4.4.2.1. Datenelemente in der SAD (Data Items in the SAD)

Die folgenden Datenelemente MÜSSEN in der SAD enthalten sein:

Sicherheitsparameterindex (Security Parameter Index, SPI)

32-Bit-Wert, der vom empfangenden Ende einer SA ausgewählt wird, um die SA eindeutig zu identifizieren. Für eine ausgehende SA wird der SPI verwendet, um den AH/ESP-Header des Pakets zu konstruieren. Für eine eingehende SA wird der SPI verwendet, um den Verkehr der entsprechenden SA zuzuordnen.

Sequenznummernzähler (Sequence Number Counter)

64-Bit-Zähler zur Generierung des Sequenznummernfelds in AH/ESP-Headern. 64-Bit-Sequenznummern sind Standard, aber 32-Bit-Sequenznummern werden ebenfalls unterstützt, wenn ausgehandelt.

Sequenzzählerüberlauf (Sequence Counter Overflow)

Flag, das angibt, ob ein Überlauf des Sequenznummernzählers ein prüfbares Ereignis generieren und die Übertragung zusätzlicher Pakete auf der SA verhindern soll, oder ob ein Rollover zulässig ist.

Anti-Replay-Fenster (Anti-Replay Window)

64-Bit-Zähler und Bitmap (oder Äquivalent), um zu bestimmen, ob ein eingehendes AH/ESP-Paket ein Replay ist.

AH-Authentifizierungsalgorithmus

AH-Authentifizierungsalgorithmus, Schlüssel usw. Nur erforderlich, wenn AH unterstützt wird.

ESP-Verschlüsselungsalgorithmus

ESP-Verschlüsselungsalgorithmus, Schlüssel, Modus, IV usw. Wenn ein kombinierter Modus-Algorithmus verwendet wird, sind diese Felder nicht anwendbar.

ESP-Integritätsalgorithmus

ESP-Integritätsalgorithmus, Schlüssel usw. Wenn der Integritätsdienst nicht ausgewählt ist oder ein kombinierter Modus-Algorithmus verwendet wird, sind diese Felder nicht anwendbar.

ESP-Algorithmen im kombinierten Modus

ESP-Algorithmen im kombinierten Modus, Schlüssel usw. Diese Daten werden verwendet, wenn ein kombinierter Modus-Algorithmus (Verschlüsselung und Integrität) mit ESP verwendet wird.

Lebensdauer dieser SA (Lifetime)

Zeitintervall, nach dem eine SA durch eine neue SA (und neuen SPI) ersetzt oder beendet werden muss. Kann als Zeit- oder Byte-Zählung oder gleichzeitige Verwendung beider ausgedrückt werden. Eine konforme Implementierung MUSS beide Arten von Lebensdauern unterstützen.

IPsec-Protokollmodus

Tunnel oder Transport. Gibt an, welcher Modus von AH oder ESP auf den Verkehr auf dieser SA angewendet wird.

Zustandsbehaftetes Fragment-Checking-Flag

Gibt an, ob zustandsbehaftetes Fragment-Checking für diese SA gilt.

DF-Bit umgehen (T/F)

Anwendbar auf Tunnelmodus-SAs, bei denen sowohl innere als auch äußere Header IPv4 sind.

DSCP-Werte

Satz von DSCP-Werten, die für über diese SA übertragene Pakete zulässig sind.

DSCP umgehen

DSCP umgehen (T/F) oder auf ungeschützte DSCP-Werte abbilden, falls erforderlich, um das Umgehen von DSCP-Werten einzuschränken. Anwendbar auf Tunnelmodus-SAs.

Pfad-MTU (Path MTU)

Jede beobachtete Pfad-MTU und Alterungsvariablen.

Tunnel-Header-IP-Quell-/Zieladresse

Beide Adressen müssen IPv4- oder IPv6-Adressen sein. Wird nur verwendet, wenn der IPsec-Protokollmodus Tunnel ist.

Sicherheitsparameterindex (Security Parameter Index, SPI)​

Sequenznummernzähler (Sequence Number Counter)​

Sequenzzählerüberlauf (Sequence Counter Overflow)​

Anti-Replay-Fenster (Anti-Replay Window)​

AH-Authentifizierungsalgorithmus​

ESP-Verschlüsselungsalgorithmus​

ESP-Integritätsalgorithmus​

ESP-Algorithmen im kombinierten Modus​

Lebensdauer dieser SA (Lifetime)​

IPsec-Protokollmodus​

Zustandsbehaftetes Fragment-Checking-Flag​

DF-Bit umgehen (T/F)​

DSCP-Werte​

DSCP umgehen​

Pfad-MTU (Path MTU)​

Tunnel-Header-IP-Quell-/Zieladresse​