Partager via

Gestion des associations de sécurité dans IPsec Offload version 2

  • Article

[La fonctionnalité de déchargement de tâche IPsec est déconseillée et ne doit pas être utilisée.]

Une fois que le transport TCP/IP a déterminé qu’une carte réseau peut effectuer des opérations de déchargement IPsec version 2 (IPsecOV2) (voir Création de rapports sur les fonctionnalités de déchargement IPsec version 2 d’une carte réseau), le transport demande que le pilote miniport de la carte réseau ajoute une ou plusieurs associations de sécurité (SAs) à la carte réseau avant que le transport ne puisse décharger les tâches IPsec sur la carte réseau. Après avoir ajouté des autorités de sécurité, le transport TCP/IP peut également les supprimer ou les mettre à jour. L’interface IPsecOV2 nécessite l’interface OID directe NDIS pour ajouter, supprimer et mettre à jour des OID.

Note NDIS fournit une interface de requête OID directe pour les pilotes NDIS 6.1 et versions ultérieures. Le chemin de requête OID direct prend en charge les requêtes OID qui sont interrogées ou définies fréquemment.

Pour demander à un pilote miniport d’ajouter une ou plusieurs autorités de sécurité à une carte réseau, le transport TCP/IP définit le OID_TCP_TASK_IPSEC_OFFLOAD_V2_ADD_SA OID. Le pilote miniport reçoit une structure IPSEC_OFFLOAD_V2_ADD_SA et configure la carte réseau pour le traitement IPsecOV2 sur une SAP. Avec un paramètre réussi sur OID_TCP_TASK_IPSEC_OFFLOAD_V2_ADD_SA, le pilote miniport initialise un handle qui identifie l’AS déchargée dans la structure IPSEC_OFFLOAD_V2_ADD_SA. Le transport utilise ce handle dans les requêtes suivantes adressées au pilote miniport (c’est-à-dire sur le chemin d’envoi ou dans les appels pour modifier ou supprimer l’accès partagé). Pour plus d’informations sur l’utilisation du handle SAP dans le chemin d’envoi, consultez Envoi de données réseau avec le déchargement IPsec version 2.

Le pilote miniport indique le nombre d’autorités de sécurité qu’une carte réseau peut prendre en charge dans le membre SaOffloadCapacity de la structure NDIS_IPSEC_OFFLOAD_V2 .

Le pilote miniport peut définir l’indicateur SaDeleteReq dans la structure NDIS_IPSEC_OFFLOAD_V2_NET_BUFFER_LIST_INFO d’un paquet de réception. Par la suite, le transport TCP/IP émet OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA une fois pour supprimer l’accès partagé entrant que le paquet a été reçu et une fois de plus pour supprimer l’accès partagé sortant correspondant à l’accès partagé entrant supprimé.

Les problèmes de transport TCP/IP OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA de supprimer les autorités de sécurité entrantes sur lesquelles un paquet a été reçu et de supprimer les autorités de sécurité sortantes qui correspondent aux autorités de sécurité entrantes supprimées. Une carte réseau ne doit pas supprimer ces autorités de sécurité avant de recevoir la demande de OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA correspondante.

Le transport TCP/IP définit l’OID_TCP_TASK_IPSEC_OFFLOAD_V2_UPDATE_SA OID pour demander à un pilote miniport de mettre à jour une carte réseau avec les bits d’ordre supérieur pour une SA avec des numéros de séquence étendus (ESN). Pour les cartes réseau qui prennent en charge l’ESN, lorsque le pilote miniport reçoit cette demande, le pilote doit mettre à jour le numéro de séquence de l’accès partagé spécifié dans la carte réseau conformément à la valeur d’énumération IPSEC_OFFLOAD_V2_OPERATION spécifiée dans le membre Operation de la structure IPSEC_OFFLOAD_V2_UPDATE_SA .