安全关联（Security Association，SA）是IPSec的认证和机密性机制中的一个关键概念。关联是发送方和接收方之间的单向关系，它为其上承载的流量提供安全服务。如果需要保护双向通信流量，则需要两个SA，每个方向上一个。

一个SA由3个参数唯一标识：

（1）安全参数索引（Security Parameter Index，SPI）：一个分配给此SA且仅在本地有意义的比特串。SPI位于ESP头中，使接收系统能够选择对应的SA来处理接收的数据包。

（2）IP目的地址（IP Destination Address）：这是SA的目的端点的地址。目的端可以是终端用户系统，也可以是网络系统，如防火墙或路由器。

（3）协议标识符（Protocol Identifier）：它指示该关联是一个AH SA，还是一个ESP SA。

因此，在任何IP包中，SA由IPv4或IPv6头中的目的地址和扩展头（AH或ESP）中的SPI唯一标识。

在每个IPSec实现中，都有一个安全关联数据库（Security Association Database，SAD），该数据库定义了与每个SA相关的参数。SAD中的SA包括以下参数：

（1）序列号计数器（Sequence Number Counter）：一个32 bit的值，用于生成AH或ESP头中的序列号字段。

（2）序列计数器溢出（Sequence Counter Overflow）：一个标志，指示序列号计数器的溢出是否应生成可审计事件，并阻止在此SA上继续传输数据包。(www.daowen.com)

（3）抗重放窗口（Antireplay Window）：用于确定入站的AH或ESP数据包是否为重放的数据包。它是通过定义一个序列号必须落在其内的滑动窗口实现的。

（4）AH信息：AH使用的认证算法、密钥、密钥生存期和相关参数。

（5）ESP信息：ESP使用的加密和认证算法、密钥、初始值、密钥生存期和相关参数。

（6）安全关联的生存期：一个时间间隔或字节计数值，加上一个动作指示。超过时间间隔或计数值之后，SA必须用新的SA（和新的SPI）替换或终止。动作即指替换或终止SA。

（7）IPSec协议模式（IPSec Protocol Mode）：隧道模式、传输模式或通配符模式（所有实现都需要）。这些模式将在本节后面讨论。

（8）最大传输单元路径（Path MTU）：最大传输单元（不需要分段传输的数据包的最大长度）路径和老化变量（所有实现都需要）。

用于分发密钥的密钥管理机制仅通过SPI与认证和保密机制相结合。因此，认证和保密机制被规定为与任何特定的密钥管理机制无关。