IPSec は、IETF の IPSec ワーキング・グループによって定義されています。これは、任意の 2 つの IP エンティティー間における、認証、保全性、およびデータ・プライバシーを提供します。暗号鍵とセキュリティー・アソシエーションの管理は、手動で行うことも、Internet Key Exchange (IKE) と呼ばれる IETF 定義の鍵管理プロトコルを使用して動的に行うこともできます。
IKE プロトコルには 2 つのバージョンがあります。
- IKE バージョン 1.0 (IKEv1) は RFC 2409「The Internet
Key Exchange (IKE)」、および関連する RFC によって定義されます。これは z/OS® Communications Server によって数年来サポートされてきたバージョンです。
- IKE バージョン 2.0 (IKEv2) は RFC 5996「Internet
Key Exchange Protocol: IKEv2」、および関連する RFC によって定義されます。IKEv2 に対するサポートは z/OS V1R12 で導入されています。
IPSec を使用することにより、仮想プライベート・ネットワーク (VPN) を作成することができます。VPN を利用する企業では、セキュリティー・アソシエーションと呼ばれるセキュア・トンネル経由で、プライベート・ネットワークを拡張してインターネットなどの公衆ネットワークを横断できるようになります。IPSec VPN は、公衆インターネットを介した企業内および企業間通信によるデータの保護転送を可能にし、企業の内部ネットワーク内の機密データを保護します。
図 1. 仮想プライベート・ネットワークを使用した e-business シナリオ
z/OS は、IKE および IPSec VPN に対するサポートを提供します。このサポートには以下のオプションが含まれます。
- AH および ESP プロトコル
- 強い暗号化のための Triple-DES
- 複数のモードおよび鍵の長さが選択できる AES
- IPSec トランスポート・モードおよびトンネル・モードのカプセル化
- IKEv1 でのアグレッシブ・モードとメインモードの両方をサポートする IKEv1 と IKEv2 のネゴシエーション
- 事前共有秘密鍵方式およびデジタル署名方式の認証
- NAT トラバーサル (IPv4 のみ)
IPSec および VPN の構成方法についての詳細は、IP セキュリティーを参照してください。
Dynamic VIPA を使用した IPSec の使用に関する詳細についてはシスプレックス・ワイド・セキュリティー・アソシエーション を参照してください。