Cơ chế quản lý và phõn phối khúa của NDS/IP được thiết lập dựa trờn giao thức IKE, cũn vấn đề đảm bảo an ninh sẽ do giao thức IPSec đảm nhiệm với ưu điểm là kiến trỳc quản lý và phõn phối khúa cho NDS/IP sẽ đơn giản và dễ hiểu hơn.
Nguyờn lý hoạt động của kiến trỳc NDS/IP là đảm bảo an ninh từng bước (hop- by-hop) để phự hợp với cỏc cấu hỡnh chained-tunnels và hub-and-spoke. Cơ chế đảm bảo an ninh từng bước sẽ giỳp cho việc ỏp dụng cỏc chớnh sỏch an ninh nội miền và liờn miền được triển khai dễ dàng hơn.
Trong mạng NDS/IP chỉ cú cỏc SEG được sử dụng để trao đổi lưu lượng NDS/IP trực tiếp với cỏc thực thể trong cỏc miền khỏc. Cỏc SEG sau đú tiến hành thiết lập và duy trỡ cỏc SA ESP ở chế độ đường hầm nối giữa cỏc miền (trong đú cú ớt nhất là một liờn kết với một SEG phải luụn ở trạng thỏi sẵn sàng), đồng thời cũng duy trỡ cỏc cơ sở dữ liệu SPD và SAD riờng biệt cho mỗi giao diện.
Đồ ỏn tốt nghiệp đại học Chương III: Bảo mật cho IMS
Hình 3. 12: Giao diện nội miền và giao diện liờn miền.
Cỏc thiết bị trong mạng đều cú khả năng thiết lập và duy trỡ SA đến một SEG hay cỏc thiết bị khỏc trong cựng miền nếu cần thiết. Tất cả lưu lượng NDS/IP gửi từ một thiết bị mạng trong miền này đến một thiết bị mạng trong miền khỏc sẽ được định tuyến qua một SEG và được xử lý an ninh từng bước trước khi được gửi đến đớch.
Người điều hành cú thể chỉ thiết lập một SA để truyền lưu lượng giữa hai miền an ninh khỏc nhau. Trong trường hợp này, SA được gọi là cú đặc tớnh hạt thụ. Ưu điểm của SA này là đảm bảo an ninh cho một số lớn lưu lượng, nhưng nhược điểm là khụng thể phõn biệt được lưu lượng của một thực thể cụ thể nào đú. Tiếp theo, cỏc SA cú đặc tớnh hạt tinh sẽ được dựng để truyền và đảm bảo an ninh cho lưu lượng giữa cỏc thực thể trong mạng.