信息安全技术IPSecVPN技术规范-标准文本-全国信息安全.DOC

目 次 前言 II 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 3.1 术语和定义 1 3.2 缩略语 3 4 密码算法和密钥种类 4 4.1 密码算法 4 4.2 密钥种类 4 5 协议 4 5.1 密钥交换协议 4 5.2 安全报文协议 29 6 IPSec VPN产品要求 38 6.1 产品功能要求 38 6.2 产品性能参数 39 6.3 安全管理要求 39 7 IPSec VPN产品检测 41 7.1 产品功能检测 41 7.2 产品性能检测 42 7.3 安全管理检测 42 8 合格判定 43 参考文献 48 前 言 本标准依据GB/T1.1-2009《标准化工作导则标准的和编写》 本标准由全国信息安全标准化技术委员会归口。 本标准起草单位：无锡江南信息安全工程技术中心、华为技术有限公司、深圳市奥联科技有限公司、深圳市深信服电子科技有限公司、山东得安信息技术有限公司、北京数字认证股份有限公司、上海格尔软件股份有限公司、武汉三江航天网络通信有限公司、西安交大捷普网络科技有限公司、北京天融信网络安全技术有限公司、迈普通信技术股份有限公司、国家密码管理局商用密码检测中心、杭州奕锐电子有限公司三未信安发展有限公司卫士通产业股份有限公司 本标准主要起草人：刘平、朱志强、董浩、雷建、刘建锋、李小京、邱钢、向明、孔凡玉、李述胜、谭武征、王振、张勇、潘利民、范恒英、罗鹏、李渝川。 信息安全技术 IPSec VPN技术规范 范围 本标准规定了适用于 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 23918-2016 信息安全技术 SM2椭圆曲线公钥密码算法 GB/T 32905-2016 信息安全技术 SM3密码杂凑算法 GB/T 32907-2016 信息安全技术 SM4分组密码算法 GB/T 32915-2016 信息安全技术 二元序列随机性检测规范GB/T AAAA 信息安全技术 SM2密码算法使用规范 信息安全技术 证书认证系统密码及其相关安全技术规范 GB/T CCCC 信息安全技术 公钥基础设施 数字证书格式规范 RFC3948 UDP Encapsulation of IPSEC ESP Packets January 2005 术语、定义和缩略语 术语和定义 下列术语和定义适用于本文件。  密码算法　cryptographic algorithm 描述密码处理过程的运算规则。  密码杂凑算法　cryptographic hash algorithm 又称杂凑算法、密码散列算法或哈希算法。将一个任意长的比特串映射到一个固定长的比特串，且满足下列三个特性： （1）为一个给定的输出找出能映射到该输出的一个输入是计算上困难的； （2）为一个给定的输入找出能映射到同一个输出的另一个输入是计算上困难的； （3）要发现不同的输入映射到同一输出是计算上困难的。  非对称密码算法/公钥密码算法　asymmetric cryptographic algorithm/public key cryptographic algorithm 加密和解密使用不同密钥的密码算法。其中一个密钥（公钥）可以公开，另一个密钥（私钥）必须保密，且由公钥求解私钥是计算不可行的。  对称密码算法　symmetric cryptographic algorithm 加密和解密使用相同密钥的密码算法。  分组密码算法 block cipher algorithm 将输入数据划分成固定长度的分组进行加解密的一类对称密码算法。  密码分组链接工作模式 cipher block chaining operation mode ：CBC 分组密码算法的一种工作模式，其特征是将当前的明文分组与前一密文分组进行异或运算后再进行加密得到当前的密文分组。  初始化向量/值 initialization vector/initialization value：IV 在密码变换中，为增加安全性或使密码设备同步而引入的用于数据变换的起始数据。  数据源鉴别 data origin authentication 确认接收到的数据的来源是所声称的。  数字证书 digital certificate 也称公钥证书，由证书认证机构（CA）签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。按类别可分为个人证书、机构证书和设备证书，按用途可分为签名证书和加密证书。  安全联盟