与ipsec相关的协议有2种:ah和esp。下面对它们进行详细说明。
认证头(authentication header)
ah是一种认证数据流的协议。它运用加密学复述功能,根据ip包的数据生成一个mac。此mac随包发送,允许网关确认原始ip包的整体性,确保数据在通过因特网的途中不受损坏。
除ip包数据外,ah也认证部分ip头。
ah协议把ah头插在原始ip头之后,在通道模式里,ah头是插在外部ip头之后的,但在原始内部ip头之前。
esp (encapsulating security payload)
esp用于ip包的加密和认证。还可只用于加密或认证。
esp头插在原始ip头之后,在通道模式里,esp头是插在外部ip头之后的,但在原始内部ip头之前。
esp头之后的所有数据是经过加密/认证的。与ah不同的是esp也对ip包加密。认证阶段也不同,esp只认证esp头之后的数据,因此不保护外部ip头。