IPsec中AH协议和ESP协议

AH(AuthenticationHeader)是报文验证头协议，主要提供的功能有数据源验证、数据完全性校验和防报文重放功能_，可选择的散列算法有MD5(MessageDigest)，SHA1(SecureHashAlgorithm)等。AH插到标准IP包头后面，它保证数据包的完全性和真实性，避免黑客截断数据包或向网络中插入捏造的数据包。AH采取了hash算法来对数据包进行保护。AH没有对用户数据进行加密_。

ESP(EncapsulatingSecurityPayload)是报文安全封装协议，ESP将需要保护的用户数据进行加密后再封装到IP包中，证数据的*完全性、真实性和私有性_。可选择的加密算法有DES，3DES等。

AH协议

AH协议通过使用带密钥的验证算法，对受保护的数据计算摘要。通过使用数据完全性检查，可判定数据包在传输进程中是否是被修改;通过使用认证机制，终端系统或网络装备可对用户或利用进行认证，过滤通讯流;认证机制还可避免地址欺骗攻击及重放攻击。

在使用AH协议时，AH协议首先在原数据前生成一个AH报文头，报文头中包括一个递增的序列号(Sequencenumber)与验证字段(空)、安全参数索引(SPI)等。AH协议将对新的数据包进行离散运算，生成一个验证字段(authenticationdata)，填入AH头的验证字段。AH协议目条件供了两种散列算法可选择，分别是：MD5和SHA1，这两种算法的密钥长度分别是128bit和160bit。

AH协议使用32比特序列号结合防重放窗口和报文验证来防御重放攻击。

在传输模式下，AH协议验证IP报文的数据部份和IP头中的不变部份。

在隧道模式下，AH协议验证全部的内部IP报文和外部IP头中的不变部份。

ESP协议

ESP协议将用户数据进行加密后封装到IP包中，以保证数据的私有性。同时作为可选项，用户可以选择使用带密钥的哈希算法保证报文的完全性和真实性。ESP的隧道模式提供了对报文路径信息的隐藏。

在ESP协议方式下，可以通过散列算法取得验证数据字段，可选的算法一样是MD5和SHA1。与AH协议不同的是，在ESP协议中还可以选择加密算法，一般常见的是DES、3DES等加密算法。加密算法要从SA中取得密钥，对参加ESP加密的全部数据的内容进行加密运算，得到一段新的“数据”。完成以后，ESP将在新的“数据”前面加上SPI字段、序列号字段，在数据后面加上一个验证字段和填充字段等。

ESP协议使用32比特序列号结合防重放窗口和报文验证，防御重放攻击

在传输模式下，ESP协议对IP报文的有效数据进行加密(可附加验证)。

在隧道模式下，ESP协议对全部内部IP报文进行加密(可附加验证)。

TikTok千粉号购买平台：https://tiktokusername.com/