IPsec 认证头协议（IPsec AH）是 IPsec 体系结构中的一种主要协议，它为 IP 数据报提供无连接完整性与数据源认证，并提供保护以避免重播情况。一旦建立安全连接，接收方就可能会选择后一种服务。AH 尽可能为 IP 头和上层协议数据提供足够多的认证。但是，在传输过程中某些 IP 头字段会发生变化，且发送方无法预测当数据包到达接受端时此字段的值。AH 并不能保护这种字段值。因此，AH 提供给 IP 头的保护有些是零碎的。

AH 可被独立使用，或与 IP 封装安全负载（ESP）相结合使用，或通过使用隧道模式的嵌套方式。在通信主机与通信主机之间、通信安全网关与通信安全网关之间或安全网关与主机之间可以提供安全服务。ESP 提供了相同的安全服务并提供了一种保密性（加密）服务，而 ESP 与 AH 各自提供的认证其根本区别在于它们的覆盖范围。特别地，不是由 ESP 封装的 IP 头字段则不受 ESP 保护。有关在不同网络环境下如何使用 AH 和 ESP 的详细内容，可参见相关文件。

通常，当用与 IPv6 时，AH 出现在 IPv6 逐跳路由头之后 IPv6 目的选项之前。而用于 IPv4 时，AH 跟随主 IPv4 头。

协议结构

• Next Header ― 识别认证头面后的下一个有效负载的类型。
• Payload Length ― 规定 AH 的长（32位字，4-字节单元），减去“2”）
• SPI ― 专有32位值，与目的 IP 地址和安全协议（AH）相结合，唯一识别数据报的安全联接（Security Association）。
• Sequence Number ― 包含无变化的增长计数器值，该值是强制性的，即使接收端不为特定 SA 提供 Anti-Replay 服务，它仍然存在。
• Authentication Data ― 一个可变长字段，包括在 ESP 数据包上计算的减去 Authentication Data 的完整校验值（ICV）。

相关协议：IPsec、ESP、DES、AES、IKE、DOI、HMAC、HMAC-MD5、HMAC-SHA、PKI、IP、IPv6、ICMP

组织来源：IP AH 由 IETF （www.ietf.org）定义在 RFC 2402中。

相关链接：http://www.javvin.com/protocol/rfc2402.pdf：IP Authentication Header.