Một GSA bao gồm sự tích hợp của ba loại SA. Ba loại SA tương ứng với ba kiểu truyền thông. Hình trên cho ta cái nhìn trực quan về dạng kiến trúc này.
Loại SA1: nhằm đáp ứng cho yêu cầu truyền thông unicast giữa KD và một thành viên của nhóm (có thể là một người gửi hoặc nhận). Khi tham chiếu chuẩn (IETF Reference Framework), thực thể KD phải trả lại điều khiển truy nhập tới các khóa nhóm, kèm theo sự phân phối các chính sách tới các thành viên (hoặc các thành viên trong tương lai), với khóa nhóm được phổ biến tới các thành viên gửi và nhận. Sử dụng điều này cho cho một unicast SA như là một điểm bắt đầu cho việc quản lý khóa chung của một thành viên trong môi trường quản lý khóa nhóm.
Lưu ý rằng unicast SA được sử dụng để bảo vệ các thành phần khác của GSA (chính là 2 loại SA còn lại). Như vậy, các SA này chính là sự quyết định và là một phần không thể tách rời với hai SA còn lại được định nghĩa trong GSA. Từ các khối đưa ra trong KD, có rất nhiều Category1 SA duy nhất có các thành viên (các người gửi, người nhận) trong nhóm. Như vậy sẽ có lợi ích cho một số ứng dụng và như vậy Category1 SA có thể được sử dụng theo yêu cầu, ngược lại Category 2 và Category 3 SA được thiết lập sau cùng của chu kỳ các session chúng hỗ trợ. Lưu ý rằng một vài kiến trúc phân phối KDs có thể được phát triển theo hướng leo thang, như vậy sẽ dàn trải số lượng các SA qua KDs này.
Category 2 SA (SA2): Một SA được yêu cầu cho truyền Multicast cho các thông điệp điều khiển, quản lý khóa (không trực tiếp) từ KD tới tất cả các thành viên của nhóm. Như vậy, SA này được nhận biết bởi KD và tất cả các thành viên của nhóm. Các SA này không được dàn xếp khi tất cả các thành viên của nhóm phải chia sẻ nó. Như vậy KD phải được xác thực nguồn và hành động như một điểm nền móng để liên hệ các thành viên của nhóm để đạt được các SA này. Từ việc sắp xếp mỗi thành viên cụ thể trong nhóm (bao gồm KD và tất cả các thành viên), có Category 2 SA ở cuối của nhóm. Lưu ý rằng điều này cho phép khả năng các KD triển khai nhiều Category 2 SA cho các mục đích quản lý bảo mật khác. Ví dụ: có thể một thông điệp điều khiển đoạn găng/tình huống khẩn cấp và thông điệp khác điều khiển các luật/ các thứ tự ưu tiên.
Category 3 SA(SA3): Một hoặc nhiều các SA được yêu cầu cho truyền Multicast các thông điệp dữ liệu không trực tiếp từ người gửi tới các thành viên khác của nhóm . Tương tự như Category 2 SA, bất chấp các thành viên khởi tạo category thứ 3 này của các SA, các SA này không được thương lượng. Hơn thế nữa tất cả các thành viên của nhóm thu được nó từ các KD. Chính các KD này không sử dụng category của SA khi nó không tồn tại, điều đó nói lên rằng KD không truyền được thông điệp dữ liệu. Khối người nhận cuối mỗi Category 3 SA cho thành viên gửi (một hoặc nhiều) trong nhóm. Điều đó cho phép có thể gắn kèm nhóm IDs (GID) trong truyền đóng gói dữ liệu từ người gửi trong nhóm. Có một thành viên có thể có hiệu quả tới các thành viên của Category 3 SA và sử dụng chung với GIDs.
Mỗi người gửi trong nhóm có thể truy nhập duy nhất Category 3 SA, kết quả là mỗi người nhận phải sửa đổi rất nhiều trong Category 3 SA khi có rất nhiều người gửi trong nhóm.
Nhóm đầu vào triển khai một Category 3 SA đơn lẻ cho tất cả người gửi với cùng việc sử dụng GIDs. Mọi người nhận sẽ phải lọc dựa trên GIDs, chỉnh sửa chỉ trên một Category 3 SA.
Có thể kết hợp hai lựa chọn trên.