首先引入一个PF_key的概念:PF_KEY Key Management API,提供IKE模块和IPSec核心之间的接口。 在RFC 2367中,有一个SADB_GETSPI消息,这个消息就是实现允许一个进程获取SPI值,该值标识所给的sa类型,源地址,和目标地址。