4.4. 主要 IPsec 数据库 (Major IPsec Databases)
与 IPsec 实现中处理 IP 流量相关的许多细节在很大程度上是本地事项,不受标准化约束。但是,必须对处理的某些外部方面进行标准化,以确保互操作性并提供对 IPsec 的高效使用至关重要的最低管理能力。本节描述了一个用于处理相对于 IPsec 功能的 IP 流量的通用模型,以支持这些互操作性和功能目标。下面描述的模型是名义上的; 实现不需要匹配此模型呈现的细节,但实现的外部行为必须 (MUST) 对应于此模型的外部可观察特性才能符合要求。
此模型中有三个名义数据库:安全策略数据库 (Security Policy Database, SPD)、安全关联数据库 (Security Association Database, SAD) 和对等授权数据库 (Peer Authorization Database, PAD)。第一个数据库指定确定来自主机或安全网关的所有 IP 流量(入站或出站)处置的策略(第 4.4.1 节)。第二个数据库包含与每个已建立(密钥)SA 关联的参数(第 4.4.2 节)。第三个数据库 PAD 提供 SA 管理协议(如 IKE)与 SPD 之间的链接(第 4.4.3 节)。
多个独立的 IPsec 上下文
如果 IPsec 实现充当多个订户的安全网关,它可以 (MAY) 实现多个独立的 IPsec 上下文。每个上下文可以 (MAY) 拥有并可以 (MAY) 使用完全独立的身份、策略、密钥管理 SA 和/或 IPsec SA。这在很大程度上是本地实现问题。但是,需要一种将入站 (SA) 提议与本地上下文关联的方法。为此,如果使用中的密钥管理协议支持,上下文标识符可以 (MAY) 在信令消息中从发起方传递到响应方,结果是创建具有到特定上下文的绑定的 IPsec SA。例如,向多个客户提供 VPN 服务的安全网关将能够将每个客户的流量与正确的 VPN 关联。
转发 vs 安全决策
这里描述的 IPsec 模型体现了转发(路由)和安全决策之间的明确分离,以适应 IPsec 可能被采用的广泛环境。转发可能很简单,例如只有两个接口的情况,也可能很复杂,例如,如果实现 IPsec 的环境使用复杂的转发功能。IPsec 仅假设已通过 IPsec 处理的出站和入站流量以与实现 IPsec 的环境一致的方式转发。对嵌套 SA 的支持是可选的; 如果需要,它需要转发表和 SPD 条目之间的协调,以使数据包多次穿越 IPsec 边界。
"本地" vs "远程"
在本文档中,对于 IP 地址和端口,术语"本地"和"远程"用于策略规则。"本地"是指受 IPsec 实现保护的实体,即出站数据包的"源"地址/端口或入站数据包的"目标"地址/端口。"远程"是指对等实体或多个对等实体。术语"源"和"目标"用于数据包头部字段。
"非初始" vs "初始"分段
在整个文档中,"非初始分段"一词用于表示不包含访问控制可能需要的所有选择器值的分段(例如,它们可能不包含下一层协议、源和目标端口、ICMP 消息类型/代码、移动性头部类型)。而"初始分段"一词用于表示包含访问控制所需的所有选择器值的分段。但是,应该注意的是,对于 IPv6,包含下一层协议和端口(或 ICMP 消息类型/代码或移动性头部类型)的分段将取决于存在的扩展头部的种类和数量。在此上下文中,"初始分段"可能不是第一个分段。