|
IPsec(Security Architecture for Internet Protocol、アイピーセック)は、暗号技術を用いて、IP パケット単位でデータの改竄防止や秘匿機能を提供するプロトコルである。これによって、暗号化をサポートしていないトランスポート層やアプリケーションを用いても、通信路の途中で通信内容を覗き見られたり改竄されることを防止できる。 IPsec は、AH (Authentication Header) による認証機構とデータの完全性保証、ESP (Encapsulated Security Payload) によるデータ暗号化等のセキュリティプロトコル、IKE (Internet Key Exchange protocol) などによる鍵交換から構成されている。 IETFの ipsec wg にて規格策定が行われていたが、現在その規格はほぼ固まっている。 IPv4, IPv6 両者で利用できる。IPv6 では専用の拡張ヘッダが定義されているが、IPv4 では IP ヘッダオプションを利用する。 IPsec の動作モードには、パケットデータ部のみを暗号化(ないしは認証)するトランスポートモードと、ヘッダを含めたパケット全体を丸ごと「データ」として暗号化(ないしは認証)し新たなIPヘッダを付加するトンネルモードがある。トンネルモードは主としてVPNで使用される。 == IPsec の仕組み == IPsec は、ノード間通信のセキュリティ確保のために、認証(なりすまし防止)・データの完全性保証や暗号化を行うセキュリティプロトコル利用する通信方法である。殆どの場合、複数のセキュリティプロトコルを組み合わせて利用する。 IPsec は同一ノード間の通信でも、プロトコルやポート番号などによって複数の暗号化方式や暗号鍵、セキュリティプロトコルを使用することができる。このように双方で共有するパラメータを SA (Security Association) といい、SA を管理するデータベースを SAD という。どのプロトコルでどの SAD を使うかを決めるのが、SP (Security Policy) で、SP を管理するデータベースが SPD である。 エンコードされた IPsec ヘッダ (AH/ESP) には自身の所属する SA を示す32bit の ID 情報が付加され、これを SPI と呼ぶ。紛らわしいが SPI は Security Parameter Index の略であり、Security Policy と直接の関係はない。 IP パケットを送信するノードは、その IP パケットに合致する SP を探し、その SP が示す SA の情報に基づいて暗号の処理を行う。受信時は AH/ESP のヘッダに含まれる SPI から SA が検索されて復号/認証処理が行われ、その処理結果が SP で規定されるセキュリティ要求を満たしているか否かの判定が行われる。 抄文引用元・出典: フリー百科事典『 ウィキペディア(Wikipedia)』 ■ウィキペディアで「IPsec」の詳細全文を読む スポンサード リンク
|