(1)安全參數索引(32位):標識安全關聯,與AH中的SPI相同。需要指出的是,SPI本身可以被認證,但不會被加密,否則無法處理。
(2)序列號(32位):單調遞增計數器的值,如AH中所述,主要用於抵抗重放攻擊。序列號也不會被加密。
(3)有效載荷數據(可變長度):受加密保護的傳輸級數據段(傳輸模式)或IP數據報(隧道模式)。
(4)填充(padding):字段長度範圍從0到255字節,用於將明文擴展到所需的長度,確保正確的邊界,並隱藏有效載荷數據的實際長度。
(5)填充長度(8位):指示在1000億字段中填充的字節數。
(6)下壹個報頭(8位):標識下壹個報頭的類型,從而指示加載數據的數據類型。和AH壹樣,在傳輸模式下,它將是受保護的IP上層協議的值,例如UDP或TCP的協議類型值。在隧道模式下,該值為4。
(7)標識數據(可變長度):它必須是32位的整數倍,並且是根據前面的字段計算的完整性檢查值ICV。
其中,安全參數索引和序列號字段構成ESP的頭部,填充、填充長度和下壹個頭部字段構成ESP的尾部。安全服務由加密提供,加密中涉及的字段:有效載荷數據、填充、填充長度和下壹個報頭通常稱為明文。數據完整性和認證服務通過認證數據字段來實現,這些字段涵蓋ESP報頭、有效載荷數據和ESP報尾。
工作模式
ESP支持兩種工作模式:傳輸模式和隧道模式。ESP數據包在這兩種工作模式下的位置如下圖所示。