인터넷 키 교환은 무엇입니까?
인터넷 키 교환 (IKE)은 인터넷 엔지니어링 태스크 포스 (IETF)가 작성하고 IPSEC (Internet Protocol Security) 표준과 함께 사용하여 네트워크를 통해 두 장치 또는 피어간에 안전한 통신을 제공하기 위해 사용합니다. 프로토콜로서 IKE는 여러 소프트웨어 응용 프로그램에 사용할 수 있습니다. 일반적인 예는 보안 가상 사설 네트워크 (VPN)를 설정하는 것입니다. 사실상 모든 최신 컴퓨터 운영 체제 및 네트워킹 장비에 대한 표준이지만 인터넷 키 교환이하는 대부분은 평균 사용자의 관점에서 숨겨져 있습니다.
IKE의 프로토콜은 IPSEC를 통한 두 개 이상의 피어 사이에서 보안 협회 (SA)라고 불리는 것을 설정합니다. SA는 통신, 암호화 키 및 만료 날짜에 사용되는 암호화 알고리즘을 정의합니다. 이 모든 것은 각 동료의 보안 협회 데이터베이스 (SAD)로 들어갑니다. ipsec은 SA를 수동으로 구성 할 수 있지만인터넷 키 교환은 자체를 만들 수있는 능력을 포함하여 동료 간의 보안 협회를 협상하고 확립합니다.
인터넷 키 교환은 하이브리드 프로토콜이라고합니다. IKE는 인터넷 보안 협회 및 Key Management Protocol (ISAKMP)으로 알려진 프로토콜 프레임 워크를 사용합니다. ISAKMP는 IKE에게 SA를 설정하는 기능을 제공하고 데이터 페이로드의 형식을 정의하고 사용될 주요 교환 프로토콜을 결정하는 작업을 수행합니다. ISAKMP는 키를 교환하기 위해 여러 가지 방법을 사용할 수 있지만 IKE의 구현은 두 가지 측면을 사용합니다. 대부분의 주요 교환 프로세스는 다양한 모드를 정의하는 Oakley Key Degenciation Protocol (Oakley) 메소드를 사용하지만 IKE는 SKEME (Source Key Exchange Mechanism) 메소드 중 일부를 사용하여 공개 키 암호화를 허용하고 키를 빠르게 새로 고칠 수 있습니다. <./p>
동료들이 단단히 의사 소통하기를 원할 때, 그들은 "흥미로운 트래픽"이라고하는 것을 서로에게 보냅니다. 흥미로운 트래픽은 동료들에게 설정된 IPsec 정책을 준수하는 메시지입니다. 방화벽과 라우터에서 발견 된이 정책의 한 예를 액세스 목록이라고합니다. 액세스 목록에는 정책 내의 특정 명세서에 연결을 통해 전송 된 특정 데이터가 암호화되어야하는지 여부를 결정하는 암호화 정책이 제공됩니다. 보안 커뮤니케이션에 관심이있는 동료들이 IPSEC 보안 정책과 서로 일치하면 인터넷 키 교환 프로세스가 시작됩니다.
IKE 프로세스는 단계에서 발생합니다. 많은 안전한 연결은 무담보 상태에서 시작되므로 첫 번째 단계는 두 동료가 안전한 커뮤니케이션 프로세스를 어떻게 계속할 것인지 협상합니다. Ike는 먼저 동료의 신원을 인증 한 다음 두 동료가 사용할 보안 알고리즘을 결정하여 신원을 보호합니다. diffie-hellman pUBLIC 키 암호화 프로토콜은 보호되지 않은 네트워크를 통해 일치하는 키를 생성 할 수있는 인터넷 키 교환이 세션 키를 만듭니다. Ike는 2 단계에서 사용될 피어들 사이에 안전한 연결, 터널을 만들어 1 단계를 마무리합니다.
IKE가 2 단계로 들어가면 동료는 새로운 IKE SA를 사용하여 나머지 연결 중에 사용할 IPSEC 프로토콜을 설정합니다. 전송 된 메시지가 손상되지 않은지 확인하는 인증 헤더 (AH)가 설정되어 있습니다. 패킷도 암호화해야하므로 IPsec은 캡슐화 보안 프로토콜 (ESP)을 사용하여 패킷을 암호화하여 눈을 떼지 않도록 안전하게 유지합니다. AH는 패킷의 내용을 기반으로 계산되며 패킷은 암호화되므로 패킷은 패킷을 가짜로 교체하거나 패킷의 내용을 읽으려고 시도하는 사람으로부터 고정됩니다.
.ike는 또한 2 단계에서 암호화 비 강제를 교환합니다. Nonce는 한 번만 사용되는 숫자 또는 문자열입니다.그런 다음 Nonce는 새로운 비밀 키를 만들거나 공격자가 가짜 SA를 생성하지 못하도록하여 재생 공격을 방지하는 데 필요한 경우 피어가 사용합니다.
IKE에 대한 다중 단계 접근법의 이점은 1 상 SA를 사용함으로써, 어떤 피어가 언제든지 2 단계를 시작하여 새로운 SA를 다시 협상시켜 의사 소통이 안전하게 유지되도록 할 수 있다는 것입니다. 인터넷 키 교환이 단계를 완료 한 후에는 정보 교환을 위해 IPSEC 터널이 생성됩니다. 터널을 통해 전송 된 패킷은 2 단계 동안 설정된 SAS에 따라 암호화되고 암호화됩니다. 완료되면 터널은 사전 결정된 시간 제한을 기준으로 만료되거나 특정 양의 데이터가 전송 된 후 종료됩니다. 물론 추가 IKE 2 단계 협상은 터널을 개방하거나 새로운 단계 1 및 2 단계 협상을 시작하여 새롭고 안전한 터널을 설정할 수 있습니다.