4.4.3. ピア認可データベース (Peer Authorization Database, PAD)
ピア認可データベース (Peer Authorization Database, PAD) は、SPD と IKE などのセキュリティアソシエーション管理プロトコルとの間のリンクを提供します。これはいくつかの重要な機能を具現化しています:
PAD の重要な機能
-
認可されたピアの識別 (Identifies authorized peers):この IPsec エンティティとの通信が認可されているピアまたはピアのグループを識別します
-
認証プロトコルの指定 (Specifies authentication protocol):各ピアを認証するために使用されるプロトコルと方法を指定します
-
認証データの提供 (Provides authentication data):各ピアの認証データを提供します
-
アサートされた ID の制約 (Constrains asserted IDs):子 SA 作成に関してピアがアサートできる ID のタイプと値を制約し、子 SA が作成される際にピアが代表する権限のない SPD ルックアップ用の ID をアサートしないようにします
-
ピアゲートウェイの位置情報 (Peer gateway location info):セキュリティゲートウェイの「背後」にあることが知られているピアの場合、IP アドレスまたは DNS 名を含めることができます (MAY)
PAD は、ピアがイニシエータまたはレスポンダとして機能する場合に、IKE ピアにこれらの機能を提供します。
PAD エントリ構造
これらの機能を実行するために、PAD には IPsec エンティティが通信する各ピアまたはピアグループのエントリが含まれています。エントリは、個々のピア(ユーザー、エンドシステム、またはセキュリティゲートウェイ)に名前を付けるか、ピアのグループを指定します(以下で定義される ID マッチングルールを使用)。
エントリは次を指定します:
- 認証プロトコル(例:IKEv1、IKEv2、KINK)
- 使用される方法(例:証明書または事前共有鍵)
- 認証データ(例:事前共有鍵またはピアの証明書が検証される信頼アンカー)
証明書ベースの認証 (Certificate-Based Authentication)
証明書ベースの認証の場合、エントリはピアの失効状態の検証を支援する情報も提供することができます。例えば:
- CRL リポジトリへのポインタ
- ピアまたはピアに関連付けられた信頼アンカーに関連付けられたオンライン証明書状態プロトコル (Online Certificate Status Protocol, OCSP) サーバーの名前
SPD ルックアップ設定 (SPD Lookup Configuration)
各エントリは次のいずれかも指定します:
- IKE ID ペイロードを SPD ルックアップのシンボリック名として使用する、または
- 子 SA が作成されるときに、トラフィックセレクタペイロードで提供されるリモート IP アドレスを SPD ルックアップに使用する
注意:PAD 情報は、2 つのピア間で一度に複数のトンネルモード SA の作成をサポートするために使用できます (MAY)。例えば、同じアドレス/ホストを保護するが、異なるトンネルエンドポイントを持つ 2 つのトンネル。