IPsec中AH协议和ESP协议

AH(Authentication Header)是报文验证头协议，主要提供数据源验证、数据完整性验证、防报文重放等功能_，可选择的散列算法有MD5(Message Digest )，SHA1(Secure Hash Algorithm)等。AH插到标准IP在包头后面，它保证了数据包的完整性和真实性，防止黑客切断数据包或将伪造的数据包插入网络。AH采用了hash算法保护数据包。AH用户数据没有加密_。

ESP(Encapsulating Security Payload)是报文安全包装协议，ESP加密需要保护的用户数据，然后包装IP包中，证据数据*完整性、真实性和私有性_。可选加密算法有DES，3DES等。

AH协议

AH该协议使用带密钥的验证算法对受保护的数据进行计算摘要。通过使用数据完整性检查，可以确定数据包是否在传输过程中被修改；通过使用认证机制，终端系统或网络设备可以认证用户或应用程序，过滤通信流；认证机制还可以防止地址欺诈和重放攻击。

在使用AH协议时，AH协议首先在原始数据之前生成一个AH报文头，报文头包含递增序列号(Sequence number)索引验证字段(空)和安全参数(SPI)等。AH协议将离散新数据包，生成验证字段(authentication data)，填入AH头部验证字段。AH目前，该协议提供了两种散列算法可供选择：MD5和SHA1，这两种算法的密钥长度分别为128bit和160bit。

AH协议采用32比特序列号结合防重放窗口和报纸验证，防止重放攻击。

在传输模式下，AH协议验证IP报文的数据部分和IP头部不变。

隧道模式下，AH协议验证所有内部IP报文和外部IP头部不变。

ESP协议

ESP协议加密并包装用户数据IP包中，以保证数据的私有性。同时作为可选项，用户可以选择使用带密钥的哈希算法保证报文的完整性和真实性。ESP隧道模式为报纸路径信息提供了隐藏。

在ESP通过散列算法验证数据字段，可选算法也是如此MD5和SHA1。与AH不同的协议是，在ESP加密算法，加密算法也可以在协议中选择DES、3DES等加密算法。加密算法应从SA获取密钥，参与ESP加密整个数据的内容，得到新的“数据”。完成之后，ESP将在新的“数据”前面加上SPI字段、序列号字段、验证字段、填充字段等。

ESP协议使用32比特序列号结合防重放窗口和报纸验证，防止重放攻击

在传输模式下，ESP协议对IP加密报文的有效数据(可附加验证)。

隧道模式下，ESP协议对整个内部IP加密报文(可附加验证)。