(1)シグナリング・チャネルのIPsec化 まず,Pre-Shared Key認証によるUA(User Agent)とSIPサーバーの間の1対1のIPsec暗号化を行う(図5)。鍵交換プロトコル自体は従来のIKEの弱点を補強し,より軽く動作するような独自仕様を用いているが,実際に張られるIPsecチャネルは暗号スイートにAESを用いた業界標準のものである。 (2)データ・チャネルのIPsec化 (1)の段階でUAは信頼できるSIPサーバーとの間に安全なチャネルを構築できており,なおかつSIPサーバーがすべてのUAの身元を保証するため,SIP INVITEメッセージの交換の際に相手が確かに本物だと信用することができる。従って,このクライアント同士での鍵交換はすでに安全が保証されている経路を使うので,一般の鍵交換プロトコルに比べて非常に簡単に実現することができる(図6)。言い換えるならば,プロ