前面已經提到過,一個發送IPscc數據報的實體可能要用到很多條安全關聯SA。那么LM80CIMT-3這些sA是存放在什么地方昵?這就是IPseG的一個重要構件,叫做安全關聯數據庫sAD(sCcwi饣Associatioll DatabasΦ。當一個主機要發送IPscc數據報時,就要在SAD中查找相應的sA,以便獲得必要的信息來對該IPsec數據報實施安全保護。同樣,當一個主機要接收IPsec數據報時,也要在SAD中查找相應的SA,以便獲得信息來檢查該分組的安全性。

   一個主機要發送的數據報并非都必須進行加密。很多信息使用普通的數據報用明文發送就可以了。因此,除了安全關聯數據庫SAD,我們還需要另一個數據庫,這就是安全策略數據庫sPD(Secur”Policy D狨乩Ⅱc)。sPD指明什么樣的數據報需要進行IPsec處理。這取決于源地址、源端口、目的地址、目的端口,以及協議的類型等。因此,當―個IP數據報到達時,SPD指出應當做什么(使用IPsec還是不使用),而sAD則指出,如果需要使用IPscc,那么應當怎樣做(使用哪一個sA)。還有一個問題,安全關聯數據庫sAD中存放的許多安全關聯SA是怎樣建立起來的呢?如果一個虛擬專用網VPN只有幾個路由器和主機,那么用人工鍵入的方法就可以建立起所需的安全關聯數據庫SAD。但如果一個VPN有好幾百或幾千個路由器和主機,人工鍵入的方法顯然是不行的。因此,對于大型的、地理位置分散的系統,為了創建sAD,我們需要使用自動生成的機制,這就是使用因特網密鑰交換IICE(Intemet Key Exchange)協議。IICE的用途就是為IPsec創建安全關聯sA。