Trong hệ thống IPSec có một đầu mục đặc biệt, đầu mục chứng thực AH được thiết kế để cung cấp hầu hết dịch vụ chứng thực cho dữ liệu IP. AH là một trong những giao thức bảo mật IPSec đảm bảo tính toàn vẹn cho tiêu đề gói và dữ liệu cũng như việc chứng thực người sử dụng. Nó đảm bảo việc chống phát lại và chống xâm nhập trái phép như một tùy chọn. Trong những phiên bản đầu của IPSec, giao thức đóng gói tải tin an toàn ESP chỉ thực hiện mã hóa mà không có chứng thực nên AH và ESP được dùng kết hợp, ở những phiên bản sau này, ESP đã có thêm khả năng chứng thực. Tuy nhiên AH vẫn được dùng do nó đảm bảo việc chứng thực cho toàn bộ tiêu đề và dữ liệu cũng như việc đơn giản hóa đối với truyền tải dữ liệu trên mạng IP chỉ yêu cầu chứng thực.
Hình 2.16 – Ví dụ minh họa AH xác thực và đảm bảo tính toàn vẹn của dữ liệu
- Bước 1: AH sẽ đem gói dữ liệu (packet) bao gồm Payload, IP Header, Key rồi sử dụng giải thuật Hash (băm) một chiều và cho ra kết quả là một chuỗi số, sau đó chuỗi số này sẽ được gán vào AH Header.
- Bước 2: AH Header này sẽ được chèn vào giữa Payload và IP Header và chuyển sang phía bên kia của đường hầm.
- Bước 3: Router đích sau khi nhận được gói tin bao gồm IP Header, AH Header, Payload sẽ được sử dụng giải thuật Hash một lần nữa để nhận được kết quả một chuỗi số.
- Bước 4: Router ở phía đích so sánh chuỗi số nó vừa tạo ra và chuỗi số của nó, nếu giống nhau thì nó chấp nhận gói tin.
AH Header
Tiêu đề AH bao gồm các trường sau đây:
Hình 2.17 – Các trường trong AH Header
- Next Header: Trường này dài 8 bits, chứa chỉ số giao thức IP. Trong chế độ Tunnel, Payload là gói tin IP, giá trị Next Header được cài đặt là 4. Trong chế độ Transport, Payload luôn là giao thức ở Transport Layer. Nếu giao thức lớp Transport là TCP thì trường giao thức trong IP là 6. Nếu giao thức lớp transport là UDP thì trường giao thức trong IP là 17.
- Payload Length: Trường này chứa chiều dài của AH Header.
- Reserved: Giá trị này được dành để sử dụng trong tương lai (cho đến thời điểm này nó được biểu thị bằng các chỉ số 0).
- Security Parameters Index (SPI): Mỗi đầu cuối của một kết nối IPSec tuỳ ý chọn giá trị SPI. Hoạt động này chỉ được dùng để nhận dạng cho kết nối. Bên nhận sử dụng giá trị SPI cùng với địa chỉ IP đích và loại giao thức IPSec (trong trường hợp này là AH) để xác định chính sách liên kết an ninh SA được dùng cho gói tin (có nghĩa là giao thức IPSec và các thuật toán nào được dùng để sử dụng cho gói tin).
- Sequence Number: Chỉ số này tăng lên 1 cho mỗi AH Datagram khi một host gửi có liên quan đến chính sách SA. Giá trị bắt đầu của bộ đếm là 1, chuỗi số này không bao giờ được phép ghi đè lên là 0.
- Authentication Data: Trường này chứa giá trị ICV (Integrity Check Value). Trường này luôn là bội của 32-bit và phải được đệm vào nếu chiều dài của ICV trong các bytes chưa đầy.
AH version 3
Phiên bản mới của AH là version 3, phiên bản được phát triển dựa trên phiên bản phác thảo. Tính năng khác nhau giữa version 2 và version 3 là một vài sự thay đổi đến SPI và tuỳ
chọn chỉ số dài hơn. Chuẩn phác thảo version 3 cũng liệt kê thuật toán mã hoá yêu cầu cho AH. Bản phác thảo uỷ nhiệm hỗ trợ cho HMAC-SHA1-96, giới thiệu thuật toán hỗ trợ mạnh hơn là AES-XCBC-MAC-96 và cũng giới thiệu thuật toán HMAC-MD5-96.