o Encapsulating Security Payload se baseia no acréscimo de um cabeçalho e uma cauda ao pacote.
Este protocolo define a encriptação do pacote como um todo (no modo túnel) ou da porção de dados do pacote (no modo transporte). No lado do emissor é realizada a encriptação e, no lado do receptor, a desencriptação. Durante o trânsito, as informações encriptadas não poderão ser examinadas por terceiros.
Tanto para a encriptação, feita pelo emissor, quanto para a desencriptação, feita pelo receptor, são utilizados o algoritmo de criptografia e a chave secreta definidos por uma mesma SA. Há várias opções de algoritmos, sendo os mais comuns 3DES,Blowfish e AES.
Além de prover serviços de confidencialidade, o ESP também provê serviços de autenticação e integridade, de maneira bastante similar ao AH. Todavia, estes não incluem o cabeçalho IP (no caso do modo túnel, não incluem o novo cabeçalho IP).