GB/T 32922-2016 信息安全技术 IPSec VPN安全接入基本要求与实施指南

ICS35.040

L80GB

中华人民共和国国彖标准

GB/T32922—2016

信息安全技术IPSecVPN安全接入

基本要求与实施指南

Informationsecuritytechnology——Baselineandimplementation

guideofIPSecVPNsecuringaccess

2016-08-29发布2017-03-01实施

GB/T32922—2016

目

,、/d•、-T

刖BI

引言n

1范围1

2规范性引用文件1

3术语和定义1

4缩略语2

5TPSecVPN安全接入场景3

5.1网关到网关的安全接入场景3

5.2终端到网关的安全接入场景3

6TPSecVPN安全接入基本要求3

6.1TPSecVPN网关技术要求3

6.2TPSecVPN客户端技术要求5

6.3安全管理要求5

7实施指南6

7.1概述6

7.2需求分析7

7.3方案设计7

7.4配置实施7

7.5测试与备案8

7.6运行管理8

附录A（资料性附录）典型应用案例9

附录B（资料性附录）IPv6过渡技术12

参考文献14

GB/T32922—2016

■ir■■i

刖吕

本标准按照GB/T1.1—2009给出的规则起草。

本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。

本标准起草单位：国家信息中心、华为技术有限公司、中安网脉（北京）技术股份有限公司、网神信息

技术（北京）股份有限公司、北京天融信科技股份有限公司、迈普通信技术股份有限公司。

本标准主要起草人：罗海宁、周民、吕品、冷默、黄敏、徐浩、张锐卿、任献永、徐惠清、邵国安。

T

GB/T32922—2016

引言

本标准主要内容包括IPSecVPN安全接入基本要求和基于TPSecVPN技术建设安全接入平台或

系统的实施指南，其中“基本要求”对IPSecVPN安全接入应用过程中有关网关、客户端以及安全管理

方面提出技术要求，“实施指南”主要适用于采用IPSecVPN技术开展安全接入应用的机构，指导其进

行基于IPSecVPN技术的安全接入平台或系统的需求分析、方案设计、配置实施、测试与备案、运行管

理。同时,本标准也可为相关设备厂商进行产品的设计和开发提供参考。

本标准是在国家电子政务外网IPSecVPN安全接入应用实践基础上归纳总结并提出的技术标准，

也可广泛适用于IPSecVPN各种应用场景.

n

GB/T32922—2016

信息安全技术IPSecVPN安全接入

基本要求与实施指南

1范围

本标准明确了采用IPSecVPN技术实现安全接入的场景，提出了IPSecVPN安全接入应用过程

中有关网关、客户端以及安全管理等方面的要求，同时给出了IPSecVPN安全接入的实施过程指导。

本标准适用于采用IPSecVPN技术开展安全接入应用的机构，指导其进行基于IPSecVPN技术

开展安全接入平台或系统的需求分析、方案设计、配置实施、测试与备案、运行管理，也适用于设备厂商

参考其进行产品的设计和开发。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20518—2006信息安全技术公钥基础设施数字证书格式

GB/T25069—2010信息安全技术术语

GM/T0003—2012（所有部分）SM2椭圆曲线公钥密码算法

GM/T0004—2012SM3密码杂凑算法

GM/T0016—2012智能密码钥匙密码应用接口规范

GM/T0017—2012智能密码钥匙密码应用接口数据格式规范

GM/T0022—2014IPSecVPN技术规范

GM/T0023—2014IPSecVPN网关产品规范

3术语和定义

GB/T25069—2010界定的以及下列术语和定义适用于本文件。

3.1

第二层隧道协议layer2tunnelingprotoco

L2TP

一种支持VPN的隧道协议，本身不提供加密功能。

3.2

IP安全协议IPsecurity

IPSec

一套用于保护IP通信的安全协议，是IPv4的一个可选协议系列，也是IPv6的组成部分之一。

3.3

虚拟专用网virtuaprivatenetwork

VPN

一种在公共通信基础网络上通过逻辑方式隔离出来的网络。

1

GB/T32922—2016

3.4

安全联盟securityassociation

SA

两个通信实体经协商建立起来的一种协定，描述实体如何利用安全服务来进行安全的通信。

3.5

因特网密钥交换协议internetkeyexchange

IKE

IPSec体系结构中的一种主要协议，由因特网安全联盟和密钥管理协议、密钥交换协议组成。

3.6

失效对端检测deadpeerdetection

DPD

一种基于数据流的、用于检测IPSec连接状态的方法。

3.7

数字证书可辨别名distinguishedname

DN

又称为数字证书实体特征名，用来识别公钥的实体名称，通常包括实体的通用名、组织单位、组织和

国家信息。

4缩略语

下列缩略语适用于本文件。

CA数字证书认证中心(certificateauthority)

CE用户端边缘设备(customeredge)

DN数字证书可辨识名(distinguishedname)

DPD失效对端检测(deadpeerdetection)

IKE因特网密钥交换协议(internetkeyexchange)

IPSecIP安全协议(internetprotocolsecurity)

LDAP轻量级目录访问协议(lighldirectoryaccessprotocol)

MPLS多协议标签交换(mulli-protocollabelswitching)

NAT网络地址转换(networkaddresstranslation)

PE运营商边缘设备(provideredge)

PPP点对点协议(poinltopointprotocol)

PPTP点对点隧道协议(pointtopointtunnelingprotocol)

SA安全联盟(securityassociation)

SHA安全杂凑算法(securehashalgorithm)

SSH安全外壳协议(secureshell)

SSL安全套接层(securesocketlayer)

VPDN虚拟专用拨号网(virtualprivatedial-upnetworks)

VPN虚拟专用网(virtualprivatenetwork)

OCSP在线证书状态协议(onlinecerticifatestatusprotocol)

2

GB/T32922—2016

5IPSecVPN安全接入场景

5.1网关到网关的安全接入场景

IPSecVPN网关到网关的对接适用于分支机构安全接入到总部网络或者机构之间的安全接入，如

图1所示。典型应用案例参见附录A。

图1网关到网关的安全接入场景图

网络1和网络2分别部署IPSecVPN网关，通过TPSecVPN网关建立网络之间的安全传输通道。

物理链路包括互联网链路、运营商提供的无线接入链路或专线链路等。

5.2终端到网关的安全接入场景

终端到TPSecVPN网关的安全接入适用于移动办公用户或者公众用户接入机构内部网络，如图2

所示。典型应用案例参见附录A。

图2终端到网关的安全接入场景图

接入网络部署IPSecVPN网关,接入终端通过TPSecVPN客户端和IPSecVPN网关建立安全传

输通道。IPSecVPN客户端包含在接入终端上部署的连接网关的软件以及可选用的智能密码钥匙等

硬件，接入终端可以是计算机，也可以是智能手机、平板电脑等移动智能终端设备。

物理链路包括互联网链路、运营商提供的无线链路等。

6IPSecVPN安全接入基本要求

6.1IPSecVPN网关技术要求

6.1.1产品要求

IPSecVPN网关产品选择基本要求如下：

a）应符合GM/T0022—2014.GM/T0023—2014要求；

b）应支持符合国家标准规定的对称算法，应支持遵循GM/T0003—2012SM2或2048位及以上

的RSA非对称密码算法，应支持遵循GM/T0004—2012SM3或SHA1杂凑算法；

c）应支持隧道模式和传输模式。

3

GB/T32922—2016

6.1.2功能要求

IPSecVPN网关功能要求如下：

a）VPN功能类型：应支持L2TPoverIPSe