Funkcí bezpečnostní vrstvy je zašifrovat a autentikovat pakety a spravovat výměnu klíčů potřebných k šifrování a autentikaci. Bezpečnostní vrstva obsahuje čtyři odlišné protokoly (viz. tabulka 3.1).

Key exchange protokol nezpracovává žádné pakety. Jeho funkcí je výměna klíčů (mezi AN a AT) potřebných k šifrování a autentikaci. K tomu key exchange protokol používá zprávy KeyRequest a KeyResponse.

Jak je ukázáno na obrázku 3.4, encryption protokol jako první zpracovává paket obdržený ze spojovací vrstvy. Při zašifrování paketu může encryption protokol k paketu přidat hlavičku a/nebo patičku. Jeden ze způsobů zašifrování paketu je přidat patičku za účelem ukrytí skutečné délky paketu.

Poté, co je paket zašifrován v encryption protokolu, je dále předán do authentication protokolu. Při autentikaci paketu k němu může být přidána hlavička. Povšimněte si, že umístění authenticate protokolu pod encryption protokol znamená, že bezpečnostní vrtsva na straně přijímače musí paket autentikovat a až pak dešifrovat. Toto uspořádání se vyhýbá dešifrování, pokud autentikace není úspěšná.

Poté, co je paket autentikován v authenticate protokolu, je dále předán do security protokolu. Security protokol provádí hospodařící funkce, jako například poskytování parametrů pro jiné protokoly v bezpečnostní vrstvě; tyto parametry mohou být začleněné do hlavičky security protokolu. Po zapracování security protokolem se paket předá do MAC vrstvy.