4.4. 主要な IPsec データベース (Major IPsec Databases)
IPsec 実装における IP トラフィック処理に関連する詳細の多くは、主にローカルな問題であり、標準化の対象ではありません。ただし、相互運用性を確保し、IPsec の生産的な使用に不可欠な最小限の管理機能を提供するために、処理のいくつかの外部的側面を標準化する必要があります。このセクションでは、これらの相互運用性と機能性の目標をサポートするために、IPsec 機能に関連する IP トラフィックを処理するための一般的なモデルについて説明します。以下に説明するモデルは名目上のものです。実装はこのモデルの詳細と一致する必要はありませんが、準拠するためには、実装の外部動作がこのモデルの外部的に観察可能な特性に対応している必要があります (MUST)。
このモデルには 3 つの名目上のデータベースがあります: セキュリティポリシーデータベース (Security Policy Database, SPD)、セキュリティアソシエーションデータベース (Security Association Database, SAD)、およびピア認証データベース (Peer Authorization Database, PAD)。最初のデータベースは、ホストまたはセキュリティゲートウェイからのすべての IP トラフィックのインバウンドまたはアウトバウンドの処理を決定するポリシーを指定します (セクション 4.4.1)。2 番目のデータベースには、確立された (キー付き) 各 SA に関連付けられたパラメータが含まれています (セクション 4.4.2)。3 番目のデータベースである PAD は、SA 管理プロトコル (IKE など) と SPD の間のリンクを提供します (セクション 4.4.3)。
複数の独立した IPsec コンテキスト
IPsec 実装が複数のサブスクライバーのセキュリティゲートウェイとして機能する場合、複数の独立した IPsec コンテキストを実装できます (MAY)。各コンテキストは、完全に独立したアイデンティティ、ポリシー、キー管理 SA、および/または IPsec SA を持ち、使用できます (MAY)。これは、ほとんどの部分でローカル実装の問題です。ただし、インバウンド (SA) 提案をローカルコンテキストに関連付ける手段が必要です。このために、使用中のキー管理プロトコルでサポートされている場合、コンテキスト識別子がシグナリングメッセージでイニシエータからレスポンダに伝達される場合があり (MAY)、その結果、IPsec SA が特定のコンテキストへのバインディングで作成されます。たとえば、複数の顧客に VPN サービスを提供するセキュリティゲートウェイは、各顧客のトラフィックを正しい VPN に関連付けることができます。
転送 vs セキュリティの決定
ここで説明する IPsec モデルは、IPsec が採用される可能性のある幅広いコンテキストに対応するために、転送 (ルーティング) とセキュリティの決定の明確な分離を具体化しています。転送は、インターフェースが 2 つしかない場合は自明である場合もあれば、IPsec が実装されているコンテキストが高度な転送機能を使用している場合など、複雑である場合もあります。IPsec は、IPsec 処理を通過したアウトバウンドおよびインバウンドトラフィックが、IPsec が実装されているコンテキストと一致する方法で転送されることのみを想定しています。ネストされた SA のサポートはオプションです。必要な場合は、パケットが IPsec 境界を複数回通過するようにするために、転送テーブルと SPD エントリ間の調整が必要です。
"ローカル" vs "リモート"
このドキュメントでは、IP アドレスとポートに関して、「ローカル」と「リモート」という用語がポリシールールに使用されます。「ローカル」とは、IPsec 実装によって保護されているエンティティ、つまり、アウトバウンドパケットの「送信元」アドレス/ポートまたはインバウンドパケットの「宛先」アドレス/ポートを指します。「リモート」とは、ピアエンティティまたはピアエンティティを指します。「送信元」と「宛先」という用語は、パケットヘッダーフィールドに使用されます。
"非初期" vs "初期" フラグメント
このドキュメント全体で、「非初期フラグメント」というフレーズは、アクセス制御に必要な可能性のあるセレクタ値のすべてを含まないフラグメントを意味するために使用されます (たとえば、次層プロトコル、送信元および宛先ポート、ICMP メッセージタイプ/コード、モビリティヘッダータイプを含まない場合があります)。そして、「初期フラグメント」というフレーズは、アクセス制御に必要なすべてのセレクタ値を含むフラグメントを意味するために使用されます。ただし、IPv6 の場合、次層プロトコルとポート (または ICMP メッセージタイプ/コードまたはモビリティヘッダータイプ) を含むフラグメントは、存在する拡張ヘッダーの種類と数に依存することに注意してください。このコンテキストでは、「初期フラグメント」は最初のフラグメントではない場合があります。