756.根据GM/T 0022《IPSec VPN技术规范》,以下关于IPSec VPN 中的 AH 协议的功能说法错误的是()。

好的，我们来详细解析一下这道题目。 ### 题目背景 题目出自《商用密码应用安全性评估从业人员考核参考题库》，涉及的是IPSec（Internet Protocol Security）中的AH（Authentication Header）协议。IPSec是一种用于保护IP通信安全的协议套件，它提供了多种安全服务，包括数据加密、数据完整性和身份验证等。 ### 选项解析 **A. 支持数据完整性校验** - **解释**：AH协议通过使用哈希函数生成一个消息认证码（MAC），可以确保数据在传输过程中没有被篡改。如果数据被修改，接收方可以通过校验MAC发现这一变化。 - **正确性**：正确。AH确实支持数据完整性校验。 **B. 支持防报文重放** - **解释**：AH协议通过使用序列号和时间戳来防止重放攻击。即使攻击者截获了某个报文并尝试重新发送，接收方也可以通过检查序列号或时间戳来识别并丢弃重复的报文。 - **正确性**：正确。AH确实支持防报文重放。 **C. 支持报文的加密** - **解释**：AH协议的主要功能是提供数据完整性和身份验证，但它不提供数据加密功能。数据加密通常由ESP（Encapsulating Security Payload）协议来实现。 - **正确性**：错误。AH不支持报文的加密。 **D. 支持数据源验证** - **解释**：AH协议通过使用数字签名或共享密钥来验证数据的来源。接收方可以通过验证MAC来确认数据确实来自预期的发送方。 - **正确性**：正确。AH确实支持数据源验证。 ### 为什么选择C 根据上述解析，选项C“支持报文的加密”是错误的。AH协议的主要功能是提供数据完整性和身份验证，而不包括数据加密。因此，正确答案是C。 ### 示例 假设你正在使用IPSec建立一个安全的通信通道。在这个通道中，你可以选择使用AH协议来确保数据的完整性和来源的真实性。例如，如果你发送了一条包含敏感信息的消息，AH协议会生成一个MAC，并将其附加到消息中。接收方收到消息后，会重新计算MAC并与接收到的MAC进行比较，以确保数据没有被篡改。然而，AH协议不会对消息内容进行加密，这意味着消息内容仍然是明文的，只是确保了其完整性和来源的真实性。 希望这个解析对你有所帮助！如果有任何进一步的问题，请随时提问。