Khuôn dạng ESP
Hình 2.22: Khuôn dạng gói ESP Trong đó:
+ Security Parameter Index (SPI):
- SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu này. Các giá trị SPI từ 1÷255 được dành riêng để sử dụng trong tương lai. SPI thường được lựa chọn bởi phía thu khi thiết lập SA. SPI là trường bắt buộc.
- Giá trị SPI 0 được sử dụng cục bộ. Có thẻ sử dụng giá trị này để chỉ ra chưa có SA nào tồn tại.
- Trường 32 bit không dấu chứa một giá trị đếm tăng dần (SN). SN là trưòng bắt buộc cho dù phía thu không thực hiện dịch vụ chống trùng lặp cho một SA cụ thể nào. việc xử lý SN tuỳ thuộc phía thu, nghĩa là phía phát luôn phải truyền trường này, còn phía thu có thể không cần phải xử lý nó.
- Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập (gói đầu tiên được truyền đi sử dụng SA sẽ có SN=1). Nếu dịch vụ anti-replay được lựa chọn thì được phát đi sẽ không được lặp lại (bằng cách thiết lập một SA mới, và do đó là một khoá mới) trước khi truyền
gói thứ 232 của một SA.
+ Payload Data
Trường này có độ dài biến đổi chứa dữ liệu mô tả trong Next header. Payload Data là trường bắt buộc và có độ dài bằng số nguyên lần Byte.
+ Padding
Nếu thuật toán mật mã được sử dụng yêu cầu bản rõ (cleartext hay plaintext) phải là số nguyên lần khối các Byte (trong mật mã khối) thì Padding field được sử dụng để thêm vào Plaintext để có kích thước yêu cầu.
Padding cần thiết để đảm bảo phần dữ liệu mật mã sẽ kết thúc ở biên giới 4 Byte để phân biệt rõ ràng với trường Authentication Data.
Ngoài ra padding còn có thể được sử dụng để che dấu độ dài thực của Payload, tuy nhiên mục dích này phải được cân nhắc vì nó ảnh hưởng tói băng tần truyền dẫn. Bên gửi có thể thêm 0÷255 Padding Byte.
+ Pad length
Trường này xácđịnh số padding Byte đã thêm vào. Các giá trị hợp lệ là 0÷255. Pad length là trường bắt buộc.
+ Next header (8bit)
Là một trường bắt buộc. Next header xác định kiểu dữ liệu chứa trong Payload Data. Giá trị của trường này được lựa chọn từ tập cácgiá trị IP Protocol Numbers định nghĩa bởi IANA..
+ Authentication Data
Trường có độ dài biến đổi chứa một giá trị kiểm tra tính toàn ven ICV (integrity Check Value) tính trên dữ liệu của toàn bộ gói ESP trừ trường Authentication Data. Độ dài của trường phụ thuộc vào hàm xác thực được lựa
chọn. trường này là tuỳ chọn, và chỉ được thêm vào nếu dịch vụ authentication được lựa chọn cho SA đang xét. Thuật toán xác thực phải chỉ ra độ dài của ICV và các bước xử lý cũng như các luật so sánh cần thực hiện để kiểm tra tính toàn vẹn của gói tin.