SPI (индекс параметра безопасности). Представляет собой 32-битовую
строку (запись), которая используется для распознавания различных SA,
заканчивающихся в одной и той же точке назначения и использующих
один и тот же IPsec-протокол. (Обязателен для всех реализаций IPsec.).
Для каждого из определителей любая запись об SA в ЗВСБД должна
содержать отметку или отметки времени, когда SA было сформировано. С
точки зрения передающей стороны, эти параметры используются для
определения соответствия между сформированным SA и передаваемым IP-
пакетом (то есть принадлежит ли предназначенный для передачи IP-пакет
функционирующему SA). Это явялется частью проверки на предмет наличия
функционирующего SA, которое может быть задействовано для передачи IP-
пакета. С точки зрения приемной стороны, эти параметры используются для
проверки того, что параметры определителя в поступившем IP-пакете
совпадают с параметрами SA (а также косвенно проверяется выбранная
стратегия обеспечения безопасности). Это является частью проверки того, что
функционирующий SA был действительно сформирован для данного
поступившего IP-пакета. Эти поля могут быть представлены в форме
специфических параметров, диапазонов величин, “wildcards” или “OPAQUE”.
(Замечание. При использовании SA с ESP-протоколом криптоалгоритм или
алгоритм аутентификации могут иметь параметр “NULL”. Однако, они не
могут иметь одновременно один и тот же параметр “NULL”.)
Следующие поля в ЗВСБД используются при IPsec-обработке:
Счетчик последовательности номеров . Представляет собой генерируемый
32-битовый последовательный номер, который размещается в
соответствующем поле АН- или ESP-заголовка IP-пакета. (Обязателен
для всех реализаций IPsec, но используется только для выходного
трафика.);
Избыточность счетчика последовательности . Представляет собой флаг,
указывающий на переполнение (превышение допустимого значения)
счетчика последовательности номеров. Он используется для
предотвращения передачи избыточных пакетов по SA. (Обязателен для
всех реализаций IPsec, но используется только для выходного трафика.);
Окно защиты от повторной передачи . Представляет собой 32-битовый
счетчик и поле по-битного отображения, используемые для определения
повторно переданного входного АН- или ESP-пакета. (Обязателен для
всех реализаций IPsec, но используется только для входного трафика.
Замечание. Если приемная сторона не способна “бороться” с
повторной передачей IP-пакетов (например, в случае ручного
управления обменом ключевой информацией с использованием SA),
то данное окно не используется.);