按照安全关联sA指明的加密算法和密钥对“运输层报文段(或IP数据报)+ESP尾部”一起进行加密。

   在己加密的这部分的前面,添加EsP首部。EsP首部有两个字段,都是32位。 A1101R08A-EZ4A第一个字段存放安全参数索引SPI。通过同一个sA的所有IPscc数据报都使用同样的sPI值。第二个字段是序号。这个序号属于鉴别的部分,因此可用来防止重放攻击。’请注意,当分组重传时序号也不重复。

    按照SA指明的算法和密钥,对“EsP首部+运输层报文段(或IP数据报)+EsP尾部”生成报文鉴别码。

    把MAC添加在EsP尾部的后面。

    生成新的IP首部(通常就是⒛字节长,其协议字段的值是50),这就是的“IPscc的首部”。这个首部就是标准的IP数据报的首部。

EsP尾部中的“下一个首部”字段是很重要的,因为若没有这个字段,在收到IPscc数据报并进行鉴别和解密后,就无法知道应将有效载荷送交到何处。首部”字段的作用。

   当接收端收到IPscc数据报后,根据IPsec首部的协议字段

(5ω,把首部后面的所有字段都上交给ESP进行鉴别和解密。再根据解密后得到的ESP尾部中“下一个首部”的值(6),把有效载荷上交给TCP。

    当接收端收到IPsec数据报后,根据IPscG首部的协议字段(50),把首部后面的所有字段都上交给ESP进行鉴别和解密。再根据解密后得到的EsP尾部中“下一个首部”的值(4),把有效载荷上交给IP。IP找到IP首部中的协议字段,其数值是6,就把IP首部后面的字段(即TCP报文段)都交给TCP。假定这个隧道方式对应于的情况,那么请注意,在的IP首部中,是用主机Hl和H2的IP地址,分别作为源地址和目的地址,而在最前面的IPsec首部中,是用路由器R1和△的IP地址,分别作为源地址和目的地址。