第17章-网络安全解析.ppt

当实现ESP时，IP数据报中增添了三个附加组件，它们是ESP报头，ESP报尾（Tailer）和ESP验证（Auth）。在IP数据报中，ESP紧随IP报头之后，ESP报尾和ESP验证在数据组件后面。 下图为ESP在IP数据报格式中的位置，以及ESP字段的结构： 17.3.2 IPSec协议类型 ESP报头由两个32位字组成，分别是Security Parameters Index （SPI，安全参数索引）和Sequence Number（序列号）。这同AH报头的SPI、SN是相同的。而且，如同AH一样，ESP提供了HMAC完整性检查，只不过检查字段置于整个分组的最后。这是因为不需要缓存分组就可以计算出整个分组的散列值，然后直接填充到HMAC（Hashed Message Authentication Code，散列的信息认证码）域，提高了传输速率。 ESP过程的步骤如下： （1）有效载荷增加ESP报尾。 （2）有效载荷和报尾要进行加密。 （3）增加ESP报头。 （4）ESP报头、有效载荷以及ESP报尾都用来生成身份验证数据。 （5）身份验证数据加到ESP报尾的末端。 （6）加上IP报头，但要把协议字段值改变为50。 17.3.2 IPSec协议类型 3. ESP隧道模式和AH隧道模式