今回は、TLSとIPsecについてです。
■はじめに
TLS、IPsecはプロトコル名であり
セキュアな通信を行うために利用されますが利用されるレイヤが異なります。
尚、どちらも「セキュアな通信を行う」プロトコルであることから、
VPN接続で利用されます。
■TLS
トランスポート層~セッション層の間で動作します。
アプリケーション層とは関係ないため、
TCPを利用する通信であれば、大きな弊害もなくTLSを導入することができます。
TLSの場合、以下が必須です。※UDPは利用できません。
・トランスポート層はTCP
・ネットワーク層はIP
■IPsec
ネットワーク層(IP)で動作します。
パケットを暗号化+接続相手を認証することができます。
アプリケーション層とは関係ないため、プログラムの変更が不要です。
拠点間を結ぶVPN装置間で利用されることが多いです。
IPsec単体で動くというよりかは、
他の複数のプロトコル(AH、ESP、IKE)を利用してIPsecを構成しているイメージです。
IPsec=IKE+(AH or ESP)
IKE・・・Internet Key Exchange。鍵交換。
AH・・・Authenticaton Header。認証機能のみ。
ESP・・・Encapsulated Security Payload。ペイロード部分を暗号化+認証。
■IPsec通信の流れ
1.利用する暗号化方式を決める ※IKEフェーズ
2.利用する鍵を決める ※IKEフェーズ
3.上記1、2を利用したコネクション(SA)にて暗号化通信を始める ※IPsecフェーズ
上記1ではなりすまし防止として以下3つの何れかの認証方式が利用されます。
① 事前共有鍵
② 公開鍵暗号
③ デジタル署名
■IPsecの用語
IPsecで張られるコネクションをSAと言います。
VPN装置間でSAが張られることで通信が行われます。
SAは通信プロセスごとに張られます。
※通信プロセスとは「制御用(download/upload兼用)」「データのダウンロード用」「データのアップロード用」の3つのことです。
以上です。
