Security Gateway and IPsec
作成日 | 1998/Jun/09 |
最終変更日 | 2018/Nov/06 |
文書サイズ | 9.2KB |
IPsecは、IPパケットに対して、認証ヘッダと暗号ペイロードという 構造を付加するこ とで、IP上の通信に対するセキュリティを保証する 機能です。
認証ヘッダ(Authentication Header)は、IPパケット全体の認証情報を 含みます。以下 の説明では、認証ヘッダを略してAHと書くことにします。 以下にAHの構造を示します。
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Next Header | Payload Len | RESERVED | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Security Parameters Index (SPI) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Sequence Number Field | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | + Authentication Data (variable) | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+SPIは、SAを識別するための識別子です。AHを受け取ったホストは、SPI によって認証 情報を計算するためのSAを検索することができます。 Sequence Numberは、パケットの唯一性を保証し、リプレイ攻撃を 防ぐための情報です。 元のIPパケットに対して、AHを付加するとき、2つの方法を選択することが できます。 ひとつはトンネルモード(tunnel mode)と呼ばれ、もうひとつは トランスポートモード と呼ばれます。 [トンネルモード]
トンネルモードでAHを付加すると、以下のようになります。
元のパケット ---------------------------- IPv4 |orig IP hdr | | | |(any options)| TCP | Data | ---------------------------- AHが付加されたパケット ------------------------------------------------ IPv4 | new IP hdr* | | orig IP hdr* | | | |(any options)| AH | (any options) |TCP | Data | ------------------------------------------------ |← authenticated except for mutable fields -→| | in the new IP hdr |元のパケットの前に新しいIPヘッダとAHが付加されます。元の パケットの内容は変化 を受けません。AHには、新しいパケット 全体の認証情報が含まれます。 [トランスポートモード]
トランスポートモードでAHを付加すると、以下のようになります。
元のパケット ---------------------------- IPv4 |orig IP hdr | | | |(any options)| TCP | Data | ---------------------------- AHが付加されたパケット --------------------------------- IPv4 |orig IP hdr | | | | |(any options)| AH | TCP | Data | --------------------------------- |←------ authenticated ------→| except for mutable fields元のパケットのIPヘッダの直後にAHが挿入されます。AHには、 新しく構成されたパケッ ト全体の認証情報が含まれます。
暗号ペイロード(Encapsulating Security Payload)は、IPパケットの 情報を暗号化す ることにより、パケットの機密性を提供します。 また、オプションで、認証情報を扱 うこともできます。 以下の説明では、暗号ペイロードを略してESPと書きます。以下に、 ESPの構造を示します。
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ---- | Security Parameters Index (SPI) | ^ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Auth. | Sequence Number | |Coverage +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ----- | Payload Data* (variable) | | ^ ~ ~ | | | | | | + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Confid. | | Padding (0-255 bytes) | |Coverage* +-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | | Pad Length | Next Header | v v +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ------- | Authentication Data (variable) | ~ ~ | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+SPIとSequence Numberについては、AHと同じであるため、説明を 省略します。暗号化 された情報は、ESPの構造の一部となります。 また、ESPの最後に認証情報を付加する ことができます。この認証情報 は、AHのものと異なり、暗号化された情報のみに対す る認証情報です。 ESPについても、AHと同様に、トンネルモードとトランスポートモード が定義されてい ます。 [トンネルモード]
トンネルモードでESPを付加すると、以下のようになります。
元のパケット ---------------------------- IPv4 |orig IP hdr | | | |(any options)| TCP | Data | ---------------------------- ESPが付加されたパケット ----------------------------------------------------------- IPv4 | new IP hdr* | | orig IP hdr* | | | ESP | ESP| |(any options)| ESP | (any options) |TCP|Data|Trailer|Auth| ----------------------------------------------------------- |←-------- encrypted ---------→| |←---------- authenticated ---------→|元のパケットが全て暗号化されてESPの構造の一部になります。 また、ESPの前に新し いIPヘッダが付け加えられます。 [トランスポートモード]
トランスポートモードでESPを付加すると、以下のようになります。
元のパケット ---------------------------- IPv4 |orig IP hdr | | | |(any options)| TCP | Data | ---------------------------- ESPが付加されたパケット ------------------------------------------------- IPv4 |orig IP hdr | ESP | | | ESP | ESP| |(any options)| Hdr | TCP | Data | Trailer |Auth| ------------------------------------------------- |←---- encrypted ---→| |←----- authenticated ----→|元のパケットのIPヘッダより後ろの部分が暗号化されてESPの 構造の一部になります。 IPヘッダは、ほとんどそのまま残されます。