220 likes | 407 Views
IPsec . 012426 석진선. 개 요. 기본지식 IPsec? Architecture Mode Protocol Security Association SA Data base 키 관리 프로트콜 IKE (Internet Key Exchange protocol). 기본지식. IPv4 현재 인터넷의 인터넷 프로토콜 (IP) 현재 32 bit IPv4 주소의 할당 공간 주소 부족 매년 인터넷 접속 호스트 수가 기하 급수적으로 증가 IPv4 헤더 영역의 비효율적 사용
E N D
IPsec 012426 석진선
개 요 • 기본지식 • IPsec? • Architecture • Mode • Protocol • Security Association • SA • Data base • 키 관리 프로트콜 • IKE (Internet Key Exchange protocol)
기본지식 • IPv4 • 현재 인터넷의 인터넷 프로토콜(IP) • 현재 32 bit IPv4 주소의 할당 공간 주소 부족 • 매년 인터넷 접속 호스트 수가 기하 급수적으로 증가 • IPv4 헤더 영역의 비효율적 사용 • IPv4 헤더내의 fragment 관련영역
기본지식 • IPv6의 특징 • 128bit의 주소할당 공간 부족 문제 해소 • 효율적인 헤더공간의 사용 • 간략화된 헤더 포맷 • 확장 헤더 사용 • 보안/인증 확장 헤더를 이용한 인터넷 계층의 보안기능 제공
기본지식 • IPv4 vs IPv6 IPv4 Basic Header 20byte, 복잡 Total Length Type of Service IHL Version Identification Flags Fragment Offset Protocol Time to Live Header Checksum Source Address(32bits) Version (4) Traffic Class (8) Destination Address(32bits) Flow Label (20) Padding Options Next Header (8) Hop Limit (8) Payload Length (16) Source Address (128bits) IPv6 Basic Header 40byte, 단순 Destination Address (128bits)
IPsec? • Internet Protocol Security • IP 계층에서 기밀성과 인증을 제공하는 보안 프로토콜 • IPv6 네트워크,MIP4, MIP6
IPsec? • IPsec이 하는일 • IP 주소 위장 방지 • IP 데이터 그램의 변경 및 재전송 방지 • IP 데이터 그램을 위한 기밀성 및 보안 서비스 제공 • 보안성 ->암호프로토콜(AH) + 보안메커니즘(ESP) • 보안 프로토콜 선택 • 암호 알고리즘 선택 • 암호키 생성, 분배
Architecture • IPsec의 주요 구성요소 • 프로토콜 • 인증 프로토콜 (AH) • 암호화 프로토콜 (ESP) • 데이터 베이스 • 보안 연계 데이터베이스 (SAD) • 보안 정책 데이터베이스 (SPD) • 키 관리 메커니즘 (IKE : Internet Key Exchange protocol)
Architecture • mode • 터널모드 • 트랜스포트 모드 • 제공하는 보안성 • 터널 모드 AH • 트랜스포트 모드 AH • 터널 모드 ESP • 트랜스포트 모드 ESP
Architecture • Tunnel mode TCP header Data IP header 터널의 끝을 가리키는 IP header New IP HDR IPSEC HDR TCP HDR IP HDR Data Encrypted 보안 프로토콜 header
Architecture • Transport mode TCP header Data IP header IP header IPsec header TCP header Data Encrypted
Architecture • AH ( Authentication header ) Protocol • 무결성(integrity), 인증,재전송 공격방지 • 데이터 형식 Next header Payload length Reserved Sequrity Parameters Index (SPI) Sequence number Authentication data
Architecture • AH – Tunnel mode TCP header Data IP header New IP HDR AH IP HDR TCP HDR Data • Authenticated Encrypted
Architecture • AH – Transport mode TCP header Data IP header IP header AH TCP header Data • Authenticated Encrypted
Architecture • ESP(Encapsulating Security Protocol) • security service, confidentiality, originauthentication, data integrity • 데이터 형식 Security Parameters Index ( SPI ) Sequence Number Field IV Payload Data (variable) Padding ( 0 ~ 255 bytes ) Pad Length Next Header Authentication Data (variable)
Architecture • ESP – Tunnel mode TCP header Data IP header New IP HDR ESP header IP HDR TCP HDR Data ESP trailer ESP Authentication Encrypted Authenticated
Architecture • ESP – Transport mode TCP header Data IP header IP HDR ESP header TCP HDR Data ESP trailer ESP Authentication Encrypted Authenticated
Security Association • SA • Security Association • 포함내용 • AH parameter • ESP parameter • Mode • destinaton IP addr, IPSec protocol (AH or ESP), SPI • Lifetime
Security Association • Data base • SAD Security Association Database) • 양단간의 비밀 데이터 교환을 위해 미리 설정되어야 할 보안 요소들에 대한 데이터베이스 • SPD (Security Policy Database) • 패킷들에 대한 보안 정책을 적용하는 데이터베이스 • 사용 될 security 서비스 정의
키 관리 프로토콜 • SA를 협상 • ESP, AH에서 사용하게 될 키를 관리하기 위한 프로토콜 • IETF Working group에서 IKE를 키 관리 프로토콜의 표준으로 지정
키 관리 프로토콜 • IKE( Internet Key Exchange ) • 기능 • 협상 • 사용할 프로토콜과 알고리즘과 키에 동의하고 협상한다. • 인증 • 통신하고 있는 상대방이 실제 내가 통신하고 있다고 생각하는 상대방인지를 보증한다. • 키 관리 • 사용할 키가 합의로 결정된 후 안전하게 교환될 수 있도록 관리한다.
Reference • 한국전산원 IPv6 http://www.ngix.ne.kr • 인터넷 보안 기술 포럼 http://www.istf.or.kr • http://database.sarang.net/study/ipv6 • http://elec.sch.ac.kr/hyyoum • IP 계층에서의 VPN 보안 기술 표준 • 삼성 s/w http://kjssa.co.kr