IPv6の認証機能で提供されているものは、改竄の発見と自己証明です。 改竄については、一方向ハッシュ関数とPGPなどで示したように、 MD5あるいはSHAによるハッシュ値をあらかじめ計算をし、それをヘッダに 格納します。ハッシュ値が格納された値と、受信後計算した値が同一ならば、 改竄はなかったことになります。従って、問題はそのハッシュ値が改竄され ては元も子もなくなるので、鍵付きハッシュ関数を用います。 鍵付きハッシュ関数は、入力に秘密鍵を付加します(当然パケットのデータと 共にという意味です)。 つまり、この秘密鍵を知っていなければ、元のメッセージを改竄して、 ハッシュ値を計算しても同じ値にはなりません。逆に、この値が、パケットに 格納された値と同じであれば、同じ秘密鍵を知っているということが保証 されます。 従って、AH においては、送信側と受信側でこの秘密鍵を共有することが ポイントになります。 なお、ハッシュ値はIPヘッダまでも含めて 計算をされます。その際に、各中継ルータで変更されるようなHop Limit のようなものは全て0にして、計算をします。
通常、AH では MD5 あるいは SHAをハッシュ関数に使いますが、基本的に、 IPsec自体はこれらのハッシュ関数の種類や、暗号の種類からは独立に 作られており、交換して使うことが出来るように考慮されています。
このように認証機能によって、認証された相手との通信と同時に認証されない相手 からの通信を破棄したりすることも出来ます(勿論、認証に通らなくても通信を 許可することも出来ます)。