NetworkWorkingGroupS.KentRequestforComments:2406BBNCorpObsoletes:1827R.AtkinsonCategory:StandardsTrack@HomeNetworkNovember1998IP封装安全有效载荷(ESP)(RFC2406IPEncapsulatingSecurityPayload(ESP))本文档状态:ThisdocumentspecifiesanInternetstandardstrackprotocolfortheInternetcommunity,andrequestsdiscussionandsuggestionsforimprovements.Pleaserefertothecurrenteditionofthe"InternetOfficialProtocolStandards"(STD1)forthestandardizationstateandstatusofthisprotocol.Distributionofthismemoisunlimited.版权声明Copyright(C)TheInternetSociety(1998).AllRightsReserved.目录列表1.介绍..................................................22.封装安全有效载荷分组格式..................32.1安全参数索引................................42.2序列号.........................................42.3有效载荷数据.............................................52.4填充(供加密使用).................................52.5填充长度...............................................72.6下一个头..............................................72.7验证数据......................................73.封装安全协议处理....................73.1ESP头定位......................................73.2算法..............................................103.2.1加密算法..............................103.2.2验证算法..........................103.3出站分组处理..............................103.3.1SA查找........................113.3.2分组加密..................................113.3.3序列号产生.........................123.3.4完整性校验值计算..................123.3.5分片......................................133.4入站分组处理...............................133.4.1重组.........................................133.4.2SA查找........................133.4.3序列号确认.......................143.4.4完整性校验值确认.................153.4.5分组解密..................................164.审核.....................................................175.一致性要求.....................................186.安全考虑事项......................................187.与RFC1827的不同....................................18致谢................................................19参考书目......................................................19Disclaimer......................................................20作者信息..............................................21版权声明........................................221.介绍封装安全有效载荷头在IPv4和IPv6中提供一种混合的安全服务。ESP可以单独应用,与IP验证头(AH)结合使用,或者采用嵌套形式,例如,隧道模式的应用(参看"SecurityArchitecturefortheInternetProtocol"[KA97a],下面使用“安全架构文档”代替)。安全服务可以在一对通信主机之间,一对通信的安全网关之间,或者一个安全网关和一台主机之间实现。在各种网络环境中如何使用ESP和AH的详细细节,参看安全架构文档。ESP头可以插在IP头之后、上层协议头之前(传送模式),或者在封装的IP头之前(隧道模式)。下面将详细介绍这些模式。ESP提供机密性、数据源验证、无连接的完整性、抗重播服务(一种部分序列完整性的形式)和有限信息流机密性。提供的这组服务由SA建立时选择的选项和实现的位置来决定,机密性的选择与所有其他服务相独立。但是,确保机密性而不保证完整性/验证(在ESP或者单独在AH中)可能使信息易受到某种活动的、破坏机密性服务的攻击(参看[Bel96])。数据源验证和无连接的完整性(下面统一称作“验证”引用它们)是相互关联的服务,它们作为一个选项与机密性(可选择的)结合提供给用户。只有选择数据源验证时才可以选择抗重播服务,由接收方单独决定抗重播服务的选择。(尽管默认要求...