GM/T 0025-2014 SSL VPN网关产品规范

ICS35040

L80.

备案号44626—2014

:

中华人民共和国密码行业标准

GM/T0025—2014

SSLVPN网关产品规范

SSLVPNgatewayproductspecification

����

2014-02-13发布2014-02-13实施

国家密码管理局发布

GM/T0025—2014

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语定义和缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………2

密码算法和密钥种类

4……………………2

算法要求

4.1……………2

密钥种类

4.2……………3

网关产品要求

5SSLVPN…………………3

产品功能要求

5.1………………………3

产品性能参数

5.2………………………4

安全性要求

5.3…………………………5

管理要求

5.4……………6

过程保护

5.5……………8

参数可配置能力要求

5.6………………8

网关产品检测

6SSLVPN…………………8

产品功能检测

6.1………………………8

产品性能检测

6.2………………………9

安全性检测

6.3…………………………10

安全管理检测

6.4………………………10

合格判定

7…………………11

GM/T0025—2014

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由密码行业标准化技术委员会提出并归口

。

本标准主要起草单位上海格尔软件股份有限公司无锡江南信息安全工程技术中心山东得安计

:、、

算机技术有限公司成都卫士通信息产业股份有限公司上海市数字证书认证中心有限公司兴唐通信

、、、

科技有限公司北京数字认证股份有限公司

、。

本标准主要起草人谭武征孔凡玉李元正刘承李述胜王妮娜韩琳

:、、、、、、。

Ⅰ

GM/T0025—2014

引言

本标准主要依据国家密码管理局制定的技术规范按照我国相关密码政策和法规结

《SSLVPN》,,

合我国实际应用需求及产品生产厂商的实际经验对网关产品的使用管理及合规性某些

,SSLVPN、、

功能项的实施和检测方法性能测试方法提出了一些特别的规定

、。

Ⅱ

GM/T0025—2014

SSLVPN网关产品规范

1范围

本标准规定了网关产品的功能要求硬件要求软件要求安全性要求和检测要求等有

SSLVPN、、、

关内容

。

本标准适用于指导网关产品的研制检测使用和管理

SSLVPN、、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

微型计算机通用规范

GB/T9813—2000

远动设备及系统第部分工作条件第篇电源和电磁兼容性

GB/T15153.1—19982:1:

信息安全技术分组密码算法的工作模式

GB/T17964

随机性检测规范

GM/T0005

数字证书认证系统密码协议规范

GM/T0014

基于密码算法的数字证书格式规范

GM/T0015SM2

技术规范

GM/T0024SSLVPN

3术语定义和缩略语

、

31术语和定义

.

下列术语和定义适用于本文件

。

311

..

密码算法cryptographicalgorithm

描述密码处理过程的运算规则

。

312

..

密码杂凑算法cryptographichashalgorithm

又称杂凑算法密码散列算法或哈希算法该算法将一个任意长的比特串映射到一个固定长的比

、。

特串且满足下列三个特性

,:

为一个给定的输出找出能映射到该输出的一个输入是计算上困难的

(1);

为一个给定的输入找出能映射到同一个输出的另一个输入是计算上困难的

(2);

要发现不同的输入映射到同一输出是计算上困难的

()。

3

313

..

非对称密码算法/公钥密码算法asymmetriccryptographicalgorithm/publickeycryptographic

algorithm

加密和解密使用不同密钥的密码算法其中一个密钥公钥可以公开另一个密钥私钥必须保

。(),()

密且由公钥求解私钥是计算不可行的

,。

1

GM/T0025—2014

314

..

对称密码算法symmetriccryptographicalgorithm

加密和解密使用相同密钥的密码算法

。

315

..

分组密码算法blockcipheralgorithm

将输入数据划分成固定长度的分组进行加解密的一类对称密码算法

。

316

..

密文分组链接工作模式cipherblockchainingoperationmodeCBC

;

分组密码算法的一种工作模式其特征是将当前的明文分组与前一密文分组进行异或运算后再进

,

行加密得到当前的密文分组

。

317

..

初始化向量/值initializationvector/initializationvalueIV

;

在密码变换中为增加安全性或使密码设备同步而引入的用于数据变换的起始数据

,。

318

..

数字证书digitalcertificate

也称公钥证书由证书认证机构签名的包含公开密钥拥有者信息公开密钥签发者信息有

,(CA)、、、

效期以及扩展信息的一种数据结构按类别可分为个人证书机构证书和设备证书按用途可分为签名

。、,

证书和加密证书

。

319

..

SSL协议securesocketslayerprotocolSSL

;

一种传输层安全协议用于构建客户端和服务端之间的安全通道

,。

3110

..

虚拟专用网络virtualprivatenetworkVPN

;

使用密码技术在通信网络中构建安全通道的技术

。

3111

..

SM2算法SM2algorithm

一种椭圆曲线公钥密码算法其密钥长度为比特

,256。

32缩略语

.

下列缩略语适用于本文件

。

密码分组链接

CBC:(CipherBlockChaining)

初始化向量

IV:(InitializationVector)

安全套接层协议

SSL:(SecureSocketsLayer)

虚拟专用网络

VPN:(VirtualPrivateNetwork)

4密码算法和密钥种类

41算法要求

.

使用国家密码管理主管部门批准的非对称密码算法对称密码算法密码杂凑算法和随

SSLVPN、、

机数生成算法算法及使用方法如下

。:

非对称密码算法用于认证数字签名和数字信封等

•、;

对称密码算法使用分组密码算法用于密钥交换数据的加密保护和报文数据的加密保护算法

•,,

的工作模式使用模式见的要求

CBC,GB/T17964;

2

GM/T0025—2014