onul.works
오늘의 업무 도구로 이동

보안 연관

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요

IKEv2(Internet Key Exchange version 2) 프로토콜은 RFC 5996에 정의되어 있으며, IPsec 보안 연관(SA)을 설정하는 데 사용된다. IKE_SA_INIT, IKE_AUTH, CREATE_CHILD_SA, INFORMATIONAL 교환 단계를 거쳐 작동하며, 암호화 알고리즘, 키 교환 방식 협상 및 인증을 수행한다.

보안 연관
개요
구분통신 프로토콜
암호 프로토콜
목적보안 통신을 위한 협상된 매개변수들의 집합
관련 프로토콜IKE
KINK
ISAKMP
세부 사항
기능암호화 알고리즘 및 키 교환과 같은 보안 매개변수 협상
단방향 또는 양방향 보안 채널 설정
RFC2409
보안 연관 (Security Association)
정의두 개체 간의 보안 통신을 가능하게 하는 협정
IPsec과 같은 프로토콜에서 사용되어 연결을 보호함
요소보안 프로토콜 (예: AH, ESP)
암호화 알고리즘 (예: AES, 3DES)
인증 방법 (예: HMAC)
키 교환 메커니즘 (예: Diffie-Hellman)
수명 (키 갱신 주기)
연관 용어
SPI (Security Parameters Index)보안 매개변수 인덱스 (SA를 식별하는 고유 식별자)
키 교환SA를 설정하기 위한 키 생성 및 교환 프로세스
보안 프로토콜SA에 사용되는 특정 보안 프로토콜 (예: IPsec의 AH, ESP)
📚 더 읽어볼만한 페이지
  • 암호학 - 양자 컴퓨터
    양자 컴퓨터는 양자역학적 현상을 이용하여 정보를 처리하는 컴퓨터로, 큐비트를 통해 0과 1을 동시에 표현하여 특정 연산에서 기존 컴퓨터보다 빠른 속도를 보이며 암호 해독, 신약 개발 등 다양한 분야에 혁신을 가져올 것으로 기대된다.
  • 암호학 - 암호화
    암호화는 정보를 보호하기 위해 사용되는 기술로서, 단순한 문자 치환 방식에서 시작하여 현대에는 강력한 암호화 표준과 다양한 종류로 발전했으며, IT 시스템 전반에 적용되지만, 사이버 공격과 양자 컴퓨팅의 발전에 대한 대응이 필요한 기술이다.
목차

2. IKEv2 프로토콜 (RFC 5996)

IKEv2는 RFC 5996에 정의된 프로토콜로, IPsec VPN 연결과 같은 보안 통신에 사용되는 키 교환 프로토콜이다. IKEv2는 주요 교환 단계를 거쳐 보안 연결(SA, Security Association)을 설정한다.

2.1. IKEv2의 특징

IKEv2는 RFC 5996에 정의된 프로토콜로, 다음과 같은 특징을 가진다.

* 보안성: IKEv2는 강력한 암호화 알고리즘과 키 교환 메커니즘을 사용하여 높은 수준의 보안을 제공한다.
* 속도: IKEv2는 키 교환 및 재협상 과정을 간소화하여 빠른 연결 설정을 지원한다.
* 안정성: IKEv2는 연결 실패 시 자동 재연결 기능을 제공하여 안정적인 통신을 유지한다.
* 기타: NAT 통과 지원, MOBIKE 프로토콜 지원 등 다양한 기능을 제공한다.

2.2. IKEv2의 작동 방식

IKEv2는 RFC 5996에 정의된 프로토콜로, IPsec VPN 연결과 같은 보안 통신에 사용되는 키 교환 프로토콜이다. IKEv2는 다음과 같은 주요 교환 단계를 거쳐 보안 연결(SA, Security Association)을 설정한다.

* IKE_SA_INIT 교환: 초기 보안 연결(SA)을 설정하는 단계이다. 암호화 알고리즘 협상, 넌스 교환, 디피-헬만 키 교환이 이루어진다.
* IKE_AUTH 교환: 인증 및 키 교환 단계이다.
* CREATE_CHILD_SA 교환: IPsec SA를 생성하는 단계이다.
* INFORMATIONAL 교환: IKE SA 협상의 마지막 단계에서 추가적인 정보를 교환하는 단계이다. 오류 알림, 알림 메시지, 설정 정보 교환, 빈 메시지 등이 여기에 해당한다.

2.2.1. IKE_SA_INIT 교환

IKE_SA_INIT 교환은 IPsec 프로토콜에서 초기 보안 연결(SA)을 설정하는 데 사용되는 첫 번째 단계이다. 이 교환에서는 암호화 알고리즘 협상, 넌스 교환, 디피-헬만 키 교환이 이루어진다.

RFC 5996 문서에 따르면, IKE_SA_INIT 교환은 다음과 같은 두 개의 메시지로 구성된다.

* 요청 메시지 (HDR, SAi1, KEi, Ni): 개시자가 응답자에게 보내는 메시지로, SA 협상에 필요한 정보, 키 교환 정보, 넌스를 포함한다.
* 응답 메시지 (HDR, SAr1, KEr, Nr, [CERTREQ]): 응답자가 개시자에게 보내는 메시지로, 선택된 SA 정보, 키 교환 정보, 넌스, 그리고 선택적으로 인증서 요청을 포함한다.

이 교환을 통해 양측은 공유 비밀 키를 설정하고, 이후의 IKE 교환 및 IPsec 트래픽을 보호하는 데 사용되는 보안 연결을 생성한다.

2.2.2. IKE_AUTH 교환

IKE_AUTH 교환은 RFC 5996 문서에 기반하여 인증 및 키 교환 단계를 포함한다.

2.2.3. CREATE_CHILD_SA 교환

IKEv2(Internet Key Exchange version 2)는 RFC 5996에 정의된 프로토콜이다.

2.2.4. INFORMATIONAL 교환

INFORMATIONAL 교환은 IKE SA 협상의 마지막 단계에서 추가적인 정보를 교환하는 데 사용된다. 이 단계에서는 암호화 및 무결성 확인이 완료된 메시지를 통해 다음과 같은 정보들이 교환될 수 있다.

* 오류 알림: IKE SA 협상 과정에서 발생한 오류 메시지를 전달한다.
* 알림 메시지: 연결 삭제와 같은 특정 이벤트 발생을 알린다.
* 설정 정보: IP 주소, 내부 네트워크 주소 등 추가적인 설정 정보를 교환한다.
* 빈 메시지: 추가적인 정보 교환 없이 IKE SA가 성공적으로 설정되었음을 확인한다.

INFORMATIONAL 교환을 통해 IKE SA 협상은 완료되며, 이후 안전한 IPsec SA를 설정하여 데이터를 보호할 수 있게 된다.