Компьютерные сети. Принципы, технологии, протоколы (Олифер, Олифер) - страница 766
Если к исходящему пакету нужно применить некоторую политику защиты, но указатель записи SPD показывает, что в настоящее время нет активной безопасной ассоциации с требуемой политикой, то IPSec создает новую ассоциацию с помощью протокола IKE, помещая новые записи в базы данных SAD и SPD.
 |
| SPD для исходящих безопасных ассоциаций |
| Селектор | Политика |
| SA3 | |
| , IPZ| .SPI |IP3, IP4| |
|---|
 |
| SPD для исходящих безопасных ассоциаций | |
|---|---|
| Селектор | Политика |
| Параметры SA3 | ||
| Параметры SA3 | ||
| SPD для входящих>4 безопасных ассоциаций | |
|---|---|
| Селектор | Политика |
| SA3 | |
| SPD для входящих безопасных ассоциаций | |
|---|---|
| Селектор | Политика |
Рис. 24.38. Использование баз данных SPD и SAD
Базы данных политики безопасности создаются и администрируются либо пользователем (этот вариант больше подходит для хоста), либо системным администратором (вариант для шлюза), либо автоматически (приложением).
Ранее мы выяснили, что установление связи между исходящим IP-пакетом и заданной для него безопасной ассоциацией происходит путем селекции. Однако остается другой вопрос: как принимающий узел IPSec определяет способ обработки прибывшего пакета, ведь при шифровании многие ключевые параметры пакета, отраженные в селекторе, оказываются недоступными, а значит, невозможно определить соответствующую запись в базах данных SAD и SPJD и, следовательно, тип процедуры, которую надо применить к поступившему пакету? Именно для решения этой проблемы в заголовках АН и ESP предусмотрено поле SPI. В это поле помещается указатель на ту строку базы данных SAD, в которой записаны параметры соответствующей безопасной ассоциации. Поле SPI заполняется протоколом АН или ESP во время обработки пакета в отправной точке защищенного канала. Когда пакет приходит в конечный узел защищенного канала, из его внешнего заголовка ESP или АН (на рисунке — из заголовка ESP) извлекается значение
SPI, и дальнейшая обработка пакета выполняется с учетом всех параметров заданной этим указателем ассоциации.
['Таким образом, для распознавания пакетов, относящихся к разным безопасным ассоциациям, | используются:
,.Л;£3 на узле-отправителе— селектор; ;
□ на узле-получателе — индекс параметров безопасности (SPI). j
После дешифрирования пакета приемный узел IPSec проверяет его признаки (ставшие теперь доступными) на предмет совпадения с селектором записи SPD для входящего трафика, чтобы убедиться, что ошибки не произошло и выполняемая обработка пакета соответствует политике защиты, заданной администратором.
Использование баз SPD и SAD для защиты трафика позволяет достаточно гибко сочетать механизм безопасных ассоциаций, который предусматривает установление логического соединения, с дейтаграммным характером трафика протокола IP.