ICS35.030 CCSL80 GB 中华人民共和国国家标准 GB/T32922—2023 代替GB/T32922—2016 信息安全技术 IPSecVPN安全接入 基本要求与实施指南 Information security technologyBaseline and implementation guide ofIPSecVPN securingaccess 2023-03-17发布 2023-10-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T32922—2023 目 次 前言 1 范围 2 规范性引用文件 3 术语和定义 4 缩略语 5 IPSecVPN安全接人场景 5.1 网关到网关的安全接人场景 5.2 终端到网关的安全接人场景 6 IPSecVPN安全接人基本要求 6.1 IPSecVPN网关技术要求 6.2 IPSecVPN客户端技术要求 6.3 安全管理要求 6.4 密码应用要求 实施指南 7.1 概述 7.2 需求分析 7.3 方案设计 7.4 方案验证 7.5 配置实施 7.6 运行管理 附录A（资料性） 典型应用案例· 附录B（资料性） 常见的IPSecVPN功能 16 附录C（资料性） IPv6过渡技术 17 参考文献 GB/T32922—2023 前言 起草。 本文件代替GB/T32922—2016《信息安全技术 IPSecVPN安全接人基本要求与实施指南》，与 GB/T32922一2016相比，除结构调整和编辑性改动外，主要技术变化如下： 增加了IPSecVPN安全接人点到多点场景（见5.1.2）； 一更改了IPSecVPN安全接人场景的示意图（见第5章，2016年版的第5章）； 更改了IPSecVPN网关密码算法的使用要求（见6.1.1，2016年版的6.1.1)； 更改了IPSecVPN网关VPN功能要求的描述（见6.1.2，2016年版的6.1.2）； 更改了IPSecVPN网关可靠性功能要求的描述（见6.1.2，2016年版的6.1.2）； 增加了IPSecVPN网关在分支多出口场景支持动态选路功能的描述（见6.1.2）； 更改了IPSecVPN网关互通兼容性功能要求的描述（见6.1.2，2016年版的6.1.2)； 更改了IPSec VPN网关IPv6兼容性功能要求的描述（见6.1.2,2016年版的6.1.2)； 增加了IPSecVPN网关易用性功能要求的描述（见6.1.2)； 更改了IPSecVPN网关证书认证功能要求的描述（见6.1.2，2016年版的6.1.2）； 更改了IPSecVPN网关产品的性能要求（见6.1.3，2016年版的6.1.3）； 更改了IPSecVPN客户端技术要求，合并软硬件要求子章节（见6.2，2016年版的6.2)； 更改了IPSecVPN网关和客户端功能要求中IPSec安全协议类型的要求（见6.1.2和6.2， 2016年版的6.1.2和6.2)； 更改了IPSecVPN网关及客户端设备管理要求（见6.3.1，2016年版的6.3.1)； 一增加了“密码要求”（见6.4）； 更改了实施指南相关描述（见第7章，2016年版的第7章）； 更改了典型应用场景的描述（见附录A，2016年版的附录A)； 增加了"常见的IPSecVPN功能"附录（见附录B)，并调整原附录B为附录C； 删除了传输模式IPSec6over4隧道场景（见2016年版的附录C.2）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：国家信息中心、华为技术有限公司、奇安信网神信息技术（北京）股份有限公司、北 京天融信网络安全技术有限公司、深信服科技股份有限公司、成都卫土通信息产业股份有限公司、深圳 奥联信息安全技术有限公司、深圳市数元信安科技有限公司、中国科学院信息工程研究所、公安部第一 研究所、新华三技术有限公司、西安交大捷普网络科技有限公司、鼎商用密码测评技术（深圳）有限公 司、中国电力科学研究院有限公司。 本文件主要起草人：徐春学、焦迪、罗海宁、潘伟、王伟、曹金、李金国、方志宇、程子栋、王鹏彪、 赵国全、罗俊、但波、翟鹏、任飞、田之泮、何建锋、万晓兰、姜敏、邹超、刘松、李海涛。 本文件及其所代替文件的历次版本发布情况为： 2016年首次发布为GB/T32922—2016； ——本次为第一次修订。 1 GB/T32922—2023 信息安全技术 IPSecVPN安全接入 基本要求与实施指南 1范围 本文件规定了IPSecVPN安全接入应用过程中网关、客户端、安全管理以及密码应用等方面的基 本要求，提供了采用IPSecVPN技术实现安全接人的典型场景和实施过程指南。 本文件适用于采用IPSecVPN技术开展安全接人应用的机构，指导其基于IPSecVPN技术开展 安全接入平台或系统的需求分析、方案设计、方案验证、配置实施、运行管理。 2 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T15843（所有部分） 信息技术 安全技术实体鉴别 GB/T19713 信息技术 安全技术公钥基础设施在线证书状态协议 GB/T20518 信息安全技术 公钥基础设施 数字证书格式 GB/T25069 信息安全技术 术语 GB/T32915 信息安全技术 二元序列随机性检测方法 GB/T36968 信息安全技术 IPSecVPN技术规范 GB/T37092 信息安全技术 密码模块安全要求 GB/T38636 信息安全技术 传输层密码协议（TLCP） GM/T0023 IPSecVPN网关产品规范 GM/T0050 密码设备管理 设备管理技术规范 GM/T 0062 密码产品随机数检测要求 GM/T0089 简单证书注册协议规范 3 术语和定义 GB/T25069、GB/T36968界定的以及下列术语和定义适用于本文件。 3.1 IPSec协议 Internet Protocol Security 种开放标准的框架结构，通过使用加密的安全服务以确保在公开网络上进行保密而安全的通 信，可在端至端的层面上提供数据完整性保护、数据源鉴别、载荷机密性和抗重放攻击等安全服务 ［来源：GB/T36968—2018，3.4，有修改］ 3.2 虚拟专用网 virtualprivatenetwork 使用密码技术在通信网络中构建安全通道的技术。 ［来源：GB/T36968—2018，3.7] 1 GB/T32922—2023 3.3 封装安全载荷 encapsulating securitypayload IPSec的一种协议，用于提供IP数据包的机密性、数据完整性以及对数据源鉴别以及抗重放攻击 的功能。 ［来源：GB/T36968—2018，3.6] 3.4 安全联盟 security association 两个通信实体经协商建立起来的一种协定，它描述了实体如何利用安全服务来进行安全的通信。 ［来源：GB/T36968—2018，3.1] 3.5 密码模块 cryptographic module 实现了安全功能的硬件、软件和/或固件的集合，并且被包含在密码边界内。 ［来源：GB/T37092—2018，3.5] 4 缩略语 下列缩略语适用于本文件。 CPU：中央处理单元（CentralProcessingUnit) CRL：证书撤销列表（CertificateRevocationList） DHCP：动态主机配置协议（DynamicHostConfigurationProtocol) DN：可识别名（DistinguishedName) DPD：失效对端检测（DeadPeerDetection） ESP：封装安全载荷（EncapsulatingSecurityPayload） GRE：通用路由封装协议（GenericRoutingEncapsulation） IP：互联网通信协议（InternetProtocol) IPSec：IP安全协议（InternetProtocolSecurity） IPv4：互联网通信协议第四版（InternetProtocolversion4） IPv6：互联网通信协议第六版（InternetProtocolversion6） L2TP：二层隧道协议（Layer2TunnelingProtocol） LDAP：轻量级目录访问协议（LightDirectoryAccessProtocol) MPLS：多协议标签交换（MultiprotocolLabelSwitching） NAT：网络地址转换（NetworkAddressTranslation） NAT64：IPv6到IPv4的网络地址转换（NetworkAddressTranslationfromIPv6toIPv4） OCSP：在线证书状态协议（OnlineCertificateStatusProtocol) SA：安全联盟（SecurityAssociation） SCEP：简单证书注册协议（SimpleCertificateEnrollmentProtocol) Syslog：系统日志（SystemLog） TCP：传输控制协议（TransmissionControlProtocol) TLCP：传输层密码协议（TransportLayerCryptog