Eine logische Verbindung (Tunnel) zwischen zwei IPSec-Geräten wird als SA (Security Association) bezeichnet. SAs werden selbstständig vom IPSec-Gerät verwaltet. Eine SA besteht aus drei Werten:
- Security Parameter Index (SPI)Kennziffer zur Unterscheidung mehrerer logischer Verbindungen zum selben Zielgerät mit denselben Protokollen.
- IP-Ziel-Adresse
- Verwendetes SicherheitsprotokollKennzeichnet das bei der Verbindung eingesetzte Sicherheitsprotokoll, im Normalfall ESP.
Eine SA gilt dabei nur für eine Kommunikationsrichtung der Verbindung (simplex). Für eine vollwertige Sende- und Empfangsverbindung werden zwei SAs benötigt. Außerdem gilt eine SA nur für ein eingesetztes Protokoll.
Die SAs werden im IPSec-Gerät in einer internen Datenbank verwaltet, in der auch die erweiterten Verbindungsparameter abgelegt werden. Zu diesen Parametern gehören beispielsweise die verwendeten Algorithmen und Schlüssel.
