第二种工作方式是隧道方式(tumcl mOdc)。隧道方式是在一个IP数据报的后面和前面分别添加一些控制字段,构成IPscc数据报。显然,这需要在IPseG数据报所经过的所有路由器都运行IPscc协议。IPSec的隧道方式常用来实现虚拟专用网VN。

    当初在设计IPv4时还没有出现IPsec,这就给后来实现IPsec添加了一些麻烦。新的协议IPv6在设计时就考虑了IPscc的实现问题,在IP层的扩展首部中可以很方便地实现IPscc(使用EsP协议和AH协议)。FAN7614S7X于在因特网中的主机数要远远大于路由器的数目,因此目前采用隧道方式实现IPsec会相对较为简单一些下面我们讨论把运输层报文段(或IP数据报)封装成IPscc数据报的过程。具体的步骤如下。

    (1)在运输层报文段(或IP数据报)后面添加EsP尾部。ESp尾部有三个字段。第一个字段是填充字段,里面填充的是全0。第二个字段是填充长度(8位),指出填充宇段的字节数。为什么要再添加一些0呢?这是因为我们通常都是以具有一定字节长度的数据块为单位进行数据加密的。当运输层报文段(或IP数据报)的长度不是加密规定的数据块长度的整数倍时,就必须用0进行填充。每个0占据的长度是一个字节。不难看出,8位填充长度的最大值是255。但实际上,填充很少会用到这个最大值。ESP尾部的第三个字段是“下一个首部”(8位),其数值指明,在接收端,有效载荷应当上交到什么地方。

    (2)按照安全关联sA指明的加密算法和密钥,对“运输层报文段(或IP数据报)+ESP尾部”一起进行加密。

    (3)在己加密的这部分的前面,添加EsP首部。EsP首部有两个字段,都是32位。第一个字段存放安全参数索引SPI。通过同一个sA的所有IPscc数据报都使用同样的sPI值。第二个字段是序号。这个序号属于鉴别的部分,因此可用来防止重放攻击。’请注意,当分组重传时序号也不重复。