Проверка последовательного номера. Все реализации ESP должны обеспечивать защиту от повторений, даже хотя такая защита может, в зависимости от настроек в SA, и не использоваться получателем.

Запись об этом должна содержать значение SPI, дату и время получения, адрес отправителя, адрес получателя, последовательный номер и (в случае IPv6) идентификатор потока.

Если идентификация задана в SA, то отправитель подсчитывает ICV для всего пакета ESP, минус данные идентификации. Таким образом, SPI, последовательный номер, передаваемые данные, дополняющие биты (если есть), длина дополнения и следующий заголовок — все они учитываются при вычислении ICV. Последние четыре пользователя будут в зашифрованном виде, поскольку шифрация выполняется перед идентификацией.

Помещает в поле Передаваемые данные ESP исходную информацию протокола верхнего уровня, если находится в транспортном режиме, или всю исходную датаграмму IP, если находится в туннельном режиме.
Дополняет до нужной длины, если необходимо.
Шифрует результат (данные, дополняющие биты, длину дополнения и следующий заголовок) с использованием ключа, алгоритма шифрации и режима алгоритма, заданного в SA.

На 9.3 показана защита АН в случае IPv4 и IPv6 в туннельном режиме. Туннельный режим АН может быть использован как хостами, так и шлюзами безопасности (или в так называемых реализациях запихнуть в стек или запихнуть в железо). Когда АН применяется в шлюзе безопасности (с целью защиты транзитных данных), то должен использоваться туннельный режим.

RFC 2402 RFC 2402 является самой последней спецификацией АН, и в этой главе мы сконцентрируемся именно на этой версии АН. На 9.5 показан формат этого варианта протокола. АН задается при помощи значения поля Идентификатор Протокола, которое устанавливается равным 51. Все поля его заголовка включаются в значение проверки сохранности (объясняется чуть позже). Эти поля предназначены для выполнения следующих функций:

Поле Индекс параметров защиты (Security Parameters Index — SPI) задает ассоциации безопасности данной датаграммы. Если значение поля равно нулю, то это означает, что ассоциации безопасности не существует. Значения SPI от 1 до 255 зарезервированы Агентством по выделению имен и уникальных параметров протоколов Internet (Internet Assigned Numbers Authority — IANA).

Что и как делает АН АН был опубликован в двух «вариантах». Первый определен в RFC 1826, и в этой части главы мы коротко обсудим эту раннюю спецификацию, поскольку до сих пор существуют реализации, на ней основанные?

Если применяется фрагментация, то соответствующие значения вычисляются после АН обработки. Таким образом, транспортный режим АН применяется только в случае целых датаграмм, а не их фрагментов. IP пакет, к которому был применен АН, может быть фрагментирован маршрутизаторами на пути от отправителя к получателю, но такие фрагменты должны быть собраны в целое до обработки АН у получателя. В туннельном режиме АН применяется к IP пакету, блоком данных которого может быть фрагмент другого IP пакета. Например, шлюзы безопасности (а также IPSec в вариантах запихнуть в стек и запихнуть в железо) могут использовать туннельный режим АН для таких фрагментов.

Данные идентификации: содержит значение проверки сохранности (ICV), которое описывается в следующем разделе.