暗号通信

VPN(Virtual Private Network)

ネットワーク上の盗聴、改竄などの脅威に対抗するために、暗号化技術などを用いて仮想的なプライベートネットワーク(専用線)を実現する技術です。

VPNには、インターネット上にVPNを構成する「インターネットVPN」と、ISPが提供する閉域IP網を利用する「IP-VPN」の二種類が主流です。


VPNは様々なプロトコルが利用されるため「VPN=暗号化技術」ではなく、利用するプロトコルやオプションによって異なります。

VPNで利用されるプロトコルには、SSH/TLS/SSL/IPsec/PPTP/L2TP/L2F/MPLSなどがあります。


カプセル化

カプセル化とは、本来のパケット(ヘッダ情報を含みます)に新しいヘッダ情報を付加することです。

パケットをカプセル化することにより、本来のヘッダ情報を含めたまま暗号化することが可能です。


トンネリング

ある通信プロトコルを、同じまたはより上位の階層(レイヤ)のプロトコルのデータとして通信する技術です。

カプセル化により、新しいヘッダ情報を付加したことで、パケットを本来のプロトコルとは別プロトコルで送受信することができます。


IPsec

暗号技術を用いて、IPパケット単位でデータの改竄防止や秘匿機能を提供するプロトコルです。

ネットワーク層でカプセル化することで、暗号化をサポートしていないトランスポート層やアプリケーションにおいても、通信路で通信内容を覗き見られたり改竄されることを防止することができます。


IPsecの暗号方法は「トランスポートモード」と「トンネルモード」があります。

トランスポートモードは、IPパケットのペイロード(データ部分)及びTCPヘッダ(トランスポート層ヘッダ)のみを暗号化し、IPアドレスなどのIPヘッダは暗号化せずに送信します。

トンネルモードは、IPヘッダとデータ部分をまとめて暗号化し、新しいIPヘッダを付加(カプセル化)して送信します。


SPD(Security Policy Database)

IPsecは、SPDにパケット処理に関するルールを登録し、パケット制御を行います。


SA(Security Association)

IPsecにおける論理的なコネクション(トンネル)です。

制御用に「ISAKMP SA」と通信データを送信するための「IPsec SA」があります。

IPsecゲートウェイ同士が通信を行う際には、「ISAKMP SA」を作成した後、「IPsec SA」が作成されます。


AH(Authentication Header:認証ヘッダ)

通信データの認証(メッセージ認証)のために使用されるプロトコルです。

MACを用いてIPヘッダを含めたパケット全体のICV(Integrity Check Value:完全性チェック用の値)を生成し、AHヘッダの認証データに付加します。

MAC(Message Authentication Code:メッセージ認証コード)とは、データ改ざんの有無を検知するための固定長コード(ビット列)です。


ESP(Encapsulating Security Payload)

通信データの認証(メッセージ認証)と暗号化機能のために使用されるプロトコルです。

ESPでは、ヘッダ情報に加えて、「トレーラ」と呼ばれる情報を付加します。


IKE(Internet Key Exchange:鍵交換)

SAの作成、暗号鍵の交換などのために使用されるプロトコルです。

パケット交換タイプとして、「メインモード」、「アグレッシブモード」、「クイックモード」が使用されます。


SSL/TLS

SSL(Secure Sockets Layer)はアプリケーション層とトランスポート層の間でデータを暗号化するプロトコルです。

TLS(Transport Layer Security)は、SSLを基に、トランスポート層における暗号化を行うプロトコルです。


SSL-VPN

SSL-VPNは、SSLとリバースプロキシ技術を組み合わせてVPN通信を実現する技術です。


SSH(Secure Shell)

SSLと同様に、アプリケーション層とトランスポート層の間でデータを暗号化する方式です。

元来rlogin、rshなどの「r系コマンド」の暗号化を目的として利用されていましたが、FTPやPOP3などの暗号化機能を持たないプロトコルにも利用されるようになってきました。


ポートフォワーディング

ポートフォワーディングとは、暗号化機能を持たないアプリケーション通信において、SSHが中継を代行することで、通信データを暗号化する機能です。


PPTP(Point to Point Tunneling Protocol)

マイクロソフト社が開発した、PPPパケットをIPでトンネリングする方式です。


L2TP(Layer 2 Tunneling Protocol)

第二層(OSI参照モデルではデータリング層)におけるトンネリングのプロトコルです。


S/MIME(Secure Multipurpose Internet Mail Extensions)

RSA Security社が開発した、暗号化電子メールの方式です。


関連ページ