(IPsec ESPIPsec Encapsulating Security Payload)
IPsec 封装安全负载(IPsec ESP)是 IPsec 体系结构中的一种主要协定,其主要设计来在 IPv4 和 IPv6 中提供安全服务的混合套用。IPsec ESP 通过加密需要保护的数据以及在 IPsec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。且ESP加密採用的是对称密钥加密算法,能够提供无连线的数据完整性验证、数据来源验证和抗重放攻击服务。根据用户安全要求,这个机制既可以用于加密一个传输层的段(如TCP、UDP、ICMP、IGMP),也可以用于加密一整个的 IP 数据报。封装受保护数据是非常必要的,这样就可以为整个原始数据报提供机密性。
ESP 头可以放置在 IP 头之后、上层协定头之前 (传送层),或者在被封装的 IP 头之前 (隧道模式)。IANA 分配给 ESP 一个协定数值 50,在 ESP 头前的协定头总是在“next head”栏位(IPv6)或“协定”(IPv4)栏位里包含该值 50。ESP 包含一个非加密协定头,后面是加密数据。该加密数据既包括了受保护的 ESP 头栏位也包括了受保护的用户数据,这个用户数据可以是整个 IP 数据报,也可以是 IP 的上层协定帧(如TCP 或 UDP)。
基本介绍
- 中文名IPsec 封装安全负载
- 外文名IPsec ESP
- 简介 IPsec 体系结构中一种主要协定
- 安全提供机密性、数据源认证
安全
ESP 提供机密性、数据源认证、无连线的完整性、抗重播服务(一种部分序列完整性的形式) 和有限信息流机密性。所提供服务集由安全连线(SA)建立时选择的选项和实施的布置来决定,机密性的选择与所有其他服务相独立。,使用机密性服务而不带有完整性/认证服务(在 ESP 或者单独在 AH 中)可能使传输受到某种形式的攻击以破坏机密性服务。数据源验证和无连线的完整性是相互关联的服务,它们作为一个选项与机密性 (可选择的)结合提供给用户。只有选择数据源认证时才可以选择抗重播服务,由接收方单独决定抗重播服务的选择。