[ Top page ]

« QoS 制御ポリシー | メイン | ポリシーに基づくアクセス制御 »

セキュリティ, ポリシーベース制御・管理

IPsec ポリシー

[以下は 2003 年の時点での記述である.]

IPsec ポリシーに関しては,以下に示す内容の標準化作業が,IETF の IP Security Policy WG (IPSP WG) を中心として行われている.

  • IPsec ポリシーの情報モデル策定
  • ポリシー記述言語の拡張
  • IPsec ポリシーのプロビジョニングのガイドライン策定
  • ポリシー交換・折衝プロトコルの策定

IPsec ポリシーの要求事項

RFC3586 (M. Blaze, et. al.: IP Security Policy (IPSP) Requirements) において,IPsec のポリシーに必須の機能が規定されている.具体的には以下の通りである.

  • IPsec SA (セッション・アソシエーション) と上位レベルのセキュリティポリシーの関係を記述するセマンティックス
  • あるエンドポイントへの IPsec トラフィックを向けるゲートウェイを発見するメカニズム
  • ポリシーを記述する言語
  • 異なるエンティティに異なるポリシーを配布する手段
  • ホストのポリシーを発見するメカニズム
  • 異なるポリシーの下で運用されている二つのホストの間で用いる IPsec パラメータの矛盾を解決するメカニズム
  • SA 確立時にホストのローカルポリシーを遵守しているか否かをチェックするメカニズム

IPsec 設定ポリシー情報モデル (ICIM)

IPsec 設定ポリシーの情報モデルは,IPsec Configuration Policy Information Model (ICIM) として,2003 年 8 月に発行された RFC 3585 (J. Jason, L. Rafalow, E. Vyncke: IPsec Configuration Policy Information Model) によって標準化されている.

ICIM は,PCIM および PCIMe の枠組みに基づいた,IPsec 設定ポリシーの情報モデルである. ここでいう IPsec 設定ポリシーとは,IPsec の設定のためのパラメータおよび IKE におけるパラメータを指すが,他の鍵交換プロトコルについても,簡単な拡張により,モデルへの追加を容易に行うことができる.

IPsec PIB

一方,PIB (IPsec PIB) は標準化作業の途上にあり,最新の仕様は 2003 年 11 月に提出されたインターネット・ドラフト draft-ietf-ipsp-ipsecpib (M. Li, D. Arneson, A. Doria, J. Jason, C. Wang, M. Stenberg: IPsec Policy Information Base) に記載されている. IPsec PIB は,ICIM に基づく IPsec 設定ポリシーを,COPS-PR によって配布するために用いられる.

Keywords:

コメントを投稿

Powered by
Movable Type 3.36