출처 : 인터넷 보안기술. 도서출판 동서
VPN에서 패킷이 처리되는 방식
AH (Authentication Header)는 IP 헤더를 포함한 데이터그램에 대한 데이터 근원 인증(data origin authentication)을 제공하기 위해 사용되며 재연공격에 대한 보호를 위해 사용한다.
AH는 단독으로 혹은 ESP와 결합되어 사용될 수 있다.
재생 공격에 대한 보호 방법 : 일련번호 생성(Sequence Number) 32bit
인증 데이터(Authenticaton Data) : ICV(무결성 체크 값)
인증 알고리즘(Authentication algorithms) : ICV 계산을 위해 사용. 즉 ICV 계산을 위해 사용되는 인증 알고리즘은 SA에 의해 명시된다. 점대점 통신에서 적당한 인증 알고리즘들은 대칭키 암호화(Symmetric Encryption) 알고리즘(DES) 또는 일방향 해쉬 함수(one-way hash function, MD5, SHA-1, HAS160)에 기초한 키 사용 메시지 인증 코드(Keyed Message Authentication code, MACs)을 포함한다.
나가는 패킷 처리(Outbound Packet Processing)
1. SA 조사(SA Lookup)
2. 일련번호 생성(Sequence Number Generation)
3. 무결성 검사 값 계산(Integrity Check Value Calculation)
4. 조각화(Fragmentation)
들어오는 패킷(Inbound Packet Processing)
1. 재조립(Reassembly)
2. SA 조사
3. 일련번호 검증(Sequence Number Verrification)
4. 무결성 검사 값 검증(ICV Verification)
ESP(Encapsulating Security Payload) 비밀성(Confidentiality), 데이터 근원 인증(data origin authentication), 비연결형 무결성(Connectionless integrity), 재연공격방지서비스(anti-replay Service), 부분적인 순서 무결성(Partial sequence integrity), 제한적인 트래픽 플로우 비밀성(limited traffic flow confidentiality)을 제공한다.
나가는 패킷 처리(Outbound packet processing)
1. SA 조사
2. 패킷 암호화(packet encryption)
3. 일련번호 생성(sequence number generaton)
4. 무결성 검사 값 계산(Integrity Check Value Calculation)
5. 조각화(Fragmentation)
들어오는 패킷
1. 재조립
2. SA 조사
3. 일련번호 검증
4. 무결성 검사 값 검증
5. 패킷 복호화