+设为首页 +添加到收藏夹
组织:中国互动出版网(http://www.china-pub.com/)
rfc文档中文翻译计划(http://www.china-pub.com/compters/emook/aboutemook.htm) 【相关文章:常见硬件术语手册!绝对权威!(转!)八、】 【扩展阅读:常见硬件术语手册!绝对权威!(转!)七、】e-mail:ouyang@china-pub.com 【扩展信息:常见硬件术语手册!绝对权威!(转!)九、】 译者:piex(piex jintao@bigfoot.com) 译文发布时间:2002-01-18 版权:本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载,但必须保留本文档的翻译及版权信息。network working group r. atkinson
request for comments: 1827 naval research laboratory category: standards track august 1995ip封装安全载荷(esp)
本备忘录的状态
这篇文档详述了internet community中的一个internet标准栈协议,并且请求对于这个标准栈协议的讨论与建议。标准化的状态与协议的状态请参考internet官方协议标准(std1). 发布本备忘录的发放不受限制。 摘要 此篇文档描述了ip封装安全载荷(esp)。esp是为ip数据包提供完整性与机密性的一种机制。在某些情况下也可用于ip数据包的安全认证。此机制可用于ipv4与ipv6。1 介绍
esp是为ip数据包提供完整性与机密性的一种机制。它也能在特定的认证算法与算法模型的基础上提供身份认证。esp不提供流量分析的不可否认性与保护性服务。ip认证头(ah)使用一定的认证算法[atk95b]可以实现不可否认性服务。ip认证头可以与esp结合起来使用以提供身份认证的服务。用户如果只想实现信息完整性与身份认证服务而不想实现机密性服务,则可以选择ip认证头(ah)协议来取代esp。本文假设读者已经熟悉相关文档“ip安全架构”,它定义了用于ipv4与ipv6的总的internet层的安全架构,并且提供了对于这篇描述文档的重要背景。[atk95a]1. 1综述
ip封装安全载荷(esp)试图提供信息的机密性与完整性服务,方法是将被保护的数据加密并把被加密的数据放入ip封装安全载荷(esp)的数据部分。根据用户的安全需求,此机制可以被用于加密传输层段(例如:tcp,udp,icmp,igmp),也可用来加密一个完整的ip数据包。为了保证完整原始数据包的机密性,封装被保护的数据是必须的。在共享系统中使用此规范会增长ip协议处理的代价。使用此规范也会增长信息通讯的延迟时间。延迟时间的增长主要是由包含在一个esp中的每个ip数据包都需要的加密与解密过程引起的。
在隧道模式的esp中,原始的ip数据包被放置于esp的被加密部分,然后将完整的esp帧放入一个数据包内,此数据包有一个未加密的ip报头。未加密的ip数据报头中的信息被用来将安全数据包从源地址发送到目的地址。一个未加密的ip路由报头可以被包括在ip报头与esp之间。
在传输模式的esp中,esp头被插入到ip数据包中传输层协议报头(例如,tcp,udp,或者 icmp)的前面。在此模式下,因为没有加密的ip报头或者ip选项所以带宽被保护。
在ip中,一个ip认证头可以用来作为一个未加密信息报的头部或者在一个传输模式的esp信息报中位于ip报头与esp报头之间,也可以作为一个报头位于一个隧道模式的esp信息报的加密部分。当一个ah同时出现在纯文本的ip报头与单个信息包的隧道模式esp头之内时,未加密的ipv6认证主要被用于向未加密的ip头的内容提供保护,加密的认证头被用于向加密的ip信息包提供报头验证。本文稍后详述。
... 下一页