Implementace bezpečnostních mechanismů IPsec byla původně v IPv6 povinná, což se uvádí jako jedna z významných výhod proti IPv4. Bohužel však programátoři tuto povinnost odkládají na později, takže zdaleka ne všechny stávající implementace obsahují bezpečnostní mechanismy. RFC 6434 na konci roku 2011 původní povinnou podporu IPsec zmírnilo.

Bezpečnostní mechanismy jsou dva a realizují se prostřednictvím rozšiřujících hlaviček (bezpečnostních protokolů):

Hlavička Authentication Header
slouží především k ověření totožnosti odesilatele datagramu a správnosti jeho obsahu. Volitelně též může poskytnout ochranu proti opakování paketů (aby vetřelec nemohl jednoduše odeslat ještě jednou sekvenci vašich paketů, které se mu podařilo zachytit). Její podpora je volitelná.
Hlavička Encapsulating Security Payload
nabízí širší sortiment služeb. Jejím primárním účelem je zašifrovat nesený datagram, vedle toho však umí poskytovat i služby podobné AH, případně oboje naráz. ESP do sebe pohltí celý zbytek datagramu a je jeho poslední nezašifrovanou částí. Implementace by ji měly podporovat.

Vývoj bezpečnostních prvků IPv6 se postupně odklání od AH ve prospěch ESP. Odráží se to i ve skutečnosti že požadavek na podporu ESP v implementacích je přísnější.

Bezpečnostní prvky mohou být pro datagramy uplatněny v jednom ze dvou možných režimů:

Transportní režim
znamená, že hlavičku AH či ESP vkládá přímo odesilatel datagramu mezi ostatní rozšiřující hlavičky Tunelující režim
naproti tomu zabalí celý původní datagram jako data nového datagramu, v jehož hlavičkách jsou zahrnuty bezpečnostní prvky.

Tunelující režim je obecnější, protože jím může datagramy chránit libovolná dvojice zařízení na cestě mezi odesilatelem a příjemcem. Navíc v případě šifrování ESP chrání celý původní datagram, včetně hlaviček. ESP použité v transportním režimu chrání jen část datagramu za sebou, základní hlavička zůstává v otevřené podobě. Tunelující režim je ideální například pro spojení dvou poboček firmy zabezpečeným tunelem. Směrovač, který poskytuje procházejícím datagramům zabezpečení v tunelujícím režimu, bývá označován jako bezpečnostní gateway.

Datagram může mít jednu nebo obě bezpečnostní hlavičky. Základní datovou strukturou bezpečnostního modelu IPv6 je databáze bezpečnostní politiky (security policy database, SPD). Je to vlastně sada pravidel určujících které datagramy mají být podrobeny jakým bezpečnostním procedurám. Z ní vedou odkazy na tak zvané bezpečnostní asociace (security association, SA). Taková asociace existuje pro každé zabezpečené spojení, které počítač navázal, a obsahuje konkrétní data – způsob zabezpečení, šifrovací algoritmus, klíče a podobně. Bezpečnostní asociace je jednosměrná, komunikující stroje je proto obvykle navazují po párech, po jedné pro každý směr komunikace.

Databáze bezpečnostních politik posuzuje datagramy podle obvyklých kritérií, jako jsou zdrojová/cílová IP adresa, porty, protokoly, jména a podobně. Na jejich základě je datagramu určena jedna ze tří možností zpracování:

• zahodit
• akceptovat, aniž by byl podroben další bezpečnostní prověrce
• aplikovat bezpečnostní mechanismy (v tom případě vydá bezpečnostní asociaci, která se k němu vztahuje)

Databáze bezpečnostních politik například může stanovit, že datagramy přicházející od počítače bankomat123.banka.cz na port 4567 mají být podrobeny bezpečnostní prověrce a vydá odkaz na příslušnou bezpečnostní asociaci. V ní je uloženo, že datagramy musí být opatřeny hlavičkou ESP a veškerá data potřebná k jejich ověření. Vyhoví-li datagram této kontrole, bude propuštěn ke zpracování. V opačném případě jej bezpečnostní mechanismus zahodí. Datagramy přicházející na port 4567 z jiných adres budou podle dalšího pravidla databáze bezpečnostních politik rovnou zahozeny.

Bezpečnostní asociace pochopitelně lze konfigurovat manuálně, takové řešení však velmi omezuje jejich použitelnost. Je myslitelné například pro pevné tunely propojující jednotlivé pobočky firmy, povede však k dlouhodobému používání stejných hesel a krátkodobým výpadkům při jejich změně. I v takovém případě je proto vhodnější nasadit dynamickou správu asociací, díky níž lze veškeré asociace pružně měnit podle potřeby.

Standardním protokolem pro tento účel je Internet Key Exchange Protocol, aktuálně ve druhé verzi IKEv2. Nejprve vytvoří jednu bezpečnostní asociaci pro vlastní potřebu, aby výměna parametrů probíhala uzavřeně. Následně pak podle potřeb vytváří a ruší bezpečnostní asociace pro jednotlivé aplikace.

• RFC 4301 - popis bezpečnostní architektury IPsec
• RFC 4302 - hlavička AH
• RFC 4303 - hlavička ESP
• RFC 4835 - kryptografické algoritmy pro AH a ESP
• RFC 5996 - IKEv2