Aller au contenu principal

4.4.2.1. Éléments de données dans la SAD (Data Items in the SAD)

Les éléments de données suivants DOIVENT être dans la SAD :

Index de paramètre de sécurité (Security Parameter Index, SPI)

Valeur 32 bits sélectionnée par l'extrémité réceptrice d'une SA pour identifier de manière unique la SA. Pour une SA sortante, le SPI est utilisé pour construire l'en-tête AH/ESP du paquet. Pour une SA entrante, le SPI est utilisé pour mapper le trafic vers la SA appropriée.

Compteur de numéro de séquence (Sequence Number Counter)

Compteur 64 bits utilisé pour générer le champ Numéro de séquence dans les en-têtes AH/ESP. Les numéros de séquence 64 bits sont par défaut, mais les numéros de séquence 32 bits sont également pris en charge si négociés.

Débordement du compteur de séquence (Sequence Counter Overflow)

Drapeau indiquant si le débordement du compteur de numéro de séquence doit générer un événement auditable et empêcher la transmission de paquets supplémentaires sur la SA, ou si le retour à zéro est autorisé.

Fenêtre anti-rejeu (Anti-Replay Window)

Compteur 64 bits et bitmap (ou équivalent) utilisé pour déterminer si un paquet AH/ESP entrant est un rejeu.

Algorithme d'authentification AH

Algorithme d'authentification AH, clé, etc. Requis uniquement si AH est pris en charge.

Algorithme de chiffrement ESP

Algorithme de chiffrement ESP, clé, mode, IV, etc. Si un algorithme en mode combiné est utilisé, ces champs ne seront pas applicables.

Algorithme d'intégrité ESP

Algorithme d'intégrité ESP, clés, etc. Si le service d'intégrité n'est pas sélectionné ou si un algorithme en mode combiné est utilisé, ces champs ne seront pas applicables.

Algorithmes en mode combiné ESP

Algorithmes en mode combiné ESP, clé(s), etc. Ces données sont utilisées lorsqu'un algorithme en mode combiné (chiffrement et intégrité) est utilisé avec ESP.

Durée de vie de cette SA (Lifetime)

Intervalle de temps après lequel une SA doit être remplacée par une nouvelle SA (et un nouveau SPI) ou terminée. Peut être exprimé en temps ou en nombre d'octets, ou utilisation simultanée des deux. Une implémentation conforme DOIT prendre en charge les deux types de durées de vie.

Mode de protocole IPsec

Tunnel ou transport. Indique le mode d'AH ou ESP appliqué au trafic sur cette SA.

Drapeau de vérification de fragment avec état

Indique si la vérification de fragment avec état s'applique à cette SA.

Contournement du bit DF (T/F)

Applicable aux SA en mode tunnel où les en-têtes internes et externes sont IPv4.

Valeurs DSCP

Ensemble de valeurs DSCP autorisées pour les paquets transportés sur cette SA.

Contournement DSCP

Contournement DSCP (T/F) ou mappage vers des valeurs DSCP non protégées si nécessaire pour restreindre le contournement des valeurs DSCP. Applicable aux SA en mode tunnel.

MTU de chemin (Path MTU)

Tout MTU de chemin observé et variables de vieillissement.

Adresses IP source/destination de l'en-tête de tunnel

Les deux adresses doivent être des adresses IPv4 ou IPv6. Utilisé uniquement lorsque le mode de protocole IPsec est tunnel.

Dernière mise à jour le