SA là tập hợp các thông tin dựng chia sẻ giữa BS và SS nhằm đảm bảo tính an toàn trong trao đổi. SA làm nhiệm vụ duy trì trạng thái bảo mật của một kết nối. Có hai loại SA là SA cho dữ liệu (DSA) và SA cho chứng thực (ASA) nhưng 802.16 chỉ định nghĩa DSA, loại SA được dựng để bảo vệ các kết nối vận chuyển giữa các SS và BS. Có ba loại DSA là loại DSA chính, loại DSA tĩnh và loại DSA động. DSA chính được thiết lập trong suốt quá trình khởi tạo. DSA tĩnh được cấu hình sẵn trên BS, DSA động được đặt tùy
nhiều SS.
DSA bao gồm các dữ liệu sau:
SAID được dựng để chỉ định tới SA, SAID có độ dài 16bit. Giá trị SAID của DSA chính sẽ bằng với CID của kết nối cơ bản.
Thuật toán dựng để trao đổi dữ liệu. Ví dụ như DES.
Hai khóa TEK để mã hóa mã hóa dữ liệu: một để sử dụng, một để dự phòng. Một chỉ số của TEK
Một tham số về thời gian sử dụng của TEK, giá trị mặc định là nửa ngày, giá trị nhỏ nhất là 30 phút và lớn nhất là 7 ngày.
Một IV 64 bit cho TEK
Một tham số chỉ định loại SA.
Để bảo mật một kết nối chuyển vận, SS trước hết phải khởi tạo ra một DSA. Nhiều kết nối có thể chia sẻ cung chung SA, khả năng này dựng để cung cấp các dịch vụ multicast. Ngay sau khi SS tham gia vào mạng, một SA cũng sẽ được tạo ra trên kết nối thứ cấp. Như vậy, SS thông thường sẽ có hai hoặc ba SA: một SA cho kết nối thứ cấp, một SA cho kết nối chuyển vận đường lên, hay một SA cho kết nối chuyển vận đường xuống.
Có một số quy tắc ánh xạ một kết nối vào các DSA.
Tất cả các kết nối chuyển vận sẽ được ánh xạ vào một DSA đã được công nhận.
Các kết nối multicast có thể được ánh xạ vào bất cứ DSA tĩnh hoặc động nào. Các kết nối thứ cấp sẽ được ánh xạ vào DSA chính.
Các kế nối cơ bản và sơ cấp sẽ không được ánh xạ, chúng không cần bảo mật.