Security Database

	IPsec verwendet zwei Sicherheits-Datenbanken Security Policy Database (SPD)  Sicherheitspolitiken von Administrator festgelegt Security Association Database (SAD)  hält je aktiver Assoziation jeweils verwendete Parameter   Datenbanken unterscheiden in der Regel zwischen  ein- und ausgehenden Verbindungen,  verschiedenen SAs zugeordnet Gateway  in der Regel zumindest eine SA zum entfernten Gateway  interne Verbindung keine SA  kein Eintrag in der SPD vorhanden  kein Eintrag in der SAD erzeugt
	Selector   Abbildung zwischen Datenverkehr und SAs
	Die Security Policy Database (SPD)
	Je Schnittstelle je Kommunikationsrichtung eigene Informationen ein- und ausgehend
	drei Klassen von Nachrichten unterschieden

	Security Policy Database  geeignete Schnittstelle  zu welcher dieser Klassen gehören Pakete  wie werden Pakete bearbeitet
	Hostsystemen  Systemadministrator legt Regeln fest einzelne solcher Regeln vom Benutzer veränderbar
	Selektoren  ordnen Paket bestimmte Verschlüsselung zu wählen Verschlüsselungsfunktion aus abhängig von bestimmten Parametern  Parameter von jeder Implementierung von IPsec zur Verfügung gestellt können folgende sein Destination IP Address (IPv4 or IPv6): single, range of addresses, address + mask, or a wildcard. Source IP Address(es) (IPv4 or IPv6): single, range of addresses, address + mask, or a wildcard. Name: User ID (DNS), X.500 distinguished name, System name (host, security gateway, etc.) (DNS, X.500) Data sensitivity level: (IPSO/CIPSO labels) Transport Layer Protocol: Obtained from the IPv4 "Protocol" or the IPv6 "Next Header" fields.  Source and Destination (e.g., TCP/UDP) Ports, port values or a wildcard port: session-oriented keying

Field	Traffic Value	SAD Entry	SPD Entry
src addr	single IP addr	single,range,wild	single,range,wildcard
dst addr	single IP addr	single,range,wild	single,range,wildcard
xpt protocol*	xpt protocol	single,wildcard	single,wildcard
src port*	single src port	single,wildcard	single,wildcard
dst port*	single dst port	single,wildcard	single,wildcard
user id*	single user id	single,wildcard	single,wildcard
sec. labels	single value	single,wildcard	single,wildcard

	Jede aktive SA  besitzt Eintrag in Security Association Database;  SAs zum Zeitpunkt des Aufbaus der jeweiligen Verbindung erstellt Sender kann anhand Einträge prüfen  ob bestimmte Pakete gesendet werden dürfen,  Empfänger entscheidet anhand dieser Daten,  wie Pakete behandelt werden müssen.  Parameter Eingehender Verkehr Outer Header's Destination IP address: the IPv4 or IPv6 IPsec Protocol: AH or ESP: Spezifiziert das verwendetes IPsec-Protocol. SPI: 32 Bit-Wert zur Unterscheidung verschiedener SAs  Sas mit gleichem Ziel  gleiche IPsec-Protocol
	Abarbeitung eines Datagramms  abhängig von folgenden Parametern Sequence Number Counter:  32 Bit-Wert zum Erzeugen der Sequenznummern in AH- oder ESP-Headern. Sequence Counter Overflow:  Bei Überlauf des Sequence Number Counter erhält man ein Warnung. Anti-Replay Window:  32 Bit-Zähler zur Entdeckung von mehrfach gesendeten Paketen (replay). AH Authentication algorithm:  Schlüssel usw. ESP Encryption algorithm:  Schlüssel, Initialisierungsvektor (Modus) usw. ESP authentication algorithm:  Schlüssel usw. Null, falls keine Authentisierung in ESP. Lifetime of this Security Association:  Beenden bzw. Erneuern einer SA, wenn diese Zeit abgelaufen ist. IPsec protocol mode:  tunnel, transport or wildcard. Gibt Modus von AH bzw. ESP an. Path MTU:  any observed path MTU and aging variables.
	Das Ende der Lebensdauer einer SA  folgendermaßen festgelegt