验证头(AH).pdfVIP

下载 第6章 验证头（AH ） 验证头（Authentication Header ，A H ）是一种I P S e c协议，用于为 I P提供数据完整性、数 据原始身份验证和一些可选的、有限的抗重播服务。它定义在 R F C 2 4 0 2 中。除了机密性之外， A H提供E S P能够提供的一切东西。但要注意的是， A H不对受保护的I P数据报的任何部分进行 加密。 由于A H不提供机密性保证，所以它也不需要加密算法（加密器）。尽管如此，仍然需要 一个验证器（身份验证器）。A H 定义保护方法、头的位置、身份验证的覆盖范围以及输出和 输入处理规则，但没有对所用的身份验证算法进行定义。像其兄弟协议 E S P 一样，A H没有硬 性规定抗重播保护。使用抗重播服务由接收端自行处理，发送端无法得知接收端是否会检查 其序列号。其结果是，发送端必须一直认定接收端正在采用抗重播服务。 A H可用来保护一个上层协议（传输模式）或一个完整的 I P数据报（通道模式），就像E S P 那样。其间的差别根据受保护的数据报如何应用 A H来定。任何一种情况下， A H头都会紧跟 在一个I P头之后。A H 是一个I P协议，而受A H 保护的I P包只是另一个 I P包而已。因此， A H 可 单独使用，或和 E S P连合使用。它可保护一个通道传输协议，比如 L 2 T P或G R E ，或者，可用 于通道包本身。和E S P一样，A H是I P 的一个万用型安全服务协议。 A H提供的数据完整性与 E S P提供的数据完整性稍有不同； A H对外部I P头各部分进行身份 验证。 6.1 AH头 A H是另一个I P协议，它分配到的数是 5 1 。这意味着A H保护的一个I P v 4数据报的协议字段 将是5 1 ，同时表明I P头之后是一个A H头。在I P v 6 的情况下，下一个头字段的值由扩展头的存 在来决定。如果没有扩展头， I P v 6头中的下 一个头字段将是5 1 。如果A H 头之前有扩展头， 紧靠在A H头前面的扩展头中的下一个头字段 下一个头 载荷长度 保 留 就会被设成5 1 。将A H头插入I P v 6 的规则与前 安全参数索引（SPI ） 一章描述的 E S P插入规则类似。 A H 和E S P保 护的数据相同时， A H 头会一直插在E S P 头之 序 列 号 后。A H头比E S P 头简单得多，因为它没有提 验证数据 供机密性。由于不需要填充和一个填充长度 指示器，因此也不存在尾。另外，也不需要 图6-1 AH头 一个初始化向量。A H头如图6 - 1所示。 下一个头字段表示 A H 头之后是什么。在传送模式下，将是处于保护中的上层协议的值， 比如U D P或T C P协议的值。在通道模式下，将是值 4 ，表示I P - i n - I P （I P v 4 ）封装或I P v 6封装的 4 1这个值。 载荷长度字段表示采用 3 2位的字减 2 表示头本身的长度。 A H 头是一个 I P v 6 扩展头，按 第6章计验证头（AH ）计计59 下载 照R F C 2 4 6 0 ，它的长度是从 6 4位字表示的头长度中减去一个 6 4位字而来的。但 A H采用3 2位 字来计算，因此，我们减去两个 3 2位字（或一个 6 4位字）。没有使用预留字段时，必须将它 设成0 。 S P I字段中包含 S P I ，和外部I P 头的目的地址一起，用于识别对这个包进行身份验证的安 全联盟。 序列号是一个单向递增的计算器，等同于 E S P 中使用的序列号。第3章描述了序列号提供 的抗重播功能。 身份