一個發(fā)送IPscc數(shù)據(jù)報的實體可能要用到很多條安全關聯(lián)SA。那么這些sA是存放在什么地方昵?這就是IPseG的一個重要構件,叫做安全關聯(lián)數(shù)據(jù)庫sAD(sCcwi饣Associatioll DatabasΦ。當一個主機要發(fā)送IPscc數(shù)據(jù)報時,A1101R08A-EZ4E就要在SAD中查找相應的sA,以便獲得必要的信息來對該IPsec數(shù)據(jù)報實施安全保護。同樣,當一個主機要接收IPsec數(shù)據(jù)報時,也要在SAD中查找相應的SA,以便獲得信息來檢查該分組的安全性。

   一個主機要發(fā)送的數(shù)據(jù)報并非都必須進行加密。很多信息使用普通的數(shù)據(jù)報用明文發(fā)送就可以了。因此,除了安全關聯(lián)數(shù)據(jù)庫SAD,我們還需要另一個數(shù)據(jù)庫,這就是安全策略數(shù)據(jù)庫sPD(Secur”Policy D狨乩Ⅱc)。sPD指明什么樣的數(shù)據(jù)報需要進行IPsec處理。這取決于源地址、源端口、目的地址、目的端口,以及協(xié)議的類型等。因此,當―個IP數(shù)據(jù)報到達時,SPD指出應當做什么(使用IPsec還是不使用),而sAD則指出,如果需要使用IPscc,那么應當怎樣做(使用哪一個sA)。還有一個問題,安全關聯(lián)數(shù)據(jù)庫sAD中存放的許多安全關聯(lián)SA是怎樣建立起來的呢?如果一個虛擬專用網(wǎng)VPN只有幾個路由器和主機,那么用人工鍵入的方法就可以建立起所需的安全關聯(lián)數(shù)據(jù)庫SAD。但如果一個VPN有好幾百或幾千個路由器和主機,人工鍵入的方法顯然是不行的。因此,對于大型的、地理位置分散的系統(tǒng),為了創(chuàng)建sAD,我們需要使用自動生成的機制,這就是使用因特網(wǎng)密鑰交換IICE(Intemet Key Exchange)協(xié)議。IICE的用途就是為IPsec創(chuàng)建安全關聯(lián)sA。IKE是個非常復雜的協(xié)議,I圖h2是較新的版本。它以另外三個協(xié)議為基礎:

   (1)oaklCy  是個密鑰生成協(xié)議[曰FC2412]。

   (2)安全密鑰交換機制smME(secure Key Exchangc McchaIlism)――是用于密鑰交換的協(xié)議。它利用公鑰加密來實現(xiàn)密鑰交換協(xié)議中的實體鑒別。

  （3）因特網(wǎng)安全關聯(lián)和密鑰管理協(xié)議IsAKW1P cntCmet securc AssOc訊ion and KeyManagement Mcchanism)――用于實現(xiàn)ⅡC中定義的密鑰交換,使IKE的交換能夠以標準化、格式化的報文創(chuàng)建安全關聯(lián)sA。