IPv6 セキュリティの強化

現在のインターネットには多くのセキュリティ問題があり、アプリケーション層の下層には有効な機密機構や認証機構がありません。この欠点に対し、IPv6 では、セキュリティサービスを提供する 2 つの統合オプションを設けて対応しています。この 2 つのオプションは、別々に、あるいはまとめて使用してさまざまなユーザーにさまざまなセキュリティレベルを提供できます。ユーザー通信が異なれば、セキュリティのニーズも異なります。

最初のオプションと、IPv6 認証ヘッダーという拡張ヘッダーは、IPv6 データグラムに機密機構なしの認証と一貫性を提供します。拡張機能はアルゴリズムに依存せず、さまざまな認証方式をサポートしますが、ワールドワイドインターネットで相互運用性を確保するにはキー付き MD5 を使用する必要があります。これでホストマスカレード侵害など、主なネットワーク侵害が避けられます。IPv6 でソースルーティングを使用する場合、IP ソースルーティングに明らかな危険性があるので IPv6 認証ヘッダーが重要になります。インターネット層に配置することで、現在は充分に保護されていない上位層プロトコルとサービスでホスト送信認証が可能になります。

2 番めのオプションである、IPv6 カプセル化セキュリティヘッダーと呼ばれる拡張ヘッダーは、IPv6 データグラムに一貫性と機密性を与えます。同種のセキュリティプロトコル (SP3D、ISO NLSP) に比べて単純ですが、柔軟性があり、アルゴリズムに依存しません。グローバルネットワークで相互運用性を活かすため、DES CBC は、IPv6 カプセル化セキュリティヘッダーの標準アルゴリズムとして使用されています。

IPv6 認証ヘッダーと IPv6 カプセル化セキュリティヘッダーは、新しいインターネットプロトコルセキュリティ (IPsec) の機能です。IPsecII の概要については、第 18 章「IPsec の概要」を参照してください。IPsec の実装方法については、第 19 章「IPsec の実装」を参照してください。