安全联盟,或SA(Security Association),是IPsec的基础和本质。它存在于IPsec对等体间,负责约定通信要素,例如所使用的安全协议(如AH、ESP或两者结合)、报文封装模式(传输模式或隧道模式)、认证和加密算法(如HMAC-MD5、HMAC-SHA1、SM3、DES、3DES、AES或SM)、共享密钥以及密钥的生存时间等。每个安全联盟都是单向的,在两个对等体之间的双向通信最少需要两个SA来分别保护两个方向的数据流。如果两个对等体希望同时使用AH和ESP进行通信,那么每个对等体都会针对每种协议构建一个独立的SA。
