一个发送IPscc数据报的实体可能要用到很多条安全关联SA。那么这些sA是存放在什么地方昵?这就是IPseG的一个重要构件,叫做安全关联数据库sAD(sCcwi饣Associatioll DatabasΦ。当一个主机要发送IPscc数据报时,A1101R08A-EZ4E就要在SAD中查找相应的sA,以便获得必要的信息来对该IPsec数据报实施安全保护。同样,当一个主机要接收IPsec数据报时,也要在SAD中查找相应的SA,以便获得信息来检查该分组的安全性。

   一个主机要发送的数据报并非都必须进行加密。很多信息使用普通的数据报用明文发送就可以了。因此,除了安全关联数据库SAD,我们还需要另一个数据库,这就是安全策略数据库sPD(Secur”Policy D狨乩Ⅱc)。sPD指明什么样的数据报需要进行IPsec处理。这取决于源地址、源端口、目的地址、目的端口,以及协议的类型等。因此,当―个IP数据报到达时,SPD指出应当做什么(使用IPsec还是不使用),而sAD则指出,如果需要使用IPscc,那么应当怎样做(使用哪一个sA)。还有一个问题,安全关联数据库sAD中存放的许多安全关联SA是怎样建立起来的呢?如果一个虚拟专用网VPN只有几个路由器和主机,那么用人工键入的方法就可以建立起所需的安全关联数据库SAD。但如果一个VPN有好几百或几千个路由器和主机,人工键入的方法显然是不行的。因此,对于大型的、地理位置分散的系统,为了创建sAD,我们需要使用自动生成的机制,这就是使用因特网密钥交换IICE(Intemet Key Exchange)协议。IICE的用途就是为IPsec创建安全关联sA。IKE是个非常复杂的协议,I图h2是较新的版本。它以另外三个协议为基础:

   (1)oaklCy  是个密钥生成协议[曰FC2412]。

   (2)安全密钥交换机制smME(secure Key Exchangc McchaIlism)――是用于密钥交换的协议。它利用公钥加密来实现密钥交换协议中的实体鉴别。

  （3）因特网安全关联和密钥管理协议IsAKW1P cntCmet securc AssOc讯ion and KeyManagement Mcchanism)――用于实现ⅡC中定义的密钥交换,使IKE的交换能够以标准化、格式化的报文创建安全关联sA。