この “ブログ” では,情報通信技術を中心とする各種のみじかい調査結果や解説をとりあげます.
この “ブログ” の目的については 「[以下は 2003 年の時点での記述である.]
IPsec ポリシーに関しては,以下に示す内容の標準化作業が,IETF の IP Security Policy WG (IPSP WG) を中心として行われている.
- IPsec ポリシーの情報モデル策定
- ポリシー記述言語の拡張
- IPsec ポリシーのプロビジョニングのガイドライン策定
- ポリシー交換・折衝プロトコルの策定
IPsec ポリシーの要求事項
RFC3586 (M. Blaze, et. al.: IP Security Policy (IPSP) Requirements) において,IPsec のポリシーに必須の機能が規定されている.具体的には以下の通りである.
- IPsec SA (セッション・アソシエーション) と上位レベルのセキュリティポリシーの関係を記述するセマンティックス
- あるエンドポイントへの IPsec トラフィックを向けるゲートウェイを発見するメカニズム
- ポリシーを記述する言語
- 異なるエンティティに異なるポリシーを配布する手段
- ホストのポリシーを発見するメカニズム
- 異なるポリシーの下で運用されている二つのホストの間で用いる IPsec パラメータの矛盾を解決するメカニズム
- SA 確立時にホストのローカルポリシーを遵守しているか否かをチェックするメカニズム
IPsec 設定ポリシー情報モデル (ICIM)
IPsec 設定ポリシーの情報モデルは,IPsec Configuration Policy Information Model (ICIM) として,2003 年 8 月に発行された RFC 3585 (J. Jason, L. Rafalow, E. Vyncke: IPsec Configuration Policy Information Model) によって標準化されている.
ICIM は,PCIM および PCIMe の枠組みに基づいた,IPsec 設定ポリシーの情報モデルである. ここでいう IPsec 設定ポリシーとは,IPsec の設定のためのパラメータおよび IKE におけるパラメータを指すが,他の鍵交換プロトコルについても,簡単な拡張により,モデルへの追加を容易に行うことができる.
IPsec PIB
一方,PIB (IPsec PIB) は標準化作業の途上にあり,最新の仕様は 2003 年 11 月に提出されたインターネット・ドラフト draft-ietf-ipsp-ipsecpib (M. Li, D. Arneson, A. Doria, J. Jason, C. Wang, M. Stenberg: IPsec Policy Information Base) に記載されている. IPsec PIB は,ICIM に基づく IPsec 設定ポリシーを,COPS-PR によって配布するために用いられる.
