Encapsulating Security Payload (o ESP ), è un protocollo appartenente alla suite IPsec , che consente di combinare diversi servizi di sicurezza: riservatezza, autenticazione e integrità.
Il protocollo ESP consente di combinare, a piacimento, diversi servizi di sicurezza come la riservatezza dei dati mediante l'utilizzo di un sistema di crittografia; autenticazione del pacchetto e del suo mittente (l'indirizzo di origine del pacchetto è quello del mittente); integrità dei dati (nessuna alterazione intenzionale o involontaria del pacchetto durante il trasporto) e l'unicità del pacchetto (nessuna riproduzione).
A differenza dell'Authentication Header (AH), che aggiunge solo un'intestazione extra al pacchetto IP , ESP crittografa i dati e quindi li incapsula.
ESP offre l'autenticazione allo stesso modo di AH grazie all'utilizzo dei dati di intestazione: L'SPI (Security Parameters Index) viene utilizzato per caratterizzare l'associazione di sicurezza utilizzata per la comunicazione (SA). I dati di autenticazione contengono il valore di controllo dell'integrità (ICV) per verificare l'autenticità dei dati nel pacchetto.
I dati crittografati sono contenuti nella parte "campo libero" (o PayLoad Data) del pacchetto. Questo campo può contenere anche dati di sincronizzazione. Imbottitura, può essere aggiunta se necessario. La sua lunghezza è specificata nel campo previsto a tale scopo. Infine, il campo Next Header indica la natura delle informazioni contenute nei Payload Data (campo libero).
Un pacchetto ESP ha questo aspetto:
| 0 | 1 | 2 | 3 | ||||||||||||||||||||||||||||
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| Indice dei parametri di sicurezza (SPI) | |||||||||||||||||||||||||||||||
| Sequenza di numeri | |||||||||||||||||||||||||||||||
|
Dati allegati * (variabile) | |||||||||||||||||||||||||||||||
| Padding (0-255 byte) | |||||||||||||||||||||||||||||||
| Lunghezza di riempimento | Intestazione successiva | ||||||||||||||||||||||||||||||
|
Dati di autenticazione (variabile) | |||||||||||||||||||||||||||||||
Significati:
Indice dei parametri di sicurezza (SPI) identifica le impostazioni di sicurezza in base all'indirizzo IP Sequenza di numeri un contatore che evita attacchi ripetuti Dati allegati i dati da trasferire Riempimento permette di ottenere una dimensione del blocco compatibile con la crittografia Lunghezza di riempimento espresso in byte Intestazione successiva identifica il protocollo utilizzato per il trasferimento Dati di autenticazione contiene le informazioni necessarie per autenticare il pacchetto