Authentication Header służy do zapewnienia bezpołączeniowej integralności, autoryzacji źródła danych dla datagramów IP oraz chroni przed atakiem z powtórzeniem pakietów. Podobnie jak w przypadku ESP ostatnia opcja może być wybrana podczas tworzenia SA. AH zapewnia usługę autoryzacji dla jak największej części pakietu IP jak i dla danych protokołu warstwy wyższej. Należy zwrócić uwagę, że niektóre pola nagłówka IP mogą się zmieniać podczas wędrówki pakietu, pola te nie mogą być chronione przez AH.

AH może być zastosowane samodzielnie, w połączeniu z ESP lub w trybie ,,zagnieżdżonym'' przy użyciu tunelowania. ESP może być wykorzystane do zapewnienia tych samych usług co AH. Główna różnica jest w zakresie pokrycia chronionych danych. ESP nie zapewnia ochrony żadnym pól nagłówka IP z wyjątkiem trybu tunelowania - wewnętrzny nagłówek IP.

Nagłówek protokołu IPv4, IPv6 lub rozszerzeń IPv6 bezpośrednio poprzedzający nagłówek AH musi zawierać wartość 51 w polu protokołu (IPv4) lub w polu następny nagłówek (IPv6 lub rozszerzenia IPv6).



Znaczenie odpowiednich pól nagłówka:

• Next Header - 8-bitowe pole, który identyfikuje protokół warstwy wyższej występujący za AH.
  
• Payload Length - jest 8-bitowym polem, które mówi jaką długość w 32-bitowych słowach ma nagłówek AH pomniejszoną o ,,2''.
  
• Reserved - 16-bitowe pole zarezerwowane.
  
• Security Parametrs Index (SPI) - jest 32-bitową wartością, która w połączeniu z adresem IP przeznaczenia oraz protokołem (AH) unikalnie identyfikuje bezpieczne połączenie (SA) dla danego datagramu. Analogicznie jak dla ESP numery od 1 do 255 są zarezerwowana przez IANA a wartość 0 jest zarezerwowana do użytku lokalnego i nie może być przesyłana przez sieć.
  
• Sequence Number - analogicznie do ESP.
  
• Authentication Data - jest polem o zmiennej długości zawierającym wartość sprawdzająca integralność (ang. ICV - Integrity Check Value) dla tego pakietu. To pole musi być całkowitą wielokrotnością 32 bitów. To pole może zawierać dopełnienie, żeby zapewnić odpowiednią wielokrotność.
  

Analogicznie jak w ESP, AH może być wykorzystane w dwóch trybach: transportowym oraz tunelowania.

W trybie transportowym nagłówek AH jest umieszczony zaraz po nagłówku IP a przed nagłówkiem protokołu warstwy wyższej lub przed innym nagłówkiem IPsec, które został już umieszczony w pakiecie.





W trybie tunelowania wewnętrzny nagłówek IP zawiera ostateczne adresy źródłowy i przeznaczenia podczas gdy zewnętrzny nagłówek może zawierać różne adresy np. bram. AH w trybie tunelowania chroni cały wewnętrzny pakiet IP





IPsec dopuszcza łączenie AH i ESP. Poniższy diagram przedstawia możliwości położenia odpowiednich nagłówków w trybie transportowym i tunelowania:



fragmenty pracy magisterskiej opracowane na podstawie:
Brian Komar, „TCP/IP dla każdego”, Wydawnictwo Helion, 2002
http://www.ping.win.pl/z_sieci/rozp_pakietow_ipsec.htm
http://www.ietf.org/rfc/rfc4302