4. Auditing (审计)
4. Auditing (审计)
并非所有实现 ESP 的系统都会实现审计功能。然而, 如果 ESP 被集成到支持审计的系统中, 那么 ESP 实现必须 (MUST) 也支持审计, 并且必须 (MUST) 允许系统管理员启用或禁用 ESP 的审计功能。在大多数情况下, 审计的粒度是一个本地事务。然而, 本规范中确定了几个可审计事件, 并且对于每个事件都定义了应该 (SHOULD) 包含在审计日志中的最小信息集。
-
会话不存在有效的安全关联 (Security Association)。此事件的审计日志条目应该 (SHOULD) 包括 SPI 值, 接收日期/时间, 源地址 (Source Address), 目标地址 (Destination Address), 序列号 (Sequence Number), 以及 (对于 IPv6) 明文流 ID (Flow ID)。
-
提供给 ESP 处理的数据包似乎是一个 IP 分片 (fragment), 即 OFFSET 字段非零或 MORE FRAGMENTS 标志被设置。此事件的审计日志条目应该 (SHOULD) 包括 SPI 值, 接收日期/时间, 源地址, 目标地址, 序列号, 以及 (在 IPv6 中) 流 ID。
-
尝试传输会导致序列号溢出的数据包。此事件的审计日志条目应该 (SHOULD) 包括 SPI 值, 当前日期/时间, 源地址, 目标地址, 序列号, 以及 (对于 IPv6) 明文流 ID。
-
接收到的数据包未通过反重放 (anti-replay) 检查。此事件的审计日志条目应该 (SHOULD) 包括 SPI 值, 接收日期/时间, 源地址, 目标地址, 序列号, 以及 (在 IPv6 中) 流 ID。
-
完整性检查失败。此事件的审计日志条目应该 (SHOULD) 包括 SPI 值, 接收日期/时间, 源地址, 目标地址, 序列号, 以及 (对于 IPv6) 流 ID。
对于这些事件中的每一个, 审计日志中也可以 (MAY) 包含额外的信息, 并且本规范中未明确指出的其他事件也可以 (MAY) 导致审计日志条目。对于检测到可审计事件, 接收方没有向声称的发送方传输任何消息的要求, 因为这样的操作可能会导致拒绝服务 (denial of service)。