在ESP传输模式中 为什么SPI和序号字段以及验证数据不能被加密?

1)如果使用了加密，SPI和序号字段不能被加密。首先，在接收端，SPI字段用于和源IP地址、IPSec协议一起组成一个三元组来唯一确定一个SA，利用该SA进行验证、解密等后续处理。如果SPI被加密了，要解密就必须找到SA，而查找SA又需要SPI。其次，序号字段用于判断包是否重复，从而可以防止重放攻击。序号字段不会泄露明文中的信息，没有必要进行加密。不加密序号字段也使得一个包不经过繁琐的解密过程就可以判断包是否重复，如果重复则丢弃之，节约时间和资源。

2)如果使用验证，验证数据也不会被加密，因为如果SA需要ESP的验证服务，那么接收端会在进行任何后续处理之前进行验证。