SA   Security Association   보안 연관, 보안 연합, 보안 결합, 보안 연계, 보안 협약, 보안 제휴

(2022-07-11)

SPI, Security Parameter Index, SPI


1. 보안 연합 / 보안 연관 (Security Association, SA)데이터의 안전한 전달을 위해, 통신의 쌍방 간에 약속되어지는 사항들
     - (암호 알고리즘, 키 교환 방법, 키 교환 주기 등)에 대한 합의
     - 이들은, 통신 연결 이전에 쌍방 간에 합의가 있어야 함

     * 例) IPSec 사용을 위한 첫 단계가, 송수신 간에 SA(보안 연관)의 수립 임
        . 이는 양방향이므로, 한 쌍의 SA가 필요하게 됨
        . SA 수립을 위한 일련의 자동화된 작업을, IKE(인터넷키교환프로토콜)가 수행 함

  ㅇ 결국, 보안을 만족시키기 위해, 구체적으로 합의되어야 할 요소들의 결합을 말함
     - 1 이상의 보안서비스를 구현하기 위한 보안 속성들의 연결 집합


2. 보안연관의 식별  :  통상, 3가지 매개변수를 사용보안 매개변수 색인 (SPI, Security Parameter Index)
     - 32 비트 짜리 비트열 
        . 보안연관(SA)을 유일하게 식별하는 ID (sequence number counter)
        . IPSec에서, 알고리즘,세션,파라미터 등의 식별을 위해, AH 헤더 또는 ESP 헤더에 넣는 값
        . `0` : 내부 구현용 (외부 네트워크로써 사용 안함)
        . `1 ~ 255` : 추후 사용 예약    

     * 각 SA가 단 방향성 임
        . 양 방향성(inbound,outbound)을 이루려면 SA 쌍으로 구성됨
        . 따라서, 각 방향 SA 마다 식별자(ID)가 있게 됨

     * 보안연관이 성립된 연결(세션) 동안에, 모든 패킷에 대해 동일하게 됨

  ㅇ 목적지 IP 주소
     - SA 종단인 최종 목적지의 네트워크(라우터,침입탐지시스템 등) 또는 호스트 IP 주소
        . 각 목적지 주소 마다 SA가 유일함

  ㅇ 보안 프로토콜 식별자 (Security Protocol Identifier)
     - IPSec는 2가지 유형을 갖음 : AH 헤더, ESP 헤더 
        . 이중 어느 것과 관련된 SA인지를 나타냄


3. 보안연관 관련 데이터베이스

  ※ 통상, 복수 및 양방향 통신이 동시에 행해지므로, 매우 복잡함
     - 따라서, 복잡한 SA 요소들,정책들의 집합을 표현하는 정형화된 테이블 즉, 데이터베이스 필요

  ㅇ 보안연관 데이터베이스 (SAD, Security Association Database)
     * 각 SA의 관련 매개변수들을 정의한 정형화된 테이블로써, 다음 사항들이 관리됨
     - SA 매개변수
        . 보안 매개변수 색인 (SPI, Security Parameter Index)
           .. `키관리` 기능은 SPI 식별을 통해서 비로소 `인증`,`기밀성` 기능과 연결됨
        . 순서번호 카운터 (Sequence Number Counter)
        . 재생공격 방지 윈도우 (Anti-replay Window)
        . AH 정보 (AH Information)
        . ESP 정보 (ESP Information)
        . 보안연관의 사용 주기 (Lifetime of this Security Association)
        . IPSec 프로토콜 모드 (IPSec Protocol Mode)
        . 경로 MTU (Path MTU)
     - 각 SA의 식별 : 3개의 식별요소에 의함    ☞ 위 2.항 참조
        . (SPI, 목적지 주소, AH/ESP)
     - 구분
        . Outbound SAD : 발신용
        . Inbound SAD  : 수신용

  ㅇ 보안정책 데이터베이스 (SPD, Security Policy Database)
     - IP 트래픽을 특정 SA에 연관시키는 방법을 표현하는 정형화된 테이블
        . IP 패킷이 송신 또는 수신될 때 이에 적용하는 보안 유형이 정의됨
     - 구분
        . Outbound SPD : 발신용
        . Inbound SPD  : 수신용

  ㅇ 피어 권한부여 데이터베이스 (PAD, Peer Authorization Database)


4. [IPSec]  IPSec에서의 보안 속성 요소들IPSec에서 상호 간에 합의되어야 할 주요 보안 속성 요소들의 例
     - IPSec AH와 함께 사용될 인증 알고리즘모드
     - 인증 알고리즘에 사용될 키
     - IPSec ESP와 함게 사용될 암호 알고리즘모드
     - 암호 알고리즘에 사용될 암호 키
     - 암호 알고리즘을 위한 암호화 동기 또는 초기 벡터 영역의 존재 유무의 크기
     - IPSec ESP 변환에 사용되는 인증 알고리즘모드
     - IPSec ESP 변환을 위한 인증 알고리즘에 사용될 키
     - 키의 수명 및 키 변환이 일어나야만 하는 시간
     - SA의 수명
     - SA의 발신지 주소5. [IPSec]  IPSec에서 IP 트래픽 처리의 경우Inbound : 수신용
     - 다음 3개의 색인 있음 
        . 보안 매개변수 색인 (Security Parameter Index, SPI)
           .. SA 각각을 식별
        . 목적지 주소 (Destination Address)
        . 프로토콜 (Protocol)

  ㅇ Outbound : 송신용
     - (...)

IP 레벨 보안
   1. IPSec   2. AH 헤더,ESP 헤더   3. IPSec 운용모드   4. 보안 연관   5. IKE   6. ISAKMP  


Copyrightⓒ written by 차재복 (Cha Jae Bok)               기술용어해설 후원
"본 웹사이트 내 모든 저작물은 원출처를 밝히는 한 자유롭게 사용(상업화포함) 가능합니다"