ネットワーク層(IP)レベルでの暗号化により、
ホスト毎に通信セキュリティを確保するプロトコル。
通信セキュリティは
1.認証:なりすましの防止
2.機密性確保:盗聴の防止
3.完全性確保:改竄の防止
により確保される。
暗号化方式として共通鍵暗号を用いるが、これは公開鍵暗号方式よりも
暗号化・復号化処理が高速に処理できるためである。
IPSecの通信の流れ
1.IKE (Internet Key Exchange)
phase1
phase2で使用する暗号化/認証アルゴリズム
および暗号化/認証鍵を生成する。
鍵生成に使用されるデータ
・事前共有鍵、
・Diffie-Hellmanの計算で共有した値
・互いに生成した乱数
また、phase1では接続ホストの認証を行う。
認証用IDはメインモードでは生成した鍵で
暗号化して送信されるが、アグレッシブ
モードでは平文で最初に送信される。
phase2
IPSecで使用する暗号化/認証アルゴリズム
および暗号化/認証鍵を生成する。
鍵は通信方向ごとに用意される。
設定されたライフタイムがきたときは
phase1に戻り鍵を再生成する。
鍵生成に使用されるデータ
・互いに生成した乱数
・SPI(Security Pointer Index)
2.ESP (Encapsulating Security Payload)
暗号化したパケットに送信先VPNルータ(VPN
クライアント)のIPヘッダをつけたものを
送信する。(トンネリング)
設定されたライフタイムがきたときは
phase2に戻り鍵を再生成する。
参考URL
日経NETWORK IPsecらくらくマスター 攻略編:全体をつかんで逆から見る,日経NETWORK流で理解しよう
