GM/T 0023-2014 IPSec VPN网关产品规范

犐犆犛３５．０４０犔８０： — 备案号４４６２４２０１４中华人民共和国密码行业标准犌犕／犜００２３—２０１４犐犘犛犲犮犞犘犖网关产品规范犐犘犛犲犮犞犘犖犵犪狋犲狑犪狔狆狉狅犱狌犮狋狊狆犲犮犻犳犻犮犪狋犻狅狀２０１４０２１３发布２０１４０２１３实施国家密码管理局发布犌犕犜００２３２０１４ — ／中华人民共和国密码行业标准犐犘犛犲犮犞犘犖网关产品规范ＧＭ／Ｔ００２３—２０１４  中国标准出版社出版发行北京市朝阳区和平里西街甲２号（１０００２９）北京市西城区三里河北街１６号（１０００４５）网址ｗｗｗ．ｓｐｃ．ｎｅｔ．ｃｎ总编室：（０１０）６４２７５３２３　发行中心：（０１０）５１７８０２３５读者服务部：（０１０）６８５２３９４６中国标准出版社秦皇岛印刷厂印刷各地新华书店经销  开本８８０×１２３０１／１６　印张１．２５　字数３０千字２０１４年４月第一版　２０１４年４月第一次印刷  书号：１５５０６６·２２７００９　定价２３．００元　如有印装差错由本社发行中心调换版权专有侵权必究举报电话　：（０１０）６８５１０１０７犌犕／犜００２３—２０１４目　　次前言 ………………………………………………………………………………………………………… Ⅰ １　范围 ……………………………………………………………………………………………………… １２　规范性引用文件 ………………………………………………………………………………………… １３　术语、定义和缩略语 ……………………………………………………………………………………… １　３．１　术语和定义 ………………………………………………………………………………………… １　３．２　缩略语 ……………………………………………………………………………………………… ３４　密码算法和密钥种类 …………………………………………………………………………………… ３　４．１　算法要求 …………………………………………………………………………………………… ３　４．２　密钥种类 …………………………………………………………………………………………… ３５　ＩＰＳｅｃ　ＶＰＮ网关产品要求 …………………………………………………………………………… ４　５．１　产品功能要求 ……………………………………………………………………………………… ４　５．２　产品性能参数 ……………………………………………………………………………………… ５　５．３　安全性要求 ………………………………………………………………………………………… ５　５．４　管理功能要求 ……………………………………………………………………………………… ６　５．５　硬件要求 …………………………………………………………………………………………… ９　５．６　参数可配置能力要求 ……………………………………………………………………………… １０　５．７　过程保护 …………………………………………………………………………………………… １０６　ＩＰＳｅｃ　ＶＰＮ网关产品检测 …………………………………………………………………………… １０　６．１　产品功能检测 ……………………………………………………………………………………… １０　６．２　产品性能检测 ……………………………………………………………………………………… １２　６．３　安全性检测 ………………………………………………………………………………………… １２　６．４　管理功能检测 ……………………………………………………………………………………… １３　６．５　硬件检测 …………………………………………………………………………………………… １３　６．６　参数可配置能力检测 ……………………………………………………………………………… １３　６．７　过程保护检测 ……………………………………………………………………………………… １３７　合格判定 ………………………………………………………………………………………………… １４犌犕／犜００２３—２０１４前　　言　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由密码行业标准化技术委员会提出并归口。本标准主要起草单位：成都卫士通信息产业股份有限公司、上海格尔软件股份有限公司、无锡江南信息安全工程技术中心、兴唐通信科技有限公司、山东得安计算机技术有限公司。本标准主要起草人：罗俊、李元正、谭武征、徐强、王妮娜、孔凡玉。 Ⅰ 犌犕／犜００２３—２０１４犐犘犛犲犮犞犘犖网关产品规范１　范围本标准规定了ＩＰＳｅｃＶＰＮ网关产品的功能要求、硬件要求、软件要求、密码算法和密钥要求、安全性要求和检测要求等有关内容。本标准适用于ＩＰＳｅｃＶＰＮ网关产品的研制、检测、使用和管理。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ２４２３—２００８　电工电子产品环境试验（所有部分）ＧＢ／Ｔ９８１３—２０００　微型计算机通用规范ＧＢ／Ｔ１５１５３．１—１９９８　远动设备及系统　第２部分：工作条件　第１篇：电源和电磁兼容性ＧＢ／Ｔ１７９６４—２００８　信息安全技术　分组密码算法的工作模式ＧＭ／Ｔ０００５　随机性检测规范ＧＭ／Ｔ００１４　数字证书认证系统密码协议规范ＧＭ／Ｔ００１５　基于ＳＭ２密码算法的数字证书格式规范ＧＭ／Ｔ００２２　ＩＰＳｅｃＶＰＮ技术规范３　术语、定义和缩略语３．１　术语和定义下列术语和定义适用于本文件。３．１．１密码算法　犮狉狔狆狋狅犵狉犪狆犺犻犮犪犾犵狅狉犻狋犺犿描述密码处理过程的运算规则。３．１．２密码杂凑算法　犮狉狔狆狋狅犵狉犪狆犺犻犮犺犪狊犺犪犾犵狅狉犻狋犺犿又称杂凑算法、密码散列算法或哈希算法。该算法将一个任意长的比特串映射到一个固定长的比特串，且满足下列三个特性：ａ）　为一个给定的输出找出能映射到该输出的一个输入是计算上困难的；ｂ）　为一个给定的输入找出能映射到同一个输出的另一个输入是计算上困难的；ｃ）　要发现不同的输入映射到同一输出是计算上困难的。３．１．３非对称密码算法／公钥密码算法　犪狊狔犿犿犲狋狉犻犮犮狉狔狆狋狅犵狉犪狆犺犻犮犪犾犵狅狉犻狋犺犿／狆狌犫犾犻犮犽犲狔犮狉狔狆狋狅犵狉犪狆犺犻犮犪犾犵狅狉犻狋犺犿加密和解密使用不同密钥的密码算法。其中一个密钥（公钥）可以公开，另一个密钥（私钥）必须保密，且由公钥求解私钥是计算不可行的。１犌犕／犜００２３—２０１４３．１．４对称密码算法　狊狔犿犿犲狋狉犻犮犮狉狔狆狋狅犵狉犪狆犺犻犮犪犾犵狅狉犻狋犺犿加密和解密使用相同密钥的密码算法。３．１．５分组密码算法　犫犾狅犮犽犮犻狆犺犲狉犪犾犵狅狉犻狋犺犿将输入数据划分成固定长度的分组进行加解密的一类对称密码算法。３．１．６犛犕１算法　犛犕１犪犾犵狅狉犻狋犺犿一种分组密码算法，分组长度为１２８比特，密钥长度为１２８比特。３．１．７犛犕２算法　犛犕２犪犾犵狅狉犻狋犺犿一种椭圆曲线公钥密码算法，其密钥长度为２５６比特。３．１．８犛犕３算法　犛犕３犪犾犵狅狉犻狋犺犿一种密码杂凑算法，其输出为２５６比特。３．１．９犛犕４算法　犛犕４犪犾犵狅狉犻狋犺犿一种分组密码算法，分组长度为１２８比特，密钥长度为１２８比特。３．１．１０密文分组链接工作模式　犮犻狆犺犲狉犫犾狅犮犽犮犺犪犻狀犻狀犵狅狆犲狉犪狋犻狅狀犿狅犱犲；犆犅犆分组密码算法的一种工作模式，其特征是将当前的明文分组与前一密文分组进行异或运算后再进行加密得到当前的密文分组。３．１．１１初始化向量／值　犻狀犻狋犻犪犾犻狕犪狋犻狅狀狏犲犮狋狅狉／犻狀犻狋犻犪犾犻狕犪狋犻狅狀狏犪犾狌犲；犐犞在密码变换中，为增加安全性或使密码设备同步而引入的用于数据变换的起始数据。３．１．１２数据源鉴别　犱犪狋犪狅狉犻犵犻狀犪狌狋犺犲狀狋犻犮犪狋犻狅狀对数据的来源或发送方进行鉴别，确认接收到的数据的来源是所声称的。３．１．１３数字证书　犱犻犵犻狋犪犾犮犲狉狋犻犳犻犮犪狋犲也称公钥证书，由证书认证机构（ＣＡ）签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。按类别可分为个人证书、机构证书和设备证书，按用途可分为签名证书和加密证书。３．１．１４犐犘犛犲犮协议　犻狀狋犲狉狀犲狋狆狉狅狋狅犮狅犾狊犲犮狌狉犻狋狔一种端到端的确保基于ＩＰ通信数据安全性的网络层协议，可以提供数据完整性保护、数据源鉴别、载荷机密性和抗重放攻击等安全服务。３．１．１５安全联盟　狊犲犮狌狉犻狋狔犪狊狊狅犮犻犪狋犻狅狀；犛犃两个通信实体经协商建立起来的一种协定，它描述了实体如何利用安全服务来进行安全的通信。安全联盟包括了执行各种网络安全服务所需要的所有信息，例如ＩＰ层服务（如头鉴别和载荷封装）、传输层和应用层服务或者协商通信的自我保护。２犌犕／犜００２３—２０１４３．１．１６鉴别头　犪狌狋犺犲狀狋犻犮犪狋犻狅狀犺犲犪犱犲狉；犃犎属于ＩＰＳｅｃ的一种协议，用于提供ＩＰ数据包的数据完整性、数据源鉴别以及抗重放攻击的功能，但不提供数据机密性的功能。３．１．１７封装安全载荷　犲狀犮犪狆狊狌犾犪狋犻狀犵狊犲犮狌狉犻狋狔狆犪狔犾狅犪犱；犈犛犘属于ＩＰＳｅｃ的一种协议，用于提供ＩＰ数据包的机密性、数据完整性以及对数据源鉴别以及抗重放攻击的功能。３．１．１８虚拟专用网　狏犻狉狋狌犪犾狆狉犻狏犪狋犲狀犲狋狑狅狉犽；犞犘犖使用密码技术在通信网络中构建安全通道的技术。３．２　缩略语下列缩略语适用于本文件。ＡＨ：鉴别头（ＡｕｔｈｅｎｔｉｃａｔｉｏｎＨｅａｄｅｒ）ＣＢＣ：密码分组链