Diffie Hellman - protokół kryptograficzny, którego podstawowym zadaniem jest wygenerowanie klucza szyfrowania dla obu stron połączenia. Klucz ten służy do zabezpieczenia dalszej komunikacji. DH uznawany jest za bezpieczny protokół, pod warunkiem prawidłowego przebiegu procesu uzgadniania klucza. Wyróżnia się kilka grup matematycznych, na których operuje DH. Decydują one o stopniu skomplikowania procesu uzgadniania kluczy, a przy tym bezpieczeństwa. Im wyższa jednak grupa, tym więcej zasobów potrzebujemy na przeprowadzenie operacji. Najczęściej spotyka się grupy: 1 (768 bitów), 2 (1024 bity), 5 (1536 bitów), 14 (2048 bitów). Z uwagi na bezpieczeństwo często stosowana jest grupa 2.

IKE (Internet Key Exchange) - podczas nawiązywania połączenia jego poszczególne parametry muszą zostać bezpiecznie wynegocjowane. Aby wypełnić właśnie to zadanie, stworzono protokół IKE, który tworzy tzw. związki bezpieczeństwa (Security Associations), będące rezultatem wynegocjowania wielu parametrów kanału, takich jak algorytm szyfrowania (np. AES czy 3DES), metody uwierzytelniania połączenia (np. klucz współdzielony czy certyfikat), jedna z grup algorytmu Diffie Hellman. Żeby zrealizować swoją misję, IKE działa w dwóch fazach. W pierwszej tworzy najpierw kanał szyfrowany do wymiany wrażliwych danych i w zależności od konfiguracji IKE może skorzystać z jednego z dwóch trybów: main lub aggressive. Każdy z nich ma wady i zalety. Main mode jest bezpieczniejszy - do ustanowienia związku bezpieczeństwa wykorzystuje się tutaj trzy pary wiadomości. Niestety, tryb ten nie jest zbyt szybki podczas zestawiania połączenia. Dlatego też stworzono tryb aggressive, który zamiast trzech par, używa jedynie trzech pojedynczych wiadomości. Jest przez to mniej bezpieczny (np. brak możliwości uzgadniania grupy DH) i daje mniejsze możliwości, ale za to jest szybki. Po wykonaniu tej pracy może zostać nawiązana faza druga, która służy zestawieniu związków bezpieczeństwa właściwego połączenia IPSec. Tutaj na szczęście mamy tylko jeden tryb: quick mode, który podobnie jak aggressive do wynegocjowania parametrów używa jedynie trzech wiadomości. Kanał ten jest szyfrowany za pomocą takich algorytmów, jakie zostały wynegocjowane w fazie pierwszej.

AH (Authentication Header) - zapewnia integralność nagłówka pakietu oraz zawartych w nim danych, przenosi informacje uwierzytelniające. Może pracować w dwóch trybach: tunelowania oraz transportowym. Pierwszy jest najczęściej wykorzystywany w połączeniach site-to-site, drugi zaś w połączeniach client-to-site. AH nie potrafi zaszyfrować samego pakietu - adresy IP (źródła i celu) nie są w żaden sposób ukryte, co powoduje, że AH nie jest kompatybilny z NAT-em. W związku z tym stosowany jest coraz rzadziej, a niektóre rozwiązania w ogóle go nie wspierają.

ESP (Encapsulating Security Payload) - w zależności od wersji jest w stanie zapewnić zarówno szyfrowanie, jak i kontrolę integralności - przewaga nad AH. Obie te funkcje powinny być stosowane łącznie, jedynie w skrajnych przypadkach osobno. Obecnie standardem jest wersja 2, trwają jednak prace nad wersją 3 tego protokołu. Podobnie jak AH, tak i ESP może pracować w trybie transportowym i tunelowania. Tylko ten drugi jest kompatybilny z NAT-em.

IPCOMP (IP Compression) - wykorzystywany do kompresji ładunku, który niesiony jest w kanale IPSec. Jest on na tyle sprytny, że nie próbuje upakowywać wszystkich danych hurtem, a rozpoznaje te typy informacji, które faktycznie dają się skompresować.

PERFECT FORWARD SECRECY - szczególna właściwość pracy systemów wymiany kluczy, m.in. Diffie Hellman opartych na kluczach długoterminowych.