IPsec 安全关联 SA 会定义安全属性,应用于与 SA 中也存储的 IP 参数匹配的 IP 包。每个 SA 都是单向的。因为大部分通信都是双向的,所以单一连接需要两个 SA。
以下三个元素综合在一起,可以唯一地标识 IPsec SA:
安全协议(AH 或 ESP)
目标 IP 地址
SA 的 SPI 可以提供额外保护,并在受 IPsec 保护的包的 AH 或 ESP 头中传送。ipsecah(7P) 和 ipsecesp(7P) 手册页说明了 AH 和 ESP 提供的保护范围。完整性校验和值用于验证包。如果验证失败,则会丢弃包。
安全关联存储在安全关联数据库 (security associations database, SADB) 中。基于套接字的管理接口 PF_KEY 使特权应用程序能以编程方式管理数据库。例如,IKE 守护进程和 ipseckey 命令会使用 PF_KEY 套接字接口。
有关 IPsec SADB 的更为完整的说明,请参见IPsec 的安全关联数据库。
有关如何管理 SADB 的更多信息,请参见 pf_key(7P) 和 ipseckey(1M) 手册页。