Security auf dem Network Layer

Security Association

Der Realisierung von IPsec liegt das Konzept der Security Association (SA) zu Grunde. Unter einer Security Association versteht man eine kryptographisch geschützte Verbindung. Die SA wird vom Protokoll-Stack je Kommunikationspartner und verwendetem Protokoll eingerichtet. Das heißt, dass für eine bidirektionale Verbindung zwischen zwei Kommunikationspartnern mindestens zwei SA aufgebaut werden müssen.

Eine SA wird für IPsec eindeutig beschrieben durch das Tripel: (SPI, IP-Zieladresse, Security Protocol). Beim Security Parameter Index (SPI) handelt es sich um eine 32-Bit-Zahl, die der Empfänger beim Aufbau der SA willkürlich auswählt. Das ermöglicht, in Kombination mit der IP-Adresse des Empfängers jedes empfangene Paket mit einem IPsec-Header eindeutig einer SA zuzuordnen. Falls ein IPsec-Paket mit IP-Multicast-Adresse als Empfänger und einem vergebenen SPI eintrifft, kann es zurückgewiesen werden. Der Eintrag für das Security Protocol beschreibt das Übertragungsverfahren, beispielsweise AH oder ESP.