IPsec 【Security Architecture for Internet Protocol】

IPネットワーク上の二台の機器の間で「SA」（Security Association）という伝送経路を確立し、継続的に暗号化された通信を行う。SAは一方からもう一方への片方向のコネクションであるため、双方向に暗号化したい場合は2本のSAを確立する。

接続の確立

SAを確立するには「ISAKMP」（Internet Security Association and Key Management Protocol）というプロコトルで通信を行い、通信相手の認証、暗号アルゴリズムの設定、暗号鍵の交換・共有などを行う。鍵交換は標準では「IKE」（Internet Key Exchange）が用いられるが、双方が対応していれば他の手順も選択できる。

データ伝送

SA上でのデータ伝送には2つのプロトコルが用いられる。「AH」（認証ヘッダ：Authentication Header）は送信元の認証（なりすまし防止）とメッセージ認証コード（MAC）による改竄検知が可能だが、データは暗号化しないため覗き見を防止することはできない。

「ESP」（Encapsulated Security Payload）は伝送データ本体（ペイロード）を暗号化して覗き見から保護する。送信元の認証はできなかったが、追加仕様で認証とペイロード部の改竄検知も可能となった。AHとESPを併用することもできる。

動作モード

IPsecでは二つの動作モードが用意されており、IPヘッダ部分はそのままで、送受信するデータ本体（ペイロード）部分のみを暗号化する「トランスポートモード」と、元のIPヘッダを暗号化して新しいIPヘッダを付け加えることによりパケット全体を暗号化する「トンネルモード」がある。

トンネルモードは末端のパソコンなどの機器がIPsecに対応していなくても、インターネットへの出入り口にあるルータやVPNゲートウェイが対応していればネットワーク間を暗号化して接続することができる。ネットワーク単位のVPNの構築などに利用される。

関連用語

RFC

【Request For Comments】

アルゴリズム

【algorithm】

インターネット

【Internet】

サーバ

【server】

パケット

【packet】

プロトコル

【protocol】

暗号化

【encryption】

アプリケーションソフト

【application software】

ファイル

【file】

認証

【authentication】

データリンク層

【data link layer】

ネットワーク層

【network layer】

アクセス

【access】

ペイロード

【payload】

ヘッダ

【header】

SSL-VPN

【Secure Socket Layer Virtual Private Network】

ネットワーク

【network】

ESP

【Encapsulated Security Payload】

データ

【data】

セキュリティ

【security】