IPsec 【Security Architecture for Internet Protocol】
概要
IPsec(Security Architecture for Internet Protocol)とは、インターネットなどのTCP/IPネットワークで暗号通信を行うためのプロトコル(通信規約)の一つ。IPデータグラムを暗号化し、IPを用いるすべての通信を保護することができる。
解説 IPネットワーク上の二台の機器の間で「SA」(Security Association)という伝送経路を確立し、継続的に暗号化された通信を行う。SAは一方からもう一方への片方向のコネクションであるため、双方向に暗号化したい場合は2本のSAを確立する。
接続の確立
SAを確立するには「ISAKMP」(Internet Security Association and Key Management Protocol)というプロコトルで通信を行い、通信相手の認証、暗号アルゴリズムの設定、暗号鍵の交換・共有などを行う。鍵交換は標準では「IKE」(Internet Key Exchange)が用いられるが、双方が対応していれば他の手順も選択できる。
データ伝送
SA上でのデータ伝送には2つのプロトコルが用いられる。「AH」(認証ヘッダ:Authentication Header)は送信元の認証(なりすまし防止)とメッセージ認証コード(MAC)による改竄検知が可能だが、データは暗号化しないため覗き見を防止することはできない。
「ESP」(Encapsulated Security Payload)は伝送データ本体(ペイロード)を暗号化して覗き見から保護する。送信元の認証はできなかったが、追加仕様で認証とペイロード部の改竄検知も可能となった。AHとESPを併用することもできる。
動作モード
IPsecでは二つの動作モードが用意されており、IPヘッダ部分はそのままで、送受信するデータ本体(ペイロード)部分のみを暗号化する「トランスポートモード」と、元のIPヘッダを暗号化して新しいIPヘッダを付け加えることによりパケット全体を暗号化する「トンネルモード」がある。
トンネルモードは末端のパソコンなどの機器がIPsecに対応していなくても、インターネットへの出入り口にあるルータやVPNゲートウェイが対応していればネットワーク間を暗号化して接続することができる。ネットワーク単位のVPNの構築などに利用される。
共有ボタンをタップ