AH比ESP少了一個整體包的加密功能。而 ESP 與 AH 各自提供的認證其根本區別在於它們的覆蓋範圍。 ipsec vpn包括三個部分:ah esp ike。esp主要是完整性,認證,和資料部分的加密。但是esp不能針對ip包頭。只針對資料部分。就像是一個火車。ah是火車司機長只負責火車頭的安全。esp是列車長,負責除了火車頭之外的整個車廂的安全。 AH關注ip包頭的完整性,認證,而沒有資料部分的加密。ESP支援兩種工作模式:傳輸模式和隧道模式所以,是不同的。 基本的ESP協議定義和實際提供安全服務(保密性和鑑別服務)的演算法的定義是分開的。ESP是一個通用的、易於拓展的安全機制,其組成格式: (1)安全引數索引(32 bit):標識一個安全關聯,同AH中的SPI。需要指出的是,SPI本身可以被鑑別,但不會被加密,否則無法處理。 (2)序列號(32 bit):一個單調遞增的計數器的值,同AH中討論的一樣,主要為了抵抗重放攻擊。同樣序列號也不會被加密。 (3)載荷資料(變長):為透過加密保護的傳輸級資料段(傳輸模式)或IP資料報(隧道模式)。 (4)填充:欄位長範圍為0到255位元組,用於將明文擴充到所需要的長度,保證邊界的正確,同時隱藏載荷資料的實際長度。
AH比ESP少了一個整體包的加密功能。而 ESP 與 AH 各自提供的認證其根本區別在於它們的覆蓋範圍。 ipsec vpn包括三個部分:ah esp ike。esp主要是完整性,認證,和資料部分的加密。但是esp不能針對ip包頭。只針對資料部分。就像是一個火車。ah是火車司機長只負責火車頭的安全。esp是列車長,負責除了火車頭之外的整個車廂的安全。 AH關注ip包頭的完整性,認證,而沒有資料部分的加密。ESP支援兩種工作模式:傳輸模式和隧道模式所以,是不同的。 基本的ESP協議定義和實際提供安全服務(保密性和鑑別服務)的演算法的定義是分開的。ESP是一個通用的、易於拓展的安全機制,其組成格式: (1)安全引數索引(32 bit):標識一個安全關聯,同AH中的SPI。需要指出的是,SPI本身可以被鑑別,但不會被加密,否則無法處理。 (2)序列號(32 bit):一個單調遞增的計數器的值,同AH中討論的一樣,主要為了抵抗重放攻擊。同樣序列號也不會被加密。 (3)載荷資料(變長):為透過加密保護的傳輸級資料段(傳輸模式)或IP資料報(隧道模式)。 (4)填充:欄位長範圍為0到255位元組,用於將明文擴充到所需要的長度,保證邊界的正確,同時隱藏載荷資料的實際長度。