SA là tập hợp các thông tin dùng chia sẻ giữa BS và SS nhằm đảm bảo tính an toàn trong trao đổi. SA làm nhiệm vụ duy trì trạng thái bảo mật của một kết nối. Có hai loại SA là SA cho dữ liệu (DSA) và SA cho chứng thực (ASA) nhưng 802.16 chỉ định nghĩa DSA, loại SA được dùng để bảo vệ các kết nối chuyển vận giữa các SS và BS. Có ba loại DSA là loại DSA chính, loại DSA tĩnh và loại DSA động. DSA chính được thiết lập trong suốt quá trình khởi tạo. DSA tĩnh được cấu hình sẵn trên BS, DSA động được đặt tùy vào các kết nối. Cả DSA tĩnh và DSA động đều có thể được sử dụng bởi nhiều SS.
− SAID được dùng để chỉ định tới SA, SAID có độ dài 16bit. Giá trị SAID của DSA chính sẽ bằng với CID của kết nối cơ bản.
− Thuật toán dùng để trao đổi dữ liệu. Ví dụ như DES.
− Hai khóa TEK để mã hóa mã hóa dữ liệu: một để sử dụng, một để dự phòng.
− Một chỉ số của TEK
− Một tham số về thời gian sử dụng của TEK, giá trị mặc định là nửa ngày, giá trị nhỏ nhất là 30 phút và lớn nhất là 7 ngày.
− Một IV 64 bit cho TEK
− Một tham số định nghĩa loại SA.
Để bảo mật một kết nối chuyển vận, SS trước hết phải khởi tạo ra một DSA. Nhiều kết nối có thể chia sẻ chung SA, khả năng này dùng để cung cấp các dịch vụ multicast. Ngay sau khi SS tham gia vào mạng, một SA cũng sẽ được tạo ra trên kết nối thứ cấp. Như vậy, SS thông thường sẽ có hai hoặc ba SA: một SA cho kết nối thứ cấp, một SA cho kết nối chuyển vận đường lên, một SA cho kết nối chuyển vận đường xuống.
Có một số quy tắc ánh xạ một kết nối vào các DSA.
− Tất cả các kết nối chuyển vận sẽ được ánh xạ vào một DSA đã được công nhận.
− Các kết nối multicast có thể được ánh xạ vào bất cứ DSA tĩnh hoặc động nào.
− Các kết nối thứ cấp sẽ được ánh xạ vào DSA chính.
− Các kế nối cơ bản và sơ cấp sẽ không được ánh xạ, chúng không cần bảo mật