IPSec是经过安全策略数据库与IKE、它的通信协议AH和ESP共同达到数据通信的安全。
形成IPSec的基础是SA。为了保护数据安全的IPSec协议、加密认证算法及密钥等,它是两个实体商量后建立的通信协定。SA是一个方向的,因此出去与进来的处理需要不同的它。SA还与协议相关,每一种协议都有一个SA。
SAD保护IPSec协议是为了保证SA记录的数据安全。每个SA都有SAD中一个记录与它对应。仅仅由安全参数索引、对等体目标IP地址和IPSec协议决定。
SPD中的所有元组均是策略。策略指用在数据包的安全服务和处理数据包的方式上,是人机之间的安全接口。它表示对那些IP数据报给出哪种保护,并以这种方式进行保护。创建和保护SPD中策略项应协商,且进去和出来处理都应有策略库。SAD的记录用目的IP地址、IPSec协议类型和安全参数索引3个参数唯一标志。每份进或出的数据报都可能会被做丢弃、绕过或应用IPSec的处理。SPD为用户或管理员保护的管理接口提供了便利,允许应用程序选取IPSec安全来处理。
IKE是IPSec最重要的部分,在借助IPSec保护IP包前,一定要先建立SA。IKE用来动态建立SA,它表示IPSec与SA协商,并填充、更新管理SAD数据库。
