2023量子保密通信VPN设备测试规范.docx

量子保密通信VPN 设备检测技术规范目  次III目  次 I前  言 IV量子保密通信 VPN 设备检测技术规范 11 范围 12 规范性引用文件 13 术语、定义和缩略语 14 总则 35 技术要求 35.1 功能要求 35.1.1 随机数生成 35.1.2 工作模式 35.1.3 密钥交换 35.1.4 安全报文封装 35.1.5 NAT 穿越 45.1.6 鉴别方式 45.1.7 IP 协议版本支持 45.1.8 抗重放攻击 45.1.9 密钥更新 45.2 性能要求 45.2.1 加解密吞吐率 45.2.2 加解密时延 45.2.3 加解密丢包率 45.2.4 每秒新建隧道数 45.2.5 最大并发隧道数 45.2.6 单隧道最大并发连接数 45.2.7 电磁兼容 55.3 安全管理要求 55.3.1 密钥管理 55.3.1.1 设备密钥 55.3.1.2 工作密钥 55.3.1.3 会话密钥 55.3.1.4 量子密钥 55.3.2 数据管理 55.3.2.1 配置数据管理 55.3.2.2 日志管理 65.3.3 人员管理 65.3.4 设备管理 65.3.4.1 硬件安全 65.3.4.2 软件安全 65.3.4.3 设备初始化 65.3.4.4 注册和监控 65.3.4.5 设备自检 65.3.4.6 设备物理安全防护 75.3.5 量子 VPN 网管 75.3.5.1 综合网管 75.3.5.2 配置网管 76 检测方法 76.1 功能检测 76.1.1 量子密钥同步校验 76.1.2 工作模式 76.1.3 密钥交换 76.1.4 安全报文封装协议 86.1.5 NAT 穿越 86.1.6 鉴别方式 86.1.7 IP 协议版本支持 86.1.8 抗重放攻击 86.1.9 密钥更新 86.2 设备性能检测 86.2.1 加解密吞吐率 86.2.2 加解密时延 86.2.3 加解密丢包率 86.2.4 每秒新建连接数 86.3 设备安全检测 96.3.1 密钥管理 96.3.2 数据管理 96.3.2.1 配置数据管理 96.3.2.2 日志管理 96.3.3 人员管理 96.3.4 设备管理 96.3.4.1 硬件安全 96.3.4.2 软件安全 96.3.4.3 设备初始化 96.3.4.4 注册和监控 96.3.4.5 设备自检 97 检测流程 107.1 网络接口连通性检测 107.2 设备注册功能检测 107.3 服务启动功能检测 117.4 密钥获取功能检测 117.5 使用量子密钥安全加密业务检测 127.6 量子密钥更新频率检测 127.7 量子密钥获取异常检测（接口异常、密钥不足） 137.8 量子 VPN 稳定性检测 15附 录 A 协议说明 161 量子密钥获取协议 161.1 帧格式 161.1.1 协议数据帧的要素概述 161.1.2 数据格式 161.1.3 消息内容服务类型说明 161.2 接口协议 171.2.1 概述 171.2.2 身份认证 171.2.3 读取密钥 171.2.4 清除缓存 172 安全报文协议 17附 录 B 设备功能检测表 18B 18量子保密通信 VPN 设备检测技术规范1 范围本标准规定了电力行业内应用量子VPN设备通信时，相关设备的检测规范，以指导相关产品研发并对设备进行入围检测。

2 规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件，仅所注日期的版本适用于本文 件凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件GM/Z 0001 密码术语GB/T 17626.2-2006 电磁兼容 试验和测量技术 静电放电抗扰度试验GB/T 17626.3-2006 电磁兼容 试验和测量技术 射频电磁场辐射抗扰度试验GB/T 17626.4-2008 电磁兼容 试验和测量技术 电快速瞬变脉冲群抗扰度试验GB/T 17626.5-2008 电磁兼容 试验和测量技术 浪涌(冲击)抗扰度试验GB/T 17626.6-2008 电磁兼容 试验和测量技术 射频场感应的传导骚扰抗扰度GB/T 17626.11-2008 电磁兼容 试验和测量技术 电压暂降、短时中断和电压变化的抗扰度试验GB/T 17626.18-2016 电磁兼容 试验和测量技术 阻尼振荡波抗扰度试验GM/T 0005 随机性监测规范GM/T 0009 SM2密码算法使用规范GM/T 0014 数字证书认证系统密码协议规范GM/T 0015 基于SM2密码算法的数字证书格式规范GM/T 0018 密码设备应用接口规范GM/T 0022 IPSec VPN 技 术 规 范 GM/T 0023 IPSec VPN网关产品规范GBT 32922-2016 IPSec VPN安全接入基本要求GB/T 28456-2012 IPSec协议应用检测规范3 术语、定义和缩略语下列术语和定义适用于本文件。

量子密钥分发 quantum key distribution; QKD通信双方通过传送量子态的方法实现信息理论安全的密钥分发过程量子密钥 quantum key通过量子密钥分发产生的由量子力学基本定律保证安全性的密钥18虚拟专用网络 virtual private network; VPN使用密码技术在通信网络中构建安全通道的技术量子VPN设备 quantum VPN equipment使用量子密钥进行加密通信的VPN设备量子保密通信 quantum secure communication结合量子密钥分发和对称密码技术的安全通信量子信道 quantum channel在量子保密通信网络中，QKD终端设备间传递量子态信息的通道经典信道 classical channel在量子保密通信网络中，QKD终端设备间传递密钥协商信息的通道量子密钥服务 quantum key service向量子加密通信设备提供量子密钥的服务量子密钥分发设备 quantum key distribution device 实现量子密钥分发功能的设备，包括接收端和发送端量子密钥管理终端 quantum key management terminal 集成了密钥存储、密钥输出等功能的软件或硬件设备。

集控站 central control node量子城域网的核心节点主要实现区域密钥生成与密钥中继等功能的控制，并提供骨干网接入功能用户站 user node量子保密通信网络中向用户提供量子密钥的节点缩略语下列缩略语适用于本文件AH：鉴别头(Authentication Header)CBC：密码分组链接(Cipher Block Chaining)ESP：封装安全载荷(Encapsulating Security Payload) IPSec：IP安全协议(Internet Protocol Security) NAT：网络地址转换(Network Address Translation) VPN：虚拟专用网络(Virtual Private Network)QKD：量子密钥分发(Quantum Key Distribution)QKM：量子密钥管理终端(quantum key management terminal) QKS：量子密钥服务(Quantum Key Service)IKE：因特网密钥交换协议（Internet Key Exchange）4 总则最基本的量子保密通信系统由QKD设备、QKM设备和量子VPN设备三部分组成。

QKD设备通过量子信道 和经典信道协商产生量子密钥，并通过QKM设备对密钥进行存储管理；量子VPN设备从QKM设备中获取量子密钥，建立加密传输通道，为业务数据的传输提供服务量子VPN业务内网量子VPN业务内网组建一个标准的量子保密通信网络，应在基本的量子保密通信系统的基础上，搭建以集控站为中心 的骨干网络，各个终端用户站点部署的量子设备通过骨干网络实现接入，并由量子网络管理系统对整个 量子网络进行管理监控，见下图所示：传输网络获取密钥量子网络管理系统获取密钥密钥管理密钥管理经典信道量子信道生成量子密钥生成量子密钥量子网络QKD设备QKD设备QKMQKM图 1 量子保密通信网络架构5 技术要求5.1 功能要求5.1.1 随机数生成应具有随机数生成功能，在使用随机数前能对生成的随机数进行偏“0”、偏“1”、“0、1”平衡 等常规检测，并提供检测接口，能通过检测接口对量子VPN设备所生成的随机数进行样本采集，随机数检验应符合GM/T 0005的要求5.1.2 工作模式应支持隧道模式和传输模式，其中隧道模式是必备功能，用于网关之间实现；传输模式是可选功能， 仅用于主机之间实现。

5.1.3 密钥交换设备主要使用量子密钥，在量子密钥不可使用的时候，切换到使用IPSec的会话密钥协商功能5.1.4 安全报文封装安全报文封装协议分为AH协议和ESP协议AH协议应与ESP协议嵌套使用，这种情况下不启用ESP协议中的验证操作ESP协议可单独使用，这种情况下应启用ESP协议中的验证操作5.1.5 NAT 穿越应支持ESP单独使用时NAT穿越5.1.6 鉴别方式应具有实体鉴别的功能，身份鉴别数据应支持数字证书方式5.1.7 IP 协议版本支持应支持IPv4协议或IPv6协议5.1.8 抗重放攻击在安全报文传输阶段应具有对抗重放攻击的功能5.1.9 密钥更新应具有根据时间周期和报文流量两种条件进行工作密钥和会话密钥的更新功能，其中根据时间周期 条件进行密钥更新为必备功能，根据报文流量条件进行密钥更新为可选功能，更新周期要求如下：a) 如采用量子密钥进行数据的封装和加密传输，其量子密钥更新周期参考范围（1-3600）秒，可 配置b) 如采用量子 VPN 设备的 IKE 密钥协商，应遵循 GM/T 0022-2014 6.1.9 节内容要求5.2 性能要求5.2.1 加解密吞吐率加解密吞吐率真是指分别在以太帧长64字节和1428字节（IPv6是1408字节）时，量子VPN设备在丢包率为0的条件下内网口上达到的双向数据最大流量。

应满足用户网络环境对网络数据加解密吞吐性能的要求5.2.2 加解密时延加解密时延是指分别在以太帧长64字节和1428字节（IPv6是1408字节）时，量子VPN设备在丢包率为0的条件下，一个明文数据流经加密变为密文，再由密文解密还原为明文所消耗的平均时间应满足用户网络环境对网络数据加解密时延性能的要求5.2.3 加解密丢包率加解密丢包率是指分别以太帧在64字节和1428字节（IPv6是。