カプセル化セキュリティーペイロード (ESP) プロトコルは、ESP がカプセル化する対象の機密性を守ります。また、AH が提供するサービスも提供します。ただし、ESP は外側の IP ヘッダーは保護しません。ESP は、保護されたパケットの整合性を保証するオプションの認証サービスを提供します。ESP は暗号化対応技術を使用するため、ESP を提供するシステムは輸出入管理法の対象となります。
ESP ヘッダーとトレーラが IP ペイロードをカプセル化します。暗号化と ESP を一緒に使用すると、次の図に示すように、暗号化は IP ペイロードデータにのみ適用されます。
TCP パケットでは、ESP ヘッダーが認証され、そのヘッダーが TCP ヘッダーおよびそのデータをカプセル化します。パケットが IP 内 IP パケットの場合、ESP は内部 IP パケットを保護します。ソケット別ポリシーでは、「自己カプセル化」ができるため、ESP は必要に応じて IP オプションをカプセル化できます。
自己カプセル化は、setsockopt() を使用するプログラムを記述することで使用できます。自己カプセル化が設定されている場合は、IP 内 IP パケットを構築するために IP ヘッダーのコピーが作成されます。たとえば、TCP ソケットに自己カプセル化が設定されていない場合、パケットは次の形式で送信されます。
[ IP(a -> b) options + TCP + data ]
TCP ソケットに自己カプセル化が設定されている場合、パケットは次の形式で送信されます。
[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ]
さらに詳しくは、IPsec のトランスポートモードとトンネルモードを参照してください。
次の表では、AH が提供する保護と ESP が提供する保護を比較します。
|