SA   Security Association   보안 연관, 보안 연합, 보안 결합, 보안 연계, 보안 협약, 보안 제휴

(2019-06-26)
1. 보안 연합 / 보안 연관 (Security Association, SA)

  ㅇ 데이터의 안전한 전달을 위해 통신의 쌍방 간의 약속
     - 암호 알고리즘, 키 교환 방법, 암호화 키 교환 주기 등에 대한 합의
        . 이는 통신 연결 이전에 쌍방 간에 합의가 있어야 함

     - 결국, 구체적으로 합의되어야 할 요소들의 결합을 보안연합 이라함
        . 1 이상의 보안서비스를 구현하기 위한 보안 속성들의 연결 집합

  ㅇ 특징
     - 각 SA 마다 단 방향성(Unidirectional)이고, 양 방향성을 이루려면 쌍으로 구성되게 됨
     - 따라서, 각 SA 마다 이를 구분하는 식별자(SPI)가 있게 됨


2. IPSec에서의 보안 속성 요소들IPSec에서 상호 간에 합의되어야 할 주요 보안 속성 요소들의 例
     - IPSec AH와 함께 사용될 인증 알고리즘모드
     - 인증 알고리즘에 사용될 키
     - IPSec ESP와 함게 사용될 암호 알고리즘모드
     - 암호 알고리즘에 사용될 암호 키
     - 암호 알고리즘을 위한 암호화 동기 또는 초기 벡터 영역의 존재 유무의 크기
     - IPSec ESP 변환에 사용되는 인증 알고리즘모드
     - IPSec ESP 변환을 위한 인증 알고리즘에 사용될 키
     - 키의 수명 및 키 변환이 일어나야만 하는 시간
     - SA의 수명
     - SA의 발신지 주소3. 보안연관의 식별 : 3가지 매개변수를 사용보안 매개변수 색인 (SPI, Security Parameter Index)
     - SA에 할당된 32 비트 짜리 비트열 (송신측이 AH 헤더 또는 ESP 헤더에 넣는 SPI 값)
        . SA를 유일하게 식별하는 ID

  ㅇ 목적지 IP 주소
     - SA 종단인 최종 목적지 네트워크(라우터,침입탐지시스템 등) 또는 호스트 IP 주소
        . 각 목적지 주소 마다 SA가 유일함

  ㅇ 보안 프로토콜 식별자 (Security Protocol Identifier)
     - AH 헤더 또는 ESP 헤더 
        . 이중 어느 것과 관련된 SA인지를 나타냄


4. 보안연관 관련 데이터베이스

  ※ 일반적으로, 복수 및 양방향 통신이 동시에 행해지므로, 매우 복잡함
     - 따라서, 복잡한 SA 요소들 및 정책들의 집합을 표현하는 정형화된 테이블 필요

  ㅇ 보안연관 데이터베이스 (SAD, Security Association Database)
     - 각 SA의 관련 매개변수들을 정의한 정형화된 테이블
     - SA 매개변수
        . 보안 매개변수 색인 (SPI, Security Parameter Index)
           .. `키관리` 기능은 SPI 식별을 통해서 비로소 `인증`,`기밀성` 기능과 연결됨
        . 순서번호 카운터 (Sequence Number Counter)
        . 재생공격 방지 윈도우 (Anti-replay Window)
        . AH 정보 (AH Information)
        . ESP 정보 (ESP Information)
        . 보안연관의 사용 주기 (Lifetime of this Security Association)
        . IPSec 프로토콜 모드 (IPSec Protocol Mode)
        . 경로 MTU (Path MTU)
     - 각 SA의 식별 : 3개의 식별요소에 의함
        . (SPI,목적지 주소,AH/ESP)
     - 구분
        . Outbound SAD : 발신용
        . Inbound SAD  : 수신용

  ㅇ 보안정책 데이터베이스 (SPD, Security Policy Database)
     - IP 트래픽을 특정 SA에 연관시키는 방법을 표현하는 정형화된 테이블
        . IP 패킷이 송신 또는 수신될 때 이에 적용하는 보안 유형이 정의됨
     - 구분
        . Outbound SPD : 발신용
        . Inbound SPD  : 수신용

  ㅇ 피어 권한부여 데이터베이스 (PAD, Peer Authorization Database)


5. IPSec에서 IP 트래픽 처리

  ㅇ Inbound : 수신용
     - 다음 3개의 색인 있음 
        . 보안 매개변수 색인 (Security Parameter Index, SPI)
           .. SA 각각을 식별
        . 목적지 주소 (Destination Address)
        . 프로토콜 (Protocol)

  ㅇ Outbound : 송신용
     - (...)


[IP 레벨 보안] 1. IPSec 2. AH 헤더,ESP 헤더 3. IPSec 운용모드 4. 보안 연관 5. IKE 6. ISAKMP

 
        최근수정     요약목록     참고문헌