SA (Security Association)

Une association de sécurité IPSec est une structure de données servant à stocker l'ensemble des paramètres de sécurité associés à une communication. Une SA étant unidirectionnelle, il faut deux SA pour protéger les deux sens d'une communication. Les services de sécurité définis par la SA sont fournis par l'utilisation des protocoles AH ou ESP que nous expliquons plus tard dans ce document.

Plus précisément, Le rôle d'une SA est de spécifier, pour chaque adresse IP avec laquelle IPsec peut communiquer, les informations suivantes :

• le Security Parameter Index (SPI) : l'identifiant de la SA choisi par le récepteur
• le numéro de séquence, (éviter le rejeu)
• une fenêtre d'anti-rejeu
• le dépassement de séquence
• les paramètres d'authentification (algorithmes et clés)
• les paramètres de chiffrement (algorithmes et clés)
• la durée de vie de l'association
• le mode du protocole IPSec (tunnel ou transport)
  

Chaque association est identifiée de manière unique à l'aide d'un triplet composé de :

• l'adresse de destination des paquets
• l'identifiant du protocole de sécurité (AH ou ESP)
• le SPI
  

Lorsqu'un destinataire reçoit un paquet IPSec, il vérifie à quelle SA correspond le paquet reçu. Si cette association de sécurité n'est pas trouvée le paquet est rejeté, sinon il utilise les informations de sécurité pour interpréter le paquet IPSec.