IPsec は暗号化を使用することで IP パケットのコンテンツを保護し、パケットのコンテンツを認証することで整合性チェックを実行します。IPsec はネットワークレイヤーで実行されるため、ネットワークアプリケーションは IPsec を使用するようにそれ自体を構成することなく IPsec を利用できます。正しく使用すれば、IPsec は、ネットワークトラフィックの保護に有効なツールとなります。
セキュリティープロトコル – IP パケットに適用される保護。認証ヘッダー (AH) は、IP ヘッダーを含む完全なパケットのハッシュである整合性チェックベクトル (ICV) を追加することで IP パケットを保護します。受信者はパケットが変更されていないことを保証されます。暗号化による機密性の確保は行われません。
カプセル化セキュリティーペイロード (ESP) は IP パケットのペイロードを保護します。パケットのペイロードは機密性を確保するために暗号化が可能で、ICV を使用してデータの整合性を保証できます。
セキュリティーアソシエーション (SA) – 特定の SA と特定のトラフィックフローを一致させるのに使用される、暗号化パラメータ、鍵、IP セキュリティープロトコル、IP アドレス、IP プロトコル、ポート番号などのパラメータ。
セキュリティーアソシエーションデータベース (SADB) – セキュリティーアソシエーションを格納するデータベース。SA は、セキュリティーパラメータインデックス (SPI)、セキュリティープロトコル、および宛先 IP アドレスから参照されます。これらの 3 つの要素は IPsec SA を一意に識別します。IPsec ヘッダー (ESP または AH) を持つ IP パケットをシステムが受け取ると、そのシステムは SADB で一致する SA を検索します。一致する SA が見つかると、IPsec はその SA を使用してパケットを復号化および検証できます。検証に失敗した場合または一致する SA が見つからない場合は、パケットが破棄されます。
鍵管理 – 暗号化アルゴリズムによって使用される鍵のセキュアな生成および配布と、それらの格納に使用される SA の生成。
セキュリティーポリシーデータベース (SPD) – IP トラフィックに適用するセキュリティーポリシーを指定するデータベース。SPD は、トラフィックをフィルタリングしてパケットの処理方法を決定します。パケットは、破棄するか、検証済みとして通過させることができます。または、パケットを IPsec で保護する、つまりセキュリティーポリシーを適用することができます。
アウトバウンドパケットの場合、IPsec ポリシーは IP パケットに IPsec を適用するべきかどうかを決定します。IPsec を適用すると、IP モジュールが SADB で一致する SA を検索し、この SA を使用してポリシーを適用します。
インバウンドパケットの場合、IPsec ポリシーによって、受け取ったパケットの保護レベルが適切であることが確認されます。ポリシーが特定の IP アドレスからのパケットを IPsec で保護することを要求する場合、システムは保護されていないパケットをすべて破棄します。インバウンドパケットが IPsec によって保護されている場合、IP モジュールが SADB で一致する SA を検索し、その SA をパケットに適用します。
アプリケーションで IPsec を呼び出すと、ソケット単位レベルでも IP パケットにセキュリティーメカニズムが適用されます。ポートのソケットが接続され、そのあとで IPsec ポリシーがそのポートに適用された場合、そのソケットを使用するトラフィックは IPsec によって保護されません。当然、IPsec ポリシーがポートに適用されたあとにポート上で開かれたソケットは、IPsec ポリシーによって保護されます。