AH cung cấp khả năng xác thực nguồn dữ liệu (Data Origin Authentication), kiểm tra tính toàn vẹn dữ liệu (Data Integrity) và dịch vụ chống phát lại (Anti- replay Service).
Giao thức AH cung cấp khả năng xác thực bằng cách thực hiện một hàm băm một chiều (One-way Hash Function) đối với dữ liệu của gói để tạo ra một đoạn mã xác thực (Hash hay Message Digest). Đoạn mã này được chèn vào thông tin của gói truyền đi. Khi đó, bất cứ thay đổi nào đối với nội dung của gói trong quá trình truyền đi đều được phía thu phát hiện khi nó thực hiện cùng một hàm băm một chiều đối với gói dữ liệu nhận được và đối chiếu với giá trị mã xác thực truyền cùng với gói dữ liệu. Hàm băm được thực hiện trên toàn bộ gói dữ liệu, trừ một số trường hợp trong tiêu đề IP có giá trị thay đổi trong quá trình truyền.
Cấu trúc gói tin AH
Các thiết bị sử dụng AH sẽ chèn một tiêu đề vào giữa lưu lượng cần quan tâm của gói IP, ở giữa phần tiêu đề IP và tiêu đề lớp 4. Bởi vì AH được liên kết với IPSec, IP-VPN có thể định dạng để chọn lưu lượng nào cần được bảo vệ và lưu lượng nào không cần phải sử dụng giải pháp an toàn giữa các bên. Quá trình xử lý chèn tiêu đề AH được minh họa trên hình 2.15.
- Next Header (tiêu đề tiếp theo) - Payload Length (độ dài tải tin) - Reserved (dự trữ)
- Security Parameters Index (SPI – chỉ số an ninh) - Sequence Number (số thứ tự)
- Authentication Data (dữ liệu xác thực)
Hình 2.15 Cấu trúc tiêu đề AH cho gói tin IPSec
Xử lý AH trong chế độ truyền tải và đường hầm
Hoạt động của AH được thực hiện qua các bước như sau:
Bước 1: Toàn bộ tập tin IP (bao gồm cả tiêu đề và tải tin) được thực hiện qua một hàm băm 1 chiều.
Bước 2: Mã băm thu được dùng để xây dựng một tiêu đề AH, đưa tiêu đề này vào gói dữ liệu ban đầu
Bước 3: Gói dữ liệu sau khi thêm tiêu đề AH được truyền tới đối tác IPSec. Bước 4: Bên thu thực hiện hàm băm với tiêu đề và tải tin IP, kết quả thu được một mã băm.
Bước 5: Bên thu tách mã băm trong tiêu đề AH.
Bước 6: Bên thu so sánh mã băm mà nó tính được với mã băm tách ra từ tiêu đề AH. Hai mã này phải hoàn toàn giống nhau. Nếu chúng khác nhau, bên thu lập tức phát hiện tính không toàn vẹn của dữ liệu.
Hình 2.16 Khuôn dạng gói tin Ipv4 trước và sau khi xử lý AH