4.4.3.3. 子 SA 授权数据 (Child SA Authorization Data)

一旦 IKE 对等方经过认证，就可以创建子 SA。每个 PAD 条目包含数据以约束 IKE 对等方可以断言的 ID 集，用于与 SPD 进行匹配。每个 PAD 条目指示是将 IKE ID 用作 SPD 匹配的符号名称，还是使用流量选择器载荷中断言的 IP 地址。

授权方法

使用 IKE ID

如果条目指示要使用 IKE ID，则 PAD 条目 ID 字段定义授权的 ID 集。

使用流量选择器 IP 地址

如果条目指示要使用子 SA 流量选择器，则需要额外的数据元素，采用 IPv4 和/或 IPv6 地址范围的形式。（对等方可能被授权使用两种地址类型，因此必须 (MUST) 为 v4 和 v6 地址范围都提供规定。）