система может отказаться от дополнительного применения протоколов
IPsec. В этом случае необходимо выполнять требования по безопасности,
предъявляемые данным прикладным процессом.)
СПД содержит перечень (в электронной форме) требований, правил,
способов, средств и алгоритмов обеспечения безопасности. Каждая
электронная запись в базе является ключевой, так как содержит один или более
определителей, которые определяют ту часть (или весь) IP-трафика, которая
подлежит защите в соответствии с указанным перечнем. Фактически,
определители устанавливают число используемых процедур безопасности или
количество SA. Каждая запись в СПД включает индикатор типа последующей
обработки IP-трафика (уничтожение, “сквозное” транслирование и с
применением процедуры обработки IPsec-протоколами). Если применяется
IPsec-обработка, то запись в СПД включает характеристику SA (или группы
SA), перечень IPsec-протоколов, режимов обработки и используемые
алгоритмы, а также любые специальные требования по обеспечению
безопасности. Например, соответстующая запись в СПД может требовать
контроля всего IP-трафика, который, во-первых, “внутри” защищен протоколом
ESP РТР с использованием алгоритма шифрования 3DES-CBC, и во-вторых,
имеет “внешнюю” защиту с помощью протокола AH в РТУ с использованием
протокола HMAC/SHA-1. В “интересах” каждого определителя,
соответствующая запись в СПД указывает порядок извлечения необходимых
параметров из самой же этой записи в СПД и IP-пакета для организации новой
записи в ЗВСБД (Замечание. В настоящее время, определены только
диапазоны для IP-адресов, но специальные маркеры типа обработки
могут указываться для всех определителей.):
использование параметра в самом IP-пакете. Это будет ограничивать
использование SA для тех пакетов, которые имеют собственное
внутреннее значение параметра в интересах определителя, даже если
определитель, указанный в записи СПД, содержит диапазон значение
такого параметра или маркер типа обслуживания в интересах этого
определителя;
использование параметра, связанного с записью в СПД. Если это было
только единственной значение, то при обработке не будет ни каких
различий от п.1. Однако, если значение параметра в интересах
определителя имело некоторый диапазон (например, диапазон IP-
адресов) или это был маркер типа обработки IP-пакета, то тогда
возможны две последующие процедуры: а) применение SA любым IP-
пакетом, содержащим значение определителя в границах указанного
диапазона, за исключением тех пакетов, которые содержат значение
определителя в целях формирования нового SA; б) в случае