ピア認証

ピア認証は、フェーズ 1 ネゴシエーションの重要な部分の 1 つです。 2 つのホストがセキュリティー・アソシエーションのネゴシエーションに参加するためには、それぞれのホストが、相手のホストとのネゴシエーションを行うことは許可されていなければなりません。 IKE は、正しく識別できないホストとのネゴシエーションを許可しません。 IP アドレスは身元の保証にはならず (IP パケットのスプーフが可能)、したがって、インバウンド・パケットからの IP アドレスのみでは、リモート・ホストの身元を証明するには不十分です。 したがって、IKE デーモンは、リモート・ホストの身元を判別するためのもっと信頼性の高い方式を必要とします。 フェーズ 1 ネゴシエーションでは、最初にこの身元証明が提示されます。

z/OS® IP セキュリティーは、以下の 2 つのホスト認証方式を実装します。

  • デジタル署名 (RSA または ECDSA)
  • 事前共有秘密鍵

これらの認証方式のどちらも、ホストが相手の身元を検査するための手段を提供しますが、事前共有秘密鍵メカニズムには構成が容易であるという利点があるのに対し、デジタル署名方式には、融通性、安全度、およびスケーラビリティーが大きいという利点があります。 認証方式の選択は、それぞれの IPSec 接続ごとに、IP セキュリティー・ポリシー構成ファイル内で、IKEv1 に対しては KeyExchangeOffer ステートメントを使用し、IKEv2 に対しては KeyExchangeAction ステートメントを使用して構成します。 詳細については、 KeyExchangeOffer および KeyExchangeActionz/OS Communications Server :IP 構成リファレンスを参照してください。

ピア認証はデータ認証と同じではありません。 データ認証では、2 つの IKE デーモンにより IPSec セキュリティー・アソシエーションのネゴシエーションが行われた後で、IPSec を使用して IP パケットが認証されます。 ピア認証は、IKE フェーズ 1 ネゴシエーション時に使用されて、フェーズ 2 セキュリティー・アソシエーションの確立前に 2 つの IKE ピアを互いに識別します。

ガイドライン: セキュリティーの観点から、事前共有鍵は複数のリモート IKE ピア間で共有してはなりません。 事前共有秘密鍵による認証方式を使用する場合は、各リモート・ホストが、それぞれ独自の固有な鍵および KeyExchangeRule を持つようにしてください。 同じ KeyExchangeRule で識別されるリモート・ホストが複数ある場合は、デジタル署名方式のピア認証を使用してください。
規則: IKEv2の場合、デジタル署名が認証方式として使用される場合、NSSD の証明書サービスを使用するように IKED を構成する必要があります。 IKED および NSS IPSec クライアントの構成について詳しくは、 ネットワーク・セキュリティー・サービスを参照してください。