암호화 기술 SSL와 IPSec의 개요 및 동작과정 2008

v IPSec(Internet Protocol Security) Company Logo § 차례 1. 암호화 기술 8. IPSec 개요 2. SSL 개요 9. IPSec 구조 3. SSL 구조 10. 보안연계 4. Hand. Sake Protocol 11. AH/ESP Protocol 5. Change Cipher Protocol 12. Protocol 처리 과정 6. Alert Protocol 13. IKE Protocol 7. SSL Record Protocol 14. 참고문헌 Q/A Copyright © by ARTCOM PT All rights reserved. 2 www. art-com. co. kr

v IPSec(Internet Protocol Security) Company Logo § 암호화 기술 정보 노출의 취약성을 때문에 암호화 기술이 필요 하게 되었고, 이러한 암호화 기술은 데이터 암호 알 고리즘으로 적용하여 다른 사람이 알아볼 수 없는 암호문으로 변경하는 방법으로 침입자가 데이터를 입수하더라도 그 내용을 알 수 없도록 하는 기술이 다. Copyright © by ARTCOM PT All rights reserved. 3 www. art-com. co. kr

v. SSL(Secure Socket Layer) Company Logo § SSL 개 요 Secure Socket Layer의 약자로 인터넷상에서 교환되 고 있는 각종 데이터를 암호화하여 제 3자에게 데이터 가 노출이 되더라도 판독이 불가능하도록 만드는 통 신기술 Copyright © by ARTCOM PT All rights reserved. 4 www. art-com. co. kr

v. SSL(Secure Socket Layer) Company Logo § SSL 구조 TCP를 이용하여 신뢰할수 있는 End-to-End 보안 서비스를 제공하기 위해 설계 되었다. 단일 프로토콜이라기 보다 2개의 계층으로 된 프로토 콜 Copyright © by ARTCOM PT All rights reserved. 5 www. art-com. co. kr

v. SSL(Secure Socket Layer) Company Logo § 암호문 규격 프로토콜 Change Cipher Spec 프로토콜은 다음과 같은 하나의 메시 지를 전송하여 이루어지는데, 현재의 Cipher. Spec으로 암호 화되고 압축되어진다. 이 메시지의 목적은 연결 상에서 쓰이도록 암호화 그룹을 갱 신한다. Copyright © by ARTCOM PT All rights reserved. 7 www. art-com. co. kr

v. SSL(Secure Socket Layer) Company Logo § Alert 프로토콜 SSL 레코드는 계층에서 제공되는 컨텐츠 타입 중 하나가 Alert 타입이다. Alert 메시지는 압축 및 암호화 오류, MAC오류, 핸드쉐이크 프로토콜 실패, 인증서 오류 등에 대한 메시지와 설명을 전송 하는데 이용된다. Copyright © by ARTCOM PT All rights reserved. 8 www. art-com. co. kr

v. SSL(Secure Socket Layer) Company Logo § Hand. Shake Protocol Change Cipher Specs 메시지는 인증서 요청이 있을경우 인증서를 보내고, 핸드쉐이크 프로토콜에 포함되지 않지만 만약 인증서를 기능 확립하기 보안 가지고 있지 않다면 클라이언트는 마지막으로 Change Cipher Specs No Client Hello. Alert메시지를 보낸다. Certificate 메시지를 통해 SSL 버전, 메시지를 서버에 전송하여 이후에 전송되는 세션키를 생성 및 이용하고 서버가 쉽게 임의의 협상된 알고리즘과 키를 식별자 모든 메시지는 난수, 세션 키 교환 등의 이용할 서버 인증과 확인할 수 있도록 핸드쉐이크 메시지를 것임을 정보를 교환한다. 즉시 Finished 알리게되고 그런후 전자서명하여 전송하게된다. 메시지를 서버에 전송하여 협상된 알고리즘 및 키가 처음으로 적용된다. 서버클라이언트 인증과 키 교환 인증서를 인증을 위한 자신의 공개키 가지고 있다면 Server Certificate 메시지를 클라이언트에 전송하고, 인증서가 없거나 인증서를 가지고 있지만 서명용으로만 협상된 알고리즘 및 키 적용 사용할수 있거나 키교환을 사용한다면 Server Key Exchange메시지를 전송한다. Copyright © by ARTCOM PT All rights reserved. 9 www. art-com. co. kr

v IPSec(Internet Protocol Security) Company Logo § IPSec 개요 IPSec은 End-to-End 방식 통신에서 안전한 통신 을 지원하기 위해 IP계층을 기반으로 하여 보안 프로 토콜을 제공하는 것으로 IP의 취약점을 보완하기 위 한 보안 기능을 제공한다. Copyright © by ARTCOM PT All rights reserved. 10 www. art-com. co. kr

v IPSec(Internet Protocol Security) Company Logo § IPSec 구조 IKE SPD Applications Socket Layer SA Transport Layer IP SAD Link Layer IPSec Copyright © by ARTCOM PT All rights reserved. 11 www. art-com. co. kr

v IPSec(Internet Protocol Security) Company Logo § 보안연계(Security Association, SA) IPSec에서 SA은 특정 보안 프로토콜의 문맥 안에서 어떻게 보안 서비스를 이용할지 정의한다. 프로토콜에는 AH와 ESP가 있으며 SA를 이용하여 보안서비스를 제공한다. 이러한 프로토콜은 전송모드와 터널모드가 있다. SA는 AH와 ESP처리를 위해 SPD와 SAD를 참조 Copyright © by ARTCOM PT All rights reserved. 12 www. art-com. co. kr

v IPSec(Internet Protocol Security) Company Logo § 보안데이터베이스 보안 정책 데이터베이스(SPD, Security Policy Database) SA는 IPSec 환경에서 보안 정책을 실행할 수 있도록 하는 관리 구조로 보안 정책은 패킷에 제공되어야 하는 보안 서 비스를 결정하여야 한다. IPSec에서는 정책들을 저장하는 데이터베이스로 보안 정 책 데이터베이스(SPD, Security Policy Database)를 정의 하고 있으며 SPD는 모든 트래픽의 처리 시 참조한다. Copyright © by ARTCOM PT All rights reserved. 13 www. art-com. co. kr

v IPSec(Internet Protocol Security) Company Logo § 보안데이터베이스 보안 연계 데이터베이스(SAD, Security Association Database) 양단간의 비밀 데이터 교환을 위해 미리 설정되어야 할 보안 요소가 정의 되어 있다. SA에 해당하는 관련된 매개 변수들이 정의되어 있다. 매개변수 : 보안 알고리즘, 식별자, 전송모드, 암호키 등… Copyright © by ARTCOM PT All rights reserved. 14 www. art-com. co. kr

v IPSec(Internet Protocol Security) Company Logo § 전송모드(Transport Mode) END-TO-END 통신 방식인 클라이언트와 서버 간 통신에 사용 전송 모드는 AH 또는 ESP 헤더를 통해 IP 페이로 드의 방어를 제공 IP 페이로드 : TCP, UDP 및 ICMP Copyright © by ARTCOM PT All rights reserved. 16 www. art-com. co. kr

v IPSec(Internet Protocol Security) Company Logo § 터널모드(Tunnel Mode) 게이트웨이 간, 서버와 게이트웨이 간, 서버 간에 사용한다. 전송 모드는 IP 페이로드만 암호화하지만 터널모드에서는 IP 헤더 및 페이로드를 암호화하고, 새로운 IP 헤더로 캡슐화 한 다. 이때 새로운 IP 헤더의 IP 주소는 터널 종점이다. 즉, 터널이 형성되는 시작점과 끝점을 인식할 수 있도록 하기 위해서 새로운 IP 헤더를 덧붙여서 IP 패킷 전체를 캡슐화 하 는 것을 의미한다. Copyright © by ARTCOM PT All rights reserved. 18 www. art-com. co. kr

v IPSec(Internet Protocol Security) Company Logo § IPSec Protocol 인증 프로토콜(Authentication Header, AH) AH는 IP데이터그램을 인증하기 위해 필요한 정보 를 포함하는 방법으로 전체패킷(패킷의 IP 헤더 및 데이터페이로드 모두)에 대한 데이터의 인증과 무 결성을 보장해 주는 메커니즘이다. 인증헤더는 다 음의 보안 서비스를 제공한다. Copyright © by ARTCOM PT All rights reserved. 20 www. art-com. co. kr

v IPSec(Internet Protocol Security) Company Logo § IPSec Protocol 인증 프로토콜(Authentication Header, AH) SAD에서 SA 선택 RECEIVE Packet SAD에서 SA 검색 일련번호 생성 일련번호 검증 ICV 계산 ICV 검증 인증헤더 구성 Copyright © by ARTCOM PT All rights reserved. SEND Packet 22 패킷전송 완료 www. art-com. co. kr

v IPSec(Internet Protocol Security) Company Logo § IPSec Protocol 암호화 프로토콜 ESP(Encapsulating Security Payload) ESP는 암호화 기법을 사용하여 IP 페이로드에 대해서만 데이터의 무결성, 재생 방지, 비밀성의 기능을 제공하는 프로토콜이다. ESP와 AH 차이점은 AH는 데이터를 암호화하지는 않고, ESP는 데이터의 암호화(비밀성)를 한다는 것이다. Copyright © by ARTCOM PT All rights reserved. 23 www. art-com. co. kr

v IPSec(Internet Protocol Security) Company Logo § IPSec Protocol 암호화 프로토콜 ESP(Encapsulating Security Payload) SAD에서 SA 선택 RECEIVE Packet SAD에서 SA 검색 일련번호 생성 일련번호 검증 ICV 계산 ICV 검증 인증헤더 구성 Copyright © by ARTCOM PT All rights reserved. SEND Packet 25 패킷전송 완료 www. art-com. co. kr

v IPSec(Internet Protocol Security) Company Logo § 인터넷 키 교환 IPSec에서 쓰이는 키 관리 프로토콜로서 SA를 협상하고 ESP, AH에서 사용하게 될 키를 관리하기 위해 인증과 암 호화에 필요한 암호 알고리즘의 키를 자동적으로 생성하 고, 분배한다. IKE는 다음과 같은 기능을 한다. ￭ 협상 ￭ 인증 ￭ 키 관리 Copyright © by ARTCOM PT All rights reserved. 26 www. art-com. co. kr

v IPSec(Internet Protocol Security) Company Logo § Q/A 및 참고문헌 - 차세대 네트워크 보안 기술 - 인터넷 정보 보안 - 시스코 네트워크 보안 - 컴퓨터 정보 보안 - 인터넷 정보 보안 - http: //www. microsoft. com/korea/ Copyright © by ARTCOM PT All rights reserved. 27 www. art-com. co. kr