當(dāng)運(yùn)輸層報(bào)文段(或IP數(shù)據(jù)報(bào))的長(zhǎng)度不是加密規(guī)定的數(shù)據(jù)塊長(zhǎng)度的整數(shù)倍時(shí),就必須用0進(jìn)行填充。LM629M-6每個(gè)0占據(jù)的長(zhǎng)度是一個(gè)字節(jié)。不難看出,8位填充長(zhǎng)度的最大值是255。但實(shí)際上,填充很少會(huì)用到這個(gè)最大值。ESP尾部的第三個(gè)字段是“下一個(gè)首部”(8位),其數(shù)值指明,在接收端,有效載荷應(yīng)當(dāng)上交到什么地方。

   按照安全關(guān)聯(lián)sA指明的加密算法和密鑰,對(duì)“運(yùn)輸層報(bào)文段(或IP數(shù)據(jù)報(bào))+ESP尾部”一起進(jìn)行加密。

   在己加密的這部分的前面,添加EsP首部。EsP首部有兩個(gè)字段,都是32位。第一個(gè)字段存放安全參數(shù)索引SPI。通過同一個(gè)sA的所有IPscc數(shù)據(jù)報(bào)都使用同樣的sPI值。第二個(gè)字段是序號(hào)。這個(gè)序號(hào)屬于鑒別的部分,因此可用來防止重放攻擊�！�(qǐng)注意,當(dāng)分組重傳時(shí)序號(hào)也不重復(fù)。

   按照SA指明的算法和密鑰,對(duì)“EsP首部+運(yùn)輸層報(bào)文段(或IP數(shù)據(jù)報(bào))+EsP尾部”生成報(bào)文鑒別碼ˇ△⒋C。

  把MAC添加在EsP尾部的后面。

   生成新的IP首部(通常就是⒛字節(jié)長(zhǎng),其協(xié)議字段的值是50),這就是圖⒎13中的“IPscc的首部”。這個(gè)首部就是標(biāo)準(zhǔn)的IP數(shù)據(jù)報(bào)的首部。EsP尾部中的“下一個(gè)首部”字段是很重要的,因?yàn)槿魶]有這個(gè)字段,在收到IPscc數(shù)據(jù)報(bào)并進(jìn)行鑒別和解密后,就無法知道應(yīng)將有效載荷送交到何處。字段的作用。

   把首部后面的所有字段都上交給ESP進(jìn)行鑒別和解密。再根據(jù)解密后得到的ESP尾部中“下一個(gè)首部”的值(6),把有效載荷上交給TCP。