2021信息安全技术 IPSecVPN安全接入基本要求与实施指南.docx

信息安全技术 IPSec VPN 安全接入基本要求与实施指南目  次前  言 III引  言 IV1 范围 12 规范性引用文件 13 术语和定义 14 缩略语 25 IPSec VPN 安全接入场景 35.1 网关到网关的安全接入场景 35.1.1 点到点 35.1.2 点到多点 35.2 终端到网关的安全接入场景 46 IPSec VPN 安全接入基本要求 56.1 IPSec VPN 网关技术要求 56.1.1 产品要求 56.1.2 功能要求 56.1.3 性能要求 56.2 IPSec VPN 客户端技术要求 66.3 安全管理要求 66.3.1 系统管理要求 66.3.2 数字证书管理要求 76.3.3 地址管理要求 76.4 密码要求 86.4.1 密钥管理要求 86.4.2 密码协议要求 86.4.3 算法配用要求 86.4.4 密码调用接口要求 86.4.5 设备管理要求 86.4.6 密码使用模块要求 87 实施指南 97.1 概述 97.2 需求分析 97.2.1 IPSec VPN 设备功能与性能需求 97.2.2 管理需求 97.3 方案设计 97.3.1 概述 9I7.3.2 接入方案设计 97.3.3 管理方案设计 97.4 配置实施 107.4.1 实施准备 107.4.2 IPSec VPN 设备部署 107.4.3 IPSec VPN 设备配置 107.4.4 系统联调 117.5 测试与备案 117.6 运行管理 117.6.1 系统维护管理 117.6.2 运行监测 117.6.3 资源管理 127.6.4 备份与恢复 127.6.5 变更与撤销 12附录 A（资料性） 典型应用案例 13附录 B（资料性） IPv6 过渡技术 16附录 C（资料性） VPN 功能类型 18参考文献 19II信息安全技术 IPSec VPN 安全接入基本要求与实施指南1 范围本标准规定了IPSec VPN安全接入应用过程中网关、客户端、安全管理以及密码应用等方面的基本要求，同时给出了采用IPSec VPN技术实现安全接入的典型场景和实施过程指导。

本标准适用于采用IPSec VPN技术开展安全接入应用的机构，指导其进行基于IPSec VPN技术开展安全接入平台或系统的需求分析、方案设计、配置实施、测试与备案、运行管理，也适用于设备商进行相 关产品的设计和开发2 规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件，仅注日期的版本适用于本文件 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件GB/T 17964 信息安全技术 分组密码算法的工作模式GB/T 19713 信息技术 安全技术 公钥基础设施 证书状态协议GB/T 20518 信息安全技术 公钥基础设施 数字证书格式GB/T 25069 信息安全技术 术语GB/T 32905 信息安全技术 SM3密码杂凑算法GB/T 32907 信息安全技术 SM4分组密码算法GB/T 32915 信息安全技术 二元序列随机性检测方法GB/T 32918（所有部分） 信息安全技术 SM2椭圆曲线公钥密码算法GB/T 35275 信息安全技术 SM2密码算法加密签名消息语法规范GB/T 35276 信息安全技术 SM2密码算法使用规范GB/T 36322 信息安全技术 密码设备应用接口规范GB/T 36968 信息安全技术 IPSec VPN技术规范GB/T 37092 信息安全技术 密码模块安全要求GB/T 38636 信息安全技术 传输层密码协议（TLCP）GM/T0023IPSec VPN网关产品规范GM/T0050密码设备管理 设备管理技术规范3 术语和定义GB/T 25069中界定的以及下列术语和定义适用于本文件。

3.1IPSec 协议 Internet Protocol Security一种开放标准的框架结构，通过使用加密的安全服务以确保在公开网络上进行保密而安全的通信，可以端至端的层面上提供数据完整性保护、数据源鉴别、载荷机密性和抗重放攻击等安全服务3.217虚拟专用网络 virtual private network使用密码技术在通信网络中构建安全通道的技术3.3第二层隧道协议 layer 2 tunneling protocol一种虚拟隧道协议，本身不提供加密与可靠性验证功能3.4安全联盟 security association两个通信实体经协商建立起来的一种协定，描述实体如何利用安全服务来进行安全的通信3.5互联网密钥交换协议 internet key exchangeIETF制定的密钥协商协议，定义了通信双方进行身份鉴别、协商加密算法以及生成共享会话密钥的一种方法3.6失效对端检测 dead peer detection一种基于数据流的、用于检测IPSec连接是否有效的方法3.7数字证书可辨别名 distinguished name又称为数字证书实体特征名，用来识别公钥的实体名称，通常包括实体的通用名、组织单位、组织和国家信息。

4 缩略语下列缩略语适用于本文件CA：数字证书认证中心（Certificate Authority） DN：数字证书可辨识名（Distinguished Name） CA：数字证书认证中心（Certificate Authority） DN：数字证书可辨识名（Distinguished Name） DPD：失效对端检测 （Dead Peer Detection）IKE：因特网密钥交换协议（Internet Key Exchange） IPSec：IP安全协议（Internet Protocol Security）LDAP：轻量级目录访问协议（Light Directory Access Protocol） MPLS：多协议标签交换（Multi-protocol Label Switching） NAT：网络地址转换（Network Address Translation）PE：运营商边缘设备（Provider Edge） SA：安全联盟（Security Association） SSL：安全套接层（Secure Socket Layer）VPDN：虚拟专用拨号网（Virtual Private Dial-up Networks） VPN：虚拟专用网（Virtual Private Network）OCSP：证书状态协议（Online Certificate Status Protocol） SCEP：简单证书注册协议（Simple Certificate Enrollment Protocol） L2TP：二层隧道协议（Layer 2 Tunneling Protocol）GRE：通用路由封装协议（Generic Routing Encapsulation） CRL：证书吊销列表（Certificate Revocation List）ESP：封装安全负载（Encapsulating Security Payload） CPU：中央处理单元（Central Processing Unit）TCP：传输控制协议（Transmission Control Protocol）DHCP：动态主机配置协议（Dynamic Host Configuration Protocol） TLS：传输层安全协议（Transport Layer Security）PKI：公钥基础设施（Public Key Infrastructure） MAC：消息认证码（Message Authentication Code） CBC：密文分组链接（Cipher Block Chaining） IP：网际互连协议（Internet Protocol）CTR： 计 数 器 （Counter） SYSLOG：系统日志（System Log）5 IPSec VPN 安全接入场景5.1 网关到网关的安全接入场景5.1.1 点到点IPSec VPN网关到网关的对接适用于分支机构安全接入到总部网络或者机构之间的安全接入，见图1。

典型应用案例参见附录A内部网络内部网络IPSec VPN网关IPSec VPN网关网络1承载网络图 1 网关到网关（点到点）的安全接入场景图网络2网络1和网络2分别部署IPSec VPN网关，通过IPSec VPN网关建立网络之间的安全传输通道承载网络包括互联网网络、运营商提供的无线接入网络或专线网络等IPSec VPN网关包括物理形态网关、虚拟形态网关5.1.2 点到多点内部网络网络2内部网络网络1承载网络内部网络IPSec VPN网关IPSec VPN网关IPSec VPN网关网络3图 2 网关到网关（点到多点）的安全接入场景图网络1、网络2和网络3分别部署IPSec VPN网关，通过IPSec VPN网关建立网络之间的安全传输通道承载网络包括互联网网络、运营商提供的无线接入网络或专线网络等IPSec VPN网关包括物理形态网关、虚拟形态网关在该场景中，为了提高IPSec VPN易用性及安全性需要满足：a) 建立IPSec VPN隧道时，为不同的分支配置不同的认证信息；b) 在公网地址动态变化的分支之间建立IPSec VPN隧道5.2 终端到网关的安全接入场景终端到IPSec VPN网关的安全接入适用于移动办公用户或者公众用户接入机构内部网络，见图3。

典型应用案例参见附录A内部网络IPSec VPN客户端IPSec VPN网关接入网络承载网络 接入终端图 3 终端到网关的安全接入场景图接入网络部署IPSec VPN网关，接入终端通过IPSec VPN客户端和IPSec VPN网关建立安全传输通道IPSec VPN客户端包含在接入终端上部署的连接网关的软件以及可选用的智能密码钥匙等硬件，接入终端可以是计算机，也可以是智能、平板电脑等移动智能终端设备承载网络包括互联网网络、运营商提供的无线网络等IPSec VPN网关包括物理形态网关、虚拟形态网关IPSec VPN客户端包括软件和硬件两种形式6 IPSec VPN 安全接入基本要求6.1 IPSec VPN 网关技术要求6.1.1 产品要求IPSec VPN网关产品选择基本要求如下：a) 应符合GB/T 36968、GM/T 0023的相关要求；b) 应支持SM4对称加密算法、SM2非对称密码算法、SM3杂凑算法；c) 应支持隧道模式；d) 应支持NAT穿越，能够双向穿透NAT设备6.1.2 功能要求IPSec。