IPsec AH：IPsec 认证头协议
       （IPsec AH：IPsec Authentication Header）

IPsec认证头协议（IPsec AH）是 IPsec 体系结构中的一种主要协议，用来为 IP 数据包提供数据完整性、数据源认证，并提供保护以避免重发。一旦建立安全连接，接收方就可能会实施后一种服务。 AH 尽可能为 IP 头和上层协议数据提供足够多的认证。但是，在传输过程中某些 IP 头字段会发生变化，并且当包到达接收方时，发送方不能预测字段值。AH 并不能保密这种字段值。因此 AH 提供给 IP 头的保护是零碎的。 　　AH 可被独立应用，也可以结合 IP 封装安全负载（ESP）使用或以嵌套模式用于隧道模式。在通信主机与通信主机之间、通信安全网关与通信安全网关之间或安全网关与主机之间可以提供安全服务。 ESP 提供了相同的安全服务并提供了一种保密性（加密）服务，而 ESP 与 AH 各自提供的认证其根本区别在于它们的覆盖范围。特别地，如果那些字段不是由 ESP 封装的，那么 ESP 不会支持任何 IP 头字段。有关在不同网络环境下如何使用 AH 和 ESP 的详细内容，可参见相关文件。 　　通常，当用与 IPv6 时，AH 出现在 IPv6 逐跳路由头之后 IPv6 目的选项之前。而用于 IPv4 时，AH 跟随主要 IPv4 头。

协议结构

8	16	32 bit
Next Header	Payload Length	Reserved
Security parameters index （SPI）
Sequence Number Field
Authentication Data （Variable）

Next Header ― 识别认证头面后的下一个有效负载的类型。 Payload Length ― 规定 AH 的长（32位字，4-字节单元），减去“2”） SPI ― 专有32位值，与目的 IP 地址和安全协议（AH）相结合，唯一识别数据报的安全联接（Security Association）。 Sequence Number ― 包含无变化的增长计数器值，该值是强制性的，即使接收端不为特定 SA 提供 Anti-Replay 服务，它仍然存在。 Authentication Data ― 一个可变长字段，包括在 ESP 数据包上计算的减去 Authentication Data 的完整校验值（ICV）。

相关协议	IPsec、ESP、DES、AES、IKE、DOI、HMAC、HMAC-MD5、HMAC-SHA、PKI、IP、IPv6、ICMP
组织来源	IP AH 由 IETF （www.ietf.org）定义在 RFC 2402中。
相关链接	http://www.javvin.com/protocol/rfc2402.pdf：IP Authentication Header.