1. IKE
ㅇ IPSec을 위한 복합 프로토콜
- SA(보안연관)을 생성 유지하며,
- 그에따른 키 관리를 수행
2. IKE 특징
ㅇ IKE는 일련의 다른 프로토콜(ISAKMP,OAKLEY,SKEME 등)들을 참조함
- 범용적인 키 교환 프로토콜의 기반구조(Framework)를 규정한 ISAKMP를 기초로 하여 만들어진
IPSec을 위한 키 교환 프로토콜
- ISAKMP에서 규정한 패킷 형식과 일부 동작 모드에 아래의 특정한 키 결정 방식을 결합
. OAKLEY : 일련의 키 교환 메커니즘들을 기술함 (Hilarie Orman에 의해 설계)
. SKEME : OAKLEY와는 또다른 키 교환 프로토콜 (Hugo Kraweyzk에 의해 설계)
- 결국, IKE는 ISAKMP 기반 위에서 동작하는 Oakley 및 Skeme 키 교환 프로토콜을
수행하는 복합 프로토콜
ㅇ IKE는 위의 이러한 키 교환 프로토콜을 이용하여,
- 보안 채널에 필요한 SA(보안연합)를 확립하게 됨
. 즉, IKE 그 자체로는 AH 헤더 및 ESP 헤더와는 독립된 것이며,
. SA를 확립하는데 필요한 데이터들을 안전하게 전달하기 위한 것
ㅇ 기반이 되는 키 교환,인증 방식
- Diffie-Hellman 알고리즘, 공개키 방식, X.509 디지털 인증서
ㅇ 키 전달용 수송 프로토콜 및 포트번호
- 키 전달시에는 UDP 포트번호 500을 이용
3. IKE 버젼별 차이
ㅇ IKEv1 : RFC 2409 (1998년)
- 일련의 다른 프로토콜들을 참조함
. ISAKMP (RFC 2408),OAKLEY (RFC 2412),SKEME 등
- 단계 구분
. 1 단계 (주 모드 및 공격적 모드)
.. 주 모드 : 개시자와 응답자 사이에 6개의 메세지를 교환 함
. 2 단계 (신속 모드)
- 인증 방법 : 4가지
. Pre Shared Key (PSK), Digital Signature (RSA-Sig),
Original Public Key Encryption, Revised Public key Encryption
ㅇ IKEv2 : RFC 7296 (2014년)
- IKEv1 보다 더 가볍고 효율적이나, 보안성은 강화됨
. 교환되는 메세지 수 등을 줄임
- 인증 방법 : 3가지
. Pre Shared Key (PSK), Digital Signature (RSA-Sig)
Extensible Authentication Protocol (EAP)
※ 두 프로토콜 간에 호환성 없음