AH Header, ESP Header   AH 헤더, ESP 헤더

(2016-10-10)

IPSec AH, Authentication Header, IPSec ESP, Encapsulating Security Payload

1. AH 헤더 및 ESP 헤더IPSec에서 IP 패킷의 `인증`,`암호화` 등을 위하여 2개 헤더를 정의


2. AH 헤더IP 패킷의 `무결성`,`인증`에 만 사용되는 헤더 (제한적 역할)
     - 데이터 무결성(Integrity), 근원지 인증(Authentication) 제공

    

  ㅇ 세부 필드
     - IP 헤더 내의 프로토콜 필드 값 
        . 51(AH 헤더를 나타냄)로 셋팅됨
     - AH 헤더 위치
        . 전송 모드 또는 터널 모드에 따라 적절한 위치에 삽입됨
     - 다음 계층 프로토콜 헤더(Next Header) (8 비트)
        . 원래의 IP 패킷프로토콜 필드 값이 이곳에 복사됨
     - 페이로드 길이(Payload Length) (8 비트)
        . 인증 헤더(처음 4 바이트 제외)의 길이를 4 바이트 배수로 나타냄
     - 보안 매개변수 색인(SPI) (32 비트)
        . 보안연관(SA)의 지역적 식별 
     - 순서 번호(Sequence Number) (32 비트)
        . 재생공격 방지를 위한 순서번호
     - 인증 데이터 (가변 길이)
        . 전송 도중에 변경되는 TTL 필드를 제외한 전체 IP 패킷해쉬 함수를 적용한
          결과 값 (HMAC-SHA-96, HMAC-MD5-96 등)
        . 해쉬 알고리즘
           .. 메세지 다이제스트(인증 데이터)를 만들기 위해,
           .. 해쉬 알고리즘인 HMAC(Hash Message Authentication Code), MD5, SHA-1 을 사용

  ㅇ 관련 표준 : RFC 4302


3. ESP 헤더IP 패킷의 `무결성`,`인증`,`암호화(기밀성)` 모두를 제공하는 목적의 헤더
     - 위 AH에서 제공하는 보안서비스 외에도 기밀성(Confidentiality) 추가 제공
        . 따라서, 충분한 보안성 확보 가능으로 굳이 AH 헤더를 사용할 필요 없음

     - 기밀성을 위한 암호화 알고리즘으로는,
        . DES, 3DES, RC5, IDEA, Three-key IDEA, CAST, Blowfish, AES 등 사용

     - 수신측에는 IKE(Internet Key Exchange)로 미리 교환한 Key 값을 이용하여
       데이터를 복호화 하는 기능을 수행하게 됨

       

  ㅇ 세부 필드
     - IP 헤더 내의 프로토콜 필드 값 
        . 50 (ESP 헤더를 나타냄)으로 셋팅됨

  ㅇ 관련 표준 : RFC 4303


[IP 레벨 보안] 1. IPSec 2. AH 헤더,ESP 헤더 3. IPSec 운용모드 4. 보안 연관 5. IKE 6. ISAKMP

 
        최근수정     요약목록     참고문헌