由于网络安全专业课的一次小作业，做一个小文章分享吧

IPSec这里不做详细讲解，主要是简单分析一下里面的AH协议和ESP协议

引言：IPSec核心协议是AH和ESP；本文分三部分，分别是对于两个协议的简述和对二者区别以及联系的总结

IPSec体系结构：

正文：

[if !supportLists]1. [endif]AH协议

简述：

Authentication header，验证头部协议；AH协议提供无连接的完整性、数据源认证和抗重放保护服务（不提供保密性服务）

AH协议使用消息认证码（采用MAC算法）对IP数据进行认证；MAC算法与hash算法类似，实际上是hash算法的演进版本；它可以检测出对IP报文的任何修改，通过这个来保证IP包的完整性和可靠性；通信双方必须采用相同的MAC算法和密钥（保证统一）

AH报文头：

前文中提到的防止重放攻击是通过这个报文头中的序列号来实现的；（序列号是一个单向递增的计数器，可以类比CAS中解决ABA问题的加版本号的解决方式的思路【个人理解】）

数据完整性检查：

（1）AH的验证范围是整个IP包，简单来说，数据完整性检查就是，发送方的整个IP包和验证密钥【输入】，经过HMAC算法得到的数据放进AH报文头的验证数据段中；接收方把收到的IP包和验证密钥进行HMAC校验和AH中的字段进行一致性比较；IP报文中允许被修改的字段（如TTL, DF...）在计算时会被用0占位；不允许修改的就是我们需要保护的内容

工作模式：

（1）传出模式

（2）隧道模式下认证

2. ESP协议

简述：

Encapsulating Security Payload，IPSec封装负载；ESP提供数据保密、无连接完整性、抗重播服务以及数据包/数据流加密服务

ESP使用消息认证码（MAC）提供认证服务；ESP大都采用对称密码体制加密数据，这是因为公钥密码系统的运算量要比对称密钥系统大得多（更好的保证保密性）

ESP报文头：

工作模式：

和AH类似，需要注意的是

（1）如果使用加密，SPI和序号字段不能加密

（2）如果使用验证，验证数据也不会被加密

（3）隧道模式中，内部的IP头被加密验证，而外部的不能加密也不能验证

数据校验：

与AH不同，ESP验证不会对整个IP包进行验证

3. AH协议和ESP协议的区别和联系

根据上文对于两个协议的简述，可以看出二者的一些区别和联系

为了分析方便，以表格的形式展现：