SA是单向的，在两个对等体之间的双向通信，最少需要两个SA来分别对两个方向的数据流进行安全保护。同时，如果两个对等体希望同时使用AH和ESP来进行安全通信，则每个对等体都会针对每一种协议来构建一个独立的SA。

SA由一个三元组来唯一标识，这个三元组包括SPI（Security Parameter Index，安全参数索引）、目的IP地址和安全协议号。其中，SPI是用于标识SA的一个32比特的数值，它在AH和ESP头中传输。

SA采用手工配置的方式，通过命令行配置SA的所有信息，手工方式建立的SA永不老化。

1. 认证算法

IPsec使用的认证算法主要是通过杂凑函数实现的。杂凑函数是一种能够接受任意长度的消息输入，并产生固定长度输出的算法，该算法的输出称为消息摘要。IPsec对等体双方都会计算一个摘要，接收方将发送方的摘要与本地的摘要进行比较，如果二者相同，则表示收到的IPsec报文是完整未经篡改的，以及发送方身份合法。

2. 加密算法

IPsec使用的加密算法属于对称密钥系统，这类算法使用相同的密钥对数据进行加密和解密。目前设备的IPsec使用三种加密算法：

• DES：使用56比特的密钥对一个64比特的明文块进行加密。
• 3DES：使用三个56比特（共168比特）的密钥对明文块进行加密。
• AES：使用128比特、192比特或256比特的密钥对明文块进行加密。

这三个加密算法的安全性由高到低依次是：AES、3DES、DES，安全性高的加密算法实现机制复杂，运算速度慢。

IPsec隧道保护的对象

IPsec隧道可以保护IPv6路由协议报文。要实现建立IPsec隧道为两个IPsec对等体之间的数据提供安全保护，首先要配置和应用相应的安全策略，这里的安全策略包括IPsec安全策略和IPsec安全框架。有关IPsec安全策略和IPsec安全框架的详细介绍请参见“IPsec安全策略和IPsec安全框架”。

当IPsec对等体根据IPsec安全策略和IPsec安全框架识别出要保护的报文时，就建立一个相应的IPsec隧道并将其通过该隧道发送给对端。这些IPsec隧道实际上就是两个IPsec对等体之间建立的IPsec SA。由于IPsec SA是单向的，因此出方向的报文由出方向的SA保护，入方向的报文由入方向的SA来保护。对端接收到报文后，首先对报文进行分析、识别，然后根据预先设定的安全策略对报文进行不同的处理（丢弃，解封装，或直接转发）。