GB_T 32922-2023 信息安全技术 IPSec VPN安全接入基本要求与实施指南.docx

《GB_T 32922-2023 信息安全技术 IPSec VPN安全接入基本要求与实施指南.docx》由会员分享，可在线阅读，更多相关《GB_T 32922-2023 信息安全技术 IPSec VPN安全接入基本要求与实施指南.docx（14页珍藏版）》请在课桌文档上搜索。

1、ICS35.030(S1.0G日中华人民共和家标准GBZT329222023代,GMr329222016信息安全技术IPSecVPN安全接入基本要求与实施指南Informationsecuritytechno1.ogyBase1.ineandimp1.ementationguideofIPSecVPNsecuringaccess2023-03-17发布国家市场监督管理总局国家标准化管理委员会目次前言11范困I2规蒐性引用文件I3术谙和定义I4缗略语25 IPSorVPN安全接入场景35.1 网关到网关的安全接入场景35.2 终端到N关的安全接入场景46 IPSCCVPN安全接入基本要求46.1

2、 IPSccVPN网关技术要求46.2 IPSccVPN客户湘技术要求56.3 安全管理要求66.4 密码应用要求77实施指曲77.1 概述77.2 需求分析87.3 方案设计87.4 方案脸证973配置实瓶97.6 运行管理10附录A（资料性）典型陶用案例13附录B（资料性）常见的IPSeCVPN功能16附录C（资料性）IPv6过渡技术17参考文献18本文件按照GB1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草.本文件代替GBT329222016E信息安全技术IPSecVPN安全接入基本要求与实施指唐令，与GRT329222016相比,除结构调整和斓科性改动外.

3、主要技术变化如卜i-承加了IPSeVPN安全接入点到多点场景（见5.1.2）：-更改了IPSeCVP、安全接入场景的示意图（见笫5章，2016年版的笫5章）：一更改了IPsaVPN网关密码算法的使用要求（见6.1.1,2016年版的6.1.D;一更改了IPS土通信息产业股份有限公司、深圳奥联信息安全技术有限公司、深圳市数元信安科技有限公司、中国科学院信息工程研究所、公安部第一研究所.新华ZZ技术有限公司、西安交大证普网络科技有限公司、期住商用密:码测评技术（深圳）有限公司、中国电力科学研究院有限公司。本文件主要起草人：徐春学、焦迪、罗海宁、潘伟、王伟、押金、李金国、万志宇、程子株、王融彪、赵国

4、全、罗俊、但波、费鹏、任飞、IHZ泮、何建修、万晓兰、甚敏、邹超、刘松、李海涛。本文件及其所代替文件的历次版本发布情况为：2016年首次发布为GB329222016;本次为第一次修订.信息安全技术IPSeCVPN安全接入基本要求与实施指南1a本文件规定了IPS(XvPN安全接入应用过程中网关、客户端、安全管理以及密码应用等方面的基本要求，提供了乘用IPSeVPN技术实现安全接入的典型场处和实施过程指南，本文件适用于采用IPGVPN技术开展安全接入应用的机构，指导其携丁IPSeeVPN技术开展安全接入平台或系统的需求分析、方案设计、方案脸证、配置实施、运行管理.2版雌引用文件下列文件中的内容通过

5、文中的规范性引用而构成本文件必不可少的条款.其中，注日期的引用文件仪该日期对应的版本适用于本文件：不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.GBrr15843(所有部分)信息技术安全技术实体鉴别GB.T19713信息技术安全技术公钥基础设能在设证书状态协议GBrr20518信息安全技术公例基础设施数字证书格式GBzT25069信息安全技术术语GB,T32915信息安全技术二元序列随机性馀测方法GB“36968信息安全技术IPSaVPN技术规范GB37092信息安全技术密码模块安全要求GBT38636信息安全技术传输层密码协议(T1.CP)GM-T0023IPSecVPN网

6、关产品规能GM-T0050密码设备管理设备管理技术规范GMT0062窘码产M随机数检测要求GM,T0089简IR证书注册协议规范3:WMm1.GBT25069、GBT36968界定的以及下列术语和定义适用于本文件.3.1II1ScctMj1.InternetProtoco1.Security一种开放标准的框架结构，通过使用加密的安全服务以确保在公开网络上进行保密而安全的通信，可在端至端的层面上提供数据完整性保护、数据源鉴别、载荷机密性和抗戒放攻击等安全服务。洪海：GB36968201834有修改3.20R专用网virtua1.privatenetwork使用密码技术在通信网络中构建安全通道的技

7、术，来源：GBT368-2OI87)封装安全(菩encapsu1.atingsecuritypa、IoadIPSeC的一种协议，用于提供IP数据包的机密性、数据完整性以及对数据源鉴别以及抗重放攻击的功能。来源：GBT369682018.3.611.4安全联31securityassociation两个通信实体经协商建立起来的一种协定，它描述了实体如何利用安全服务来进行安全的通信。:来源：GB/r569682018,3.11.5密码模块CQPto1.yHPhiCmOdUk实现了安全功能的硬件、软件和/或固件的集合，并且被包含在密码边界内.来源：GBrr370922018,3.54 m卜列缩略语适

8、用于本文件。CPU:中央处理中元(Centra1.ProcessingUniOCR1.:证书撤销列表(CertifkateRevocation1.ist)DHCP：动态主机配置协议(DynamiCHostConfigurationPrococo1.)DN:可识别名(DiStingUiShedName)DPD:失效对端检测(DeadPeerDe1.gion)ESP:封袋安全安荷(EnCaPSUIatingSecurityPay1.oad)GRE:通用路由封装协议(GeneriCRoutingEncapsu1.ation)IP:互联网通信协议(I1.1.Ieme1.Pnxoco1.)IPSecr1

9、.P安全侨议(Interne1.Protoco1.Security)IPv4:互联网通信协议第四版(In1.eme1.Protoco1.version4)IPv6:互联网通信协议第六版(InternetProtoco1.version6)1.2TP:二层隧道协议(1.ayer2Tunne1.ingProtoco1.)1.DAP:轻量级目录访问协议(1.ightDirCCtoryAccessProtoco1.)MP1.S:多协议标签交换(MU1.Iiprooco1.1.abe1.Switching)NAT:网络地址转换(NeIWOrkAddressTrans1.ation)NAT64:IPv6到

10、IPv4的网洛地址转换(NCtWOrkAddressTrans1.ationfromIPv6toIPv4)OCS。在线证书状态协议(OnIineCertificateStatusProtoco1.)SA:安全联盟(SeCurityAssociation)SCEP:简单证行注册协议(SimP1.CCertificateEnruIImentPnXoCu1.)SyS1.og:系统H志(SyStem1.og)TCP:传输控制协议(TranSmiSSiOnContro1.Prxoco1.)T1.CP:传输层海码协议(TranSPrt1.ayerCryptographyProtoco1.)VPDN:虚拟专

11、用拨用网(VirtUa1.PrivateDia1.-upNetworks)VPN:虚拟专用网(Virtua1.PrivateNetwork)5 .2终到网关的安全按入场f1.1.终端到IPSaVPN网关的安全接入场景见3,该场景适用移动办公川户或者公众用户安全接BB3图3中机构内部网络部署IpSCCVPN网关，接入终端通过IPScCVPN客户端和IPSCCVPN网关建立安全传输通道IPSbVPN客户端包含在接入终端上部署的连接网关的软件以及密码模块，接入终端可是计算机，也可是智能手机、平板电脑等移动狎能终端设备，密:码模块可是智能密码的匙等产外部网络包括互联网网络、运营商提供的无线网络等，6

12、IPJhxVPN安全接入*Mf求61 PSecVP卜网关技术要来61.1 cAK*IPSecVPN网关产品选择的基本要求如F：a)符合GBJT36968、GM,，TOO23的相关规定：b)支持使用SM4分组密码舞法、SM2椭InI曲线公钥左码算法、SM3招码杂漆算法；c)支持隧道模式；d)具备NAT穿越功能，能双向穿透NAT设,&1.2JMOMtIPSeVPN网关功能要求如卜Za)VPN功曲1 )11支持IPSeC承裁的GRE(GREOVer1.PSec).见附录B;2)可支持IPSCC承载的1.2TP(1.2TPoverIPSe)、GRE承载的IPSeC(IPseCoverGRE).见附录B

13、,b)可考性功能：2 )具备I)PD功能，在检测到对等体异常时可重新发起协商：2)具备珞于链路顺里动态选路的功能，在分支机构或总部网络有多个外部网络出口时能站于槌路明鼠动态选择最优的IP&xVPN战道进行传输：3)宜具备热备功能，当支持热备功俄时应具备IPSctVPN配置同步、安全联盟(SA)同步等功能.c)互通兼容性功能：应具备符合GB,T36968相关规定的网关对接过程,选择一致的协商属性，包括加密算法、密玛朵法算法、身份签别方式、3穿越、封装机式等。a）需求分析：b）方案设计：O方案验证：d）配置实施：O运行管理.7.2誓求分析7.21ft#Iwi根据业务系统数愤、业务流质、用户数号:、

14、网络架构等现状，进行技术需求分析，包括：a）明确IPSCCVPN安全接入的府川场景需求：b）明确对IpSeVpN协议、算法的需求：O明确互通兼容性的需求；d）明确性能需求.7.2.2从设爵管理、密钥管理、证1潜理、权限管理、航置管理、日志管理等方面提出相应的管理需求：a）设备管理：对设瑞组网、设在状态、CPU/内存/磁盘使用率、版本号等设备信息的管理，以及对设备资源不足、授权异常、网络异常等设得异常状态的管理：b）密例管理和证书管理：对密蝴及证书的生成、使用、更新等过程的管理：C）权限管理：对操作员、管理员和审计员三类管理用户权限的管理,需为不同管理用户赋予最小管理权限：d）配置管埋，对前温的

15、下发、变更、备份等过程的管理：e）日志管理；时信息日志、告警日志、错误日志、调试日志、操作日志等日志信息的记录、存储等过程的管现.7.3方案设计7.3.1方案设计是在需求分析基础上.对建设实施方案进行设计.并完成方案设计文档.7.3.2根据用户的网络现状,部署设计可分为新建网络及改造网络两种场景.对于新建网络场景，部狎设计包括：a）依据需求分析结果，结合业务系统整体网络建设目标，参考5.1、5.2的IpsBVPN典型安全接入场景设计网络拓扑架构，确认IpSeCVPN安全接入的实现方式：b）对通信鼠路进行统一规划，对St要业务系统的通信链跖进行备份；C）对带宽资源进行统一规划,各个部分的网络通信

16、带宽要能满足业务高峰期需要：d）明确IPseVPN网关、IPSccVPN客户崩、IPSCCVP、集中管理平台的部部位置、魅路拓扑、连接方式等；O关母接入节点的IPSeCVPN网关考虑硬件冗余,保证系统的可用性：0对IPSeCVPN网关、IPSaVPN客户端的IP地址进行统一规划.对于改造网络场景，在按照新建网络场景下的部署设计开展工作葡，需优先完成以下内容：a）梳理当前网络的网络架构,改造网络的部潜设计方案需包含改造网络的平滑过渡方案：b）如果当脑网络中已部署有IPSeCVPN网关，需考虑可继续利用的已有IPScCVPN网关与新增的IPSeeVPN网关之间的兼容性：c）梳理当前网络中使用的IP

17、地址,避免新规划IP地址与已使用IP地址冲突。7.13 Bftit三ft依据用户业务需求，对IPSecVPN安全接入系统的功能与性能进行设计，包括：a）功能设计：明端片功能、可靠性功能、互通兼容性功能、IP协议兼容性功能、证书认证功能、管理功能明确随机数生成、密码算法、工作模式、密钥交换、安全报文封装、NA历越、身份鉴别方式、IP协议版本支持、抗放攻击、密钥史新等指标要求：b）性能设计：明确加解密吞吐率、加解密时延、最大并发隧道数、每秒新建陵道数等标要求，7.3.4依据用户业务安全性要求，对IpSeCVPN安全接入系统自身的安全性进行设计，包拈：a）根据安全管理要求，明确IPSeCVPN网关、

18、IPSdVPN客户端、蛆中管理平台间的身份卷别和授权措施为不同的IPSeCVPN网关及客户端设计不同的身份鉴别信息：b）收据密码要求,明确IPSeCVPN网关及客户端的协议、算法、密钥管理等指标要求：C）明确IPSeeVPN网关及客户端的密钥及证的更新周期等指标要求：d）明确时IPSeCVPN网关迸行远程管理时所采用的加密措施,7.14 案毗E在方案设计完成后需对方案进行验证测试，测试通过后方可进行配置实施.测试工作包括测试方案制定、测试环境准备、测试实施、结论审定、报告出具等主要过程,具体包括：a）制定测试方案,按照时应的安全接入场景和部署设计搭建仿真环境，连接测试工具仪器设得：b）设备部署

19、后却IPSeCVPN网关和客户端的功能、性能、安全性等进行测试：C）测试完成后，对部署包、初始位置、洋细则试过程文档、测试结果、测试报告等进行归出7.15 EMtt7.&1在部署实施前，褥做好以下准备工作.a）设备选型包括：1）根据7.2需求分析结果，按6.1要求对IPSeCVPN网关进行选型，如使用IpSeCVPN客户端.则按6.2要求对IP&xVPN客户端进行选型：2）选用由具备资格的机构安全认证合格或者安全检测符合要求的产M.b）设备检杳：对IPSXVpN网关及客户端外观、附件进行检杳，确保设备完好、附件齐全。C）证书申请：向受信任的证书认证机构申请相应的IPSeCVPN网关及客户端证书

20、、管理员证书等。d）IP地址中请：申请IPSeCVPN网关地址池、对外眼芬IP地址及设备管理IP地址。O翁份链路申请：根据业务系统苴要性，向网络运营商申请名份链路。I）带外管理网络申请：根掂管理需求规划，申请带外管理网络跋路，g）访问控制策略制定：确定允许或拒绝用户通过HVPN访问业务系统对应的IP地址、服务端口、协议类型、访问时间等，并制定详细的访问控制策略。h）上线与回退方案制定：在实施前，制定网络剂接和设翁上线方案,以及失败时快更到原有网络状态的回退方案。7.S2MMI在IPSeCVPN网关及客户端部署时，需做好以下操作：a）理解接入方案并按方案要求完成IPSccVFN网关和客户端的部署

21、：b）进入机房部署IPSCCVPN网关时遵守机房管理制度：C）对用于IPSeCVPN网关阿君的操作终端迸行安全状态检查：d）IPSeeVP、网关上电后进行设备状态检杳，按照设备操作手册核台指示灯、声音等状态指示以确认设备的工作状态：e）IPseCVPN网关股部潜在网络出口，外网口连接外部网络，内网口连接内陆网络，在IPSeCVPN网关接入外部网络前,配备安全防护设备或系统进行安全防护：0IPSecVPN网关导入实旅准名步骤中申请的证书：g）在接入终地上使用IPSaVPN客户湘时，导入实旅准备步舞中申请的证书：h）IPSecVPN网关部潜完成后，在系中管理平台上完成IPSeCVPN网关的统配罚.

22、、管理、隧道状态监控。7.&3MSSIPSecVpN网关及客户端部署完成后，需做好以下配置：a）网络参数：配置网络接口IP地址、缺省网关地址、VPN主机和子网路由、域名等；b）管理参数：配置IPSeCVPN网关用于接受远程运维符理的IP期止和协议端口、集中管理平台的1.Ph1.:和协议湘口、管理用户账户及其身份笠别方式、用户登录失败镇定策略等；O业务参数：配也IPSeeVPN业务所施的隧道封装1蜘、密码算法、工作模式、密钥交换、安全报文封装、NAT穿越、身份鉴别方式等参数，配置需诳行IPSe处理的IP数据报文五元组及处理对应的SA;d）安全参数：配设密钥更新周期、访问控制地址和端口列表、访问控

23、制时间段和资源列表等：幼客户端用户参数：当使用客户端模式时.在IpSorVPN客户端中配置JH户名和口令、用户身份鉴别方式、用户授权信息、用户配置信息、身份鉴别和授权服务的IP地址和协议端口、用户有效期等，其中用户配置信息包括接入用户IP地址、网关IP地址、域名服务器地址和DHCP服务器地址等。7.MIPSccVPN网关及客户端配跟完成，需组织IP&xVPN网关与网关、网关与客户端的时接温试，并收据需要与蛆中管理平台等其他系例行联调，包括：a）网关与网关的对接调试：包括网关与网关直接连接、网关与网关通过路由器连接、网关与网关之间存在NAT等情况，施调试费的协商、双向加密隧道建立和双向流做加密互

24、通等功能，并进行加密流量的性能测试：b）网关与客户端的对接调试：包括密*J协商、加密隧道建立、流及加密、用户身份鉴别与授权、用户访问控制等功能的调试，以及客户端与网关加格流量的性能测读；C）网关与系中管理平台的诩试：包拈IpSeCVPN网关与集中管理平台之间的网关注册功能、网关连接功能、网关配置功能以及配置数据是否生效等内容.7.6运行蜴I7.&1系统维护管理包括：Kic）备份时象多副本保存,并存储在安全可控的环境中：d）IPSecVPN产生或使用的密钥多副本备份存储，保证存储右钥环境的安全性，定期对密钥存储环僮进行检查,并及时解决检查中发现的安全险患：C）结合IP&xVPN运维及业务需求制定

25、数据恢复策略.保证名份数捌的完整性、有效性及可用性：D制定应急恢笈预案,定期开展应急演练,预案启动后，按照应急流程到响应及系统核发，应急结束后，及时整理报告并备案，必要时应追究事件夷任。7.&5SKWM电立PSeCVPN网关配置修改、客户端增减、应用资源授权范用调整、接入鞋路调整、业务掾销等变更与撤销事项的业务流程，流程包括审批、实施和反馈三个方面，具体包括：a）建立变更与撤销审批流程：审批内容包括变更与撤销操作人员、操作对象、操作内容、审批人员及意见、时间等要素,审批数据需妥善保存：b）按照审批通过的内容实施变更与报销小项：在撤俏IpScCVPN安全接入业务时，清除接入设饴的配置信息、用户数

26、据、系统日志等,并回收为用户分配的IP地址：C）建立变更与撤销实旅完成反馈制度：在IPSeVPN网关配设变更与撤销完成后，对相关人员进行汇报与反馈.酎量A典我应用案例AJ建本附录描述了11VPN的典型应用案例,各行业可参照实施。通过部署IPSeeVPN安全接入系统，为分支机构提供从互联网等公众网络可信接入总部网络的安全隧道.使用IpSeCVPN的典型应用见图A，-1.IFS亶Je现示IPSecVPN网关的部署要点包括.a）部署位置：IPSccVPN服务网关的外联接口一般连接到防火墙等与互联网逻辑隔离的安全设备，内联接口连接到总部网络内部区域.IPSccVPN服务网关支持与总部网络Mp1.SVP

27、N等多业务域环境的时接。外部接入的IPSccVPN接入网关般部署在远端待接入的局域网互联网出入口处.b）IP地址：IPSccVPN服务网关外联接nIP地址使用互联网地址,IPSCCVPN银务网关内联接IP地址采用总部网络统一分配的地址.远端接入的IPSCCVPN接入网关外联口IP地址为互联网地址,内联口IP地址果用地址池内的地址或者远端冏域网地t.IPSccVRN客户端的IP地址一般由IpSCCVPN服务网关分配.O接入方式：IPSeCVpN服务网关一般要求支持网关和客户端两种接入方式.d）性能考虑：IPSeeVPN服务网关的性能需满足实际的带宽及同时接入IPSeeVPN接入网关和客户端数M要

28、求。根据需要可部罂IpSaVPN网关集群.Q1.n4-不属务条件的分文”,拄入网不具备专线条件接入总部网络的分支机构使用HVPN网关通过互联网跳路接入总部网络见图A2.B.21PSxVPN网关典到ft用场A场景一中的部署要点包括.a）对于分支机构存在多条互联网出11线路的情况，分支机构IPSCCVPN网关可建立多条VPN磁道接入总部网络，当其中一条互联网链路出现拥堵、中断等故障时，业务流砒可通过其他VPN隧道正常传输，从而保障业务可用”b）IPSccVPN网关按照就近接入原则.通过互联网接入到本级总部网络的IPSCCVPN服务网关,例如本级总部网络无IPSccVPN股务网关,可申请接入上一级总

29、部网络的IPScCVPN用务M关.O分支机构IPsaVPN网关支持接入集中管理，状态检测、策略卜发、版本升级等操作.A3典St应用靖二：辱动办公用户接入总IR移动办公用户以IPSeCVPN客户制方式接入IPSeCVPN服务网关，访问总部网络移动办公应用等业务系统，见图A3,A3IKemMJ1.*=场景：中的部署要点包括。a）针对需通过互联网实时接入总部脚络访问的移动终端用户.使用IPSCCVPN方式连接到1.PSxVPN微务网关.提供移动接入终端到IPSeVPN网关的身份签别、传怆加密、访问控制附录BGWMD常见的IPSeCVPN功能B.1.GREoverIPSecGRE是种三层VPN时装技术

30、，GRE可对某些网络层协议（例如：IPX、APPIeTaJk、IP等）的报文进行封装，使列装后的报文能在另一种网络中（例如：IIV1.M专输，从而解淡了跨越异种网络的报文传输问题.GREoverIPsCC可利用GRE和IPScC的优势,通过GRE将组播、广播和非IP报文封装成普通的IP报文,通过IPSe为封装后的【P报文提供安全的通信，进而可提供在:总部和分支之间安全地传送广播、野豳的业务,例如：视晚会议或动态路由协议消息等.B.21.2TPoverIPSec1.2TP是一种虚拟隧道协议，通常用于虚拟专用网。1.2TP怖议白身不提供加密与可靠性验证的功能，可和安全协议搭配使用，从而实现数据的加

31、密传输，经常与1.2TP协议搭配的加密协议是IPSec.当这两个协议搭配使用时，通常会称1.2TPnPSec.1.2TPoverIpSeV可利用1.2TP和IpSeC的优措，通过1.2TP时装二层数据，通过IPSeC为封装后的数据提供安全的通信。1.2TP是一个数据链路层协议。其报文分为数据消息和控制消息。a）数据消息用以投递PPP棘，该帧作为1.2TP报文的数据区,1.2TP不保证数据消息的可靠投递,若数据报文丢失不予更传,不支持对数据消息的流量控制和拥塞控制。b）控制消息用以建立、维护和终止控制连接及公话1.2TP确保其可靠投递并支持对控制消息的流值控制和拥塞控制,附录C(Mtt)IPv6

32、过渡技术C.1侬实现IPM与IPv6共存期的应用互访和平滑演进是实现IPM向IPv6成功过渡的基础.在整个网络过渡时期.将会行多种不同技术科到应用.以满足过渡时期的不同偌求.根据实现机制的不同,过渡技术主要包括双找、隧道技术和翎洋技术.在实际应用中，一般会媒合考虑网络、用户、业务、升级成本等诸多因素，将三种过渡技术结合使用，以制定合理的网络过渡解决方案,C.2IKiMIPScc6ncr4i1.隧道模式IPSa保护IPH承载的IPv6(IPv6overIPv4)隧道可同时实现IPv4求栽的1Pv6(IPv6overIPv4)能道和IpSeC陡道，增强了传输隧道的安全性.如图C.1所示，IPv6报文到达IPStxVPN网关后，设需会利用IPSec6over4技术为报文封装新的IPM报文头，并插入IPSeC报文头。财装后的报支可安全穿越IPM网络，到达对端设备后再进行解封装,然后IPv6报文会被维续转发到目的端.从而实现J1.离IPv6网络安全地互通.*3EJPVaaK-IIpSzI】PvC作头一C9BBCj道根式IpSeC6、CUUtMBB磁道模式IPSCC6ovcr4琏道同时为IPv6报文增加IPg报文头和IPSeC报文丸琏道的两局为随道(TUnnCI)接口，不同初理接口的流量可按照静态路住I或策略路由找到对应的TUnnc1.接口，经过加密或解密处理后维埃转发.