通信事業者の観点からみた IKEv2 の利点はつぎの 3 点だとかんがえられる.
- リモート・アクセス機能の標準装備
- IKEv1 の標準化過程においてはリモート・アクセス機能は標準化されず,ユーザ名・パスワード認証を行う Xauth (Extended Authentication within IKE),アドレス割当を行う mode-cfg (ISAKMP Configuration Method),リモート・ホストの死活監視を行う DPD (Dead Peer Detection) 等の拡張機能を IKEv1 と組み合わせて実現する必要があった. このため,IKEv1 に対応した製品は数多く出ていても,リモート・アクセス機能を十分に実装したものは限定されていた. IKEv2 では,これらのリモート・アクセス機能が IKEv2 の RFC のドキュメント内に明確に規定されたため,IKEv2 対応装置が増えるにともなって IPsec をつかったリモート・アクセスの利用がこれまで以上に普及することが期待される.
- 相互接続性の向上
- IKEv1 の仕様においてはプロトコルの動作仕様が不明確で実装依存になっていたが IKEv2 においては明確化されている. このためマルチベンダでの相互接続が容易になると考えられる. 体的には,制御・管理用の SA とデータ転送用の SA の従属関係を含めた動作仕様等があげられる. また,IKEv1 においては通信相手に対して切断したことを通知するためのメッセージが ACK/NAK 等の応答を待たない仕様となっている. このメッセージがパケット損失を起こした場合には通信相手との間で状態不一致が生じる可能性があり,準正常・異常系の動作が複雑化していた. IKEv2 のメッセージは request/response の形式のプロトコルを基本としており,状態の不一致が起こる可能性を減らしている. これも相互接続性の向上に役立つ.
- 高度な認証方式への対応
- 「リモート・アクセス機能の標準装備」 におけるように IKEv2 ではユーザ認証機能を標準装備としたが,この実現方式として無線 LAN 等で広く利用されている EAP (Extensible Authentication Protocol) 認証方式を採用した. EAP 認証は拡張性が高く,利用シーンに応じて多様な認証プロトコルの中から適切なものを選択可能であることが特徴である. 最近では EAP-SIM と呼ばれる認証プロトコルを用いることで,携帯電話に組み込まれた SIM カードを利用したユーザ認証にも対応している. このような IKEv2 と SIM カードを組み合わせた認証技術は,無線 LAN から携帯電話網への接続を行う FMC (Fixed Mobile Convergence) のモデルとして,UMA (Unlicensed Mobile Access) や移動電話の標準化組織の 3GPP において議論が進められている.
参考文献
この項目の記述にあたっては IT Express の 「IPsec 技術 その 5 - IKEv2 の可能性 -」 を参照した.
Keywords: