当ESP处于（ ）情况下，ESP头放在新建外部IP头之后，原IP数据报文之前，为整个原IP报文提供机密性保护，为新建外部IP头后的内容提供认证保护。

GM/T 0028 《密码模块安全技术要求》中，密码边界是明确定义的连续边线，该边线建立了密码模块的物理和/或逻辑边界，并包括了密码模块的所有（）。

GM/T 0028 《密码模块安全技术要求》中，数据路径是数据通过的物理或逻辑通道，多条逻辑数据路径必须使用不同的物理数据路径。

GM/T 0028 《密码模块安全技术要求》中，密码主管是由个体或代表个体操作的进程所担任的角色，该角色负责执行密码模块的密码初始化或管理功能。

GM/T 0028 《密码模块安全技术要求》中，关键安全参数是与安全相关的秘密信息，被泄露或被修改后会危及密码模块的安全性。CSP必须是经过加密的。

根据GM/T 0028《密码模块安全技术要求》，密码模块不能从外部收集熵用于随机数的产生。

GM/T 0028《密码模块安全技术要求》中的“生命周期保障”安全域，主要考虑的是对密钥的全生命周期管理。

根据GM/T 0028《密码模块安全技术要求》，密码算法条件自测试必须在密码模块上电时全部执行完毕。

根据GM/T 0028《密码模块安全技术要求》，软件密码模块的运行环境所包含的计算平台和操作系统，在定义的密码边界之外。

GM/T 0028《密码模块安全技术要求》要求，与软件密码模块类似，固件密码模块的物理安全域也是可选的。

GM/T 0028《密码模块安全技术要求》要求，软件/固件安全域不适用于硬件密码模块。