当运输层报文段(或IP数据报)的长度不是加密规定的数据块长度的整数倍时,就必须用0进行填充。LM629M-6每个0占据的长度是一个字节。不难看出,8位填充长度的最大值是255。但实际上,填充很少会用到这个最大值。ESP尾部的第三个字段是“下一个首部”(8位),其数值指明,在接收端,有效载荷应当上交到什么地方。

   按照安全关联sA指明的加密算法和密钥,对“运输层报文段(或IP数据报)+ESP尾部”一起进行加密。

   在己加密的这部分的前面,添加EsP首部。EsP首部有两个字段,都是32位。第一个字段存放安全参数索引SPI。通过同一个sA的所有IPscc数据报都使用同样的sPI值。第二个字段是序号。这个序号属于鉴别的部分,因此可用来防止重放攻击。’请注意,当分组重传时序号也不重复。

   按照SA指明的算法和密钥,对“EsP首部+运输层报文段(或IP数据报)+EsP尾部”生成报文鉴别码ˇ△⒋C。

  把MAC添加在EsP尾部的后面。

   生成新的IP首部(通常就是⒛字节长,其协议字段的值是50),这就是图⒎13中的“IPscc的首部”。这个首部就是标准的IP数据报的首部。EsP尾部中的“下一个首部”字段是很重要的,因为若没有这个字段,在收到IPscc数据报并进行鉴别和解密后,就无法知道应将有效载荷送交到何处。字段的作用。

   把首部后面的所有字段都上交给ESP进行鉴别和解密。再根据解密后得到的ESP尾部中“下一个首部”的值(6),把有效载荷上交给TCP。