IPsec ESP:IPsec 封装安全负载
(IPsec ESP:IPsec Encapsulating Security Payload)
IPsec 封装安全负载(IPsec ESP)是 IPsec 体系结构中的一种主要协议,其主要设计来在 IPv4 和 IPv6 中提供安全服务的混合应用。IPsec ESP 通过加密需要保护的数据以及在 IPsec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求,这个机制既可以用于加密一个传输层的段(如:TCP、UDP、ICMP、IGMP),也可以用于加密一整个的 IP 数据报。封装受保护数据是非常必要的,这样就可以为整个原始数据报提供机密性。
ESP 头可以放置在 IP 头之后、上层协议头之前 (传送层),或者在被封装的 IP 头之前 (隧道模式)。IANA 分配给 ESP 一个协议数值 50,在 ESP 头前的协议头总是在“next head”字段(IPv6)或“协议”(IPv4)字段里包含该值 50。ESP 包含一个非加密协议头,后面是加密数据。该加密数据既包括了受保护的 ESP 头字段也包括了受保护的用户数据,这个用户数据可以是整个 IP 数据报,也可以是 IP 的上层协议帧(如:TCP 或 UDP)。
ESP 提供机密性、数据源认证、无连接的完整性、抗重播服务(一种部分序列完整性的形式) 和有限信息流机密性。所提供服务集由安全连接(SA)建立时选择的选项和实施的布置来决定,机密性的选择与所有其他服务相独立。但是,使用机密性服务而不带有完整性/认证服务(在 ESP 或者单独在 AH 中)可能使传输受到某种形式的攻击以破坏机密性服务。数据源验证和无连接的完整性是相互关联的服务,它们作为一个选项与机密性 (可选择的)结合提供给用户。只有选择数据源认证时才可以选择抗重播服务,由接收方单独决定抗重播服务的选择。
