IPsec封装安全有效载荷
ESP 封装安全有效载荷ESP(encapsulating Security Payload) 为了提供保密性以及鉴别的支持 IPv4首部 TCP首部 TCP数据 IPv4首部 ESP首部 TCP首部 TCP数据 ESP尾部 ESP鉴别数据 加密部分 鉴别部分
ESP首部结构 0 16 31 安全参数索引 序列号
ESP尾部结构 下一首部 填充长度 0-255个八位组填充 ESP鉴别数据(变量) …… 0 16 24 31
填充字段 一些加密算法要求在加密的报文后又零; 下一首部字段在4个八位组的最右边。如果后面的鉴别数据要求对齐4个八位组的边界,因此需要填充零来对齐; 一些网点可能选择添加随机数量的零,这样在传输路径上的中间点上的偷听者就不容易根据数据报的大小来猜测它的用途。
鉴别范围 IPsec鉴别机制要保证到达的数据报和源站发出的数据报一致 没有将IP数据报传输过程中正常变化的字段包含在鉴别的范围之内,比如TTL寿命字段,首部校验和字段。
本节结束