بطور خلاصه پروتکل AH در واقع تأمین کننده سرویسهای امنیتی زیر خواهد بود: ۱.تمامیت داده ارسالی ۲.احراز هویت مبدا داده ارسالی ۳. نادیده گرفتن بستههای دوباره ارسال شده
این پروتکل برای تمامیت داده ارسالی از HMAC استفاده میکند و برای انجام این کار مبنای کارش مبتنی بر کلید سری است که payload بسته و بخشهایی تغییر ناپذیر سرآیند IP شبیه IP آدرس خواهد بود. بعد از این کار این پروتکل سرآیند خودش را به آن اضافه میکند در شکل زیر سرآیندها و فیلدهای AH نمایش داده شدهاست.
سرآیند AH،۲۴ بایت طول دارد. حال به توضیح فیلدهای این پروتکل میپردازیم.
اولین فیلد همان Next Headerمی باشد. این فیلد پروتکلهای بعدی را تعیین میکند. در حالت Tunnel یک دیتاگرام کامل IP کپسوله میشود بنابراین مقدار این فیلد برابر ۴ است. وقتی که کپسوله کردن یک دیتا گرام TCP در حالت انتقالmode) (Transport باشد، مقدار این فیلد برابر ۶ خواهد شد
فیلدpayload length همانطوریکه از نامش پیداست طول payload را تعیین میکند.
فیلد Reserved از دو بایت تشکیل شدهاست.برای آینده در نظر گرفته شدهاست.
فیلد security parameter Index یا SPI از ۳۲ بیت تشکیل شدهاست. این فیلد از SA تشکیل شده که جهت باز کردن پکتهای کپسوله شده بکار میرود. نهایتاً ۹۶ بیت نیز جهت نگهداری احراز هویت پیام Hash یا (HMAC) بکار میرود.
HMAC حفاظت تمامیت دادهٔ ارسالی را برعهده دارد. زیرا فقط نقاط نظیر به نظیر از کلید سری اطلاع دارند که توسط HMAC بوجود آمده و توسط همان چک میشود.
چون پروتکل HA حفاظت دیتاگرام IP شامل بخشهای تغییر ناپذیری مثل IP آدرسها نیز هست، پروتکل AH اجازه ترجمه آدرس شبکه را نمیدهد. NAT یا ترجمه آدرس شبکه در فیلد IP آدرس دیگری (که معمولاً IP آدرس بعداً میباشد) قرار میگیرد. وبه این جهت تغییر بعدی HMAC معتبر نخواهد بود. در شکل زیر حالتهای انتقال و تونل در پروتکل AH به نمایش در آمدهاست.همان طور که میبینید این پروتکل در این دو حالت ارتباط امن بین دو نقطه انتهائی که در دو شبکه مجزا قرار دارند را فراهم میآورد، همچنین ارتباط امن بین دو نقطه در یک شبکه داخلی و یک نقطه انتهائی و یک مسیر یاب یا حفاظ دیواره آتش(Firewall) را ممکن میسازد.بطور خلاصه پروتکل AH در واقع تأمین کننده سرویسهای امنیتی زیر خواهد بود: ۱.تمامیت داده ارسالی ۲.احراز هویت مبدا داده ارسالی ۳. نادیده گرفتن بستههای دوباره ارسال شده
این پروتکل برای تمامیت داده ارسالی از HMAC استفاده میکند و برای انجام این کار مبنای کارش مبتنی بر کلید سری است که payload بسته و بخشهایی تغییر ناپذیر سرآیند IP شبیه IP آدرس خواهد بود. بعد از این کار این پروتکل سرآیند خودش را به آن اضافه میکند در شکل زیر سرآیندها و فیلدهای AH نمایش داده شدهاست.
سرآیند AH،۲۴ بایت طول دارد. حال به توضیح فیلدهای این پروتکل میپردازیم.
اولین فیلد همان Next Headerمی باشد. این فیلد پروتکلهای بعدی را تعیین میکند. در حالت Tunnel یک دیتاگرام کامل IP کپسوله میشود بنابراین مقدار این فیلد برابر ۴ است. وقتی که کپسوله کردن یک دیتا گرام TCP در حالت انتقالmode) (Transport باشد، مقدار این فیلد برابر ۶ خواهد شد
فیلدpayload length همانطوریکه از نامش پیداست طول payload را تعیین میکند.
فیلد Reserved از دو بایت تشکیل شدهاست.برای آینده در نظر گرفته شدهاست.
فیلد security parameter Index یا SPI از ۳۲ بیت تشکیل شدهاست. این فیلد از SA تشکیل شده که جهت باز کردن پکتهای کپسوله شده بکار میرود. نهایتاً ۹۶ بیت نیز جهت نگهداری احراز هویت پیام Hash یا (HMAC) بکار میرود.
HMAC حفاظت تمامیت دادهٔ ارسالی را برعهده دارد. زیرا فقط نقاط نظیر به نظیر از کلید سری اطلاع دارند که توسط HMAC بوجود آمده و توسط همان چک میشود.
چون پروتکل HA حفاظت دیتاگرام IP شامل بخشهای تغییر ناپذیری مثل IP آدرسها نیز هست، پروتکل AH اجازه ترجمه آدرس شبکه را نمیدهد. NAT یا ترجمه آدرس شبکه در فیلد IP آدرس دیگری (که معمولاً IP آدرس بعداً میباشد) قرار میگیرد. وبه این جهت تغییر بعدی HMAC معتبر نخواهد بود. در شکل زیر حالتهای انتقال و تونل در پروتکل AH به نمایش در آمدهاست.همان طور که میبینید این پروتکل در این دو حالت ارتباط امن بین دو نقطه انتهائی که در دو شبکه مجزا قرار دارند را فراهم میآورد، همچنین ارتباط امن بین دو نقطه در یک شبکه داخلی و یک نقطه انتهائی و یک مسیر یاب یا حفاظ دیواره آتش(Firewall) را ممکن میسازد.
