前面介绍了鉴别首部AH中可以选择一个安全方案。每个安全方案包含有各种安全措施的细节,例如鉴别算法、算法使用的密钥、密钥保持有效的生命期、接收方同意使用算法的生命期以及授权可用方案的源地址列表等。
这些信息比较多,不能在鉴别首部中一一存放。为了节省首部空间,IPsec将每个安全方案的细节收集起来存放在一个称为安全联合SA(security association)的摘要中。
每个SA都有一个数字,该数字称为安全参数索引(security parameters index)。通过它就能够标识一个具体的SA。在发送方使用IPsec与接收方通信之前,发送方必须了解某个SA的索引值,然后发送方把该值放在每个发送的数据报的安全参数索引字段中。
索引值不需要由权威机构全局指定,而是由每个接收者根据需要自己创建SA,并自行指定对应的索引值。接收方可以指定每个SA的生命期,一旦SA无效,就需要重新指定索引值。可见,索引值和接收方是相关联的,两个不同的接收方,即使指定了相同的索引值,也往往包含不同的含义。