一、题目
以下关于IPSec VPN中的AH协议的功能说法错误的是?
A. 支持数据完整性校验
B. 支持防报文重放
C. 支持数据的加密
D. 支持数据源验证
二、答案
C
三、解析
AH(Authentication Header)协议主要提供数据完整性校验、防报文重放和数据源验证,但不支持报文的加密。AH通过在IP数据报上添加附加信息(认证数据)来实现数据完整性和源验证,但不对数据进行加密。如果需要加密,可以使用ESP(Encapsulating Security Payload)协议,ESP既支持加密也支持认证。
四、扩展 — ESP和AH
ESP(Encapsulating Security Payload)和AH(Authentication Header)是IPSec(Internet Protocol Security)协议套件中的两个主要协议,用于提供网络通信的安全性。
Authentication Header (AH) 协议:
- 功能:
- 提供数据完整性和源验证。
- 防止报文的篡改和伪造。
- 使用哈希函数对数据进行认证。
- 特点:
- 不提供加密,只关注于认证和完整性保护。
- 在IP头部之后添加一个新的头部(AH头部)。
- 在传输模式下,只保护IP数据报的有效负载。
- 在隧道模式下,保护整个IP数据报。
- 应用场景:
- 当数据完整性和源验证是首要关注的情况下,但不需要加密时,可以选择AH协议。
Encapsulating Security Payload (ESP) 协议:
- 功能:
- 提供数据加密、数据完整性和可选的认证。
- 防止报文的篡改和伪造。
- 使用加密算法对数据进行加密。
- 特点:
- 既提供加密又提供认证。
- 在传输模式下,不仅保护IP数据报的有效负载,还对整个数据报进行加密。
- 在隧道模式下,也对整个IP数据报进行加密。
- 应用场景:
- 当需要保护数据的机密性,同时也关心数据完整性和源验证时,可以选择ESP协议。
共同点:
- 两者都属于IPSec协议套件,用于提供网络层的安全性。
- 在实际使用中,可以同时使用ESP和AH,这被称为“混合模式”,以充分利用各自的优势。
总的来说,选择使用AH还是ESP取决于具体的安全需求。如果需要加密,选择ESP;如果只需要认证和数据完整性,选择AH。在某些情况下,可以结合使用以满足更全面的安全要求。