GM/T 0023-2014 IPSec VPN网关产品规范

犐犆犛３５．０４０

犔８０

备案号：—

４４６２４２０１４

中华人民共和国密码行业标准

／—

犌犕犜００２３２０１４

犐犘犛犲犮犞犘犖网关产品规范

犐犘犛犲犮犞犘犖犪狋犲狑犪狉狅犱狌犮狋狊犲犮犻犳犻犮犪狋犻狅狀

犵狔狆狆

２０１４０２１３发布２０１４０２１３实施

国家密码管理局发布

４

１

０

—

２

３

２

０

０

／

犜

犕

犌

中华人民共和国密码

行业标准

犐犘犛犲犮犞犘犖网关产品规范

／—

ＧＭＴ００２３２０１４

中国标准出版社出版发行

北京市朝阳区和平里西街甲号（）

２１０００２９

北京市西城区三里河北街号（）

１６１０００４５

网址ｗｗｗ．ｓｃ．ｎｅｔ．ｃｎ

ｐ

总编室：（）发行中心：（）

０１０６４２７５３２３０１０５１７８０２３５

读者服务部：（）

０１０６８５２３９４６

中国标准出版社秦皇岛印刷厂印刷

各地新华书店经销

开本／印张字数千字

８８０×１２３０１１６１．２５３０

年月第一版年月第一次印刷

２０１４４２０１４４

书号：·定价元

１５５０６６２２７００９２３．００

如有印装差错由本社发行中心调换

版权专有侵权必究

举报电话：（）

０１０６８５１０１０７

／—

犌犕犜００２３２０１４

目次

前言…………………………Ⅰ

１范围………………………１

２规范性引用文件…………………………１

、………………………

３术语定义和缩略语１

３．１术语和定义…………………………１

３．２缩略语………………３

４密码算法和密钥种类……………………３

４．１算法要求……………３

４．２密钥种类……………３

５ＩＰＳｅｃＶＰＮ网关产品要求……………４

５．１产品功能要求………………………４

５．２产品性能参数………………………５

５．３安全性要求…………………………５

５．４管理功能要求………………………６

５．５硬件要求……………９

５．６参数可配置能力要求………………１０

５．７过程保护……………１０

６ＩＰＳｅｃＶＰＮ网关产品检测……………１０

６．１产品功能检测………………………１０

６．２产品性能检测………………………１２

６．３安全性检测…………………………１２

６．４管理功能检测………………………１３

６．５硬件检测……………１３

６．６参数可配置能力检测………………１３

６．７过程保护检测………………………１３

７合格判定…………………１４

／—

犌犕犜００２３２０１４

前言

本标准按照／—给出的规则起草。

ＧＢＴ１．１２００９

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准由密码行业标准化技术委员会提出并归口。

：、、

本标准主要起草单位成都卫士通信息产业股份有限公司上海格尔软件股份有限公司无锡江南

、、。

信息安全工程技术中心兴唐通信科技有限公司山东得安计算机技术有限公司

：、、、、、。

本标准主要起草人罗俊李元正谭武征徐强王妮娜孔凡玉

Ⅰ

／—

犌犕犜００２３２０１４

犐犘犛犲犮犞犘犖网关产品规范

１范围

、、、、

本标准规定了ＩＰＳｅｃＶＰＮ网关产品的功能要求硬件要求软件要求密码算法和密钥要求安全

性要求和检测要求等有关内容。

、、。

本标准适用于ＩＰＳｅｃＶＰＮ网关产品的研制检测使用和管理

２规范性引用文件

。，

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

，，（）。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

／—（）

ＧＢＴ２４２３２００８电工电子产品环境试验所有部分

／—微型计算机通用规范

ＧＢＴ９８１３２０００

／—：：

远动设备及系统第部分工作条件第篇电源和电磁兼容性

ＧＢＴ１５１５３．１１９９８２１

／—信息安全技术分组密码算法的工作模式

ＧＢＴ１７９６４２００８

／随机性检测规范

ＧＭＴ０００５

／数字证书认证系统密码协议规范

ＧＭＴ００１４

／基于密码算法的数字证书格式规范

ＧＭＴ００１５ＳＭ２

／技术规范

ＧＭＴ００２２ＩＰＳｅｃＶＰＮ

３术语、定义和缩略语

３．１术语和定义

下列术语和定义适用于本文件。

３．１．１

密码算法犮狉狋狅狉犪犺犻犮犪犾狅狉犻狋犺犿

狔狆犵狆犵

描述密码处理过程的运算规则。

３．１．２

密码杂凑算法犮狉狋狅狉犪犺犻犮犺犪狊犺犪犾狅狉犻狋犺犿

狔狆犵狆犵

又称杂凑算法、密码散列算法或哈希算法。该算法将一个任意长的比特串映射到一个固定长的比

特串，：

且满足下列三个特性

ａ）为一个给定的输出找出能映射到该输出的一个输入是计算上困难的；

ｂ）为一个给定的输入找出能映射到同一个输出的另一个输入是计算上困难的；

）要发现不同的输入映射到同一输出是计算上困难的。

ｃ

３．１．３

／／

非对称密码算法公钥密码算法犪狊犿犿犲狋狉犻犮犮狉狋狅狉犪犺犻犮犪犾狅狉犻狋犺犿狌犫犾犻犮犽犲犮狉狋狅狉犪犺犻犮

狔狔狆犵狆犵狆狔狔狆犵狆

犪犾狅狉犻狋犺犿

犵

。（），（）

加密和解密使用不同密钥的密码算法其中一个密钥公钥可以公开另一个密钥私钥必须保

，。

密且由公钥求解私钥是计算不可行的

１

／—

犌犕犜００２３２０１４

３．１．４

对称密码算法狊犿犿犲狋狉犻犮犮狉狋狅狉犪犺犻犮犪犾狅狉犻狋犺犿

狔狔狆犵狆犵

加密和解密使用相同密钥的密码算法。

３．１．５

分组密码算法犫犾狅犮犽犮犻犺犲狉犪犾狅狉犻狋犺犿

狆犵

将输入数据划分成固定长度的分组进行加解密的一类对称密码算法。

３．１．６

犛犕１算法犛犕１犪犾狅狉犻狋犺犿

犵

，，。

一种分组密码算法分组长度为１２８比特密钥长度为１２８比特

３．１．７

犛犕２算法犛犕２犪犾狅狉犻狋犺犿

犵

，。

一种椭圆曲线公钥密码算法其密钥长度为２５６比特

３．１．８

犛犕３算法犛犕３犪犾狅狉犻狋犺犿

犵

，。

一种密码杂凑算法其输出为２５６比特

３．１．９

犛犕４算法犛犕４犪犾狅狉犻狋犺犿

犵

，，。

一种分组密码算法分组长度为１２８比特密钥长度为１２８比特

３．１．１０

密文分组链接工作模式；

犮犻犺犲狉犫犾狅犮犽犮犺犪犻狀犻狀狅犲狉犪狋犻狅狀犿狅犱犲犆犅犆

狆犵狆

分组密码算法的一种工作模式，其特征是将当前的明文分组与前一密文分组进行异或运算后再进

行加密得到当前的密文分组。

３．１．１１

初始化向量／值／；

犻狀犻狋犻犪犾犻狕犪狋犻狅狀狏犲犮狋狅狉犻狀犻狋犻犪犾犻狕犪狋犻狅狀狏犪犾狌犲犐犞

，。

在密码变换中为增加安全性或使密码设备同步而引入的用于数据变换的起始数据

３．１．１２

数据源鉴别犱犪狋犪狅狉犻犻狀犪狌狋犺犲狀狋犻犮犪狋犻狅狀

犵

，。

对数据的来源或发送方进行鉴别确认接收到的数据的来源是所声称的

３．１．１３

数字证书犱犻犻狋犪犾犮犲狉狋犻犳犻犮犪狋犲

犵

也称公钥证书，由证书认证机构（）签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有

ＣＡ

效期以及扩展信息的一种数据结构。按类别可分为个人证书、机构证书和设备证书，按用途可分为签名

证书和加密证书。

３．１．１４

犐犘犛犲犮协议犻狀狋犲狉狀犲狋狉狅狋狅犮狅犾狊犲犮狌狉犻狋

狆狔

，、、

一种端到端的确保基于通信数据安全性的网络层协议可以提供数据完整性保护数据源鉴别

ＩＰ

载荷机密性和抗重放攻击等安全服务。

３．１．１５

安全联盟；

狊犲犮狌狉犻狋犪狊狊狅犮犻犪狋犻狅狀犛犃

狔

两个通信实体经协商建立起来的一种协定，它描述了实体如何利用安全服务来进行安全的通信。

，（）、

安全联盟包括了执行各种网络安全服务所需要的所有信息例如层服务如头鉴别和载荷封装传

ＩＰ

输层和应用层服务或者协商通信的自我保护。

２

／—

犌犕犜００２３２０１４

３．１．１６

鉴别头；

犪狌狋犺犲狀狋犻犮犪狋犻狅狀犺犲犪犱犲狉犃犎

，、，

属于的一种协议用于提供数据包的数据完整性数据源鉴别以及抗重放攻击的功能但

ＩＰＳｅｃＩＰ

不提供数据机密性的功能。

３．１．１７

封装安全载荷；

犲狀犮犪狊狌犾犪狋犻狀狊犲犮狌狉犻狋犪犾狅犪犱犈犛犘

狆犵狔狆狔

，、

属于的一种协议用于提供数据包的机密性数据完整性以及对数据源鉴别以及抗重放

ＩＰＳｅｃＩＰ

攻击的功能。

３．１．１８

虚拟专用网；

狏犻狉狋狌