前面已經(jīng)提到過,一個發(fā)送IPscc數(shù)據(jù)報的實體可能要用到很多條安全關(guān)聯(lián)SA。那么LM80CIMT-3這些sA是存放在什么地方昵?這就是IPseG的一個重要構(gòu)件,叫做安全關(guān)聯(lián)數(shù)據(jù)庫sAD(sCcwi饣Associatioll DatabasΦ。當(dāng)一個主機要發(fā)送IPscc數(shù)據(jù)報時,就要在SAD中查找相應(yīng)的sA,以便獲得必要的信息來對該IPsec數(shù)據(jù)報實施安全保護。同樣,當(dāng)一個主機要接收IPsec數(shù)據(jù)報時,也要在SAD中查找相應(yīng)的SA,以便獲得信息來檢查該分組的安全性。

   一個主機要發(fā)送的數(shù)據(jù)報并非都必須進行加密。很多信息使用普通的數(shù)據(jù)報用明文發(fā)送就可以了。因此,除了安全關(guān)聯(lián)數(shù)據(jù)庫SAD,我們還需要另一個數(shù)據(jù)庫,這就是安全策略數(shù)據(jù)庫sPD(Secur”Policy D狨乩Ⅱc)。sPD指明什么樣的數(shù)據(jù)報需要進行IPsec處理。這取決于源地址、源端口、目的地址、目的端口,以及協(xié)議的類型等。因此,當(dāng)―個IP數(shù)據(jù)報到達時,SPD指出應(yīng)當(dāng)做什么(使用IPsec還是不使用),而sAD則指出,如果需要使用IPscc,那么應(yīng)當(dāng)怎樣做(使用哪一個sA)。還有一個問題,安全關(guān)聯(lián)數(shù)據(jù)庫sAD中存放的許多安全關(guān)聯(lián)SA是怎樣建立起來的呢?如果一個虛擬專用網(wǎng)VPN只有幾個路由器和主機,那么用人工鍵入的方法就可以建立起所需的安全關(guān)聯(lián)數(shù)據(jù)庫SAD。但如果一個VPN有好幾百或幾千個路由器和主機,人工鍵入的方法顯然是不行的。因此,對于大型的、地理位置分散的系統(tǒng),為了創(chuàng)建sAD,我們需要使用自動生成的機制,這就是使用因特網(wǎng)密鑰交換IICE(Intemet Key Exchange)協(xié)議。IICE的用途就是為IPsec創(chuàng)建安全關(guān)聯(lián)sA。