SA   Security Association   보안 연관, 보안 연합, 보안 결합, 보안 연계, 보안 협약, 보안 제휴

(2017-02-23)
1. 보안 연합 / 보안 연관 (Security Association, SA)

  ㅇ 데이터의 안전한 전달을 위해 통신의 쌍방 간의 약속
     - 암호 알고리즘, 키 교환 방법, 암호화 키 교환 주기 등에 대한 합의
        . 이는 통신 연결 이전에 쌍방 간에 합의가 있어야 함

     - 결국, 구체적으로 합의되어야 할 요소들의 결합을 보안연합 이라함
        . 1 이상의 보안서비스를 구현하기 위한 보안 속성들의 연결 집합

  ㅇ 특징
     - 각 SA 마다 단 방향성(Unidirectional)이고, 양 방향성을 이루려면 쌍으로 구성되게 됨
     - 따라서, 각 SA 마다 이를 구분하는 식별자(SPI)가 있게 됨


2. IPSec에서의 보안 속성 요소들IPSec에서 상호 간에 합의되어야 할 주요 보안 속성 요소들의 例
     - IPSec AH와 함께 사용될 인증 알고리즘모드
     - 인증 알고리즘에 사용될 키
     - IPSec ESP와 함게 사용될 암호 알고리즘모드
     - 암호 알고리즘에 사용될 암호 키
     - 암호 알고리즘을 위한 암호화 동기 또는 초기 벡터 영역의 존재 유무의 크기
     - IPSec ESP 변환에 사용되는 인증 알고리즘모드
     - IPSec ESP 변환을 위한 인증 알고리즘에 사용될 키
     - 키의 수명 및 키 변환이 일어나야만 하는 시간
     - SA의 수명
     - SA의 발신지 주소
3. 보안연관의 식별 : 3가지 매개변수를 사용보안 매개변수 색인 (SPI, Security Parameter Index)
     - SA에 할당된 32 비트 짜리 비트열 (송신측이 AH 헤더 또는 ESP 헤더에 넣는 SPI 값)
        . SA를 유일하게 식별하는 ID

  ㅇ 목적지 IP 주소
     - SA 종단인 최종 목적지 네트워크(라우터,침입탐지시스템 등) 또는 호스트 IP 주소
        . 각 목적지 주소 마다 SA가 유일함

  ㅇ 보안 프로토콜 식별자 (Security Protocol Identifier)
     - AH 헤더 또는 ESP 헤더 
        . 이중 어느 것과 관련된 SA인지를 나타냄


4. 보안연관 관련 데이터베이스

  ※ 일반적으로, 복수 및 양방향 통신이 동시에 행해지므로, 매우 복잡함
     - 따라서, 복잡한 SA 요소들 및 정책들의 집합을 표현하는 정형화된 테이블 필요

  ㅇ 보안연관 데이터베이스 (SAD, Security Association Database)
     - 각 SA의 관련 매개변수들을 정의한 정형화된 테이블
     - SA 매개변수
        . 보안 매개변수 색인 (SPI, Security Parameter Index)
           .. `키관리` 기능은 SPI 식별을 통해서 비로소 `인증`,`기밀성` 기능과 연결됨
        . 순서번호 카운터 (Sequence Number Counter)
        . 재생공격 방지 윈도우 (Anti-replay Window)
        . AH 정보 (AH Information)
        . ESP 정보 (ESP Information)
        . 보안연관의 사용 주기 (Lifetime of this Security Association)
        . IPSec 프로토콜 모드 (IPSec Protocol Mode)
        . 경로 MTU (Path MTU)
     - 각 SA의 식별 : 3개의 식별요소에 의함
        . (SPI,목적지 주소,AH/ESP)
     - 구분
        . Outbound SAD : 발신용
        . Inbound SAD  : 수신용

  ㅇ 보안정책 데이터베이스 (SPD, Security Policy Database)
     - IP 트래픽을 특정 SA에 연관시키는 방법을 표현하는 정형화된 테이블
        . IP 패킷이 송신 또는 수신될 때 이에 적용하는 보안 유형이 정의됨
     - 구분
        . Outbound SPD : 발신용
        . Inbound SPD  : 수신용

  ㅇ 피어 권한부여 데이터베이스 (PAD, Peer Authorization Database)


5. IPSec에서 IP 트래픽 처리

  ㅇ Inbound : 수신용
     - 다음 3개의 색인 있음 
        . 보안 매개변수 색인 (Security Parameter Index, SPI)
           .. SA 각각을 식별
        . 목적지 주소 (Destination Address)
        . 프로토콜 (Protocol)

  ㅇ Outbound : 송신용
     - (...)


[IP 레벨 보안] 1. IPSec 2. AH 헤더,ESP 헤더 3. 보안 연관 4. IKE 5. ISAKMP
  1.   기술공통
  2.   기초과학
  3.   진동/파동
  4.   방송/멀티미디어/정보이론
  5.   전기전자공학
  6.   통신/네트워킹
  7.   정보기술(IT)
        1. 정보기술
    1.   전산기초
    2.   컴퓨터구조
    3.   프로그래밍
    4.   데이터베이스
    5.   소프트웨어 공학
    6.   운영체제
    7.   정보보호/보안
      1.   정보보호관리
      2.   정보보호(기타일반)
      3.   보안공격
      4.   암호기술
      5.   네트워크보안
            1. IP 가상사설망
            2. 상태반영검사(SPI)
            3. 패킷 필터링
            4. 터널링
        1.   링크 레벨 보안
        2.   IP 레벨 보안
          1.   1. IPSec
              2. AH 헤더,ESP 헤더
              3. 보안 연관
              4. IKE
              5. ISAKMP
        3.   전송 레벨 보안
        4.   시스템 보안
        5.   네트워크/프로토콜 분석
      6.   인증
    8.   IT 기타기술
  8.   공업일반(기계,재료등)
  9.   표준/계측/품질
  10.   기술경영

 
        최근수정     요약목록     참고문헌