Liờn kết an ninh (SA: Security Association) là một khỏi niệm cơ bản trong IPSec. thể hiện cỏc kết nối đơn giản giữa cỏc node. Quản lý và thiết lập SA là nhiệm vụ chủ yếu cho kiến trỳc và được thực hiện bởi giao thức IKE.
Mục đớch của SA là đảm bảo tất cả lưu lượng truyền qua nú. An ninh của một luồng số liệu giữa 2 Host luụn bao gồm ớt nhất 2 SA được thiết lập, mỗi SA cho mỗi hướng. Mặc dự số SA cú thể cao hơn tuỳ thuộc vào cỏc dịch vụ an ninh được sử dụng trong truyền thụng.
Kiến trỳc IPSec phõn biệt 2 thành phần tham gia: cỏc Host và cỏc cổng an ninh. Cổng an ninh cú thể xem như là cỏc điểm trung gian của một phiờn truyền thụng giữa cỏc Host. Lưu lượng an toàn thực tế được trự định trước tới Host cuối cựng, nhưng hỡnh dạng của hệ thống lại được sắp xếp sao cho lưu lượng thụng tin phải qua cổng (gateway) trước khi tới đớch. Do đú, cỏc cổng an ninh điển hỡnh thường được cài dặt trong cỏc bộ định tuyến hoặc cỏc bức tường lửa.
Cú hai chế độ hoạt động khỏc nhau phụ thuộc vào kiểu của cỏc thực thể cú trong phiờn truyền thụng. Chế độ truyền tải được sử dụng chủ yếu trong cỏc liờn kết an ninh host tới host. Ngược lại, chế độ đường hầm cơ bản gồm một SA
Chương I: Tổng quan về thụng tin di động
được ỏp dụng cho một đường hầm IP. Mặc dự chế độ này cũng cú thể được ỏp dụng cho thụng tin host tới host. Nú đặc biệt hữu ớch khi ớt nhất một trong cỏc điểm cuối của liờn kết an ninh là một cổng an ninh. Thực tế trong trường hợp này, chế độ truyền tải thường khụng được sử dụng.
Chế độ đường hầm bao gồm hai tiờu đề IP: Tiờu đề ngoại chỉ ra đớch thực hiện xử lý IPSec trong khi tiờu đề nội nhận dạng đớch thực sự của gúi tin. Cấu hỡnh này được sử dụng trong cỏc mạng riờng ảo (VPN).