Security Gateway and IPsec
| 作成日 | 1998/Jun/09 |
| 最終変更日 | 2018/Nov/06 |
| 文書サイズ | 9.2KB |
IPsecは、IPパケットに対して、認証ヘッダと暗号ペイロードという 構造を付加するこ とで、IP上の通信に対するセキュリティを保証する 機能です。
認証ヘッダ(Authentication Header)は、IPパケット全体の認証情報を 含みます。以下 の説明では、認証ヘッダを略してAHと書くことにします。 以下にAHの構造を示します。
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Next Header | Payload Len | RESERVED | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Security Parameters Index (SPI) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Sequence Number Field | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | + Authentication Data (variable) | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+SPIは、SAを識別するための識別子です。AHを受け取ったホストは、SPI によって認証 情報を計算するためのSAを検索することができます。 Sequence Numberは、パケットの唯一性を保証し、リプレイ攻撃を 防ぐための情報です。 元のIPパケットに対して、AHを付加するとき、2つの方法を選択することが できます。 ひとつはトンネルモード(tunnel mode)と呼ばれ、もうひとつは トランスポートモード と呼ばれます。 [トンネルモード]
トンネルモードでAHを付加すると、以下のようになります。
元のパケット
----------------------------
IPv4 |orig IP hdr | | |
|(any options)| TCP | Data |
----------------------------
AHが付加されたパケット
------------------------------------------------
IPv4 | new IP hdr* | | orig IP hdr* | | |
|(any options)| AH | (any options) |TCP | Data |
------------------------------------------------
|← authenticated except for mutable fields -→|
| in the new IP hdr |
元のパケットの前に新しいIPヘッダとAHが付加されます。元の パケットの内容は変化
を受けません。AHには、新しいパケット 全体の認証情報が含まれます。
[トランスポートモード]
トランスポートモードでAHを付加すると、以下のようになります。
元のパケット
----------------------------
IPv4 |orig IP hdr | | |
|(any options)| TCP | Data |
----------------------------
AHが付加されたパケット
---------------------------------
IPv4 |orig IP hdr | | | |
|(any options)| AH | TCP | Data |
---------------------------------
|←------ authenticated ------→|
except for mutable fields
元のパケットのIPヘッダの直後にAHが挿入されます。AHには、 新しく構成されたパケッ
ト全体の認証情報が含まれます。
暗号ペイロード(Encapsulating Security Payload)は、IPパケットの 情報を暗号化す ることにより、パケットの機密性を提供します。 また、オプションで、認証情報を扱 うこともできます。 以下の説明では、暗号ペイロードを略してESPと書きます。以下に、 ESPの構造を示します。
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ---- | Security Parameters Index (SPI) | ^ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Auth. | Sequence Number | |Coverage +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ----- | Payload Data* (variable) | | ^ ~ ~ | | | | | | + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Confid. | | Padding (0-255 bytes) | |Coverage* +-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | | Pad Length | Next Header | v v +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ------- | Authentication Data (variable) | ~ ~ | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+SPIとSequence Numberについては、AHと同じであるため、説明を 省略します。暗号化 された情報は、ESPの構造の一部となります。 また、ESPの最後に認証情報を付加する ことができます。この認証情報 は、AHのものと異なり、暗号化された情報のみに対す る認証情報です。 ESPについても、AHと同様に、トンネルモードとトランスポートモード が定義されてい ます。 [トンネルモード]
トンネルモードでESPを付加すると、以下のようになります。
元のパケット
----------------------------
IPv4 |orig IP hdr | | |
|(any options)| TCP | Data |
----------------------------
ESPが付加されたパケット
-----------------------------------------------------------
IPv4 | new IP hdr* | | orig IP hdr* | | | ESP | ESP|
|(any options)| ESP | (any options) |TCP|Data|Trailer|Auth|
-----------------------------------------------------------
|←-------- encrypted ---------→|
|←---------- authenticated ---------→|
元のパケットが全て暗号化されてESPの構造の一部になります。 また、ESPの前に新し
いIPヘッダが付け加えられます。
[トランスポートモード]
トランスポートモードでESPを付加すると、以下のようになります。
元のパケット
----------------------------
IPv4 |orig IP hdr | | |
|(any options)| TCP | Data |
----------------------------
ESPが付加されたパケット
-------------------------------------------------
IPv4 |orig IP hdr | ESP | | | ESP | ESP|
|(any options)| Hdr | TCP | Data | Trailer |Auth|
-------------------------------------------------
|←---- encrypted ---→|
|←----- authenticated ----→|
元のパケットのIPヘッダより後ろの部分が暗号化されてESPの 構造の一部になります。
IPヘッダは、ほとんどそのまま残されます。