IKE(Internet Key Exchange)
IKE(Internet Key Exchange) 프로토콜은 IPSec 프로토콜을 위한 SA를 생성, 수정 및 삭제하기 위한 절차 및 패킷 구조를
정의하고 있다. 역사적으로 IKE 표준은 Oakley 키 결정 프로토콜과 SKEME(Secure Key Exchange Mechanism)의 영향을 받아서 부분적으로 수용하고 있다. 이런 이유로 초창기에 IKE 프로토콜은 ISAKMP/Oakley 프로토콜로 불렸다. Oakley 키 결정 프로토콜은 일련의 키 교환 ‘모드’를 정의하고 있는데, 각 모드는 키의 PFS(Perfect Forward Secrecy), ID 보호(identity protection) 또는 인증 (authentication) 서비스를 제공한다. SKEME은 융통성 있는 키 교환 기법을 설명하고 있는데, 익명 (anonymity), 부인성(reputability) 그리고 신속한 키 업데이트(quick key refreshment)를 지원
https://m.blog.naver.com/wnrjsxo/221079015713
IPSec 키 관리 프로토콜(2) - IKE(Internet Key Exchange)
1. IKE(Internet Key Exchange) ISAKMP 프로토콜이 두 키 교환 개체 간의 SA(Security Ass...
blog.naver.com
ISAKMP(Internet Security Association and Key Management Protocol)
IPsec 의 AH 프로토콜은 송신자와 수신자가 같은 키를 공유하고 이 키를 이용하여 해시를 구해서 인증을 수행하며, ESP 프로토콜은 송신자와 수신자가 같은 키를 공유하고 대칭형 암복호화 알고리즘을 사용하여 패킷을 암호화 및 복호화 하는 것이다.
여기서 송신자와 수신자가 같은 비밀키를 안전하게 나누어 가지는 방법이 문제가 될 수 있음을 알 수 있다. 이러한 문제를 해결하기 위한 가장 원시적인 방법은 송신자와 수신자가 IPsec 을 수행할 프로토콜(AH 프로토콜로 할 것인가? ESP 프로토콜로 할 것인가?), 알고리즘 (DES 알고리즘으로 암호화할 것인가? AES 알고리즘으로 것인가? SHA -1으로 인증할 것인가? MD5 알고리즘으로 인증할 것인가?), 키(암호화에 어떤 키를 사용할 것인가? 인증에는 어떤 키를 사용할 것인가?), 그리고 그 외의 속성들(현재의 암복호화/인증에 쓰이는 세션 키의 유효 기간, 키의 길이, 터널 모드/트랜스포트 모드 등)의 정보를 직접 입력하는 방법이 있을 수 있다.
위와 같이 IPsec 통신을 하기 위해서 정의하는 파라미터들(프로토콜, 알고리즘, 키, 그 외 속성들)을 SA(Security Association) 라고 한다. 그리고 송신자와 수신자의 관리자가 직접 손으로 SA 정보를 입력하는 방식을 수동 키 입력 방식(manual keying) 이라고 부른다.
그러나 암호화 프로토콜의 특성상 특정 세션을 암호화/복호화 하는 세션 키는 오랫동안 사용되면 암호 분석학(crypto analysis) 적 공격에 취약해질 수 있으므로, 주기적으로 세션 키를 교체하게 된다. 그런데 송신자와 수신자 간에 주기적으로 이렇게 세션 키 및 SA 정보를 입력하는 것은 매우 불편한 일일 것이다.
이에 자동으로 송신자와 수신자가 안전하게 SA 및 키를 나누어 가질 수 있는 프로토콜이 필요하게 되었다. 인터넷 환경에서 안전하게 SA 및 세션 키를 관리(생성, 협상, 삭제) 할 수 있는 프로토콜을 ISAKMP(Internet Security Association and Key Management Protocol) 이라고 한다.
ISAKMP 프로토콜은 SA 를 생성, 수정, 삭제하기 위한 절차(procedure) 및 패킷 구조(packet format) 를 정의하고 있으며, 상당히 범용적인 프로토콜로서 설계되었다. 결국 IPsec 프로토콜만을 대상으로 정의한 것은 아니며, IPsec 프로토콜에 대해서는 IKE 프로토콜에서 IPsec을 위해 확장한 부분이 포함되어서 사용된다.
https://m.blog.naver.com/wnrjsxo/221077780557
IPSec 키 관리 프로토콜(1) - ISAKMP(Internet Security Association and Key Management Protocol)
1. ISAKMP(Internet Security Association and Key Management Protocol) IPsec 의 AH 프...
blog.naver.com
IPSEC 정리가 더 잘되어있다.
https://m.blog.naver.com/wnrjsxo/221075576170
가상 사설망(VPN : Virtual Private Network) 터널링 프로토콜(2) - IPSec(IP Security)
1. IPSec(IP Security) IPSec 은 IETF 에 의해 IP 계층 보안을 위해 개방형 구조로 설계된 ...
blog.naver.com
'IT License > 정보보안기사' 카테고리의 다른 글
| #VPN 정리1(IPSEC) (0) | 2021.11.17 |
|---|---|
| #0정보보안기사 마인드 맵 (0) | 2021.11.17 |