탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1의 네트워크 보안 Oracle Solaris 11.1 Information Library (한국어) |
IKE 데몬 in.iked는 IPsec SA에 대한 키 관련 자료를 안전한 방식으로 협상하고 인증합니다. 데몬은 OS에서 제공된 내부 함수에서 키의 무작위 시드를 사용합니다. IKE는 PFS(완전 순방향 비밀성)를 제공합니다. PFS에서 데이터 전송을 보호하는 키는 추가 키를 파생하는 데 사용되지 않습니다. 또한 데이터 전송 키를 만드는 데 사용된 시드는 재사용되지 않습니다. in.iked(1M) 매뉴얼 페이지를 참조하십시오.
다음 표는 키 협상에 사용되는 용어를 나열하고 흔히 사용되는 머리글자어를 제공하며 각 용어에 대한 정의 및 사용을 제시합니다.
표 9-1 키 협상 용어, 머리글자어 및 사용
|
Phase 1 교환을 기본 모드라고 합니다. Phase 1 교환에서 IKE는 공개 키 암호화 방법을 사용하여 피어 IKE 엔티티로 자체 인증합니다. 그 결과는 ISAKMP(Internet Security Association and Key Management Protocol) 보안 연관(SA)입니다. ISAKMP SA는 IP 데이터그램에 대한 키 관련 자료를 협상하기 위한 IKE의 보안 채널입니다. IPsec SA와 달리, ISAKMP SA는 양방향이므로 하나의 보안 연관만 필요합니다.
IKE가 Phase 1 교환에서 키 관련 자료를 협상하는 방법을 구성할 수 있습니다. IKE는 /etc/inet/ike/config 파일에서 구성 정보를 읽습니다. 구성 정보는 다음과 같습니다.
공개 키 인증서 이름과 같은 전역 매개변수
PFS(완전 순방향 비밀성)의 사용 여부
영향을 받는 인터페이스
보안 프로토콜 및 해당 알고리즘
인증 방법
두 가지 인증 방법은 미리 공유한 키와 공개 키 인증서입니다. 공개 키 인증서는 자체 서명할 수 있습니다. 또는 공개 키 기반구조(인증 기관(CA)) 조직에서 PKI에 의해 인증서를 발행할 수 있습니다.
Phase 2 교환을 빠른 모드라고 합니다. Phase 2 교환에서 IKE는 IKE 데몬을 실행 중인 시스템 간에 IPsec SA를 만들고 관리합니다. IKE는 Phase 1 교환에서 만든 보안 채널을 사용하여 키 관련 자료의 전송을 보호합니다. IKE 데몬은 /dev/random 장치를 사용하여 난수 생성기로부터 키를 만듭니다. 데몬이 구성 가능한 비율로 키를 새로 고칩니다. IPsec 정책용 구성 파일인 ipsecinit.conf에 지정된 알고리즘에서 키 관련 자료를 사용할 수 있습니다.