ESP
封装安全有效载荷
ESP(encapsulating Security
Payload)
为了提供保密性以及鉴别的支
持
IPv4首部 TCP首部 TCP数据
IPv4首部 TCP首部 TCP数据ESP首部 ESP尾部 ESP鉴别数据
加密部分
鉴别部分
ESP首部结构
安全参数索引
序列号
0 16 31
ESP尾部结构
下一首部填充长度0-255个八位组填充
ESP鉴别数据(变量)
……
0 16 24 31
填充字段
一些加密算法要求在加密的报
文后又零;
下一首部字段在4个八位组的最
右边。如果后面的鉴别数据要
求对齐4个八位组的边界,因此
需要填充零来对齐;
一些网点可能选择添加随机数
量的零,这样在传输路径上的
中间点上的偷听者就不容易根
据数据报的大小来猜测它的用
途。
鉴别范围
IPsec鉴别机制要保证到达的数
据报和源站发出的数据报一致
没有将IP数据报传输过程中正
常变化的字段包含在鉴别的范
围之内,比如TTL寿命字段,首
部校验和字段。
