IPsecure
IPsecurity의 활용 방안
IPsec ESP provides the following:
§AH와ESP를위한인증과Data 무결성은MD5 또는SHA-1 HMAC를 사용한다
§ESP를위한기밀성위해서DES, 3DES, or AES를 사용한다
IKE(인터넷키교환)는IPSec에서사용하는Key 관리Protocol로서두주체사이에인증된보안통신채널을생성하고, 보안연관정보를협상한다.
lIKE는수동구성과확장성의문제를자동화된Key 교환알고리즘을통해해결한다.
§Negotiation of SA characteristics
§Automatic key generation
§Automatic key refresh
§Manageable manual configuration
1.IKE 보안파라미터협상과정(Message 1, 2) -IKE SA 설정시사용될보안방식이수납된여러개의Proposal 페이로드를수납한SA 페이로드를이용하여협상한다. 이메시지는모두평문이며, 무결성이보장되지않는다. 이과정에서암호해시그리고Diffie-Helman, Pre-share Key, Keberos 등의공유비밀키교환방법이결정된다. 만약Diffie-Helman 방식을사용할경우Man-in-middle-attack을대비하여상호인증방식인DSS/RSA 디지털서명과인증서가추가로사용된다.
2.Diffie-Helman 키교환과정(Message 3, 4) -Nonce값을교환하고Group Diffie-Helman 키교환방식에의한공개값(Ya, Yb)을교환함으로서IKE SA용Master Key가설정될수있도록한다. 이메시지도모두평문이며무결성도보장되지않는다.
3.상호인증과정(Message 5, 6) -앞에서사용된Diffie-Helman 키교환절차에대한인증서를교환함으로서상호인증한다. 이절차에서전송되는메시지들은앞에서협상된키로암호화되어전송된다
lDead peer detection(DPD):
§Bidirectional(양방향성)
§정기적으로전송됨.
lIKE Keepalive는매10초마다송수신된다.
lNAT traversal:
§RFC 3947에정의됨.
§UDP Packet에IPSec Packet을Encapsulation 한다.
lMode config (Push Config) and Xauth (User Authentication)
lNeed NAT traversal with IPsec over TCP/UDP:
§NAT traversal detection
§NAT traversal decision
§UDP encapsulation of IPsec packets
§UDP encapsulated process for software engines
Xauth
Microsoft Office OneNote 2007을 사용하여 작성했습니다.
모든 노트 및 정보를 한 곳에서 볼 수 있습니다.
