セキュリティアソシエーション

Security Association

ところで、先の節で紹介したIPsecと鍵交換プロトコルは、どのように結びついているのでしょうか。鍵交換プロトコルが管理する鍵の情報を、IPsecはどのように利用するのでしょうか。

その答えに関係するのが、IPsecで規定されているセキュリティ・アソシエーションという概念です。セキュリティ・アソシエーションは、鍵や鍵を利用するアルゴリズム、鍵の寿命、鍵を共有する相手などの、鍵に関係する情報を集めたものです。

「セキュリティアソシエーション」（SA）の概念は IPsec の基本となるものである。AH および ESP の両方が SA を使用し、IKE の主要機能によって、セキュリティアソシエーションの確立とメンテナンスがなされる。

セキュリティアソシエーション（SA）は、それによって運ばれるトラフィックに対してセキュリティサービスを提供する単方向の「コネクション」である。セキュリティサービスは、AH または ESP のいずれか（両方ではない）を使用することによってSA に提供される。AH および ESP 保護の両方がトラフィックの流れに対して適用される場合は、そのトラフィックの流れを保護するために複数の SA が生成される。

セキュリティアソシエーションは、セキュリティパラメータインデックス（Security Parameter Index（SPI））、IP 宛先アドレス、セキュリティプロトコル（AH またはESP）識別子の 3 つによって一意に識別される。

結局、セキュリティアソシエーションは IPsec 環境においてセキュリティポリシーの実行のために使用される管理構造である。従って、SA 処理の重要な要素は、どのようなサービスをどのような形態で IP データグラムに提供するかを指定する、基本的なセキュリティポリシーデータベース（SPD）である。

鍵交換プロトコルIKEは「鍵を生成、更新、管理する」と説明しましたが、実際には、SAを生成、更新、管理しています。SAは、鍵に関する情報の基本単位であり、鍵だけが独立に扱われることはありません。

鍵交換プロトコルが管理するSAをIPsecが利用するために、SAにはSPIという識別子が付けられています。IPsecは、SPIに基づいてSAを検索します。

また、SAは原則として、一方向の通信したサポートしません。したがって、双方向の通信を行う場合には、2つのSAが必要になります。また、同じホストの間でSAを張る場合でも、アルゴリズムなどの属性が異なる場合には、別なSAが必要です。