Cũng như AH, giao thức này được phát triển hoàn toàn cho IPSec. ESP được sử dụng khi có yêu cầu về bảo mật của lưu lượng IPSec cần truyền. Nó cung cấp tính bảo mật dữ liệu bằng việc mật mã hóa các gói tin. Thêm vào đó ESP cũng cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu, dịch vụ chống phát lại và một số giới hạn về luồng lưu lượng cần bảo mật.
Hình 2.17 Cơ chế đóng gói ESP
Hình 2.18 Khuôn dạng gói tin ESP
Cấu trúc gói tin ESP được thể hiện trên hình 2.18. Các trường trong gói tin ESP có thể là bắt buộc hay tùy chọn
Trong đó có các trường là:
- SPI (chỉ số thông số an ninh) - Sequence Number (số thứ tự) - Payload Data (dữ liệu tải tin) - Padding (đệm)
- Pad Length (độ dài đệm) - Next Header (tiêu đề tiếp theo)
- Authentication Data (dữ liệu xác thực)
Xử lý ESP trong chế độ truyền tải và đường hầm
Việc xử lý ESP phụ thuộc vào chế độ hoạt động của IPSec và phiên bản sử dụng của giao thức IP. Khuôn dạng của gói tin IPv4 trước và sau khi xử lý ESP trong hai chế độ truyền tải và đường hầm được thể hiện trên hình 2.19.
Hình 2.19 Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP
Mã hóa với ESP
Các thuật toán mã hóa
Các thuật toán mật mã được xác định bở SA. ESP làm việc với các thuật toán mật mã đối xứng. Vì các gói IP có thể đến không đúng thứ tự, nên mỗi gói phải mang thông tin cần thiết để phía thu có thể thiết lập đồng bộ mật mã (Cryptographic Synchronization) để giải mã. Dữ liệu này có thể được chỉ định trong trường Payload, chẳng hạn dưới dạng các vectơ khởi tạo IV (Initialization Vector), hoặc thu được từ tiêu đề của gói. Với sự có mặt của trường Padding, các thuật toán mật mã sử dụng với ESP có thể có các đặc tính khối (Block) hoặc luồng (Stream). Vì dịch vụ mật mã là tùy chọn nên thuật toán mật mã là không bắt buộc.
Các thuật toán xác thực sử dụng để tính ICV được xác định bởi SA. Đối với truyền thông điểm tới điểm, các thuật toán xác thực thích hợp có thể là hàm băm một chiều (MD5, SHA -1). Ví dụ xác thực là tùy chọn nên thuật toán xác thực là không bắt buộc.
Các thuật toán sau đây có thể được sử dụng với ESP: - DES, 3DES trong chế độ CBC
- HMAC với MD5 - HMAC với SHA-1
Nếu ESP sử dụng mật mã thì sẽ phải thực hiện quá trình giải mã gói. Nếu dịch vụ mật mã không được sử dụng, tại phía thu không có quá trình giải mã này. Quá trình giải mã gói diễn ra như sau:
- Giải mã ESP ( bao gồm trường Payload Data, Padding, Pad Length, Next Header) sử dụng khóa. Thuật toán mật mã và kiểu thuật toán được xác định bởi SA.
- Xử lý phần đệm (Padding) theo đặc tả của thuật toán. Phía thu cần tìm và loại bỏ phần đệm trước khi chuyển dữ liệu đã giải mã lên lớp trên.
- Xây dựng lại cấu trúc gói IP ban đầu từ tiêu đề IP gốc và thông tin giao thức lớp cao trong tải tin của ESP ( ở chế độ truyền tải), hoặc tiêu đề IP ngoài và toàn bộ gói IP gốc trong tải tin của ESP (ở chế độ đường hầm)
Nếu dịch vụ xác thực cũng được lựa chọn thì quá trình kiểm tra ICV và mật mã có thể tiến hành nối tiếp hoặc song song. Nếu tiến hành nối tiếp thì kiểm tra ICV phải được thực hiện trước. Nếu tiến hành song song thì kiểm tra ICV phải hoàn thành trước khi gói đã giải mã được truyền tới bước xử lý tiếp theo. Trình tự này giúp loại bỏ gói nhanh chóng các gói không hợp lệ.
Quá trình giải mã có thể không thành công vì một số lý do như sau:
- SA được lựa chọn không đúng (do các thông số SPI, địa chỉ đích hay trường Protocol Type bị sai).
- Độ dài phần đệm hoặc giá trị của nó bị sai. - Gói ESP mật mã bị lỗi.