IPsec の セキュリティーアソシエーション (SA) は、同様に SA に格納されている IP パラメータに一致する IP パケットに適用するセキュリティープロパティーを定義します。各 SA は単方向です。ほとんどの通信は双方向のため、1 つの接続に 2 つの SA が必要です。
あわせて、次の 3 つの要素が IPsec SA を一意に識別します。
セキュリティープロトコル (AH または ESP)
宛先 IP アドレス
さらなる保護を提供する SA の SPI は、IPsec で保護されたパケットの AH または ESP ヘッダー内で渡されます。AH および ESP によって保護される範囲については、ipsecah(7P) および ipsecesp(7P) のマニュアルページを参照してください。完全性チェックサム値を使用して、パケットを認証します。認証が失敗すると、パケットがドロップされます。
セキュリティーアソシエーションは、セキュリティーアソシエーションデータベース (SADB) に格納されます。ソケットベースの管理インタフェース PF_KEY により、特権を持つアプリケーションでそのデータベースをプログラムによって管理できます。たとえば、IKE デーモンと ipseckey コマンドは PF_KEY ソケットインタフェースを使用します。
IPsec SADB のより完全な説明については、IPsec のセキュリティーアソシエーションデータベースを参照してください。
SADB の管理方法の詳細については、pf_key(7P) および ipseckey(1M) のマニュアルページを参照してください。