RFC1827IP密码安全有效载荷(ESP).docx

组织：中国互动出版网〔“://china-pub/“://china-pub/〕

RFC文档中文翻译打算〔“://china-pub/compters/emook/aboutemook.htm“://china-pub/compters/emook/aboutemook.htm〕E-mail：“mailto:ouyang@china-pub“ouyang@china-pub

译者：piex〔piex “mailto:jintao@bigfoot“jintao@bigfoot〕译文公布时间：2023-01-18

版权：本中文翻译文档版权归中国互动出版网全部。可以用于非商业用途自由转载，但必需保存本文档的翻译及版权信息。

NetworkWorkingGroup R.Atkinson

RequestforComments:1827 NavalResearchLaboratory

Category:StandardsTrack August1995

IP封装安全载荷〔ESP〕

本备忘录的状态

这篇文档详述了Internetcommunity中的一个internet标准栈协议，并且恳求对于这个标准栈协议的争论和建议。标准化的状态和协议的状态请参考internet官方协议标准〔std1〕.公布本备忘录的发放不受限制。

摘要

此篇文档描述了IP封装安全载荷〔ESP〕。ESP是为IP数据包供给完整性和机密性的一种机制。在某些状况下也可用于IP数据包的安全认证。此机制可用于IPv4和IPv6。

1介绍

ESP是为IP数据包供给完整性和机密性的一种机制。它也能在特定的认证算法和算法模型的根底上供给身份认证。ESP不供给流量分析的不行否认性和保护性效劳。IP认证头〔AH〕使用肯定的认证算法[Atk95b]可以实现不行否认性效劳。IP认证头可以和ESP结合起来使用以供给身份认证的效劳。用户假设只想实现信息完整性和身份认证效劳而不想实现机密性服务，则可以选择IP认证头〔AH〕协议来取代ESP。本文假设读者已经生疏相关文档“IP安全架构”，它定义了用于IPv4和IPv6的总的INTERNET层的安全架构，并且供给了对于这篇描述文档的重要背景。[Atk95a]

1．1综述

IP封装安全载荷〔ESP〕试图供给信息的机密性和完整性效劳，方法是将被保护的数据加密并把被加密的数据放入IP封装安全载荷〔ESP〕的数据局部。依据用户的安全需求，此机制可以被用于加密传输层段〔例如：TCP,UDP,ICMP,IGMP〕,也可用来加密一个完整的IP数据包。为了保证完整原始数据包的机密性，封装被保护的数据是必需的。

在共享系统中使用此标准会增长IP协议处理的代价。使用此标准也会增长信息通讯的延迟时间。延迟时间的增长主要是由包含在一个ESP中的每个IP数据包都需要的加密和解密过程引起的。

在隧道模式的ESP中，原始的IP数据包被放置于ESP的被加密局部，然后将完整的ESP帧放入一个数据包内，此数据包有一个未加密的IP报头。未加密的IP数据报头中的信息被用来将安全数据包从源地址发送到目的地址。一个未加密的IP路由报头可以被包括在IP报头和ESP之间。

在传输模式的ESP中，ESP头被插入到IP数据包中传输层协议报头〔例如，TCP,UDP,或者ICMP〕的前面。在此模式下，由于没有加密的IP报头或者IP选项所以带宽被保护。

在IP中，一个IP认证头可以用来作为一个未加密信息报的头部或者在一个传输模式的ESP信息报中位于IP报头和ESP报头之间，也可以作为一个报头位于一个隧道模式的ESP信息报的加密局部。当一个AH同时消灭在纯文本的IP报头和单个信息包的隧道模式ESP头之内时，未加密的IPv6认证主要被用于向未加密的IP头的内容供给保护，加密的认证头被用于向加密的IP信息包供给报头验证。本文稍后详述。

IP封装安全载荷的组织构造与别的IP有效载荷有很大不同。ESP有效载荷的第一个成分是有效载荷的未加密域。其次个局部是加密的数据。未加密ESP报头的域通知预期的接收者怎样适宜的解密和处理加密的数据。被加密的数据局部包括用于安全协议的受保护域以及加密封装的IP数据包。

安全联合的概念是ESP的重要的根底局部。它在相关文档“SecurityArchitecturefortheInternetProtocol”被具体的描述。执