Passa al contenuto principale

4.4.2.1. Elementi di dati nella SAD (Data Items in the SAD)

I seguenti elementi di dati DEVONO essere nella SAD:

Indice del parametro di sicurezza (Security Parameter Index, SPI)

Valore a 32 bit selezionato dall'estremità ricevente di una SA per identificare in modo univoco la SA. Per una SA in uscita, il SPI viene utilizzato per costruire l'intestazione AH/ESP del pacchetto. Per una SA in entrata, il SPI viene utilizzato per mappare il traffico alla SA appropriata.

Contatore del numero di sequenza (Sequence Number Counter)

Contatore a 64 bit utilizzato per generare il campo Numero di sequenza nelle intestazioni AH/ESP. I numeri di sequenza a 64 bit sono predefiniti, ma sono supportati anche i numeri di sequenza a 32 bit se negoziati.

Overflow del contatore di sequenza (Sequence Counter Overflow)

Flag che indica se l'overflow del contatore del numero di sequenza deve generare un evento verificabile e impedire la trasmissione di pacchetti aggiuntivi sulla SA, o se è consentito il rollover.

Finestra anti-ripetizione (Anti-Replay Window)

Contatore a 64 bit e bitmap (o equivalente) utilizzato per determinare se un pacchetto AH/ESP in entrata è una ripetizione.

Algoritmo di autenticazione AH

Algoritmo di autenticazione AH, chiave, ecc. Richiesto solo se AH è supportato.

Algoritmo di crittografia ESP

Algoritmo di crittografia ESP, chiave, modalità, IV, ecc. Se viene utilizzato un algoritmo in modalità combinata, questi campi non saranno applicabili.

Algoritmo di integrità ESP

Algoritmo di integrità ESP, chiavi, ecc. Se il servizio di integrità non è selezionato o se viene utilizzato un algoritmo in modalità combinata, questi campi non saranno applicabili.

Algoritmi in modalità combinata ESP

Algoritmi in modalità combinata ESP, chiave/i, ecc. Questi dati vengono utilizzati quando viene utilizzato un algoritmo in modalità combinata (crittografia e integrità) con ESP.

Durata di questa SA (Lifetime)

Intervallo di tempo dopo il quale una SA deve essere sostituita con una nuova SA (e nuovo SPI) o terminata. Può essere espresso come conteggio temporale o di byte, o uso simultaneo di entrambi. Un'implementazione conforme DEVE supportare entrambi i tipi di durate.

Modalità del protocollo IPsec

Tunnel o transport. Indica quale modalità di AH o ESP è applicata al traffico su questa SA.

Flag di controllo frammenti con stato

Indica se il controllo frammenti con stato si applica a questa SA.

Ignora bit DF (T/F)

Applicabile alle SA in modalità tunnel in cui sia le intestazioni interne che esterne sono IPv4.

Valori DSCP

Insieme di valori DSCP consentiti per i pacchetti trasportati su questa SA.

Ignora DSCP

Ignora DSCP (T/F) o mappa su valori DSCP non protetti se necessario per limitare l'esclusione dei valori DSCP. Applicabile alle SA in modalità tunnel.

MTU del percorso (Path MTU)

Qualsiasi MTU del percorso osservato e variabili di invecchiamento.

Indirizzo IP sorgente/destinazione dell'intestazione del tunnel

Entrambi gli indirizzi devono essere indirizzi IPv4 o IPv6. Utilizzato solo quando la modalità del protocollo IPsec è tunnel.

Ultimo aggiornamento il