算法RFC可以指定接收方必须检查填充字段或者接收方必须通知发送方接收方如何处理填充字
段 。
2.5填充长度PadLength
填充长度字段指明紧接其前的填充字节的个数 。有效值范围是0至255 , 0表明没有填充字节 。
填充长度字段是强制性的 。
2.6下一个头
下一个头是一个8位字段 , 它标识有效载荷字段中包含的数据类型 , 例如 , IPv6中的扩展头
或者上层协议标识符 。该字段值从InternetAssignedNumbersAuthority(IANA)最新“Assigned
Numbers”[STD-2]RFC定义的IP协议号集当中选择 。下一个头字段是强制性的 。
2.7验证数据
验证数据是可变长字段 , 它包含一个完整性校验值(ICV) , ESP分组中该值的计算不包含验
证数据本身 。字段长度由选择的验证函数指定 。验证数据字段是可选的 , 只有SA选择验证服务 ,
才包含验证数据字段 。验证算法规范必须指定ICV长度、验证的比较规则和处理步骤 。
3.封装安全协议处理
3.1ESP头定位
类似于AH , ESP有两种使用方式:传送模式或者隧道模式 。前者仅在主机中实现 , 提供对
上层协议的保护 , 不提供对IP头的保护 。(传送模式中 , 注重安全架构文档中定义的“堆栈中的
块”或者“线路中的块”实现 , 入站和出站IP分片可能要求IPsec实现执行额外的IP重组/分片 ,
以便遵照这个规范 , 提供透明IPsec支持 。当存在多个接口时 , 在这些实现内部执行这些操作要
非凡小心 。)
传送模式中 , ESP插在IP头之后 , 上层协议之前 , 例如TCP , UCP , ICMP等 , 或者在任何
已经插入的IPsec头之前 。IPv4中 , 意指把ESP放在IP头(和它包含的任何其他选项)之后,但
是在上层协议之前 。(注重术语“传输”模式不应该曲解为把它的应用限制在TCP和UDP中 。
例如ICMP报文可能使用“传输”模式或者“隧道”模式发送 。)下面数据报图示了典型IPv4分
组中ESP传送模式位置 , 以“表示出外形上尖锐对照”为基础 。(“ESP尾部”包含所有填充 ,
加填充长度和下一个头字段 。)
ESP应用前
----------------------------
IPv4原始IP头
(所有选项)TCP数据
----------------------------
ESP应用后
-------------------------------------------------
IPv4原始IP头ESPESPESP
(所有选项)头部TCP数据尾部验证
-------------------------------------------------
<-----已加密---->
<------已验证----->
IPv6中 , ESP被看作端到端的有效载荷 , 因而应该出现在逐跳 , 路由和分片扩展头之后 。
目的选项扩展头既可以在ESP头之前 , 也可以在ESP头之后 , 这由期望的语义决定 。但是 , 因
为ESP仅保护ESP之后的字段 , 通常它可能愿意把目的选项头放在ESP头之后 。下面数据报图
示了典型IPv6分组中ESP传送模式位置 。
ESP应用前
---------------------------------------
IPv6假如有
原始IP头扩展头TCP数据
---------------------------------------
ESP应用后
---------------------------------------------------------
IPv6原始逐跳 , 目的*目的ESPESP
IP头路由 , 分片ESP选项*TCP数据尾部验证
---------------------------------------------------------
<----已加密---->
<----已验证---->
*=假如存在 , 应该在ESP之前 , ESP之后 , 或者ESP和AH头以各种模
式组合 。IPsec架构文档描述了必须支持的SA组合 。
隧道模式ESP可以在主机或者安全网关上实现 。ESP在安全网关(保护用户传输流量)实现
时必须采用隧道模式 。隧道模式中 , “内部”IP头装载最终的源和目的地址 , 而“外部”IP头可
推荐阅读
- ESP和AH中HMAC-SHA-1-96的使用
- vivox23幻彩版怎么退出安全模式
- 在ESP和AH中使用HMAC-MD5-96
- 交通安全的重要性
- 泌乳奶牛安全越夏有讲究
- v3 简单目录访问协议:传输层安全扩展
- 羊群安全越冬5要点
- 安全用电六不要
- 初级安全工程师考几门
- LBE安全大师功能详细介绍