按照SA指明的算法和密钥,对“EsP首部+运输层报文段(或IP数据报)+EsP尾部” FGL40N120AND生成报文鉴别码。

    把MAC添加在EsP尾部的后面。

(o生成新的IP首部(通常就是⒛字节长,其协议字段的值是50),这就是图⒎13中的“IPscc的首部”。这个首部就是标准的IP数据报的首部。EsP尾部中的“下一个首部”字段是很重要的,因为若没有这个字段,在收到IPscc数据报并进行鉴别和解密后,就无法知道应将有效载荷送交到何处。图7-14说明了“下一个首部”字段的作用。

是运输方式。当接收端收到IPscc数据报后,根据IPsec首部的协议字段(5ω,把首部后面的所有字段都上交给ESP进行鉴别和解密。再根据解密后得到的ESP尾部中“下一个首部”的值(6),把有效载荷上交给TCP。

    是隧道方式。当接收端收到IPsec数据报后,根据IPscG首部的协议字段(50),把首部后面的所有字段都上交给ESP进行鉴别和解密。再根据解密后得到的EsP尾部中“下一个首部”的值(4),把有效载荷上交给IP。IP找到IP首部中的协议字段,其数值是6,就把IP首部后面的字段(即TCP报文段)都交给TCP。假定这个隧道方式对应于图⒎12的情况,那么请注意,在图⒎14(b)中间的IP首部中,是用主机Hl和H2的IP地址,分别作为源地址和目的地址,而在最前面的IPsec首部中,是用路由器R1和△的IP地址,分别作为源地址和目的地址。