4.4.2.1. SAD 中的数据项 (Data Items in the SAD)

以下数据项必须 (MUST) 在 SAD 中：

安全参数索引 (Security Parameter Index, SPI)

由 SA 的接收端选择的 32 位值，用于唯一标识 SA。

在出站 SA 的 SAD 条目中，SPI 用于构造数据包的 AH 或 ESP 头。
在入站 SA 的 SAD 条目中，SPI 用于将流量映射到适当的 SA（请参阅第 4.1 节中关于单播/多播的文本）。

序列号计数器 (Sequence Number Counter)

用于生成 AH 或 ESP 头中序列号字段的 64 位计数器。64 位序列号是默认值，但如果协商，也支持 32 位序列号。

序列计数器溢出 (Sequence Counter Overflow)

一个标志，指示序列号计数器的溢出是否应生成可审计事件并防止在 SA 上传输额外数据包，或是否允许回卷。此事件的审计日志条目应该 (SHOULD) 包括 SPI 值、当前日期/时间、本地地址、远程地址以及来自相关 SAD 条目的选择器。

防重放窗口 (Anti-Replay Window)

用于确定入站 AH 或 ESP 数据包是否为重放的 64 位计数器和位图（或等效物）。

注意：如果接收方为 SA 禁用了防重放功能，例如，在手动密钥 SA 的情况下，则忽略该 SA 的防重放窗口。64 位序列号是默认值，但此计数器大小也适用于 32 位序列号。

AH 认证算法 (AH Authentication Algorithm)

AH 认证算法、密钥等。仅在支持 AH 时才需要此项。

ESP 加密算法 (ESP Encryption Algorithm)

ESP 加密算法、密钥、模式、IV 等。如果使用组合模式算法，则这些字段将不适用。

ESP 完整性算法 (ESP Integrity Algorithm)

ESP 完整性算法、密钥等。如果未选择完整性服务，则这些字段将不适用。如果使用组合模式算法，则这些字段将不适用。

ESP 组合模式算法 (ESP Combined Mode Algorithms)

ESP 组合模式算法、密钥等。当 ESP 使用组合模式（加密和完整性）算法时使用此数据。如果不使用组合模式算法，则这些字段不适用。

此 SA 的生命周期 (Lifetime of this SA)

时间间隔，在此之后必须用新的 SA（和新的 SPI）替换 SA 或终止 SA，以及应发生哪种操作的指示。这可以表示为时间或字节计数，或同时使用两者，以首先到期的生命周期为准。

要求：

符合标准的实现必须 (MUST) 支持两种类型的生命周期
必须 (MUST) 支持同时使用两者

证书约束：如果使用时间，并且如果 IKE 使用 X.509 证书建立 SA，则 SA 生命周期必须受证书有效期间隔以及 SA 的 IKE 交换中使用的证书吊销列表 (CRL) 的 NextIssueDate 的约束。发起者和响应者都有责任以这种方式约束 SA 生命周期。

注意：当 SA 过期时如何处理密钥刷新的细节是本地问题。但是，一种合理的方法是：

(a) 字节计数 (Byte Count)

如果使用字节计数，则实现应该 (SHOULD) 计算应用 IPsec 加密算法的字节数。对于 ESP，这是加密算法（包括空加密），对于 AH，这是认证算法。这包括填充字节等。请注意，实现必须 (MUST) 能够处理 SA 两端的计数器不同步的情况，例如，由于数据包丢失或因为 SA 两端的实现没有以相同的方式执行操作。

(b) 两种生命周期 (Two Kinds of Lifetime)

应该 (SHOULD) 有两种生命周期：

软生命周期 (Soft lifetime)：警告实现启动操作，例如设置替换 SA
硬生命周期 (Hard lifetime)：当前 SA 结束并被销毁

(c) 数据包传递 (Packet Delivery)

如果整个数据包在 SA 的生命周期内未交付，则应该 (SHOULD) 丢弃数据包。

IPsec 协议模式 (IPsec Protocol Mode)

隧道模式或传输模式。指示应用于此 SA 上流量的 AH 或 ESP 模式。

有状态片段检查标志 (Stateful Fragment Checking Flag)

指示有状态片段检查是否适用于此 SA。

绕过 DF 位 (Bypass DF Bit) (T/F)

适用于内部和外部头都是 IPv4 的隧道模式 SA。

DSCP 值 (DSCP Values)

通过此 SA 携带的数据包允许的 DSCP 值集。如果未指定值，则不应用 DSCP 特定过滤。如果指定了一个或多个值，则这些值用于在与出站数据包的流量选择器匹配的多个 SA 中选择一个 SA。请注意，这些值不会针对到达 SA 的入站流量进行检查。

绕过 DSCP (Bypass DSCP) (T/F) 或映射到未受保护的 DSCP 值

绕过 DSCP (T/F) 或映射到未受保护的 DSCP 值（数组），如果需要限制 DSCP 值的绕过——适用于隧道模式 SA。此功能将 DSCP 值从内部头映射到外部头中的值，例如，解决隐蔽通道信令问题。

路径 MTU (Path MTU)

任何观察到的路径 MTU 和老化变量。

隧道头 IP 源地址和目标地址 (Tunnel Header IP Source and Destination Address)

两个地址都必须是 IPv4 或 IPv6 地址。版本意味着要使用的 IP 头类型。仅在 IPsec 协议模式为隧道时使用。

安全参数索引 (Security Parameter Index, SPI)​

序列号计数器 (Sequence Number Counter)​

序列计数器溢出 (Sequence Counter Overflow)​

防重放窗口 (Anti-Replay Window)​

AH 认证算法 (AH Authentication Algorithm)​

ESP 加密算法 (ESP Encryption Algorithm)​

ESP 完整性算法 (ESP Integrity Algorithm)​

ESP 组合模式算法 (ESP Combined Mode Algorithms)​

此 SA 的生命周期 (Lifetime of this SA)​

(a) 字节计数 (Byte Count)​

(b) 两种生命周期 (Two Kinds of Lifetime)​

(c) 数据包传递 (Packet Delivery)​

IPsec 协议模式 (IPsec Protocol Mode)​

有状态片段检查标志 (Stateful Fragment Checking Flag)​

绕过 DF 位 (Bypass DF Bit) (T/F)​

DSCP 值 (DSCP Values)​

绕过 DSCP (Bypass DSCP) (T/F) 或映射到未受保护的 DSCP 值​

路径 MTU (Path MTU)​

隧道头 IP 源地址和目标地址 (Tunnel Header IP Source and Destination Address)​