skip to content
HomeНадежность и безопасность информационно-управляющих систем Протокол IP-SECURITY

Ассоциации безопасности

Концепция Ассоциаций безопасности (англ. Security Association — SA) являет­ся основополагающей для IPSec.  SA определяет взаимоотношения между. двумя или более участниками безопасной связи и описывает, какие сервисы будут использованы для обеспечения безопасности: алгоритмы  шифрования, алгоритмы аутентификации и общие сессионные ключи.

SA всегда однонаправленна (англ, unidirectional), поэтому для одного двунаправленного соединения между двумя участниками требуется две SА одной на каждое направление). Также для АН и ESP должны быть использованы различные SA, если применяются оба протокола, по две SA должны присутствовать для каждого направления.

Набор всех SA, установленных на узле для связи с другим узлом (узлами) хранится в специальной Базе данных ассоциаций безопасности (SecurityAssociation Database SAD). Каждый узел поддерживает две SAD: одну для входящего и одну для исходящего трафика. В зависимости от реализации может потребоваться несколько пар SAD для мультиинтерфейсных узлов – по одной SAD на каждый интерфейс.

Когда у узла существует несколько соединении с другим узлом (узлами), необходимо определить, которую из SA применять к пакетам какого соединения. Для  этой цели служит База данных политик безопасности (Security Policy Database — SPD). Запись SPD состоит из полей, связывающих SA с идентификатором пакетов соединения — селектором (англ, selector). Селектор состоит из следующих параметров.

  • IP-адрес назначения (индивидуальный, групповой, широковещатель­ный), диапазон адресов + маска или групповой символ (wildcard).
  • IP-адрес источника (индивидуальный, групповой, широковещательный), диапазон адресов + маска или групповой символ (wildcard).
  • Имя в двух вариантах:
  •  Идентификаторпользователявформате   DNS   (fully   qualified   user name) string илиХ.500 distinguished name;
  •  НаименованиесистемывформатеDNS (fully qualified domain name), X.500 distinguished name илиХ.500 general name;
  • Уровень чувствительности данных по меткам IPSO/CIPSO (такие как "не определено",   "коммерческая  собственность",   "секретно"  и т. п.) - этот параметр опционален.
  • Протокол транспортного уровня.
  • Порт назначения.
  • Порт источника.