La attuale implementazione di Internet presenta numerosi problemi di sicurezza, in particolare i dati presenti nelle intestazioni dei vari protocolli sono assunti essere corretti, il che da adito alla possibilità di varie tipologie di attacco forgiando pacchetti falsi, inoltre tutti questi dati passano in chiaro sulla rete e sono esposti all'osservazione di chiunque si trovi in mezzo.
Con IPv4 non è possibile realizzare un meccanismo di autenticazione e riservatezza a un livello inferiore al primo (quello di applicazione), con IPv6 è stato progettata la possibilità di intervenire al livello del collegamento (il terzo) prevedendo due apposite estensioni che possono essere usate per fornire livelli di sicurezza a seconda degli utenti. La codifica generale più recente di questa architettura è riportata nell'RFC 2401.
Nel caso di IPv6 il meccanismo in sostanza si basa su due specifiche opzioni di estensione:
Perché tutto questo funzioni le stazioni sorgente e destinazione devono usare una stessa chiave crittografica e gli stessi algoritmi, l'insieme degli accordi fra le due stazioni per concordare chiavi e algoritmi usati va sotto il nome di associazione di sicurezza ed è spiegato in dettaglio nell'RFC 2401.
I pacchetti autenticati e crittografati portano un indice dei parametri di sicurezza (SPI, Security Parameter Index) che viene negoziato prima di ogni comunicazione ed è definito dalla stazione sorgente. Nel caso di multicast dovrà essere lo stesso per tutte le stazioni del gruppo.