Протоколы безопасного сетевого взаимодействия

       

База данных Безопасной Ассоциации (SAD)


В IPsec существует База Данных Безопасных Ассоциаций, в которой каждая запись определяет параметры, связанные с конкретной SA. Соответственно, каждая SA имеет запись в SAD. Для выходящей обработки записи ссылаются на записи в SPD. Для входящей обработки каждая запись в SAD индексируется IP адресом назначения, типом протокола IPsec и SPI. Рассмотрим минимально необходимые элементы данных, требуемые для поддержки SA в реализации IPsec.

Для входящей обработки следующие поля пакета используются для поиска SA в SAD:

  • IP адрес назначения внешнего заголовка: IPv4 или IPv6 адрес назначения.
  • Протокол IPsec: AH или ESP, используемый в качестве индекса SA в данной БД. Определяет протокол IPsec, применяемый к трафику для данной SA.
  • SPI: 32-битное значение, применяемое для идентификации различных SA, заканчивающихся одним и тем же адресом назначения и использующих один и тот же IPsec протокол.

Следующие поля SAD используются для IPsec-обработки:

  • Sequence Number Counter: 32-битное значение, используемое для создания поля Sequence Number в AH или ESP заголовках (используется только для исходящего трафика).
  • Sequence Number Overflow: флаг, указывающий, было ли переполнение Sequence Number Counter, должен вызывать событие аудита и предотвращать передачу дополнительных пакетов по данной SA (используется только для исходящего трафика).
  • Anti-Replay Window: 32-битный счетчик или битовая карта (или некий эквивалент), используемые для проверки, является ли входящий AH или ESP пакет повтором. (Используется только для входящего трафика. Замечание: если anti-reply сервис не используется получателем, например, в случае ручных ключей SA, когда anti-reply window не используется.)
  • Алгоритм аутентификации для AH, ключи и т.д.
  • Алгоритм шифрования для ESP, ключи, режим, IV и т.д.
  • Алгоритм аутентификации для ESP, ключи и т.д. Если сервис аутентификации не выбран, данное поле будет нулевым.
  • Время жизни данной SA: интервал времени, после которого SA должна быть заменена новой SA (и новым SPI) или завершение SA, а также определения того, какое из этих действий должно выполняться. Это может быть выражено в виде времени или количества байтов, или и того, и другого одновременно. Реализации должны поддерживать оба типа времени жизни и одновременное применение обоих типов. Если используется время и если IKE задействует сертификаты Х.509 для установления SA, то время жизни SA должно входить в допустимый интервал для сертификатов. В этом смысле как инициатор, так и получатель ответственны за установление корректного времени жизни SA.

    Должно быть два типа времени жизни: soft – время жизни, по истечении которого выдается предупреждение начать действия по замене SA, и hard – время жизни, когда текущая SA завершается.

  • Режим IPsec протокола: туннель или транспорт. Определяет применяемый режим AH или ESP к трафику для данной SA.



Содержание раздела