ESP【Encapsulated Security Payload】暗号ペイロード

概要

IPsecはインターネットなどで用いられる標準的なプロトコルであるIP（Internet Protocol）の通信内容を暗号化して傍受や改竄から保護するプロトコル（通信規約）の一つで、認証や暗号化などいくつかの要素技術からなる。

ESPはこのうち二者間で送受信されるデータの暗号化を担当する仕様で、IPのデータ送受信単位であるIPデータグラムのうち、制御情報を記した冒頭のIPヘッダ部を除く、伝送データ本体（ペイロード）を暗号化する。暗号化はDESや3DES、AESなどの共有鍵暗号によって行われ、暗号鍵は接続確立時のIKE（Internet Key Exchange）と呼ばれる手順で交換される。

ESPの形式は、まず先頭に二者間で共有した暗号鍵や暗号方式などについての情報を指し示す番号であるSPI（Security Parameter Index）、伝送するデータグラム毎に割り当てられる通し番号（シーケンス番号）が記載される。その後、暗号化されたペイロード、データ長を256バイト単位に調整するためのパディング（埋め草）が続く。末尾にオプションでICV（Integrity Check Value）と呼ばれる認証データを付加してもよい。