Liên kết bảo mật là một khái niệm cơ sở của giao thức IPSec. Như một lời trích dẫn của các nhà phát triển IPSec: Một SA là một kết nối logic theo hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec, được định danh một cách duy nhất bởi ba phần sau:
<Security Parameter Index, IP Destination Address, Security Protocol> Một IPSec SA được xác định là:
- Các thuật toán, khoá, các giao thức xác thực.
- Mô hình và khoá cho các thuật toán xác thực được dùng bởi các giao thức AH hoặc ESP của IPSec thích hợp.
- Các thuật toán mã hoá, giải mã và các khoá.
- Thông tin liên quan đến khoá như: thời gian thay đổi và thời gian sống của khoá.
- Thông tin liên quan đến chính SA, bao gồm: địa chỉ nguồn SA, thời gian sống.
Sau đây ta sẽ lần lượt xem xét ba phần của một SA
Sercurity Protocol SPI Destination IP Address
Như hình minh hoạ 3.3, một SA gồm 3 trường
- SPI(Security Parameter Index): Là một trường 32 bít, nó định danh giao thức bảo mật, được xác định bởi trường giao thức bảo mật(Security Protocol), từ IPSec thích hợp đang sử dụng. SPI được mang như một phần trên tiêu đề của giao thức bảo mật và thường được lựa chọn bởi hệ thống đích trong khi thương lượng thiết lập SA. SPI chỉ có ý nghĩa lôgic, được định nghĩa bởi người tạo SA. SPI nhận các giá trị trong phạm vi 1 đến 255, giá trị 0 được dùng cho mục đích thực thi đặc biệt cục bộ
- Địa chỉ IP đích: Đây là địa chỉ IP của Node đích. Mặc dù nó có thể là một địa chỉ broadcast, unicast hoặc multicast, các cơ chế quản trị SA hiện tại được định nghĩa chỉ với các địa chỉ unicast.
- Giao thức bảo mật: Trường này mô tả giao thức bảo mật IPSec, nó có thể là AH hoặc ESP.
Trước khi hai máy chủ có thể liên lạc được với nhau sử dụng giao thức IPSec, chúng cần thống nhất các hướng dẫn cho phiên làm việc đó (ví dụ như cách xác thực lẫn nhau hay thuật toán mã hoá hai bên cùng sử dụng). Đây chính là việc liên kết bảo mật, đó chính là thoả thuận cách thức thống nhất được sử dụng cho việc bảo mật dữ liệu giữa hai đầu cuối.
Một SA IPSec sử dụng hai cơ sở dữ liệu:
+ Cơ sở dữ liệu chính sách bảo mật (SPD): duy trì thông tin về dịch vụ bảo mật trong một danh sách có thứ tự của các thực thể chính sách vào ra. Rất giống với các luật và bộ lọc gói tin của Firewall. Các thực thể này định nghĩa lưu lượng phải được xử lý và lưu lượng được bỏ qua trên các chuẩn IPSec.
+ Cơ sở dữ liệu liên kết bảo mật(SAD): duy trì thông tin liên quan tới mỗi SA. Thông tin này bao gồm cả các khoá và thuật toán, khoảng thời gian sống của SA, chế độ giao thức và số tuần tự.
Liên kết bảo mật là đa hướng, có nghĩa là cần thiết lập các liên kết bảo mật khác nhau cho luồng dữ liệu đi và đến. Thêm vào đó, nếu máy chủ liên lạc với một hay nhiều máy chủ khác trong cùng một thời điểm thì cũng cần thiết lập từng đó liên kết. Các liên kết bảo mật được lưu trữ trong cơ sở dữ liệu tại mỗi máy tính với chỉ số về thông số bảo mật (SPI) cho mỗi phần tiêu đề AH và ESP
kết bảo mật nào để xử lý gói tin vừa nhận được. Trên thực tế, thủ tục trao đổi khoá Internet (IKE) là thủ tục cho phép quản lý việc tạo ra các liên kết bảo mật và tạo ra các khoá bảo mật để bảo vệ nội dung thông tin. IKE sử dụng thuật toán Diffie- Hellman để tạo ra và quản lý các khoá bí mật, thiết lập kênh trao đổi khoá đối xứng dùng cho việc mã hoá và giải mã thông tin giữa hai đầu, cuối.