IPSec传输模式下的装包拆包过程

IPSec

基本介绍

ESP是封装安全载荷（Encapsulate Security Payload）的英文缩写.

ESP属于IPSec的一种协议，ESP提供机密性、数据起源验证、无连接的完整性、抗重播服务和有限业务流机密性。该协议能够在数据的传输过程中对数据进行完整性度量，来源认证以及加密，也可以防止回放攻击。所以ESP协议相比AH协议来说功能更加完善。

传输模式，这是IPsec工作的两种方式之一。与隧道模式不同，当IPsec工作在传输模式时，新的IP头并不会被生成，而是采用原来的IP头，保护的也仅仅是真正传输的数据，而不是整个IP报文。在处理方法上，原来的IP报文会先被解开，再在数据前面加上新的ESP或AH协议头，最后再装回原来的IP头，即原来的IP包被修改过再传输。

装包过程

1. 将原本的IP报文拆开成IP头和报文数据。
2. 对报文数据进行填充ESP尾（填充、填充长度、next header：标明加密数据报文的类型）。
3. 加密填充后的报文数据。
4. 为第3步得到的加密数据添加ESP头部。ESP头由两部分组成，SPI和seq#（Sequence number）。加密数据与ESP头合称为“enchilada”。
5. 附加完整性度量结果（ICV，Integrity check value）。对第4步得到的“enchilada”做摘要，得到一个完整性度量值，并附在ESP报文的尾部（即图中的ESP MAC。
6. 获得原本的ip头，并将协议类型改为50，说明它里面装的是一个 IPsec 报文。

拆包过程

1. 收到数据报文后，发现协议类型是50，故知道这是一个IPsec包。首先查看ESP 头， 通过里面的SPI决定数据报文所对应的SA。
2. 计算“enchilada”部分的摘要，与附在末尾的ICV做对比，如果一样的话说明数据 是完整的。否则可以断定所收到的报文已经不是原来的报文了。
3. 检查Seq里的顺序号，保证数据是“新鲜”的。
4. 根据SA所提供的加密算法和密钥，解密被加密过的数据，即“enchilada”。得到原IP报文与ESP尾部（trailer）。
5. 根据ESP尾部里的填充长度信息，我们可以找出填充字段的长度，删去后就得到原来的IP报文。
6. 最后转让到一个高一级的协议层—比如TCP或 UDP—由它们对这个包进行处理。