Difference between r1.85 and the current
@@ -1,6 +1,6 @@
[wiki:Home 대문] / [wiki:CategoryNetwork 네트웍], [wiki:CategoryProgramming 프로그래밍] / [wiki:ISAKMP ISAKMP (Internet Security Association and Key Management Protocol, RFC 2408)]
[wiki:Home 대문] / [wiki:CategoryNetwork 네트웍], [wiki:CategoryProgramming 프로그래밍] / [wiki:ISAKMP ISAKMP (Internet Security Association and Key Management Protocol)]
----== [wiki:ISAKMP ISAKMP (Internet Security Association and Key Management Protocol, RFC 2408)] ==
== [wiki:ISAKMP ISAKMP (Internet Security Association and Key Management Protocol)] ==
[[TableOfContents]]* 작성자
@@ -26,7 +26,7 @@
* "DOI(Domain of Interpretation) Definition"는 실제 통신에 사용되는 값들이 어떤 구조하에 어떤 의미로 사용되는지를 정의해 놓은 것을 말합니다.
* "Key Exchange Definition"은 [wiki:DiffieHellmanKeyAgreementMethod Diffie-Hellman Key Agreement Method (Diffie-Hellman 키 분배 방법)]과 같은 Key교환에 대한 방법을 말합니다.
* "API"는 ISAKMP와 Security Protocol과의 Interface를 말합니다. (예를 들면 Linux의 경우 [wiki:AboutNetLinkSocket Netlink를 통한 xfrm module과의 Interface]나 PF_KEY를 통한 Key관리등이 있습니다.)
이 문서를 작성하는 시점에서 RFC문서의 상황을 정리하면 크게 IKEv1과 IKEv2 계열로 나뉘어 구분할 수 있으며 이 두가지는 상호간 함께 운영하는 것이 고려되지는 않지만 공통으로 사용할 수 있는 Header format을 사용하면서 명확히 구분되어 사용할 수 있습니다.
* IKEv1 계열
* "Key Exchange Definition"은 [wiki:DiffieHellmanKeyAgreementMethod Diffie-Hellman Key Agreement Method (Diffie-Hellman 키 분배 방법)]과 같은 Key교환에 대한 방법을 말합니다.
* "API"는 ISAKMP와 Security Protocol과의 Interface를 말합니다. (예를 들면 Linux의 경우 [wiki:AboutNetLinkSocket Netlink를 통한 xfrm module과의 Interface]나 PF_KEY를 통한 Key관리등이 있습니다.)
* "Security Protocol"은 AH((Authentication Header)이나 ESP(Encapsulation Security Protocol)와 같은 IP level (OSI Layer 3) 에서 동작하는 보안 Protocol 규약들을 말합니다.
* "Security Protocol"은 AH(Authentication Header)이나 ESP(Encapsulation Security Protocol)와 같은 IP level (OSI Layer 3) 에서 동작하는 보안 Protocol 규약들을 말합니다.
이 문서를 작성하는 시점에서 RFC문서의 상황을 정리하면 크게 IKEv1과 IKEv2 계열로 나뉘어 구분할 수 있으며 이 두가지는 상호간 함께 운영하는 것이 고려되지는 않지만 공통으로 사용할 수 있는 Header format을 사용하면서 명확히 구분되어 사용할 수 있습니다.
* IKEv1 계열
@@ -157,7 +157,7 @@
==== Data Attributes ====
* ISAKMP Payload안에는 여러가지 속성들(Attributes)이 기술되어야 할 필요가 있습니다. 이 경우 속성값들을 표현하기 위해서 다음과 같은 구조로 나타냅니다. (참고: [^https://tools.ietf.org/html/rfc2408#section-3.3 RFC2408 Section 3.3 Data Attributes])
||<bgcolor="gray"> '''0''' ||<bgcolor="gray"> '''1''' ||<bgcolor="gray"> '''2''' ||<bgcolor="gray"> '''3''' ||<bgcolor="gray"> '''4''' ||<bgcolor="gray"> '''5''' ||<bgcolor="gray"> '''6''' ||<bgcolor="gray"> '''7''' ||<bgcolor="gray"> '''8''' ||<bgcolor="gray"> '''9''' ||<bgcolor="gray"> '''10''' ||<bgcolor="gray"> '''11''' ||<bgcolor="gray"> '''12''' ||<bgcolor="gray"> '''13''' ||<bgcolor="gray"> '''14''' ||<bgcolor="gray"> '''15''' ||<bgcolor="gray"> '''16''' ||<bgcolor="gray"> '''17''' ||<bgcolor="gray"> '''18''' ||<bgcolor="gray"> '''19''' ||<bgcolor="gray"> '''20''' ||<bgcolor="gray"> '''21''' ||<bgcolor="gray"> '''22''' ||<bgcolor="gray"> '''23''' ||<bgcolor="gray"> '''24''' ||<bgcolor="gray"> '''25''' ||<bgcolor="gray"> '''26''' ||<bgcolor="gray"> '''27''' ||<bgcolor="gray"> '''28''' ||<bgcolor="gray"> '''29''' ||<bgcolor="gray"> '''30''' ||<bgcolor="gray"> '''31''' ||
* "AF" : 0인 경우 "Attribute Length"에 의한 가변 크기의 Data를 Attibute Value로 나타낼 수 있으며 1인 경우 고정된 2 octets크기의 Data를 나타내도록 합니다.
* "Attribute Type" : 표현하고자 하는 속성의 식별값이며 DOI(Domain of Interpretation)에 정의되어 있습니다.
* ISAKMP Payload안에는 여러가지 속성들(Attributes)이 기술되어야 할 필요가 있습니다. 이 경우 속성값들을 표현하기 위해서 다음과 같은 구조로 나타냅니다. (참고: [^https://tools.ietf.org/html/rfc2408#section-3.3 RFC2408 Section 3.3 Data Attributes])
||<bgcolor="gray"> '''0''' ||<bgcolor="gray"> '''1''' ||<bgcolor="gray"> '''2''' ||<bgcolor="gray"> '''3''' ||<bgcolor="gray"> '''4''' ||<bgcolor="gray"> '''5''' ||<bgcolor="gray"> '''6''' ||<bgcolor="gray"> '''7''' ||<bgcolor="gray"> '''8''' ||<bgcolor="gray"> '''9''' ||<bgcolor="gray"> '''10''' ||<bgcolor="gray"> '''11''' ||<bgcolor="gray"> '''12''' ||<bgcolor="gray"> '''13''' ||<bgcolor="gray"> '''14''' ||<bgcolor="gray"> '''15''' ||<bgcolor="gray"> '''16''' ||<bgcolor="gray"> '''17''' ||<bgcolor="gray"> '''18''' ||<bgcolor="gray"> '''19''' ||<bgcolor="gray"> '''20''' ||<bgcolor="gray"> '''21''' ||<bgcolor="gray"> '''22''' ||<bgcolor="gray"> '''23''' ||<bgcolor="gray"> '''24''' ||<bgcolor="gray"> '''25''' ||<bgcolor="gray"> '''26''' ||<bgcolor="gray"> '''27''' ||<bgcolor="gray"> '''28''' ||<bgcolor="gray"> '''29''' ||<bgcolor="gray"> '''30''' ||<bgcolor="gray"> '''31''' ||
|| AF (1 bit) |||||||||||||| Attribute Type (7 bits) |||||||||||||||||||||||||||||||||||||||||||||||| AF=0 ? Attibute Length (2 octets)[[br]]AF=1 ? Attribute Value (2 octets) ||
|| AF (1 bit) |||||||||||||||||||||||||||||| Attribute Type (15 bits) |||||||||||||||||||||||||||||||| AF=0 ? Attibute Length (2 octets)[[br]]AF=1 ? Attribute Value (2 octets) ||
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| AF=0 ? Attibute Value (Variable size: Attibute Length)[[br]]AF=1 ? Not Transmitted ||* "AF" : 0인 경우 "Attribute Length"에 의한 가변 크기의 Data를 Attibute Value로 나타낼 수 있으며 1인 경우 고정된 2 octets크기의 Data를 나타내도록 합니다.
* "Attribute Type" : 표현하고자 하는 속성의 식별값이며 DOI(Domain of Interpretation)에 정의되어 있습니다.
@@ -170,10 +170,11 @@
|||||||||||||||| Next Payload (1 octet) |||||||||||||||| RESERVED (1 octet) |||||||||||||||||||||||||||||||| Payload Length ||
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| Domain of Interpretation (DOI) (4octets) ||
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| (Situation) (Variable length) ||
* 그 밖에 나머지는 IANA에서 미래를 위해서 예약된 값이며 RFC와 같은 사양을 연계참조하지 않고 임의로 값을 할당하지는 않습니다.
=== 참고자료 ===
* [wiki:randomize 난수생성]
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| Domain of Interpretation (DOI) (4octets) ||
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| (Situation) (Variable length) ||
* "DOI" : 32bit 부호없는 정수형이며 1단계(Phase 1)중에는 0의 값으로 지정하며 2단계(Phase 2) 과정중에 "Generic ISAKMP SA"에 대한 값을 지정합니다.
* "DOI" : 32bit 부호없는 정수형이며 1단계(Phase 1)중에는 0의 값으로 지정하며 2단계(Phase 2) 과정중에 IPSec을 기술하기 위해서 1의 값을 지정합니다. (IPSec 뿐만 아니라 SNMPv3, RIPv3등의 보안이 적용되는 다양한 프로토콜이 적용될 수 있기 때문에 해당하는 Payload에 어떤 프로토콜에 대한 내용을 담는지를 DOI로 지정하게 됩니다.)
* 값이 0인 경우는 "Generic ISAKMP SA"를 지칭합니다.
* 값이 1인 경우는 "IPSec DOI"([^https://tools.ietf.org/html/rfc2407 RFC2407 - The Internet IP Security Domain of Interpretation for ISAKMP])를 지칭합니다.* 그 밖에 나머지는 IANA에서 미래를 위해서 예약된 값이며 RFC와 같은 사양을 연계참조하지 않고 임의로 값을 할당하지는 않습니다.
* "Situation" : DOI에서 지정한 필드규격에 맞게 가변길이로 표현됩니다. (참고: [^https://tools.ietf.org/html/rfc2407#section-4.6.1 RFC2407 Section 4.6.1 Security Association Payload]
* "Situation" : DOI에서 지정한 필드규격에 맞게 가변길이로 표현됩니다. (참고: [^https://tools.ietf.org/html/rfc2407#section-4.6.1 RFC2407 Section 4.6.1 Security Association Payload])
=== 참고자료 ===
* [wiki:randomize 난수생성]
@@ -181,6 +182,7 @@
* [wiki:DiffieHellmanKeyAgreementMethod Diffie-Hellman Key Agreement Method (Diffie-Hellman 키 분배 방법)]
* [wiki:ISAKMP ISAKMP (Internet Security Association and Key Management Protocol, RFC 2408)]
* [wiki:VirtualPrivateNetwork VPN(Virtual Private Network, 가상사설망)]
* [^https://tools.ietf.org/html/rfc2408 RFC2408 - Internet Security Association and Key Management Protocol (ISAKMP)]
* [^https://tools.ietf.org/html/rfc2409 RFC2409 - The Internet Key Exchange (IKE)]
* [wiki:ISAKMP ISAKMP (Internet Security Association and Key Management Protocol, RFC 2408)]
* [wiki:VirtualPrivateNetwork VPN(Virtual Private Network, 가상사설망)]
* [wiki:skbuff Linux Kernel의 skbuff에 대하여]
* [^https://tools.ietf.org/html/rfc2407 RFC2407 - The Internet IP Security Domain of Interpretation for ISAKMP]* [^https://tools.ietf.org/html/rfc2408 RFC2408 - Internet Security Association and Key Management Protocol (ISAKMP)]
* [^https://tools.ietf.org/html/rfc2409 RFC2409 - The Internet Key Exchange (IKE)]
@@ -208,5 +210,7 @@
* [^http://lily.mmu.ac.kr/lecture/16is/ch08-5.pdf]
* [^http://image.ahnlab.com/file_upload/tech/VPN(4)_ISAKMP.pdf VPN - ISAKMP(Internet Security Association and Key Management Protocol) 프로토콜 - AhnLab]
* [^http://myknowledge.kr/124]
* [^http://image.ahnlab.com/file_upload/tech/VPN(4)_ISAKMP.pdf VPN - ISAKMP(Internet Security Association and Key Management Protocol) 프로토콜 - AhnLab]
* [^http://myknowledge.kr/124]
* [^http://rockhoppervpn.sourceforge.net/techdoc_ikev1vsikev2.html What are differences between IKEv1 and IKEv2? (IKEv1 vs. IKEv2) - IPsec/IKEv2-based VPN software for Linux - Rockhopper VPN]
* [^https://docs.oracle.com/cd/E56343_01/html/E53812/ike-versions-1.html IKEv2 및 IKEv1 비교 - Oracle® Solaris 11.2의 네트워크 보안]
* [^http://www.differencebetween.net/technology/protocols-formats/difference-between-ikev1-and-ikev2/ Difference Between IKEv1 and IKEv2 - differencebetween.net]
File does not exist