1.1AH协议
设计认证头(AH)协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据源认证和抗重放保护服务。然而,AH不提供任何保密性服务:它不加密所保护的数据包。AH的作用是为IP数据流提供高强度的密码认证,以确保被修改过的数据包可以被检查出来。AH使用消息认证码(MAC)对IP进行认证。MAC是一种算法,它接收一个任意长度的消息和一个密钥,生成一个固定长度的输出,称作消息摘要或指纹。MAC不同与散列函数。因为它需要密钥来产生消息摘要,而散列函数不需要密钥。最常用的MAC是HMAC。HMAC可以和任何迭代密码散列函数(如MD5,SHA-1,RIPEMD-160等)结合使用,而不用对散列函数进行修改。 因为生成IP数据报的消息摘要需要密钥,所有IPsec的通信双方需要共享密钥。假设:如果采用的密钥不同,对一个MAC输入指定数据计算出相同的消息摘要是计算上不可行的。于是,只有共享密钥的通信双方才可以采用预先定义的MAC对一个确定的消息生成确定的认证数据。
AH协议头格式如下:
图1 AH头格式
下面对这些字段进行简要说明。
●下一个头 指明AH之后的下一载荷的类型,如可能是ESP或是其他传输层协议。
●载荷长度 是以32位字为单位的AH的长度减2。AH实际上是一个IPv6扩展头,按照RFC2460,它的长度是从64位字表示的头长度中减去一个64位字而来,由于AH采用32位字为单位,因此需要减去两个32位字。
●保留 该字段目前置为0。
●安全参数索引 该字段用于和源或目的地址以及IPsec相关协议(AH或ESP)共同唯一
标识一个数据报所属的数据流的安全关联(SA)。
●序列号 该字段包含一个作为单调增加计数器的32位无符号整数,它用来防止对数据包的重放攻击。
●认证数据 这个变长域包含数据包的认证数据,通过该认证数据具体提供数据包的完整性保护服务。
