next up previous contents
Next: 7.2.3 ペイロード暗号化 Up: 7.2 IPsecの概略 Previous: 7.2.1 IPv6のヘッダ構造

7.2.2 認証

IPv6の認証機能で提供されているものは、改竄の発見と自己証明です。 改竄については、一方向ハッシュ関数とPGPなどで示したように、 MD5あるいはSHAによるハッシュ値をあらかじめ計算をし、それをヘッダに 格納します。ハッシュ値が格納された値と、受信後計算した値が同一ならば、 改竄はなかったことになります。従って、問題はそのハッシュ値が改竄され ては元も子もなくなるので、鍵付きハッシュ関数を用います。 鍵付きハッシュ関数は、入力に秘密鍵を付加します(当然パケットのデータと 共にという意味です)。 つまり、この秘密鍵を知っていなければ、元のメッセージを改竄して、 ハッシュ値を計算しても同じ値にはなりません。逆に、この値が、パケットに 格納された値と同じであれば、同じ秘密鍵を知っているということが保証 されます。 従って、AH においては、送信側と受信側でこの秘密鍵を共有することが ポイントになります。 なお、ハッシュ値はIPヘッダまでも含めて 計算をされます。その際に、各中継ルータで変更されるようなHop Limit のようなものは全て0にして、計算をします。

通常、AH では MD5 あるいは SHAをハッシュ関数に使いますが、基本的に、 IPsec自体はこれらのハッシュ関数の種類や、暗号の種類からは独立に 作られており、交換して使うことが出来るように考慮されています。

このように認証機能によって、認証された相手との通信と同時に認証されない相手 からの通信を破棄したりすることも出来ます(勿論、認証に通らなくても通信を 許可することも出来ます)。



Noriyo Kanayama