術語簡介
IPsec AH:IPsec 認證頭協定
(IPsec AH:IPsec Authentication Header)
IPsec 認證頭協定(IPsec AH)是 IPsec 體系結構中的一種主要協定,它為 IP 數據報提供無連線完整性與數據源認證,並提供保護以避免重播情況。一旦建立安全連線,接收方就可能會選擇後一種服務。 AH 儘可能為 IP 頭和上層協定數據提供足夠多的認證。但是,在傳輸過程中某些 IP 頭欄位會發生變化,且傳送方無法預測當數據包到達接受端時此欄位的值。 AH 並不能保護這種欄位值。因此, AH 提供給 IP 頭的保護有些是零碎的。
AH 可被獨立使用,或與 IP 封裝安全負載(ESP)相結合使用,或通過使用隧道模式的嵌套方式。在通信主機與通信主機之間、通信安全網關與通信安全網關之間或安全網關與主機之間可以提供安全服務。 ESP 提供了相同的安全服務並提供了一種保密性(加密)服務,而 ESP 與 AH 各自提供的認證其根本區別在於它們的覆蓋範圍。特別地,不是由ESP 封裝的 IP 頭欄位則不受 ESP 保護。有關在不同網路環境下如何使用 AH 和 ESP 的詳細內容,可參見相關檔案。
通常,當用與 IPv6 時, AH 出現在 IPv6 逐跳路由頭之後 IPv6 目的選項之前。 而用於 IPv4 時, AH 跟隨主 IPv4 頭。
