Um Daten vor dem unbefugten Mitlesen durch Dritte zu schützen, ist es möglich, sie vor dem Versand über das Internet zu verschlüsseln [25].
Am Ende der Liste der IPv6-Köpfe wird ein ''Encrypted Security Payload''- Kopf (ESP) eingefügt. Dieser Kopf enthält ebenfalls einen SPI und eine Sequenznummer. Nach dem ESP-Kopf werden die verschlüsselten Nutzdaten eingefügt, gefolgt von einem ESP Trailer sowie einem ESP-Authentifikationsfeld.
ESP kann auf zwei Arten verwendet werden: im Transport-Modus oder im Tunnel-Modus. Im Transport-Modus wird der ursprüngliche IPv6-Kopf verwendet, wobei nur die Nutzdaten verschlüsselt werden.
Im Tunnel-Modus wird der ursprüngliche IPv6-Kopf sowie eventuell vorhandene Optionen ebenfalls verschlüsselt und als Nutzdaten übertragen. In diesem Fall wird ein neuer IPv6-Kopf erzeugt.
Durch die Verwendung von verschlüsselten Tunneln ist es möglich, den gesamten Datenverkehr einer Organisation über öffentliche Netze zu versenden, ohne daß die jeweils beteiligten Stationen miteinander Verschlüsselungsparameter austauschen müssen. Der Datenverkehr kann in diesem Fall von speziellen Sicherheits-Gateways verschlüsselt werden, um die Stationen von dieser Aufgabe zu befreien.