2.6. Next Header (次ヘッダー)

Next Header は必須の 8 ビットフィールドで, Payload Data フィールドに含まれるデータのタイプ (例えば IPv4 または IPv6 パケット, または次の層のヘッダーとデータ) を識別します。このフィールドの値は, IANA のウェブページで定義されている IP プロトコル番号のセットから選択されます。例えば, 値 4 は IPv4 を示し, 値 41 は IPv6 を示し, 値 6 は TCP を示します。

トラフィックフロー機密性をサポートするためにパディングトラフィックの迅速な生成と破棄を容易にするため (セクション 2.4 参照), プロトコル値 59 ("次ヘッダーなし" を意味する) を使用して "ダミー" パケットを指定しなければなりません。送信者は次のプロトコルフィールドにこの値がマークされたダミーパケットを生成できなければならず, 受信者はエラーを示すことなくそのようなパケットを破棄する準備ができていなければなりません。ダミーパケットには他のすべての ESP ヘッダーおよびトレーラーフィールド (SPI, Sequence Number, Padding, Pad Length, Next Header, および ICV) が存在しなければなりませんが, この Next Header フィールド以外のペイロードの平文部分は適切な形式である必要はありません。例えば, Payload Data の残りの部分はランダムバイトのみで構成されている場合があります。ダミーパケットは無条件で破棄されます。

実装は, SA ごとにこの機能の使用を有効にするためのローカル管理制御を提供すべきです。制御は, この機能を使用するかどうかをユーザーが指定できるようにし, またパラメトリック制御を提供する必要があります。たとえば, 制御により管理者はランダム長または固定長のダミーパケットを生成できます。

議論: ダミーパケットをランダムな間隔で挿入して, 実際のトラフィックの不在をマスクできます。また, 実際のトラフィックを "形成" して, 分布パラメータによって指示されるようにダミートラフィックが追加される特定の分布に一致させることもできます。Traffic Flow Security (TFS, トラフィックフローセキュリティ) のパケット長パディング機能と同様に, 最も安全なアプローチは, SA で一定の速度を維持するために必要な速度でダミーパケットを生成することです。パケットがすべて同じサイズである場合, SA はレイヤー 1 または 2 でリンク暗号が提供するものと同様の定ビットレートデータストリームの外観を呈します。ただし, これは多くの状況では実用的ではない可能性があります。例えば, 複数の SA がアクティブな場合, SA の数に基づいてサイトの許容帯域幅を削減することを意味し, パケット交換の利点を損なうことになります。実装は, TFC 目的でダミーパケットの生成を管理するためにローカル管理者が有効にできる制御を提供すべきです。