GM/T 0022-2023 IPSec VPN技术规范

ICS35.030

CCSL80

中华人民共和国密码行业标准

/—

GMT00222023

代替/—

GMT00222014

IPSecVPN技术规范

IPSecVPNtechnicalsecification

p

2023-12-04发布2024-06-01实施

国家密码管理局发布

/—

GMT00222023

目次

前言…………………………Ⅲ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4符号和缩略语……………2

4.1符号…………………2

4.2缩略语………………3

5密码算法和密钥类别……………………3

5.1密码算法……………3

5.2密钥类别……………4

6协议………………………4

6.1密钥交换协议………………………4

6.2安全报文协议………………………29

7IPSecVPN产品要求……………………38

7.1产品功能要求………………………38

7.2产品性能参数………………………39

7.3安全管理要求………………………40

8IPSecVPN产品检测……………………42

8.1产品功能检测………………………42

8.2产品性能检测………………………43

8.3安全管理检测………………………43

9判定规则…………………44

()…………………

附录A资料性IPSecVPN简要介绍45

参考文献……………………49

Ⅰ

/—

GMT00222023

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

/—《》,/—,

本文件代替GMT00222014IPSecVPN技术规范与GMT00222014相比除结构调整

,:

和编辑性改动外主要技术变化如下

):“”()、“”(

a删除了术语和定义密码算法见2014年版的3.1.1密码杂凑算法见2014年版的

)、“/”()、“”(

3.1.2非对称密码算法公钥密码算法见2014年版的3.1.3对称密码算法见2014年

)、“”()、“”(

版的3.1.4分组密码算法见2014年版的3.1.5密码分组链接工作模式见2014年版

)、“/”()、“”()、“

的3.1.6初始化向量值见2014年版的3.1.7数字证书见2014年版的3.1.9鉴

”()、“”()、“”(

别见2014年版的3.1.14加密见2014年版的3.1.15SM1算法见2014年版的

)、“”()、“”()、“

3.1.20SM2算法见2014年版的3.1.21SM3算法见2014年版的3.1.22SM4算

”();

法见2014年版的3.1.23

)“”();

b增加了术语和定义可鉴别的加密机制见3.6

)“”();

增加了缩略语和见

cGCMPRF4.2

)();

d增加了与GCM加密模式相关的加密密钥选取说明见6.1.3.3

)(,

更改了与加密模式相关的快速模式中消息的数据包格式见年版的

eGCM16.1.6.82014

)、(,)、

快速模式中消息的数据包格式见年版的快速模式中消息

5.1.5.726.1.6.920145.1.5.83

(,);

的数据包格式见6.1.6.102014年版的5.1.5.9

)“”(

f更改了封装安全载荷ESP头格式中与GCM相关的数据包封装和解封操作的详细说明见

,)、“”

6.2.2.22014年版的5.2.2.2封装安全载荷ESP的处理中与GCM相关的数据包封装和解

(,);

封操作的详细说明见6.2.2.32014年版的5.2.2.3

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

本文件由密码行业标准化技术委员会提出并归口。

:、、、

本文件起草单位深信服科技股份有限公司无锡江南计算技术研究所格尔软件股份有限公司迈

、、、

普通信技术股份有限公司北京数字认证股份有限公司华为技术有限公司中电科网络安全科技股份

、、、

有限公司西安交大捷普网络科技有限公司山东得安信息技术有限公司国家密码管理局商用密码检

、、、()

测中心深圳奥联信息安全技术有限公司中国科学院信息工程研究所鼎铉商用密码测评技术深圳

、、()、

有限公司北京天融信网络安全技术有限公司奇安信网神信息技术北京股份有限公司武汉三江航

、、、

天网络通信有限公司中国电子技术标准化研究院深圳市网安计算机安全检测技术有限公司杭州奕

、()。

锐电子有限公司智巡密码上海检测技术有限公司

:、、、、、、、、、、、

本文件主要起草人刘平叶润国罗俊郑强付夏冰范恒英朱志强董浩雷建刘建锋李小京

、、、、、、、、、、、、、、

邱钢向明孔凡玉李述胜谭武征王振张勇潘利民罗鹏李渝川徐明翼马洪富凌杭周欣

、、、、、、、、、、、、、、

王雨晨何建锋李琳龙军刘松但波雷晓锋刘玉岭燕爽王银平吴安然安高峰刘晨赵松

、、、、、、、。

曹金李露樊俊诚黄敏吴俊雄顾伟平杨柳匡云

本文件及其所代替文件的历次版本发布情况为:

———年首次发布为/—;

2014GMT00222014

———本次为第一次修订。

Ⅲ

/—

GMT00222023

IPSecVPN技术规范

1范围

,,

本文件规定了IPSecVPN的技术协议和产品功能包括密钥交换协议和安全报文协议以及产品

功能要求和安全管理要求。

、、。

本文件适用于IPSecVPN产品的研制检测使用和管理

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/—信息安全技术公钥基础设施数字证书格式

GBT205182018

/—信息安全技术密码杂凑算法

GBT329052016SM3

/—信息安全技术分组密码算法

GBT329072016SM4

/—信息安全技术密码算法使用规范

GBT352762017SM2

/—信息技术安全技术可鉴别的加密机制

GBT366242018

/—随机性检测规范

GMT00052021

/智能密码钥匙密码应用接口规范

GMT0016

/—密码产品随机数检测要求

GMT00622018

/—基于算法的证书申请语法规范

GMT00922020SM2

/密码术语

GMZ4001

互联网安全联盟与密钥管理协议(

RFC2408Internetsecuritassociationandkemanaement

yyg

)

protocol

密钥交换过程中穿越协商()

RFC3947NATNeotiationofNAT-traversalintheIKE

g

包的封装()

RFC3948IPSecESPUDPUDPencasulationofIPsecESPackets

pp

互联网安全关联和密钥管理协议()解释域()的扩展序列号()

RFC4304ISAKMPIPsecDOIESN

附录[()()

ExtendedseuencenumberESNaddendumtoIPsecdomainofinterretationDOIfor

qp

ISAKMP]

3术语和定义

/界定的以及下列术语和定义适用于本文件。

GMZ4001

3.1

安全联盟securitassociation

y

两个通信实体经协商建立起来的一种协定。

:。

注它描述了实体如何利用安全服务来进行安全的通信

1

:,:()、

注安全联盟包括了执行各种网络安全服务所要求的所有信息例如层服务如头鉴别和载荷封装传输层

2IP

1