信息安全技术 IPSec VPN安全接入基本要求与实施指南.docx

ICS350401.80OB中华人民共和家标准GB/TXXXXX-XXXX代替GB/T信息安全技术IPSeCVPN安全接入基本要求与实施指南Informationsecuritytechno1.ogyBase1.ineandimp1.ementationguideofIPSecVPNsecuringaccess点击此处添加与国际标准一致性程度的标识（征求意见稿）（本稿完成日期:2014/1/21）XXXX-XX-XX实施XXXX-XX-XX发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会1楚国本标准明确了采用IPSeCYP'技术实现安全接入的场景,提出了IPSeCYPN安全接入应用过程中有关网美、客户端以及安全管理等方面的要求，同时给出了IPSeCYK安全接入的实施过程，本标准适用于采用IPSeCVPE技术开展安全接入应用的机构，指导其进行基于IPSeCVpN技术的安全接入平台或系统的规划设计、设备选型、建设实施、运行维护和管理,也适用于设备厂商参考其进行产品的设计和开发.2规楚性引用文件下列文件时于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文件.凡是不注H期的引用文件,其最新版本（包括所有的修改单）适用于木文件。GB/TGM/TGM/TGM/TGM/TGM/TGM/T25069-2010000220120003-20120004-20120016-201200172012aaaa-2()xx信息安全技术术语Sm分组密眄算法SM2酰明曲线公钥密码制法SM3密码杂凑算法智能IC卡及智能密码钥匙修玛应用接口规范智能密码钥型密码应用接I1数据格式规范IPSecVPN技术规范注：（IPACNPX技术规花%的GM1.标布与即将发布,将在本标玳发布前对"GM/Taaaa-20xJ进行皆换.GM/Tbbbb-20xxIPSccVPN网关产品规范注；1.PcVPNM关产从爆苑的GM/T惊准号即将发布,将在木标准发布就对“GTbbbt×20xx"h3术语和定义GB/T250692（HO中界定的以及下列术语和定义适用于本文件.二层隧道协议1.ayer2tunne1.ingprotoco1.1.2TP一种支持YPN的隧道协议，本身不提供加密功能.3.2IP安全协议IPsecurityIPSec一套用于保护IP通信的安全协议，是IPv4的一个可选议系列，也是IPv6的组成部分之一.3.3虑拟专用网络VirtUa1.privatenetworkVPN一种在公共通信基础网络上通过龙轮方式隔离出来的网络安全联盟securityassociationSA两个通信实体经协而建立起来的种协定，描述实体如何利用安全服务来进行安全的通信。3.5互联网密钥交换协议internetkeyexchangeIKEIPSeC体系结构中的一种主要协议，由互联网安全联盟和密钥管理协议、密钥交换协议祖成。3.6失效对端检测deadpeerdetectionDPD一种基于数据流的、用于检测IPSCC连接状态的方法。3.7数字证书可别名DistinguishedNameDN又称为数字证书实体特征名，用来识别公物的实体名称,通常包括实体的通用名、组织单位、组织和国家信息.4缩略语下列缩略语适用于本文件.CA数字证曲认证中心(CerIifiCa1.eAuthority)CE用户端边缘设备(CUStonIerEdge)DN数字证书可辨识名(DistinguishedName)DPD失效对端检测(DeadPeerDetection)IKE因特网密钥交换出议(In1.erne1.KeyEXChanKe)IPSecIP安全协议(InternetProtoco1.Security)1 .DAI,轻麻汲目录访问协议(1.ightDirectoryAccessProtoco1.)MP1.S多协议标签交换(VU1.1.i-protoco1.1.a1.>e1.Switching)NAT网络地址转换(NetworkAddressTrans1.ation)PE运营商边缘设备(ProviderEde>PPP点对点协议(PointtoPointProtoco1.)PPTP点对点健道协议(PointtoPointTunne1.ingProtoco1.)SA安全联需(SecurityAssociation)S1.1.A安全杂演算法(SeCUreHash1gorithm)SSH安全外克协议(SeCUreShe1.I)SS1.安全套接层(SeCUreSocket1.ayer>VPDN虚拟专用拨号网(Virtua1.PrivateDia1.-upNetworks)VPN虚拟专用网(Virtua1.PrivateNetwork)VRFOCSPYPN路由转发(VPNRoutingForwarding)在线证书状态怖议(On1.ineCcr1.icifateStatusProtoco1.)5 IPSeCVPN安全接入场景5.1 网关到网关的安全接入场景IPSeCVPN网关到网关的对接适用于分支机构安全接入到总部惬络或者机构之间的安全接入.如图1所示.典型应用案例参见附录A.图1网关到网关的安全接入场景图网络1和刈络2分别部署IPSeCVPN网关,通过IPSeCVPN网关建立网络之间的安全传检通道.物理链路包括互联网集路、运营商提供的无线接入链路或数据专规等.5.2 终端到网关的安全接入场景终端到IPSeCVPM关的安全接入适用于移动办公用户或者公众用户接入机构内部网络,如图2所示典型应用案例参见附录A.接入刈络物现链路接入终端图2终端到网关的安全接入场景图接入网络部署IPSeCVPN网关，接入终端通过IPSeCYPN客户端和IPSeCYPN网关建立安全传输通道,接入终端可以是计算机，也可以是移动终端等智能终端设得，物理琏路包括互联网链路、运营商提供的无线於路等.6 IPSecVPN安全接入题本要求6.1 IPSeCVPN网关技术要求6.1.1 功篮要求IPSccVPN网关功能要求如下：7 ）支持YPN类型：应支持1.2TPoverIPSec、IPSecoverGRE以及IPSeCover1.2TP等.b）产丛可靠性：1）应支持双机热卷方式，支持隧道状态同步功能。双机热备示例参见附录C；2）应支持DPD功能，应雅控IPSetVPN隧遒中的通信情况，并在隧道不可用时可重新建立IPSecVPN隧道：3）应具备单机双电源冗余.C）安全性：1）应基于标准IPScc协议开发，并符合GM/Taaaa-20xx要求.注；（IPSecVPN技术址碑的GWr标准号即将发布，将在本标准发布前对“GM/T20XX"斑行昔揆.2）应支持国家密码管理局规定的对称算法：应支持SM2或2048bitRSA非对称密码算法：应支持SM3或SHA1.杂凑算法：3）应支持隧道模式和传输模式：4）应采用自动密钥协商机制：5）网关到网关之间、名户端到网关之间的身份鉴别应支持数字证书方式.d）互通兼容性：1）应支持与MP1.SVPN多业务域环境的对接.对接方式参见附录B；2）支持NAT穿越,能好双向穿透NAT设备.3）异构网关对接时应符合如下要求： 应选择国密密钥协商1.议或国际密钥协商协议其中一种； 枭用国密密钊协商协议时，应遵循GM/Taaaa-20xx,在协商时对接网关应选择一致的孙商属性.具体包括加密算法、杂援算法、认证方式等： 乘用国际密的协商协议时，应遵循RFC2409,在协商时对接网关应选择一致的协商M性，具体包括如加密算法、杂决算法、认证方式、DH级信息等； 对接网关在密钥协商时是否支持NAT穿越应保持一致； 应支持ESP或RH安全传输协议,对接阿关魔选祥一致的传输协议. ）IPv6赧容性：应支持IPv6基本协议，支持双极、隧道'NAT64期详、双校精简技术等IPv6过渡技术。IPv6过渡技术参见附录D。f）统一管理：1）应支持对IPSeCVpN设备的集中监控和管理：2）应支持Sys1.og等格式日志输出，提供采集与归就管理接11:3）应支持对外部认证用户分的授权。）性能管理：D应支持对CP1.1.利用率等关犍运行指标的监测：2）应支持时隧逆状态、在线用户状态等业务指标的监测：3）应支持对性能察数设定阈依，并提供告警功能。h）数字证书认证：D应支持受信任的C机构颁发的数字证书认证：2）应支持H）AP、OCSP等在践认证方式；3）应支持自动下载CR1.：4）应支持在线或黑线脸证证书有效性：5）应支持X.509v3证书格式.6.1.2性转要求根据IPSeCvpN网关的性他不同,从高到低分成A类（K）万用户数）、B类（2万用户数）、C类<5000用户数和D类（100o用户数四类网关，以适配不同的应用场景.各类网关的性能要求应不低于如下要求：表1IPSeCVPN设备性能指标分类表性侵指标网关集JM现B类（淡D类加解密乔吐（1428字臂）"20GbPN5GbpsIGbpsI(M)Mbps加解密时延（1428字In1dvT,Ims小于Kkm小于20rm小于50m、加解密丢包率（1428字节）"5%10%10%10%短杪新建隧道坟”IW503020蚊大并发隧道数。IO(XKM)20000I(XX)O5(MX)限隧道以大并发连接收"Io(X1.Oo2(XKXXX)SOO(100!OOOOO«）加解需吞吐信一分别在M字节以太期长和142B字节以太Wi长时，IPScc丫”网关在丢包率为0的条件下内网门达到的双向数掂域ft.b>加斛击时延一分在64字节以太依K和1128字节以太低长时.IPSeCVPN网关在丢包率为。的条件下，一个明文数据流经加变变为变文，再由密丈斛变还原为明攵所消耗的平均时间c）加解密丢包率一分别在必字节以太像长和M2S字节以太帧性时，在IpSMVPN网关内网口处于找速情况下.通位时间内错i5?或工失的效撩包占效发数掂包数St的百分比.d）用秒新建隧道我一网关在杪钟的单位时间内能够建立IpSeCV眩陡道牧日的最大值.e）1火并发隧道散一河关同时并存的IPSeCVpN隧道数H的H大值.D一陡电一大并发煌按数一网关数条IPSrCV僧防mi大能速并发建立的TCP室接力目.6.2IPSeCVpN客户端技术要求6.2.1IPSecVPN客户端软件要求IPSecVPN客户箍软件要求如下：a）客户端密钥交换协议和安全报文协议应符合GM/Taaaa-20xx要求：注：（IPSeCVPN技术规范的G1.T标巾可即将发布,将在本标加发布前对“GM/Taaaa-20x*"进行背换.b）应支持从智能IC卡、智能密码初匙'电子文件证并中获取证书并利用证书实现与IpSeCVPN网关的连接：O应支持国内外主流操作系统：d）应支持IPv4、IPv6等网络协议：e）应支持IPSCCVPN穿越NAT的技术.f）客户端接入IPSeCVPN网关时应符合如下要求：D应选择国密密钥协商协议或国际密物协商协议其，I，一种：2）枭