1. IKE (Internet Key Exchange)
ㅇ IPSec의 보안연관 생성을 위한 복합 프로토콜
- SA(보안연관)을 생성 유지
- 그에따른 키 교환을 수행
2. IKE의 기반 구성
ㅇ IKE는, 일련의 다른 프로토콜(ISAKMP,OAKLEY,SKEME 등)들을 참조함
- 범용적인 키 교환 프로토콜의 기반구조(Framework)를 규정한 ISAKMP를 기초로 하고,
- 이를 토대로 만들어진, IPSec 전용의 키 교환 프로토콜 임
ㅇ 즉, ISAKMP에서 규정한 패킷 형식과 일부 동작 모드 위에, 아래의 특정한 키 결정 방식들이 결합됨
- OAKLEY : 일련의 키 교환 메커니즘들을 기술함 (Hilarie Orman에 의해 설계)
. Diffie-Hellman 키 교환 방법을 기반으로 함
- SKEME : OAKLEY와는 또다른 키 교환 프로토콜 (Hugo Kraweyzk에 의해 설계)
. 키 교환 프로토콜에서 개체 인증을 위해 공개키 암호화 사용
ㅇ 결국, IKE는,
- ISAKMP 기반 위에서 동작하는, Oakley 및 Skeme 키 교환 프로토콜을 수행하는, 복합 프로토콜 임
3. IKE의 특징
ㅇ IKE는, 위의 키 교환 프로토콜을 이용하여,
- 보안 채널에 필요한 SA(보안연합)를 확립하게 됨
. 우선 매개변수 수립 요청을 포함하는 요청/응답 메세지 쌍을 주고 받음
. 이 매개변수에는, 암호 알고리즘, 무결성 보호 알고리즘, 디피-헬만 그룹 등이 포함됨
ㅇ 기반이 되는 키 교환, 인증 방식
- Diffie-Hellman 알고리즘, 공개키 방식, X.509 디지털 인증서
ㅇ 키 전달용 수송 프로토콜 및 포트번호
- 키 전달시에는 UDP 포트번호 500 또는 4500을 이용
ㅇ IKE와 AH 헤더,ESP 헤더는 서로 독립된 것
- IKE 그 자체로는, 보안연관(SA) 확립에 필요한 데이터들을, 안전하게 전달하기 위한 것
ㅇ IKE 단계들 : 단계 1,단계 2로 구분
- 단계 1 : 단계 2를 위한 SA 생성
- 단계 2 : IPSec와 같은 데이터 교환 프로토콜을 위한 SA 생성
4. IKE의 버젼별 차이
ㅇ IKEv1 : RFC 2409 (1998년)
- 일련의 다른 프로토콜들을 참조함
. ISAKMP (RFC 2408),OAKLEY (RFC 2412),SKEME 등
- 단계 구분
. 1 단계 (주 모드 및 공격적 모드)
.. 주 모드 : 개시자와 응답자 사이에 6개의 메세지를 교환 함
. 2 단계 (신속 모드)
- 인증 방법 : 4가지
. Pre Shared Key (PSK), Digital Signature (RSA-Sig),
Original Public Key Encryption, Revised Public key Encryption
ㅇ IKEv2 : RFC 7296 (2014년)
- IKEv1 보다 더 가볍고 효율적이나, 보안성은 강화됨
. 교환되는 메세지 수 등을 줄임
- 인증 방법 : 3가지
. Pre Shared Key (PSK), Digital Signature (RSA-Sig)
Extensible Authentication Protocol (EAP)
※ 두 버전 간에 호환성 없음