3.2. IPsecの動作方法 (How IPsec Works)
IPsecは、トラフィックセキュリティサービスを提供するために2つのプロトコルを使用します -- 認証ヘッダー (Authentication Header, AH) とカプセル化セキュリティペイロード (Encapsulating Security Payload, ESP)。両プロトコルは、それぞれのRFC [Ken05b, Ken05a] で詳細に説明されています。IPsec実装はESPをサポートしなければならず (MUST)、AHをサポートしてもかまいません (MAY)。
-
IP認証ヘッダー (AH) [Ken05b] は、完全性とデータ発信元認証を提供し、オプションで(受信者の裁量で)アンチリプレイ機能を提供します。
-
カプセル化セキュリティペイロード (ESP) プロトコル [Ken05a] は、同じサービスセットを提供し、さらに機密性も提供します。完全性なしで機密性を提供するためにESPを使用することは推奨されません (NOT RECOMMENDED)。
-
AHとESPの両方がアクセス制御を提供し、暗号鍵の配布とセキュリティポリシーデータベース (SPD, セクション4.4.1) によって指示されるトラフィックフローの管理を通じて実施されます。
これらのプロトコルは、個別にまたは相互に組み合わせて適用して、IPv4およびIPv6セキュリティサービスを提供できます。ただし、ほとんどのセキュリティ要件は、ESP単独の使用で満たすことができます。各プロトコルは2つの使用モードをサポートします:トランスポートモード (transport mode) とトンネルモード (tunnel mode)。トランスポートモードでは、AHとESPは主に次層プロトコルの保護を提供します; トンネルモードでは、AHとESPはトンネル化されたIPパケットに適用されます。
IPsecでは、ユーザー(またはシステム管理者)がセキュリティサービスを提供する粒度 (granularity) を制御できます。IPsecは、SPD管理パラダイムを通じて、以下を指定するための機能を組み込んでいます:
-
どのセキュリティプロトコル (AHまたはESP) を使用するか、モード(トランスポートまたはトンネル)、セキュリティサービスオプション、どの暗号アルゴリズムを使用するか、および指定されたプロトコルとサービスをどのように組み合わせて使用するか、および
-
保護をどの粒度で適用すべきか。
IPsecが提供するセキュリティサービスのほとんどは暗号鍵の使用を必要とするため、IPsecはこれらの鍵を配置するための別個のメカニズムセットに依存しています。このドキュメントでは、手動および自動の両方の鍵配布のサポートが必要です。自動鍵管理には特定の公開鍵ベースのアプローチ (IKEv2 [Kau05]) を指定していますが、他の自動鍵配布技術を使用してもかまいません (MAY)。
注意: このドキュメントでは、IKEv2では利用可能だがIKEv1では利用できないいくつかの機能のサポートを義務付けています。例えば、ローカルおよびリモートポートの範囲を表すSAのネゴシエーション、または同じセレクターを持つ複数のSAのネゴシエーション。したがって、このドキュメントでは、IKEv2または同等の機能を持つ鍵およびセキュリティアソシエーション管理システムの使用を前提としています。