Une association de sécurité (AS) IPsec définit les propriétés de sécurité qui seront appliquées à un paquet IP dont les paramètres correspondent à ceux enregistrés dans l'AS. Chaque SA est unidirectionnel. Sont bidirectionnelles. parce que la plupart des deux SA les communications sont obligatoires pour une seule connexion.
Les trois éléments suivants réunis identifient une AS IPsec de manière unique :
le protocole de sécurité (AH ou ESP) ;
l'adresse IP de destination ;
Le SPI du SA fournit une protection supplémentaire et est transmise dans l'en-tête AH ou ESP d'un packet protégé par IPsec. Les pages de manuel ipsecah(7P) et ipsecesp(7P) expliquent l'étendue de la protection AH et ESP. Une somme de contrôle d'intégrité permet d'authentifier un paquet. En cas d'échec de l'authentification, le paquet est rejeté.
Les associations de sécurité sont stockées dans une base de données d'associations de sécurité (SADB). Une interface d'administration socket, l'interface PF_KEY, autorise les applications privilégiées à gérer programmatiquement la base de données. Par exemple, le démon IKE et la commande ipseckeys font appel à l'interface socket PF_KEY.
Pour une description détaillée de la SADB IPsec, reportez-vous à la section Base de données des associations de sécurité IPsec.
Pour plus d'informations sur la gestion de la SADB reportez-vous aux pages de manuel pf_key(7P) et ipseckey(1M).