Security Association (SA) — IPsec doirasida bir yo‘nalishdagi himoyalangan trafik qanday qayta ishlanishini belgilovchi xavfsizlik holatidir. U shifrlash yoki yaxlitlik algoritmi, kalitlar, paket raqamlari, amal muddati va trafik selektorlarini birlashtiradi. SA aloqa kanali emas; qurilma xotirasida saqlanadigan parametrlar to‘plamidir.
Bir yo‘nalishli model
IPsec SA bir yo‘nalishli bo‘ladi. Ikki tomonlama almashinuv uchun odatda kamida ikkita SA kerak: biri A dan B ga, ikkinchisi B dan A ga. Har bir yo‘nalish o‘z SPI qiymati, kaliti va sequence counteriga ega. Shu sababli bir tomondagi kiruvchi SA holati ikkinchi tomondagi chiquvchi SA bilan mos kelishi kerak.
Kiruvchi paket uchun SA uchlik orqali aniqlanadi: Security Parameters Index, manzil IP protokoli — ESP yoki AH — va destination address. SPI paket ichida uzatiladigan 32 bitli identifikatordir. U maxfiy kalit emas va o‘zi autentifikatsiya vositasi hisoblanmaydi.
Saqlanadigan parametrlar
SA yozuvi odatda quyidagilarni saqlaydi:
- encryption va integrity algoritmlari hamda ularning kalitlari;
- ESP yoki AH rejimi, transport yoki tunnel tanlovi;
- joriy sequence number va anti-replay oynasi;
- soft hamda hard lifetime chegaralari;
- tunnel endpointlari va trafik selektorlari;
- NAT traversal kabi encapsulation xususiyatlari.
Ushbu ma’lumot Security Association Database (SAD) ichida turadi. Security Policy Database (SPD) esa qaysi trafik himoyalanishi, chetlab o‘tishi yoki rad etilishini belgilaydi. SPD siyosatni tanlaydi, SAD esa tanlangan siyosatni bajarish uchun mavjud cryptographic holatni beradi.
Yaratilish jarayoni
Amaliy tizimlarda SAlar ko‘pincha IKEv2 orqali dinamik yaratiladi. IKE peerlarni autentifikatsiya qiladi, algoritmlarni kelishtiradi, Diffie–Hellman yordamida secret hosil qiladi va Child SA yaratadi. Manual SA ham mumkin, ammo kalitlarni yangilash, anti-replay holati va ko‘lamni boshqarish qiyin bo‘lgani uchun kam qo‘llanadi.
IKEv2 terminologiyasida IKE SA boshqaruv almashinuvlarini himoya qiladi, Child SA esa foydalanuvchi IP trafikini ESP yoki AH orqali himoya qiladi. Bitta IKE SA ostida bir nechta Child SA mavjud bo‘lishi mumkin; masalan, turli subnet juftlari yoki alohida xizmat siyosatlari uchun.
Amal muddati va rekey
SA abadiy ishlamaydi. Lifetime vaqt, uzatilgan byte yoki paket soni bilan cheklanishi mumkin. Soft limitga yetganda yangi SA kelishish boshlanadi. Hard limitga yetganda eski SA bilan yangi trafik yuborilmaydi. Rekey davrida eski va yangi yozuvlar qisqa muddat birga turishi mumkin, chunki tarmoqdagi kechikkan paketlar hali eski SPI bilan keladi.
Sequence number har paketda oshadi. Qabul qiluvchi anti-replay oynasi orqali takror yuborilgan yoki juda eski paketlarni rad etadi. Counter tugashiga yaqin rekey bajarilishi kerak; bir xil kalit va sequence kombinatsiyasini qayta ishlatish cryptographic xavf tug‘diradi.
Diagnostika va himoya chegarasi
Tunnel faol ko‘rinsa-yu trafik o‘tmasa, ikki tomondagi SPI, selector, algoritm, packet counter va lifetime solishtiriladi. Chiquvchi counter oshib, kiruvchi counter o‘smayotgan bo‘lsa routing, firewall yoki peer SA mosligi tekshiriladi. Authentication failure kalit, paket o‘zgarishi yoki noto‘g‘ri SA tanlanganini ko‘rsatishi mumkin.
SA ma’lumotlarining bir qismi, ayniqsa kalitlar, maxfiy saqlanishi kerak. Monitoring tizimi SPI va counterlarni ko‘rsatishi mumkin, biroq key material log yoki diagnostika eksportiga chiqarilmaydi. SA IPsec himoyasining aniq holatini ifodalasa ham endpointdagi zararli dasturdan yoki noto‘g‘ri SPD siyosatidan himoya qilmaydi.
Bog‘liq tushunchalar
IPsec, ESP, AH, IKEv2, Security Policy Database, SPI, Anti-replay