(IPsec ESP:IPsec Encapsulating Security Payload)
IPsec 封裝安全負載(IPsec ESP)是 IPsec 體系結構中的一種主要協定,其主要設計來在 IPv4 和 IPv6 中提供安全服務的混合套用。IPsec ESP 通過加密需要保護的數據以及在 IPsec ESP 的數據部分放置這些加密的數據來提供機密性和完整性。且ESP加密採用的是對稱密鑰加密算法,能夠提供無連線的數據完整性驗證、數據來源驗證和抗重放攻擊服務。根據用戶安全要求,這個機制既可以用於加密一個傳輸層的段(如:TCP、UDP、ICMP、IGMP),也可以用於加密一整個的 IP 數據報。封裝受保護數據是非常必要的,這樣就可以為整個原始數據報提供機密性。
ESP 頭可以放置在 IP 頭之後、上層協定頭之前 (傳送層),或者在被封裝的 IP 頭之前 (隧道模式)。IANA 分配給 ESP 一個協定數值 50,在 ESP 頭前的協定頭總是在“next head”欄位(IPv6)或“協定”(IPv4)欄位里包含該值 50。ESP 包含一個非加密協定頭,後面是加密數據。該加密數據既包括了受保護的 ESP 頭欄位也包括了受保護的用戶數據,這個用戶數據可以是整個 IP 數據報,也可以是 IP 的上層協定幀(如:TCP 或 UDP)。
基本介紹
- 中文名:IPsec 封裝安全負載
- 外文名:IPsec ESP
- 簡介: IPsec 體系結構中一種主要協定
- 安全:提供機密性、數據源認證
安全
ESP 提供機密性、數據源認證、無連線的完整性、抗重播服務(一種部分序列完整性的形式) 和有限信息流機密性。所提供服務集由安全連線(SA)建立時選擇的選項和實施的布置來決定,機密性的選擇與所有其他服務相獨立。但是,使用機密性服務而不帶有完整性/認證服務(在 ESP 或者單獨在 AH 中)可能使傳輸受到某種形式的攻擊以破壞機密性服務。數據源驗證和無連線的完整性是相互關聯的服務,它們作為一個選項與機密性 (可選擇的)結合提供給用戶。只有選擇數據源認證時才可以選擇抗重播服務,由接收方單獨決定抗重播服務的選擇。
