Ipsec中验证和加密的结合
设计之初的设想是为一个IP数据包提供完整性、真实性和机密性要同时使用AH和ESP。(AH在ESP之前,接收方先检验数据包的真实性和完整性,然后尝试解密)
但这导致IP数据包整体大小增加,所以将验证功能嵌入到ESP报尾,以保护ESP序列号和真正的有效载荷。
用户可以选择依次单独使用AH和ESP,还是仅仅依赖ESP报头,在其报尾包含一个可选的验证功能。不管哪种方式选择传输模式还是隧道模式都与所使用的AH和ESP的组合无关。
