정의
인터넷 키 교환(Internet Key Exchange, IKE)은 IPsec(Internet Protocol Security) 프레임워크에서 사용되는 프로토콜로, 통신 당사자 간에 암호화에 필요한 보안 연관(Security Association, SA)을 설정하고 암호키를 안전하게 교환하기 위해 설계되었다. IKE는 주로 VPN(Virtual Private Network) 구현에 활용된다.
개요
IKE는 두 단계의 협상 과정을 거쳐 보안 연결을 설정한다. 첫 번째 단계인 IKE Phase 1에서는 두 엔드포인트가 인증 및 암호화 알고리즘을 협상하고, 보안 채널(보통 ISAKMP(ISAKMP Security Association)라고 함)을 구축한다. 두 번째 단계인 IKE Phase 2에서는 실제 데이터 트래픽에 사용될 IPsec SA를 협상한다. IKE는 기존에 존재하던 ISAKMP와 Oakley 프로토콜을 통합한 형태이며, IKEv1과 IKEv2 두 가지 버전이 있다. IKEv2는 2005년 RFC 5996(이후 RFC 7296)으로 표준화되어, 향상된 효율성, 간소화된 메시지 교환, 향상된 NAT 트래버설 기능 등을 제공한다.
어원/유래
‘인터넷 키 교환’이라는 용어는 영어 원어인 “Internet Key Exchange”를 직역한 것으로, “인터넷”은 전 세계적인 네트워크 인프라를, “키 교환”은 암호학에서 비밀키를 안전하게 공유하는 과정을 의미한다. IKE는 1998년 RFC 2409에 의해 처음 표준화되었으며, 이후 IPsec 보안 프레임워크의 핵심 구성 요소로 자리 잡았다.
특징
| 구분 | 내용 |
|---|---|
| 프로토콜 계층 | 응용계층 위에 위치하며, ISAKMP와 Oakley를 기반으로 함 |
| 버전 | IKEv1(두 단계 협상)와 IKEv2(단일 단계 협상) |
| 인증 방식 | 사전 공유키(Pre‑Shared Key), 디지털 인증서(X.509), EAP(Extensible Authentication Protocol) 등 다중 지원 |
| 암호화 알고리즘 | DH(Diffie‑Hellman) 그룹, AES, 3DES, SHA‑1/2 등 협상 가능 |
| NAT 트래버설 | NAT‑Traversal(UDP 4500 포트) 지원, 특히 IKEv2에서 자동화된 NAT 탐지 기능 제공 |
| 보안성 | 완전한 전방비밀(forward secrecy)을 제공하기 위해 주기적인 키 재협상 지원 |
| 성능 | IKEv2는 메시지 수 감소와 효율적인 재협상 메커니즘으로 IKEv1 대비 처리 지연이 감소 |
관련 항목
- IPsec (Internet Protocol Security)
- ISAKMP (Internet Security Association and Key Management Protocol)
- Oakley 프로토콜
- Diffie‑Hellman 키 교환
- VPN (Virtual Private Network)
- NAT‑Traversal (Network Address Translation Traversal)
- RFC 2409, RFC 7296 (IKE 표준 문서)