암호화 기술 SSL와 IPSec의 개요 및 동작과정 2008.11.20 Copyright © by 2조 All rights reserved.
차례 IPSec(Internet Protocol Security) 암호화 기술 IPSec 개요 SSL 개요 IPSec 구조 HandSake Protocol Change Cipher Protocol Alert Protocol SSL Record Protocol IPSec 개요 IPSec 구조 보안연계 AH/ESP Protocol Protocol 처리 과정 IKE Protocol 참고문헌 Q/A
암호화 기술 IPSec(Internet Protocol Security) 정보 노출의 취약성을 때문에 암호화 기술이 필요하게 되었고, 이러한 암호화 기술은 데이터 암호 알고리즘으로 적용하여 다른 사람이 알아볼 수 없는 암호문으로 변경하는 방법으로 침입자가 데이터를 입수하더라도 그 내용을 알 수 없도록 하는 기술이다.
SSL 개 요 SSL(Secure Socket Layer)
SSL 구조 SSL(Secure Socket Layer) TCP를 이용하여 신뢰할수 있는 End-to-End 보안 서비스를 제공하기 위해 설계 되었다. 단일 프로토콜이라기 보다 2개의 계층으로 된 프로토콜
SSL(Secure Socket Layer)
암호문 규격 프로토콜 SSL(Secure Socket Layer) Change Cipher Spec 프로토콜은 다음과 같은 하나의 메시지를 전송하여 이루어지는데, 현재의 CipherSpec으로 암호화되고 압축되어진다. 이 메시지의 목적은 연결 상에서 쓰이도록 암호화 그룹을 갱신한다.
Alert 프로토콜 SSL(Secure Socket Layer) SSL 레코드는 계층에서 제공되는 컨텐츠 타입 중 하나가 Alert 타입이다. Alert 메시지는 압축 및 암호화 오류, MAC오류, 핸드쉐이크 프로토콜 실패, 인증서 오류 등에 대한 메시지와 설명을 전송하는데 이용된다.
HandShake Protocol SSL(Secure Socket Layer) Change Cipher Specs 메시지는 핸드쉐이크 프로토콜에 포함되지 않지만 클라이언트는 마지막으로 Change Cipher Specs 메시지를 서버에 전송하여 이후에 전송되는 모든 메시지는 협상된 알고리즘과 키를 이용할 것임을 알리게되고 그런후 즉시 Finished 메시지를 서버에 전송하여 협상된 알고리즘 및 키가 처음으로 적용된다. 인증서 요청이 있을경우 인증서를 보내고, 만약 인증서를 가지고 있지 않다면 No Certificate Alert메시지를 보낸다. 세션키를 생성 및 이용하고 서버가 쉽게 확인할 수 있도록 핸드쉐이크 메시지를 전자서명하여 전송하게된다. 보안 기능 확립하기 Client Hello 메시지를 통해 SSL 버전, 임의의 난수, 세션 식별자 등의 정보를 교환한다. 서버 인증과 키 교환 서버 인증을 위한 자신의 공개키 인증서를 가지고 있다면 Server Certificate 메시지를 클라이언트에 전송하고, 인증서가 없거나 인증서를 가지고 있지만 서명용으로만 사용할수 있거나 키교환을 사용한다면 Server Key Exchange메시지를 전송한다. 클라이언트 인증과 키 교환 협상된 알고리즘 및 키 적용
IPSec 개요 IPSec(Internet Protocol Security) IPSec은 End-to-End 방식 통신에서 안전한 통신을 지원하기 위해 IP계층을 기반으로 하여 보안 프로토콜을 제공하는 것으로 IP의 취약점을 보완하기 위한 보안 기능을 제공한다.
IPSec 구조 IPSec(Internet Protocol Security) IKE Applications SPD SA Socket Layer Transport Layer SAD IP Link Layer IPSec
보안연계(Security Association, SA) IPSec(Internet Protocol Security) 보안연계(Security Association, SA) IPSec에서 SA은 특정 보안 프로토콜의 문맥 안에서 어떻게 보안 서비스를 이용할지 정의한다. 프로토콜에는 AH와 ESP가 있으며 SA를 이용하여 보안서비스를 제공한다. 이러한 프로토콜은 전송모드와 터널모드가 있다. SA는 AH와 ESP처리를 위해 SPD와 SAD를 참조
보안데이터베이스 IPSec(Internet Protocol Security) 보안 정책 데이터베이스(SPD, Security Policy Database) SA는 IPSec 환경에서 보안 정책을 실행할 수 있도록 하는 관리 구조로 보안 정책은 패킷에 제공되어야 하는 보안 서비스를 결정하여야 한다. IPSec에서는 정책들을 저장하는 데이터베이스로 보안 정책 데이터베이스(SPD, Security Policy Database)를 정의하고 있으며 SPD는 모든 트래픽의 처리 시 참조한다.
보안데이터베이스 IPSec(Internet Protocol Security) 보안 연계 데이터베이스(SAD, Security Association Database) 양단간의 비밀 데이터 교환을 위해 미리 설정되어야 할 보안 요소가 정의 되어 있다. SA에 해당하는 관련된 매개 변수들이 정의되어 있다. 매개변수 : 보안 알고리즘, 식별자, 전송모드, 암호키 등…
모드 IPSec(Internet Protocol Security)
전송모드(Transport Mode) IPSec(Internet Protocol Security) END-TO-END 통신 방식인 클라이언트와 서버 간 통신에 사용 전송 모드는 AH 또는 ESP 헤더를 통해 IP 페이로드의 방어를 제공 IP 페이로드 : TCP, UDP 및 ICMP
전송모드(Transport Mode) IPSec(Internet Protocol Security) 전송모드 AH 전송모드 ESP 인증영역
터널모드(Tunnel Mode) IPSec(Internet Protocol Security) 게이트웨이 간, 서버와 게이트웨이 간, 서버 간에 사용한다. 전송 모드는 IP 페이로드만 암호화하지만 터널모드에서는 IP 헤더 및 페이로드를 암호화하고, 새로운 IP 헤더로 캡슐화 한다. 이때 새로운 IP 헤더의 IP 주소는 터널 종점이다. 즉, 터널이 형성되는 시작점과 끝점을 인식할 수 있도록 하기 위해서 새로운 IP 헤더를 덧붙여서 IP 패킷 전체를 캡슐화 하는 것을 의미한다.
IPSec(Internet Protocol Security) 터널모드(Tunnel Mode) 터널모드 AH 터널모드 ESP
IPSec Protocol IPSec(Internet Protocol Security) 인증 프로토콜(Authentication Header, AH) AH는 IP데이터그램을 인증하기 위해 필요한 정보를 포함하는 방법으로 전체패킷(패킷의 IP 헤더 및 데이터페이로드 모두)에 대한 데이터의 인증과 무결성을 보장해 주는 메커니즘이다. 인증헤더는 다음의 보안 서비스를 제공한다.
IPSec Protocol IPSec(Internet Protocol Security) 인증 프로토콜(Authentication Header, AH)
IPSec Protocol IPSec(Internet Protocol Security) 인증 프로토콜(Authentication Header, AH) SAD에서 SA 선택 일련번호 생성 ICV 계산 인증헤더 구성 SEND Packet RECEIVE Packet SAD에서 SA 검색 일련번호 검증 ICV 검증 패킷전송 완료
IPSec Protocol IPSec(Internet Protocol Security) 암호화 프로토콜 ESP(Encapsulating Security Payload) ESP는 암호화 기법을 사용하여 IP 페이로드에 대해서만 데이터의 무결성, 재생 방지, 비밀성의 기능을 제공하는 프로토콜이다. ESP와 AH 차이점은 AH는 데이터를 암호화하지는 않고, ESP는 데이터의 암호화(비밀성)를 한다는 것이다.
IPSec Protocol IPSec(Internet Protocol Security) 암호화 프로토콜 ESP(Encapsulating Security Payload)
IPSec Protocol IPSec(Internet Protocol Security) 암호화 프로토콜 ESP(Encapsulating Security Payload) SAD에서 SA 선택 일련번호 생성 ICV 계산 인증헤더 구성 SEND Packet RECEIVE Packet SAD에서 SA 검색 일련번호 검증 ICV 검증 패킷전송 완료
인터넷 키 교환 IPSec(Internet Protocol Security) IPSec에서 쓰이는 키 관리 프로토콜로서 SA를 협상하고 ESP, AH에서 사용하게 될 키를 관리하기 위해 인증과 암호화에 필요한 암호 알고리즘의 키를 자동적으로 생성하고, 분배한다. IKE는 다음과 같은 기능을 한다. ■ 협상 ■ 인증 ■ 키 관리
Q/A 및 참고문헌 IPSec(Internet Protocol Security) - 차세대 네트워크 보안 기술 - 인터넷 정보 보안 시스코 네트워크 보안 컴퓨터 정보 보안 인터넷 정보 보안 - http://www.microsoft.com/korea/