IPSec muß die beteiligten Rechner mit verschiedenen Schlüsseln und
kryptographischen Verfahren assoziieren und deren Einsatz mit den
IPSec-Headern koordinieren. Dazu müssen jeweils zwei Rechner eine
Sicherheitsassoziation untereinander einrichten. Mithilfe dieser Beziehung
wird dann das Verschlüsselungs- als auch das Authentifizierungsverfahren bestimmt.
Eine Sicherheitsbeziehung enthält unter anderem folgende Werte:
Erreicht ein Paket mit einem IPSec-Header einen IPSec unterstützenden
Rechner, so wird anhand des Security Parameter Index (SPI) und der
IP-Adresse bestimmt, welche Security Association (SA) auf diesen
IPSec-Header anzuwenden ist. Sicherheitsbeziehungen (SAs) zwischen
zwei Rechnern werden mithilfe der eindeutigen
IP-Adressen formuliert. Es wird eine Security Association (SA) pro
Kommunikationsrichtung benötigt.