问在IPSec中，SAD和SPD的定义和目的是什么？

EN

首先，我不知道你所说的“安全应用数据库”是什么意思--我从来没有听说过这样的术语。在谷歌上搜索这个词时，我没有得到任何结果，这些结果似乎反映了你对缩写的理解，然而，我偏离了主题。

SAD -安全关联数据库

SDP -安全策略数据库

SA -安全协会

AH -身份验证头

ESP -封装安全有效载荷

安全协会

安全关联( Security，SA )是理解IPSec的绝对基础，简而言之，SA是两个或多个实体之间的关系，描述这些实体将如何使用安全进行安全通信。每个IPSec连接都可以提供加密、完整性和真实性。安全关联是IPSec用于跟踪其并发会话而不使用此IPSec的方法。

下一节将描述安全关联数据库将是什么样子，重要的是要记住，IPSec对等点必须在另一方匹配，否则连接将无法工作。SA参数由网络管理员配置，然后存储在SA数据库中。下表描述管理员将配置的参数。

安全关联数据库

安全关联数据库是一个包含入站和出站流量的所有主动安全关联的表，每个条目将存储单个SA的参数。SAD通常会存储以下条目。

• 安全参数指数
• 目的地地址
• 序号
• 反重播窗口
• IP安全协议
• 算法
• 钥匙
• 萨终身
• IPSec

安全策略数据库

安全策略数据库包含确定数据包是否要接受IPSec处理的规则。所有通信量(包括入站和出站)必须通过此数据库处理，第一个匹配的策略将用于处理通信量。每个策略都有一个策略索引，表从自上而下开始，顶部是最优先的，底部是最不喜欢的，但是如果数据包找不到合适的策略，那么就会返回“无策略”状态。

表中的每个策略都有一个或多个策略内容，并且每个策略内容对应于一个IPSec协议，无论是AH还是ESP，这两者都不能对应！如果一个策略两者都需要，那么必须使用两个单独的策略内容，这些策略将使用下一个内容指针进行链接。在最简单的形式中，SPD定义了IP通信量的子集，并将流量指向SA。

要进一步阅读所有内容，您将永远需要了解IPSec，我强烈建议您查看维基百科页面并阅读相关的RFCs。