Encapsulating Security Payload (sau ESP ), este un protocol care aparține suitei IPsec , făcând posibilă combinarea mai multor servicii de securitate: confidențialitate, autentificare și integritate.
Protocolul ESP face posibilă combinarea, după bunul plac, a mai multor servicii de securitate, cum ar fi confidențialitatea datelor, prin utilizarea unui sistem de criptare; autentificarea pachetului și a expeditorului acestuia (adresa sursă a pachetului este cea a expeditorului); integritatea datelor (fără modificări intenționate sau neintenționate ale pachetului în timpul transportului) și unicitatea pachetului (fără reluare).
Spre deosebire de antetul de autentificare (AH), care adaugă doar un antet suplimentar pachetului IP , ESP criptează datele și apoi le încapsulează.
ESP oferă autentificare în același mod ca AH datorită utilizării datelor antetului: SPI (Security Parameters Index) este utilizat pentru a caracteriza asocierea de securitate utilizată pentru comunicații (SA). Datele de autentificare conțin valoarea de verificare a integrității (ICV) pentru a verifica autenticitatea datelor din pachet.
Datele criptate sunt conținute în partea „câmp gratuit” (sau PayLoad Data) a pachetului. Acest câmp poate conține, de asemenea, date de sincronizare. Căptușeala, poate fi adăugată dacă este necesar. Lungimea sa este specificată în câmpul prevăzut în acest scop. În cele din urmă, câmpul Următorul antet indică natura informațiilor conținute în datele privind sarcina utilă (câmp gratuit).
Un pachet ESP arată astfel:
| 0 | 1 | 2 | 3 | ||||||||||||||||||||||||||||
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| Indicele parametrilor de securitate (SPI) | |||||||||||||||||||||||||||||||
| Număr de secvență | |||||||||||||||||||||||||||||||
|
Date atașate * (variabilă) | |||||||||||||||||||||||||||||||
| Umplutură (0-255 octeți) | |||||||||||||||||||||||||||||||
| Lungimea umplerii | Următorul antet | ||||||||||||||||||||||||||||||
|
Date de autentificare (variabile) | |||||||||||||||||||||||||||||||
Semnificații:
Indicele parametrilor de securitate (SPI) identifică setările de securitate pe baza adresei IP Număr de secvență un contor care evită atacurile repetate Date atașate datele de transferat Umplere permite obținerea unei dimensiuni de bloc compatibile cu criptarea Lungimea umplerii exprimat în octeți Următorul antet identifică protocolul utilizat pentru transfer Date de autentificare conține informațiile necesare pentru autentificarea pachetului