Trong hệ thống IPSec, xác thực tiêu đề AH (Authentication Header) được sử dụng cho các dịch vụ xác thực. AH được chèn vào giữa tiêu đề IP và nội dung phía sau (hình 3.3), không làm thay đổi nội dung của gói dữ liệu
Xác thực tiêu đề gồm năm trường: Trường tiêu đề kế tiếp (Next Header Field), chiều dài tải (Payload Length), chỉ số tham số bảo mật SPI (Security Parameter Index), số tuần tự (Sequence Number), dữ liệu xác thực (Authentication Data). Hai khái niệm mới trong AH đó là SPI mang ý nghĩa chỉ ra thiết bị nhận gói biết họ giao thức bảo mật mà phải gửi dùng trong truyền thông, hai là dữ liệu xác thực mang thông tin về giải thuật mã hóa được định nghĩa bởi SPI.
HMAC kết hợp với MD5, HMAC kết hợp với SHA-1 là giải thuật mã hóa được chọn làm những phương thức mặc định cho việc tính toán tổng kiểm tra (checksum). Các mặc định này là kết quả của những thay đổi IPSec để cải thiện cơ chế xác thực bởi vì mặc định trước đó MD5 được phát hiện là không tránh được các tấn công đụng độ.
Thủ tục sử dụng cho các phương pháp này (HMAC-MD5 hay HMAC-SHA-1) giống nhau. Tuy nhiên SHA-1 có chức năng băm hơn MD5. Trong cả hai trường hợp, giải thuật hoạt động trên những khối dữ liệu 64 byte. Phương thức HMAC-MD5 sinh
ra bộ xác thực 128 bit trong khi HMAC-SAH-1 sinh ra bộ xác thực 160 bit. Bởi vì chiều dài mặc định của xác thực được định nghĩa trong AH chỉ có 96 bit nên các giá trị xác thực sinh ra phải được chia nhỏ trước khi lưu vào trường xác thực của AH.
Hình 2.1: Khuôn dạng gói tin Ipv4 trước và sau khi xử lý AH
Khi nhận gói dữ liệu, đầu nhận sẽ tính toán giá trị bộ xác thực của riêng nó là 128 bit hay 160 bit (tùy theo là sử dung loại nào), chia nhỏ nó ra tùy theo chiều dài được chỉ định trong trường xác thực và so sánh giá trị của nó với giá trị xác thực nhận được. Khi mà cả hai giống nhau thì dữ liệu không bị thay đổi trên đường truyền. Do đó có thể có cuộc tấn công bằng cách chặn một loạt các gói và sau đó phát lại chúng vào thời điểm sau khi AH cung cấp dịch vụ chống phát lại để ngăn các tấn công dựa trên cách thức trên.
Cần chú ý là AH không giữ cho dữ liệu bí mật được. Nếu một kẻ tấn công chặn các gói trên mạng lại và sử dụng một mật mã thích hợp thì cũng có thể đọc được nội dung của dữ liệu mặc dù không thể thay đổi được nội dung dữ liệu. Để bảo mật dữ liệu chống lại việc nghe trộm chúng ta cần phải sử dụng thành phần thứ hai của IPSec đó là ESP.