协议与协议比较

5.3.8　AH协议与ESP协议比较

AH协议和ESP协议都是网络层安全协议，但二者的侧重点不同。下面就认证、保密和防止重放三个方面加以对比。

（1）认证服务：AH协议和ESP协议都提供认证服务功能，但AH协议是专门用以提供认证服务的，而ESP协议的认证服务是它的选项，它主要是为了防止对协议的“剪贴”攻击。ESP提供的认证服务范围要比AH的窄，即ESP头以前的IP报文部分不会被保护；而AH协议认证了几乎所有的IP报文字段。

（2）保密服务：AH协议不提供保密服务，当不需要保密或者法律不允许保密的情况下，AH协议是一种恰当的安全协议；ESP主要用于数据保密。当使用隧道方式时，位于两个安全网关间的使用ESP保护的安全联结还可以提供一定的流量保密性。使用隧道方式时，由于内层的IP包被加密，所以隐藏了报文的实际源头和终点。更进一步的是，ESP使用的填充字节隐藏了报文的实际尺寸，从而更进一步地隐藏了这个报文的外在特性。当网络中的移动用户使用动态地址，使用隧道方式的安全联结穿过安全网关时，也有类似的通信流的保密性。当然，如果安全联结的粒度越细，那么这种安全服务就越脆弱（对于流量分析的情况）。

（3）防止重放：AH协议和ESP协议都有防止重放的功能。只要收方决定使用此功能，AH协议的此项功能就可靠工作，而ESP协议必须要有认证机制的配合，此项功能才起作用。

在具体选择安全协议时，要根据网络安全策略和网络中可能发生的攻击途径来取舍。对于防范侦听这类被动攻击，可以选择ESP协议。对于网络控制消息的保护，如ICMP，RIP，因为主要为防止假冒，故可用AH协议。对于IP假冒，如源选径攻击，也可以用AH协议。对于会话劫持，则可以用AH协议认证TCP的连接序号，也可以用ESP协议加密会话连接。