Security DatabaseIn IPsec werden zwei Sicherheits-Datenbanken verwendet: In der Security Policy Database (SPD) legt der Administrator die Sicherheitspolitiken fest. In der Security Association Database (SAD) werden für jede aktive Assoziation die jeweils verwendeten Parameter abgelegt. Die Datenbanken unterscheiden in der Regel zwischen ein- und ausgehenden Verbindungen, da diese auch verschiedenen SAs zugeordnet sind. Ein Gateway wird in der Regel zumindest eine SA zu dem entfernten Gateway besitzen, während intern keine SA existiert, also für solche Verbindungen auch kein Eintrag in der SPD vorhanden ist bzw. kein Eintrag in der SAD erzeugt wird. Darüber hinaus wird der Begriff Selector eingeführt, der die Abbildung zwischen dem Datenverkehr und den SAs herstellt. Die Security Policy Database (SPD)Jeder Schnittstelle stehen je Kommunikationsrichtung (ein- und ausgehend) jeweils eigene Informationen zur Verfügung. Es werden drei Klassen von Nachrichten unterschieden:
Über eine geeignete Schnittstelle kann der Security Policy Database mitgeteilt werden, welche Pakete zu welcher dieser Klassen gehören und entsprechend bearbeitet werden. In Hostsystemen kann der Systemadministrator dem Benutzer die Möglichkeit geben, einzelne solcher Regeln zu verändern. Um einem Paket eine bestimmte Verschlüsselung zuzuordnen, werden Selektoren verwendet, die abhängig von bestimmten Parametern eine Verschlüsselungsfunktion auswählen. Diese Parameter können die folgenden sein, die jede Implementierung von IPsec zur Verfügung stellen muss:
Die folgende Tabelle stellt dieses noch einmal zusammen.
Security Association Database (SAD)Jede aktive SA besitzt einen Eintrag in der Security Association Database; die SAs werden zum Zeitpunkt des Aufbaus der jeweiligen Verbindung erstellt. Der Sender muss anhand dieser Einträge überprüfen können, ob bestimmte Pakete gesendet werden dürfen, der Empfänger entscheidet anhand dieser Daten, wie Pakete behandelt werden müssen. Eingehender Verkehr besitzt die folgenden Parameter:
Die Abarbeitung eines Datagramms geschieht dann abhängig von den folgenden Parametern:
Das Ende der Lebensdauer einer SA kann folgendermaßen festgelegt werden:
|