IPsec ESP：IPsec 封装安全负载

    （IPsec ESP：IPsec Encapsulating Security Payload）

IPsec 封装安全负载（IPsec ESP）是 IPsec 体系结构中的一种主要协议，其主要设计来在 IPv4 和 IPv6 中提供一种混合的安全服务。IPsec ESP 通过数据加密以及在 IPsec ESP 的数据部分设置加密数据来提供机密性和完整性。依靠用户安全请求，这个机制既可以用于加密传输层段（如 TCP、UDP、ICMP、IGMP）也可以用于加密整个的 IP 数据报。封装受保护数据是非常必要的，如此可以为整个原始数据报提供机密性。 　　ESP 头可以插在 IP 头之后、上层协议头之前（传送模式），或者在封装的 IP 头之前（隧道模式）。IANA 分配给 ESP 一个协议值50，在 ESP 头前的头立即在其下一个头（IPv6）或协议（IPv4）字段里包含该值50。ESP 由加密数据跟随的非加密头组成。该加密数据既包括了受保护的 ESP 头字段也包括了受保护的用户数据，这个用户数据可以是整个 IP 数据报，也可以是上层协议帧（如 TCP 或 UDP）。 　　ESP 提供机密性、数据源认证、无连接的完整性、抗重播服务（一种部分序列完整性的形式）和有限信息流机密性。提供的这组服务由 SA 建立时选择的选项和实现的位置来决定，机密性的选择与所有其他服务相独立。但是，确保机密性而不保证完整性/认证（在 ESP 或者单独在 AH 中）可能使信息易受到某种活动的、破坏机密性服务的攻击。数据源验证和无连接的完整性是相互关联的服务，它们作为一个选项与机密性（可选择的）结合提供给用户。只有选择数据源认证时才可以选择抗重播服务，由接收方单独决定抗重播服务的选择。

协议结构

16	24	32 bit
Security Association Identifier （SPI）
Sequence Number
Payload Data （Variable Length）
Padding （0-255 bytes）
	Pad Length	Next Header
Authentication Data （variable）

Security Association Identifier ― 一个伪随机值，用于识别数据报的安全联接（Security Association）。 Sequence Number ― 包含无变化的增长计数器值，该值是强制性的，即使接收端不为特定 SA 提供 Anti-Replay 服务，它仍然存在。 Payload Data ― 一个可变长字段，包括 Next Header 字段中描述的数据。 Padding ― 供加密使用。 Pad Length ― 指出 Pad 字节前的号码。 Next Header ― 识别包含在有效负载数据字段中的数据类型。如 IPv6 中的扩展头或上层协议标识符。 Authentication Data ― ―个可变长字段，包括在 ESP 数据包上计算的减去 Authentication Data 的完整校验值（ICV）。

相关协议	IPsec、AH、DES、AES、IKE、DOI、HMAC、HMAC-MD5、HMAC-SHA、PKI、IP、IPv6、ICMP
组织来源	ESP 由 IETF （www.ietf.org） 定义在 RFC 2406中。
相关链接	http://www.javvin.com/protocol/rfc2406.pdf：IP Encapsulating Security Payload （ESP）