인터넷 키 교환이란 무엇입니까?
IKE (Internet Key Exchange)는 IETF (Internet Engineering Task Force)에 의해 만들어지고 IPSec (Internet Protocol Security) 표준과 함께 사용되어 네트워크를 통해 두 장치 또는 피어간에 안전한 통신을 제공하는 일련의 지원 프로토콜입니다. 프로토콜로서 IKE는 여러 소프트웨어 응용 프로그램에서 사용할 수 있습니다. 일반적인 예는 안전한 VPN (가상 사설망)을 설정하는 것입니다. 사실상 모든 최신 컴퓨터 운영 체제 및 네트워킹 장비에서 표준이지만 Internet Key Exchange가 수행하는 대부분의 작업은 일반 사용자의 관점에서 숨겨져 있습니다.
IKE의 프로토콜은 IPSec을 통한 보안 통신에 필요한 IPSec을 통해 둘 이상의 피어간에 SA (보안 연결)를 설정합니다. SA는 통신에 사용되는 암호화 알고리즘, 암호화 키 및 만료 날짜를 정의합니다. 이 모든 것은 각 피어의 보안 연결 데이터베이스 (SAD)에 들어갑니다. IPSec은 SA를 수동으로 구성 할 수 있지만 Internet Key Exchange는 자체 키 생성 기능을 포함하여 피어 간의 보안 연결을 자동으로 협상하고 설정합니다.
인터넷 키 교환은 하이브리드 프로토콜이라고합니다. IKE는 ISAKMP (Internet Security Association and Key Management Protocol)라는 프로토콜 프레임 워크를 사용합니다. ISAKMP는 IKE에 SA를 설정할 수있는 기능을 제공하며, 데이터 페이로드 형식을 정의하고 사용할 키 교환 프로토콜을 결정하는 작업을 수행합니다. ISAKMP는 키 교환을 위해 여러 가지 방법을 사용할 수 있지만 IKE에서의 구현은 두 가지 측면을 사용합니다. 대부분의 키 교환 프로세스는 다양한 모드를 정의하는 OAKLEY (OAKLEY Key Determination Protocol) 방법을 사용하지만 IKE는 공개 키 암호화를 허용하고 SKEME (Source Key Exchange Mechanism) 방법 중 일부를 사용합니다. 키를 빠르게 새로 고칩니다.
동료들이 안전하게 의사 소통하기를 원할 때 소위 "흥미로운 트래픽"을 서로에게 보냅니다. 흥미로운 트래픽은 피어에서 설정된 IPSec 정책을 준수하는 메시지입니다. 방화벽과 라우터에있는이 정책의 한 예를 액세스 목록이라고합니다. 액세스 목록에는 암호화 정책이 제공되어 정책 내 특정 명령문이 연결을 통해 전송 된 특정 데이터의 암호화 여부를 결정합니다. 보안 통신에 관심이있는 동료가 IPSec 보안 정책을 서로 일치 시키면 인터넷 키 교환 프로세스가 시작됩니다.
IKE 프로세스는 단계적으로 수행됩니다. 많은 보안 연결이 보안되지 않은 상태에서 시작되므로 첫 번째 단계에서는 두 피어가 보안 통신 프로세스를 어떻게 진행할 것인지 협상합니다. IKE는 먼저 피어의 ID를 인증 한 다음 두 피어가 사용할 보안 알고리즘을 결정하여 해당 ID를 보호합니다. 인터넷 키 교환은 보호되지 않은 네트워크를 통해 일치하는 키를 생성 할 수있는 Diffie-Hellman 공개 키 암호화 프로토콜을 사용하여 세션 키를 만듭니다. IKE는 2 단계에서 사용될 피어간에 보안 연결 인 터널을 만들어 1 단계를 완료합니다.
IKE가 2 단계에 진입하면 피어는 새로운 연결 IKE SA를 사용하여 나머지 연결 중에 사용할 IPSec 프로토콜을 설정합니다. 전송 된 메시지가 그대로 수신되었는지 확인하는 인증 헤더 (AH)가 설정됩니다. 패킷도 암호화해야하므로 IPSec은 캡슐화 보안 프로토콜 (ESP)을 사용하여 패킷을 암호화하여 눈에 띄지 않도록 보호합니다. AH는 패킷의 내용에 기초하여 계산되고, 패킷은 암호화되므로, 패킷을 가짜 것으로 대체하거나 패킷의 내용을 읽는 사람으로부터 패킷이 보호된다.
또한 IKE는 2 단계에서 암호화 nonces를 교환합니다. nonce는 한 번만 사용되는 숫자 또는 문자열입니다. 그런 다음 nonce는 새로운 비밀 키를 생성하거나 공격자가 가짜 SA를 생성하지 못하게하여 재생 공격이라고하는 것을 방지해야하는 경우 피어에서 사용합니다.
IKE에 대한 다단계 접근 방식의 이점은 1 단계 SA를 사용하여 어느 한 쪽 피어라도 언제든지 2 단계를 시작하여 새 SA를 다시 협상하여 통신을 안전하게 유지할 수 있다는 것입니다. Internet Key Exchange가 단계를 완료하면 정보 교환을위한 IPSec 터널이 생성됩니다. 터널을 통해 전송 된 패킷은 2 단계 동안 설정된 SA에 따라 암호화 및 암호 해독됩니다. 완료되면 미리 결정된 시간 제한에 따라 만료되거나 특정 양의 데이터가 전송 된 후 터널이 종료됩니다. 물론, 추가 IKE 2 단계 협상은 터널을 개방 상태로 유지하거나 새로운 1 단계 및 2 단계 협상을 시작하여 새롭고 안전한 터널을 구축 할 수 있습니다.