GB_T 32922-2023 信息安全技术 IPSec VPN安全接入基本要求与实施指南.docx

ICS35.030(S1.«0G日中华人民共和家标准GBZT329222023代,GMr329222016信息安全技术IPSecVPN安全接入基本要求与实施指南Informationsecuritytechno1.ogyBase1.ineandimp1.ementationguideofIPSecVPNsecuringaccess2023-03-17发布国家市场监督管理总局国家标准化管理委员会目次前言11范困I2规蒐性引用文件I3术谙和定义I4缗略语25 IPSorVPN安全接入场景35.1 网关到网关的安全接入场景35.2 终端到N关的安全接入场景46 IPSCCVPN安全接入基本要求46.1 IPSccVPN网关技术要求46.2 IPSccVPN客户湘技术要求56.3 安全管理要求66.4 密码应用要求77实施指曲77.1 概述77.2 需求分析87.3 方案设计87.4 方案脸证973配置实瓶97.6 运行管理10附录A（资料性）典型陶用案例13附录B（资料性）常见的IPSeCVPN功能16附录C（资料性）IPv6过渡技术17参考文献18本文件按照GB"1.1-2020£标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草.本文件代替GBT329222016E信息安全技术IPSecVPN安全接入基本要求与实施指唐令，与GRT329222016相比,除结构调整和斓科性改动外.主要技术变化如卜i-承加了IPSeVPN安全接入点到多点场景（见5.1.2）：-更改了IPSeCVP、安全接入场景的示意图（见笫5章，2016年版的笫5章）：一更改了IPsaVPN网关密码算法的使用要求（见6.1.1,2016年版的6.1.D;一更改了IPS<xVPN网关VPN功能要求的描述（见6.1.2,2016年版的6.1.2）:YIPSccVPN网关可雅性功能要求的描述（见6.1.2,2016年版的6.1.2）;增加IPSecVPN网关在分支多出口场线支持动态选路功能的描述（见6.1.2）;一更改了IPSCCVPN网关互通兼容性功能要求的描述（见6.1.2,2016年版的6.1.2）；-更改了IPsecVPN网关IPv6兼容性功能要求的描述（见6.1.2,2016年版的6.1.2）;增加了IPSeCVPN网关易用性功能要求的描述（见6.1.2）:-更改了IPSeCVPN网关证书认证功能要求的描述（见6.1.2,2016年版的6.1.2）;一更改了IPSeVPN网关产品的性能要求（见6.1.3,2016年版的6.1.3）：更改j'IPSecVPN客户端技术要求，合并软硬件要求f章节（见6.2,2016年版的6.2）;一更改了IPSeCVPN网关和客户端功能要求中IPSa安全协议类型的要求（见61.2和6.2.201阵版的6.1,2和6.2）;-更改了IPsbVPN网关及客户箱设备管理要求（见6.3.1,2016年版的6.3.D;更改/IPSecVpN网关和客户端证书管理要求的描述（见6.3.2,2016年版的6.3.2）;增加了“密码要求”三4）;一-更改了实施指南相关描述（见第7章,2016年版的第7章）；更改了典型应刖场景的描述（见附录A,2016年版的附录A）;一增加了“常见的IPScCVPN功能”附录（见附录B）,并调整原附录B为附录C-蒯除了传输模式IPSeC6ov4隧道场景（姐2016年版的附录C.2）。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的说任。本文件由全国信息安全标准化技术委员会（SACZrC260胧出并归口。本文件起草单位：国家信息中心、华为技术有限公司、奇安信网神信息技术（北京）股份有限公司、北京天融信网络安全技术有限公司、深信服科技股份有限公司、成都>土通信息产业股份有限公司、深圳奥联信息安全技术有限公司、深圳市数元信安科技有限公司、中国科学院信息工程研究所、公安部第一研究所.新华ZZ技术有限公司、西安交大证普网络科技有限公司、期住商用密:码测评技术（深圳）有限公司、中国电力科学研究院有限公司。本文件主要起草人：徐春学、焦迪、罗海宁、潘伟、王伟、押金、李金国、万志宇、程子株、王融彪、赵国全、罗俊、但波、费鹏、任飞、IHZ泮、何建修、万晓兰、甚敏、邹超、刘松、李海涛。本文件及其所代替文件的历次版本发布情况为：2016年首次发布为GB"329222016;本次为第一次修订.信息安全技术IPSeCVPN安全接入基本要求与实施指南1a本文件规定了IPS(XvPN安全接入应用过程中网关、客户端、安全管理以及密码应用等方面的基本要求，提供了乘用IPSeVPN技术实现安全接入的典型场处和实施过程指南，本文件适用于采用IPGVPN技术开展安全接入应用的机构，指导其携丁IPSeeVPN技术开展安全接入平台或系统的需求分析、方案设计、方案脸证、配置实施、运行管理.2版雌引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中，注日期的引用文件仪该日期对应的版本适用于本文件：不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.GBrr15843(所有部分)信息技术安全技术实体鉴别GB.T19713信息技术安全技术公钥基础设能在设证书状态协议GBrr20518信息安全技术公例基础设施数字证书格式GBzT25069信息安全技术术语GB,T32915信息安全技术二元序列随机性馀测方法GB“36968信息安全技术IPSaVPN技术规范GB"37092信息安全技术密码模块安全要求GBT38636信息安全技术传输层密码协议(T1.CP)GM-T0023IPSecVPN网关产品规能GM-T0050密码设备管理设备管理技术规范GMT0062窘码产M随机数检测要求GM,T0089简IR证书注册协议规范3:WMm1.GBT25069、GBT36968界定的以及下列术语和定义适用于本文件.3.1II1ScctMj1.InternetProtoco1.Security一种开放标准的框架结构，通过使用加密的安全服务以确保在公开网络上进行保密而安全的通信，可在端至端的层面上提供数据完整性保护、数据源鉴别、载荷机密性和抗戒放攻击等安全服务。洪海：GB"36968201834有修改3.20R专用网virtua1.privatenetwork使用密码技术在通信网络中构建安全通道的技术，来源：GBT368-2OI87)封装安全(菩encapsu1.atingsecuritypa、IoadIPSeC的一种协议，用于提供IP数据包的机密性、数据完整性以及对数据源鉴别以及抗重放攻击的功能。来源：GBT369682018.3.611.4安全联31securityassociation两个通信实体经协商建立起来的一种协定，它描述了实体如何利用安全服务来进行安全的通信。:来源：GB/r569682018,3.11.5密码模块CQPto1.yHPhiCmOdUk实现了安全功能的硬件、软件和/或固件的集合，并且被包含在密码边界内.来源：GBrr370922018,3.54 m卜列缩略语适用于本文件。CPU:中央处理中元(Centra1.ProcessingUniOCR1.:证书撤销列表(CertifkateRevocation1.ist)DHCP：动态主机配置协议(DynamiCHostConfigurationPrococo1.)DN:可识别名(DiStingUiShedName)DPD:失效对端检测(DeadPeerDe1.gion)ESP:封袋安全安荷(EnCaPSUIatingSecurityPay1.oad)GRE:通用路由封装协议(GeneriCRoutingEncapsu1.ation)IP:互联网通信协议(I1.1.Ieme1.Pnxoco1.)IPSecr1.P安全侨议(Interne1.Protoco1.Security)IPv4:互联网通信协议第四版(In1.eme1.Protoco1.version4)IPv6:互联网通信协议第六版(InternetProtoco1.version6)1.2TP:二层隧道协议(1.ayer2Tunne1.ingProtoco1.)1.DAP:轻量级目录访问协议(1.ightDirCCtoryAccessProtoco1.)MP1.S:多协议标签交换(MU1.Iipro<oco1.1.abe1.Switching)NAT:网络地址转换(NeIWOrkAddressTrans1.ation)NAT64:IPv6到IPv4的网洛地址转换(NCtWOrkAddressTrans1.ationfromIPv6toIPv4)OCS。在线证书状态协议(OnIineCertificateStatusProtoco1.)SA:安全联盟(SeCurityAssociation)SCEP:简单证行注册协议(SimP1.CCertificateEnruIImentPnXoCu1.)SyS1.og:系统H志(SyStem1.og)TCP:传输控制协议(TranSmiSSiOnContro1.Pr<xoco1.)T1.CP:传输层海码协议(TranSPrt1.ayerCryptographyProtoco1.)VPDN:虚拟专用拨用网(VirtUa1.PrivateDia1.-upNetworks)VPN:虚拟专用网(Virtua1.PrivateNetwork)5 .2终到网关的安全按入场f1.1.终端到IPSaVPN网关的安全接入场景见3,该场景适用移动办公川户或者公众用户安全接BB3图3中机构内部网络部署IpSCCVPN网关，接入终端通过IPScCVPN客户端和IPSCCVPN网关建立安全传输通道IPSbVPN客户端包含在接入终端上部署的连接网关的软件以及密码模块，接入终端可是计算机，也可是智能手机、平板电脑等移动狎能终端设备，密:码模块可是智能密码的匙等产外部网络包括互联网网络、运营商提供的无线网络等，6 IPJhxVPN安全接入*Mf求61 PSecVP卜网关技术要来61.1 cAK*IPSecVPN网关产品选择的基本要求如F：a)符合GBJT36968、GM,，TOO23的相关规定：b)支持使用SM4分组密码舞法、SM2椭InI曲线公钥左码算法、SM3招码杂漆算法；c)支持隧道模式；d)具备NAT穿越功能，能双向穿透NAT设,&1.2JMOMtIPSeVPN网关功能要求如卜Za)VPN功曲1 )11支持IPSeC承裁的GRE(GREOVer1.PSec).见附录B;2)可支持IPSCC承载的1.2TP(1.2TPoverIPSe)、GRE承载的IPSeC(IPseCoverGRE).见附录B,b)可考性功能：2 )具备I)PD功能，在检测到对等体异常时可重新发起协商：2)具备珞于链路顺里动态选路的功能，在分支机构或总部网络有多个外部网络出口时能站于槌路明鼠动态选择最优的IP&xVPN战道进行传输：3)宜具备热备功能，当支持热备功俄时应具备IPSctVPN配置同步、安全联盟(SA)同步