます。
デフォルト IP フィルター・ポリシーには、ユーザーが TCP/IP プロファイル内で定義するフィルター規則と、スタックが生成する暗黙のデフォルト・フィルター規則が含まれます。暗黙のデフォルト・フィルター規則は、構成済みのフィルター規則のどれにも一致しないすべてのトラフィックを拒否します。
- 動的トンネル (Dynamic tunnel)
- ネゴシエーションされるセキュリティー・パラメーターと、IKE を使用して動的に生成される暗号鍵を持つ IPSec トンネル。
- 楕円曲線デジタル署名アルゴリズム (ECDSA)(Elliptic curve digital signature algorithm)
- ECDSA を使用してリモート・セキュリティー・エンドポイントを認証するために使用されるアルゴリズムで、P-256 曲線で SHA2-256、P-384 曲線で SHA2-384、または P-521 曲線で SHA2-521 のいずれかを使用します。
- カプセル化セキュリティー・ペイロード (ESP)(Encapsulating Security Payload)
- IP パケットの認証と暗号化のために、IPSec セキュリティー・アソシエーションと共に使用される IP プロトコル (50)。
- ハッシュ・メッセージ確認コード (HMAC)(Hashed message authentication code)
- メッセージと秘密鍵 (secret key) の内容を結合してハッシュ値を作成する片方向ハッシュ機能。これは認証用に使用されます。
- HMAC_MD5
- MD5 アルゴリズムを使用する HMAC。
- HMAC_SHA1
- SHA1 アルゴリズムを使用する HMAC で、160 ビットのハッシュ値および 96 ビットの保全性検査値 (ICV) を使用して、AH ヘッダーまたは ESP ヘッダーで認証データをエンコードします。
- HMAC_SHA2
- AH ヘッダーまたは ESP ヘッダーで認証データをエンコードする SHA2 アルゴリズムを使用する HMAC で、鍵の長さおよびハッシュ切り詰めによって区別されます。このアルゴリズムでは、256 ビットの鍵と 128 ビットへのハッシュ切り詰め、384 ビットの鍵と 192 ビットへのハッシュ切り詰め、または 512 ビットの鍵と 256 ビットへのハッシュ切り詰めが可能です。
- IKE ネゴシエーション (IKE negotiation)
- 互いに通信している 2 つの IKE 対応ピアが、相互間のトラフィックを保護するために使用するパラメーターのセットについて同意するためのプロセス。このパラメーターのセットは、ひとまとめにしてセキュリティー・アソシエーションと呼ばれています。一方のピアはネゴシエーションのイニシエーターとして働き、もう一方はレスポンダーとして働きます。
- IKE セキュリティー・アソシエーション (IKE Security Association)
- フェーズ 1 セキュリティー・アソシエーションの IKEv2 名。
- IKE トンネル (IKE tunnel)
- IKE フェーズ 2 メッセージを保護するトンネル。
- Internet Key Exchange (IKE)
- 既存の IP ネットワークを介して暗号鍵を安全に生成および管理するためのプロトコル。
一般に IKE バージョン 1.0 (IKEv1) および IKE バージョン 2.0
(IKEv2) と呼ばれる 2 つのバージョンがあります。
- Internet Security Association and Key Management Protocol (ISAKMP)
- セキュリティー・アソシエーションを確立、ネゴシエーション、変更、および削除するための IKEv1 手順とパケット・フォーマットを定義します。
- IP フィルター規則 (IP filter rule)
- 構成された規則の一種であり、その規則により限定される IP トラフィック・パターンに適用されるアクションを定義します。可能なアクションには、許可、拒否、および IPSec 保護付き許可があります。
- IP フィルター・テーブル (IP filter table)
- IP フィルター規則の番号付きリスト。ホストで IP フィルター操作がアクティブになっているときは、送信または受信される各 IP パケットについて、このテーブルが調べられます。
一致する IP フィルター規則のアクションが、TCP/IP スタックにより実行されます。
- IPSec
- 既存の IP ネットワークを介したセキュアな通信を確保することを目的として、Internet Engineering Task Force (IETF) が定義した一組のプロトコルと規格。
- IPSec トンネル (IPSec tunnel)
- 1 つまたは両方の IPSec プロトコルを使用して、2 つのエンドポイント間の IP トラフィックを保護するトンネル。マニュアル・トンネルと動的トンネルはどちらも IPSec トンネルのインスタンスです。
- IP セキュリティー・フィルター・ポリシー (IP security filter policy)
- ポリシー・エージェントによりインストールされるポリシー。これには、ユーザーがポリシー・エージェント構成ファイル内に定義するフィルターと、ポリシー・エージェントが生成する暗黙の全拒否 (deny all) 規則が含まれます。
- IP トラフィック・パターン (IP traffic pattern)
- IP トラフィック属性のセットであり、IP フィルター・テーブル照会への入力として使用できる。一般に、これには、IP ソース・アドレス、IP 宛先アドレス、ソース・ポート、宛先ポート、プロトコル、および方向 (インバウンドかアウトバウンドか) が含まれます。
- マニュアル・トンネル (Manual tunnel)
- IPSec トンネルの 1 つであり、そのセキュリティー・パラメーターと暗号鍵が静的に構成され、セキュリティー管理者が手動で管理する必要がある。
- メッセージ確認コード (MAC)(Message authentication code)
- メッセージと秘密鍵 (secret key) の内容から導き出されるタグ。このタグは、メッセージの保全性とメッセージ・ソースを認証するために使用できます。
- メッセージ・ダイジェスト・アルゴリズム 5 (MD5)(Message digest algorithm 5)
- 128 ビット・ハッシュ値を作成する MAC アルゴリズム。
- NAT トラバーサル (NATT)(NAT traversal)
- NAT デバイスを介した IPSec トラフィックのトラバーサル。
- ネットワーク・アドレス・ポート変換 (NAPT)(Network address port translation)
- 複数の内部 IP アドレスを単一の公開 IP アドレスに変換する技法。この変換プロセスの一環として、パケット内の TCP ポートと UDP ポートが変換されます。NAPT は、ポート・アドレス変換 (PAT) または IP マスカレードと呼ばれることもあります。
- ネットワーク・アドレス変換 (NAT)(Network address translation)
- ネットワーク・アドレス変換は広義の用語であり、単一の内部 IP アドレスを単一のパブリック IP アドレスに変換する 1 対 1 のアドレス変換機能と、NAPT 機能の両方を含みます。
- ネットワーク・セキュリティー・サービス (NSS) (Network security services)
- セキュリティーの適用または管理をサポートして実行されるサービス。
- NSS クライアント (NSS client)
- NSS サーバーにネットワーク・セキュリティー・サービスを要求します。z/OS IKE デーモンは、TCP/IP スタックの NSS クライアントの役目をすることができます。
- NSS サーバー (NSS server)
- 1 つ以上の NSS クライアントにネットワーク・セキュリティー・サービスを提供します。
- オンデマンド
- ユーザーの介在なしで、アウトバウンド・トラフィック・フローにより動的トンネルが活動化されるプロセス。
- フェーズ 1 (Phase 1)
- IKE ネゴシエーションの第 1 ステージ。ここでは、2 つの IKEv1 対応のピア間に ISAKMP セキュリティー・アソシエーションが確立されます。または、2 つの IKEv2 対応のピア間で IKE セキュリティー・アソシエーションがネゴシエーションされます。フェーズ 1 セキュリティー・アソシエーションは、
IKEv1 ISAKMP SA および IKEv2 IKE SA を参照します。
- フェーズ 2 (Phase 2)
- IKE ネゴシエーションの第 2 ステージ。ここでは、2 つの IKEv1 対応のピア間に IPSec セキュリティー・アソシエーションが確立されます。または、2 つの IKEv2 対応のピア間でチャイルド・セキュリティー・アソシエーションがネゴシエーションされます。フェーズ 2 セキュリティー・アソシエーションは、
IKEv1 IPSec SA および IKEv2 チャイルド SA を参照します。
- Rivest Shamir Adleman (RSA)
- 非対称鍵暗号化方式の 1 つ。この方式では、データ暗号化用の鍵が、データ暗号化解除用の鍵と異なります。
RSA は、暗号化のため、またはデジタル署名を認証するために使用できます。
- セキュア・ハッシュ・アルゴリズム 1 (SHA1)(Secure hash algorithm 1)
- MAC アルゴリズムの 1 つ。MD5 に似ていますが、より高度なセキュリティーを達成します。
このアルゴリズムは 160 ビット・ハッシュ値を作成します。
- セキュア・ハッシュ・アルゴリズム 2 (SHA2)(Secure hash algorithm 2)
- MAC アルゴリズムの 1 つ。SHA1 に似ていますが、より高度なセキュリティーを達成します。このアルゴリズムは、256 ビット、384 ビットまたは 512 ビット・ハッシュ値を作成します。
- セキュリティー・アソシエーション (SA)(Security Association)
- IPSec 対応の 2 つのホスト間の合意事項。これは、保護するデータのタイプ、およびデータを保護するために使用する方式を記述します。
IKE は、IKE メッセージを保護するためのフェーズ 1 セキュリティー・アソシエーション (ISAKMP セキュリティー・アソシエーションまたは IKE
セキュリティー・アソシエーションともいう) と、データ・トラフィックを保護するためのフェーズ 2 セキュリティー・アソシエーション (IPSec セキュリティー・アソシエーションまたはチャイルド・セキュリティー・アソシエーションともいう) を作成します。
- 対称暗号化
- 同じ暗号鍵を共用する両者間で行われる暗号化。秘密鍵 (secret key) 暗号化とも呼ばれます。
- トランスポート・モード・カプセル化 (Transport mode encapsulation)
- 保護する IP ヘッダーと保護するパケットの IP ペイロードの間に、1 つ以上の追加の IPSec ヘッダーを挿入することにより、IPSec パケットを構成するために使用されるプロセス。
- トンネル (Tunnel)
- セキュアな論理接続またはチャネルの一種。これはセキュリティー・アソシエーションの集合により定義され、この集合により、2 つのエンドポイント間のトラフィックを保護するセキュリティー・パラメーターが定義されます。
- トンネル活動化 (Tunnel activation)
- トンネルをアクティブ、または使用可能にするプロセス。動的トンネルの場合は、このプロセスには IKE ネゴシエーションの開始が含まれます。
- トンネル・モード・カプセル化 (Tunnel mode encapsulation)
- IPSec パケットを構築するのに使用するプロセスの一種。この構築には、保護対象の IP パケット全体から構成される IP ペイロードにより新規 IP ヘッダーを作成してから、その新規 IP ヘッダーとその IP ペイロード (つまりオリジナルの IP パケット) の間に 1 つ以上の追加の IPSec ヘッダーを挿入します。
- UDP カプセル化 (UDP encapsulation)
- IPSec パケットを構成するのに使用するプロセスの一種。この構築には、まず最初に、ESP プロトコルが保護しようとする IP パケットにトンネル・モード・カプセル化またはトランスポート・モード・カプセル化を適用してから、次に IP ヘッダーと ESP ヘッダー間に UDP ヘッダーを挿入します。
- 仮想プライベート・ネットワーク (VPN)(Virtual private network)
- セキュア・チャネル (トンネル) 経由で通信する、接続されたネットワーク・ノードの論理ネットワーク。主として IPSec プロトコル (AH および ESP) を使用することにより通信を行います。
- X.500 識別名 (X.500 distinguished name)
- X.509 値 (共通名、ホスト名、組織、組織単位など) の集合。X.509 デジタル証明書に保管されます。X.500 識別名は、グローバルに固有な所有者用 ID として使用されます。
- X.509 デジタル証明書 (X.509 digital certificate)
- X.509 規格に含まれる一組の情報。これには、エンティティーに関する各種の属性、例えば、ID 情報、およびそのエンティティーとの暗号化通信に使用される公開鍵などが含まれます。