IPsecはレイヤー3プロトコルで主として事業所間のVPNとして使われます。

　IPsecは2段階のフェーズによりトンネルを確保して通信を行います。この2段階のフェーズをIKEと言います。

　IKEにはフェーズ1とフェーズ2の2段階があります。

　IKEフェーズ1の目的の1つはフェーズ2で使う共通鍵を作る事です。共通鍵の作り方はDiffie-Hellman鍵共有という方式が主体です。Diffie-Hellman鍵共有は誰でも知っている数字を基にAだけが知っている数字とBだけが知っている数字を組み合わせて双方で同じ数字、つまり共通鍵を作ります。共通鍵自体は交換せず、計算で共通鍵を共有します。

　青字の数字はDHグループと言われる数字でどのグループを使うか通信中に決めます。

　又、Aの数字はA側しか知らず、Bの数字はB側しか知らないのですが、計算の順番は異なっても最終的には両方の装置で同じ数字を使って計算する事で、計算結果が同じになります。

　例えば、第三者が傍受した場合でも違う数字で計算すると同じ結果にならないため共通鍵は分かりません。

　傍受した数字を利用してAやBの秘密の数字を逆算する事も出来ない仕組みにもなっています。

　又、フェーズ1ではデジタル証明書を使うか、事前に双方で設定した共有鍵を基に相手を認証します。事前共有鍵を使う場合はPPTPで示したようにハッシュを用いて認証を行い、ネットワーク上に共有鍵がそのまま流れないようにします。

　フェーズ2ではフェーズ1で作成した共通鍵を基に自身でIPsec通信時に使えるパラメタを双方暗号化して送って、合意します。

　又、それらのパタメタやフェーズ1の共通鍵を基に、若しくは新たにDiffie-Hellman鍵共有を行ってIPsecで利用する共通鍵を作成します。

　IKEで準備が終わった後のIPsecでの通信は、フェーズ2で作成した共通鍵を基に暗号化し、ESPヘッダー等を追加してESPプロトコルに変換します。

　上記のようにパケット全体を暗号化する方法をIPsecではトンネルモードと言います。

　IPsecでは暗号化しない通信方法もあります。

　これをESPに対してAHプロトコルと言います。

　AHプロトコルではIKEでの相手認証やIPsec通信時のメッセージ認証は行いますが、暗号化は行いません。このため、事業所間VPNでIPsecを使う場合の多くはESPが利用されます。

　IKE時には認証や暗号化のため、ハッシュと共通鍵暗号方式のアルゴリズムを決定します。

　事業所間VPNでは不特定多数とVPN接続を行う訳ではないため、双方の機器がサポートする中で最も安全なハッシュ、共通鍵暗号方式のアルゴリズムを有効にする事で、よりセキュアな通信だけ許可する事が出来ます。

　例えば、認証にSHA2、共通鍵暗号方式にAESを有効にします。VPN接続先が複数あっても、通常は接続先単位で選択可能なため、別の装置がAESをサポートしていない場合は3DES等他のアルゴリズムを有効に出来ます。

　それぞれのアルゴリズムについては、VPNの「ハッシュ」、及び「暗号方式」をご参照下さい。

1ページ目「VPN」

2ページ目「PPTP」

3ページ目「IPsec」

4ページ目「L2TP/IPsec」

5ページ目「SSL-VPN」