1. Introduction (简介)

本文档假设读者熟悉 "Security Architecture for the Internet Protocol (互联网协议安全架构)" [Ken-Arch] 中描述的术语和概念, 以下简称为安全架构文档 (Security Architecture document)。特别是, 读者应该熟悉 Encapsulating Security Payload (封装安全载荷, ESP) [Ken-ESP] 和 IP Authentication Header (IP 认证头, AH) 提供的安全服务定义, Security Associations (安全关联) 的概念, ESP 与 Authentication Header (AH) 结合使用的方式, 以及 ESP 和 AH 可用的不同密钥管理选项。

关键词 MUST, MUST NOT, REQUIRED, SHALL, SHALL NOT, SHOULD, SHOULD NOT, RECOMMENDED, MAY 和 OPTIONAL 在本文档中出现时, 应按照 RFC 2119 [Bra97] 中描述的方式进行解释。

IP Authentication Header (IP 认证头, AH) 用于为 IP 数据报 (以下简称为 "完整性") 提供无连接完整性 (connectionless integrity) 和数据源认证 (data origin authentication), 并提供防重放 (anti-replay) 保护。当建立 Security Association (安全关联, SA) 时, 接收方可以选择后者这一可选服务。(协议默认要求发送方递增用于防重放的序列号, 但该服务只有在接收方检查序列号时才有效。) 然而, 为了以可互操作的方式使用 Extended Sequence Number (扩展序列号) 特性, AH 确实对 SA 管理协议提出了能够协商这一新特性的要求 (见下文第 2.5.1 节)。

AH 为尽可能多的 IP 头部以及下一级协议数据提供认证。然而, 某些 IP 头部字段可能在传输过程中发生变化, 并且当数据包到达接收方时这些字段的值可能无法被发送方预测。此类字段的值无法受到 AH 的保护。因此, AH 为 IP 头部提供的保护是片段式的 (piecemeal)。(见附录 A。)

AH 可以单独应用, 与 IP Encapsulating Security Payload (ESP) [Ken-ESP] 结合使用, 或以嵌套方式使用 (见安全架构文档 [Ken-Arch])。安全服务可以在一对通信主机之间, 一对通信安全网关之间, 或者安全网关和主机之间提供。ESP 可用于提供相同的防重放和类似的完整性服务, 并且还提供机密性 (加密) 服务。ESP 和 AH 提供的完整性之间的主要区别在于覆盖范围 (coverage)。具体来说, 除非这些字段被 ESP 封装 (例如, 通过使用隧道模式), 否则 ESP 不保护任何 IP 头部字段。有关如何在各种网络环境中使用 AH 和 ESP 的更多详细信息, 请参阅安全架构文档 [Ken-Arch]。

第 7 节简要回顾了本文档与 RFC 2402 [RFC2402] 之间的差异。