RFC双语计划:rfc1827中文版(中英文对照)............IP封装安全载荷(ESP)

最新推荐文章于 2019-10-31 19:17:25 发布
最新推荐文章于 2019-10-31 19:17:25 发布
阅读量874 收藏 1
点赞数
文章标签: 加密 internet 文档 算法 vpn tcp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kummer/article/details/4039402
版权

RFC双语计划:rfc1827中文版(中英文对照)............IP封装安全载荷(ESP)
http://kummerwu.web.officelive.com/Documents/rfc1827-0.html

更多RFC中文版,中英文对照版,请查阅http://kummerwu.web.officelive.com/Documents/index.html

这儿目前收录来OSPF,BGP,RIP,MPLS(VPN)、HTTP,Telnet,RSVP,PPP,POP3,RTP,NAT,FTP等最新RFC中文版和中英文对照版。而且内容还在不断更新中......
------------------------------------------------------------------------

IP封装安全载荷(ESP)
本备忘录的状态
这篇文档详述了Internet community中的一个internet标准栈协议,并且请求对于这个标准栈协议的讨论和建议。标准化的状态和协议的状态请参考internet官方协议标准(std1). 发布本备忘录的发放不受限制。
摘要
此篇文档描述了IP封装安全载荷(ESP)。ESP是为IP数据包提供完整性和机密性的一种机制。在某些情况下也可用于IP数据包的安全认证。此机制可用于IPv4和IPv6。
1 介绍
ESP是为IP数据包提供完整性和机密性的一种机制。它也能在特定的认证算法和算法模型的基础上提供身份认证。ESP不提供流量分析的不可否认性和保护性服务。IP认证头(AH)使用一定的认证算法[Atk95b]可以实现不可否认性服务。IP认证头可以和ESP结合起来使用以提供身份认证的服务。用户如果只想实现信息完整性和身份认证服务而不想实现机密性服务,则可以选择IP认证头(AH)协议来取代ESP。本文假设读者已经熟悉相关文档“IP安全架构”,它定义了用于IPv4和IPv6的总的INTERNET层的安全架构,并且提供了对于这篇描述文档的重要背景。[Atk95a]
1. 1综述
IP封装安全载荷(ESP)试图提供信息的机密性和完整性服务,方法是将被保护的数据加密并把被加密的数据放入IP封装安全载荷(ESP)的数据部分。根据用户的安全需求,此机制可以被用于加密传输层段(例如:TCP,UDP,ICMP,IGMP),也可用来加密一个完整的IP数据包。为了保证完整原始数据包的机密性,封装被保护的数据是必须的。
在共享系统中使用此规范会增长IP协议处理的代价。使用此规范也会增长信息通讯的延迟时间。延迟时间的增长主要是由包含在一个ESP中的每个IP数据包都需要的加密和解密过程引起的。
在隧道模式的ESP中,原始的IP数据包被放置于ESP的被加密部分,然后将完整的ESP帧放入一个数据包内,此数据包有一个未加密的IP报头。未加密的IP数据报头中的信息被用来将安全数据包从源地址发送到目的地址。一个未加密的IP路由报头可以被包括在IP报头和ESP之间。
在传输模式的ESP中,ESP头被插入到IP数据包中传输层协议报头(例如,TCP,UDP,或者 ICMP)的前面。在此模式下,因为没有加密的IP报头或者IP选项所以带宽被保护。
在IP中,一个IP认证头可以用来作为一个未加密信息报的头部或者在一个传输模式的ESP信息报中位于IP报头和ESP报头之间,也可以作为一个报头位于一个隧道模式的ESP信息报的加密部分。当一个AH同时出现在纯文本的IP报头和单个信息包的隧道模式ESP头之内时,未加密的IPv6认证主要被用于向未加密的IP头的内容提供保护,加密的认证头被用于向加密的IP信息包提供报头验证。本文稍后详述。
IP封装安全载荷的组织结构与别的IP有效载荷有很大不同。ESP有效载荷的第一个成分是有效载荷的未加密域。第二个部分是加密的数据。未加密ESP报头的域通知预期的接收者怎样合适的解密和处理加密的数据。被加密的数据部分包括用于安全协议的受保护域以及加密封装的IP数据包。
安全联合的概念是ESP的重要的基础部分。它在相关文档“Security Architecture for the Internet Protocol” 被详细的描述。执行者应该在读此篇文档之前读那篇文档。
1.2 需求的术语定义
在本文档中,通常被大写的单词用来定义一个特定的要求(REQUIREMENT)的重要程度。这些单词是:
-MUST(必须)
这个单词和近意词”REQUIRED”意谓它们所指的项在规范中是绝对必须,不可缺少的。
-SHOULD(应该)
此单词和近意词“RECOMMENDED”修饰的条款,在特定的环境下,由于某些合理原因存在,是可以忽略的。但是此条款的完整含义必须被理解,在采取不同的方针之前,应该特别重视所处的场合。
-MAY(可以)
这个单词和它的近意词“OPTIONAL”意谓着它们所指的特定项确实是可选的。一个产品提供商(vendor)可能为了一个特别的商务用途的需要或者增强它的产品(例如:别的商家可能忽略此项目)而将此项条目包括进来。
2 密钥管理
密钥管理是IP安全架构的一个重要部分。然而,一个特定的密钥管理协议并没有包括在本篇说明文档中,这是因为长期以来,在各种公开的著作中,涉及到密钥管理的算法和协议存在很多细微的错误。IP尽量分离密钥管理机制和安全协议机制之间的关联。在密钥管理机制和安全协议机制之间的唯一联系是安全参数索引(SPI),SPI在后面将更详尽的描述。这种分离允许几种不同的密钥管理机制被使用。更重要的是,它允许在密钥管理协议被更换或者修正的时候,安全协议机制不会受到过度的影响。因此,一个IP的密钥管理协议不会在本文档中详述。在IP安全架构中将会更详尽的描述密钥管理并且详述用于IP的密钥管理需求。参考文献[Atk95a]包容了这些密钥管理需求。
密钥管理机制被用于协商每个安全关联中的参数。这些参数不仅包括密钥本身而且还包括其他的信息(例如:加密算法和加密模型,安全分类的级别,等等),所有的这些都将被通信的双方所使用。密钥管理协议的实现通常创造和维护一个逻辑表,此表中包含了每个当前安全关联中的参数。一个ESP的实现通常需要通过读安全参数表来决定如何处理每一个包含ESP的数据包(例如:采取哪个算法或模型以及何种密钥)。
3 封装安全有效载荷的语法
封装安全有效载荷(ESP)可能出现在IP头之后和最后传输层协议之前的任何地方。IANA(Internet Assigned Numbers Authority,负责全球Internet的IP地址编号分配的机构)已经分配了协议号50给ESP[STD-2]。ESP 头前的那个报头总是在它的NEXT Header(IPV6)或者协议(IPV4)域中写入值50。ESP由一个未加密的报头和加密的数据部分组成。加密的数据既包括被保护的ESP 头也包括被保护的用户数据。而用户数据或者是一个完整的IP 数据包,也可能仅仅是一个上层协议部分(例如: TCP 或者 UDP)。一个安全数据包的高层图表如下所示:
ESP报头的更详细的图表如下所示
加密和认证算法以及与它们相关联的不透明变换数据的精确格式被称作变换(“transform”)。ESP格式被设计成为支持新的变换,从而可以在将来支持新的或者额外的加密算法。变换被自身详细说明,而不是在此篇文档的主体部分被详述。用于与IP一起使用的强制转换被定义在一个独立文档中[KMS95]。别的可选变换存在于别的说明文档中,附加的变换可能在将来定义。
3.1 封装安全有效载荷的域
SPI 是一个32位的伪随机值,它用来确定数据包的安全关联。如果不建立安全关联,SPI 域的值就应该是0x00000000。一个SPI 类似于别的安全协议中的SAID。因为 在此处SPI 的语意和别的安全协议中的SAID不是完全相同,所以名字不一样。
SPI的值的集合中,从0x00000001到 0x000000FF 是被保留给 IANA 的,以用于将来的使用。除非在一篇 RFC 中公开的说明一个特定的被保留的 SPI 值已经被分配,否则保留的 SPI 值通常不能被分配。
SPI 是唯一的强制的不受约束的变换域。特定的变换可能有别的对于变换来说是独有的域。变换在此篇文档中不会被详述。
3.2  ESP 的安全标记
加密的 IP 数据包不必要并且通常也不包含任何明确的安全标签因为 SPI 指明了敏感级别。这是对当前 IPv4 实施方案的一个改进,当前的实施方案通常在分割模式工作站以及别的需要安全标签的系统中使用一个明确的敏感标签[Ken91] [DIA]。在一些情况下,用户可以选择在使用 ESP 提供的不明确的标签的同时添加一个明确的标签(例如: RFC1108 中定义的IPSO 标签,可以在IPv4中被使用)。明确标签的选项能够被定义与 IPv6 一起使用(例如,使用 IPv6 端到端的选项报头或者IPv6 的逐跳路由的可选报头)。ESP 的执行可以同时支持非明确的标签和明确的标签,但是不是必须要求支持明确标签。ESP 在要求提供多级安全的系统中实施的时候必须支持不明确的标签。
4 封装安全协议的处理过程
此节描述了当 ESP 在两个互连的实体间使用时实施的步骤。多播与单播的仅在密钥管理上不同(细节请看看上面的 SPI定义)。ESP 有两种使用模式。第一种被称做隧道模式,在ESP内封装一个完整的 IP数据包。第二个模式称为传输模式,在ESP内封装一个传输层的帧(如UDP,TCP)。术语传输模式一定不
------------------------------------------------------------------------
。。。。。。。。
完整内容参见 http://kummerwu.web.officelive.com/Documents/rfc1827-0.html
更多RFC中文版,中英文对照版,请查阅http://kummerwu.web.officelive.com/Documents/index.html

这儿目前收录来OSPF,BGP,RIP,MPLS(VPN)、HTTP,Telnet,RSVP,PPP,POP3,RTP,NAT,FTP等最新RFC中文版和中英文对照版。而且内容还在不断更新中......

Kummer
关注
RFC1827_IP 密码安全有效载荷 (ESP) .doc
08-23
IP封装安全载荷ESP) 本备忘录的状态 这篇文档详述了Internet community中的一个internet标准栈协议,并且请求对于这个标准栈协议的讨论和建议。标准化的状态和协议的状态请参考internet官方协议标准(std1). 发布本备忘录的发放不受限制。 摘要 此篇文档描述了IP封装安全载荷ESP)。ESP是为IP数据包提供完整性和机密性的一种机制。在某些情况下也可用于IP数据包的安全认证。此机制可用于IPv4和IPv6。
RFC 4303--ESP
weixin_34010949的博客
07-14 495
先梳理下ESP的框架: ESP内部的工作机制分为 (1) separate confidentiality and integrity algorithms (2个算法,分别负责加密和完整性保证) (2) combined confidentiality mode algorithms (1个算法,就能实现加密和完整...
ESP-RFC-2406
weixin_30553065的博客
01-07 178
ESP报头: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+...
封装安全载荷
09-05
ipsec协议封装安全载荷,讲的很详细,看了这个文档可以解决更多困扰
http://www.bytearray.org/?p=1827
leopard0825的专栏
07-05 167
http://www.bytearray.org/?p=1827
rfc3016.rar_3016. com_RFC3016_RFC3016中文版_rfc 3016 pudn
09-19
标题中的"rfc3016.rar_3016.com_RFC3016_RFC3016中文版_rfc 3016 pudn"表明这是一份关于RFC3016规范的中文翻译版本,其中包含了与RFC3016相关的多个源代码文件和一个来自pudn网站的文本文件。描述简单地重申了这是...
RFC.rar_rfc_rfc1433.t
最新发布
09-24
8. **维护和更新**:RFC文档随着技术的发展不断更新和修订,新的需求和改进会被纳入新的RFC中,旧的可能会被废弃或替换。 总的来说,这个压缩包可能包含了一部分或全部的RFC文档,特别是RFC 1433的相关资料,对学习...
rfc1661.txt.rar_PPP RFC1661.txt_RFC16_memo_ppp_rfc1661
09-14
RFC1661 PPP协议 (RFC1661 The Point-to-Point Protocol (PPP)) 本备忘录状态 This memo provides information for the Internet community. It does not specify an Internet standard of any kind. ...
rfc3262.txt.zip_rfc3261_rfc3261.txt_rfc3262_sip 3261
09-23
标题中的"rfc3262.txt.zip_rfc3261_rfc3261.txt_rfc3262_sip 3261"表明这是一个与SIP(Session Initiation Protocol)相关的压缩文件,其中包含了RFC3261和RFC3262这两个重要的互联网标准文档。描述中提到的"sip_rfc...
rfc3262.rar_RFC 3262 .P_rfc32_rfc3262
09-22
标题中的"rfc3262.rar_RFC 3262 .P_rfc32_rfc3262"指示了我们关注的核心是RFC 3262,这是一个关于SIP(Session Initiation Protocol)协议的标准文档。描述中提到的"sip标准,reliable provisional response"进一步...
RFC2418.IETF_Working_Group_Guidelines_and_Procedures
05-09
关于IETF指南和规程的RFC,对综合了解IETF工作过程有帮助。
RTSP 2.0 协议 PDF 带书签
07-03
官网上的文件,源文件没有目录,看的难受,花了些时间加了书签 RTSP 2.0-Real-Time Streaming Protocol Version 2.0(rfc7826).pdf
rfc中文翻译版本
04-18
rfc 的中文翻译版本,做网络开发,通讯协议都会用的到,你值得下载
rfc3550-RTP-RTSP协议(英文原版)
09-24
原汁原味的的资料,有这方面开发需要的朋友可以下了。写的很全的,中文版的资料删去了很大一部分,不如英文的理解起来好
#TCP/IP# TCP IP详解 卷1:协议-第3章IP:网际协议
热门推荐
潇汀
10-31 3万+
3.1 引言 I P是T C P / I P协议族中最为核心的协议。所有的T C P、UDP、ICMP及IGMP数据都以I P数据报格式传输(见图1 - 4)。许多刚开始接触T C P / I P的人对I P提供不可靠、无连接的数据报传送服务感到很奇怪,特别是那些具有X. 25或SNA背景知识的人。 不可靠( u n r e l i a b l e)的意思是它不能保证I P数据报能成功地到达目...
4.IP(Internet Protocol):网际协议
写后端的小学生
03-19 936
前言       IPTCP/IP协议族中最核心的协议,所有的TCP,UDP,ICMP和IGMP数据都以IP数据报的格式传输。负责将数据包发送给最终的目标计算机。IP协议能够让两台计算机之间进行通信。      IP提供了不可靠无连接的数据报传送服务。      不可靠(unreliable)是指它不能保证IP数据报能成功地到达目的地。IP仅提供传输服务,如果发生某种错误,如某个路由器暂时用完了...
IP子网寻址,IP路由选择,IP首部拆解,IP标准化过程
Johnny的专栏
07-27 2949
IP子网寻址现在所有的主机都要求支持子网编址(RFC950[MogulandPostel1985])。不是把IP地址看成由单纯的一个网络号和一个主机号组成,而是把主机号再分成一个子网号和一个主机号。这样做的原因是因为A类和B类地址为主机号分配了太多的空间,可分别容纳的主机数为224-2和216-2。事实上,在一个网络中人们并不安排这么多的主机。由于全0或全1的主机号都是无效的,因此我们把总数减
ESP传输模式拆解包流程
s154421897的博客
10-15 1万+
一、      ESP简介        ESP封装安全载荷协议(Encapsulating SecurityPayloads),是一种Ipsec协议,用于对IP协议在传输过程中进行数据完整性度量、来源认证、加密以及防回放攻击。可以单独使用,也可以和AH一起使用。在ESP头部之前的IPV4、IPV6或者拓展头部,应该在Protocol(IPV4)或者Next Header(IPV6、拓展头部)
RFC4944:IPv6在IEEE 802.15.4低功耗网络中的帧格式与压缩
RFC4944(中文版)是一份重要的文档,它专注于如何在IEEE 802.15.4无线传感器网络(WSN)中有效地传输IPv6数据包。该标准是在2007年发布,针对的是低功耗和资源受限的物联网环境,如Zigbee或Z-Wave等无线通信技术。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值