信息技术 安全技术 IT网络安全 第5部分：使用虚拟专用网的跨网通信安全保护.docxVIP

GB/T 25068-5—XXXX PAGE 9 GB/T 25068.5—XXXX PAGE 10 信息技术 安全技术 IT网络安全 第5部分：使用虚拟专用网的跨网通信安全保护 范围 本标准规定了使用虚拟专用网（VPN）连接到互联网和将远程用户连接到网络上的安全指南，以及在使用VPN提供网络安全时所必需的控制技术的选择、实施和监控指南。 规范性引用文件 下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22081-2016 信息技术 安全技术 信息安全管理使用规则（ISO/IEC 27002:2013） GB/T 17901.1-XXXX 信息技术 安全技术 密钥管理 第1部分：框架（ISO/IEC 11770-1:2010） GB/T 22080-2008 信息技术 安全技术 信息安全管理系统 需求（ISO/IEC 27001:2005） GB/T 31722-2015 信息技术 安全技术 信息安全风险管理（ISO/IEC 27005:2008） ISO/IEC 27033-1:2009 信息技术 安全技术 IT网络安全 第1部分:概述和概念 术语和定义 ISO/IEC 7498（所有部分），ISO/IEC 27000, GB/T 17901.1, GB/T 22081, GB/T 31722, ISO/IEC 27033-1界定的以及下列术语和定义适用于本部分。 专用 Private 只限于授权组成员使用；在VPN环境中，它指VPN连接中的通信流。 虚拟专用网virtual private network 一种采用隧道技术连接的虚拟网络，即受限使用的逻辑计算机网络，该网络基于物理网络系统资源所构建，穿越实际网络建立连接。 虚电路 virtual circuit 使用诸如X.25、ATM或帧中继等包或信元交换技术而建立的网络设备之间的数据通道。 隧道 tunnel 在联网的设备之间，一种隐藏在其它可见性更高的协议内部的数据路径。 协议封装 protocol encapsulation 通过传输包裹在另一协议内的协议数据单元，将一个数据流封装在另一数据流中。 注：在虚拟专用网（VPN）技术中这种方法可用于建立隧道。 缩略语 AAC 鉴别访问控制器（Authentication Access Controller） AH 鉴别头（Authentication Header） AKE 鉴别和密钥建立（Authentication and Key Establishment） AS 鉴别服务器（Authentication Server） DHCP 动态主机配置协议 （Dynamic Host Configuration Protocol） DIP 动态IP（Dynamic IP） DR 数据中转 （Data Relay） ESP 封装安全载荷（Encapsulating Security Payload） IKE 互联网密钥交换（Internet Key Exchange） IP 互联网协议 （Internet Protocol） IPSec 互联网协议安全（Internet Protocol Security） ISAKMP 互联网安全关联和密钥管理协议（Internet Security Association and Key Management Protocol L2F Layer 第2层转发（协议）（Two Forwarding (Protocol)） LDP 标签分发协议（Label Distribution Protocol） MIC 消息完整性校验 （Message Integrity Check） MPPE 微软点对点加密协议（Microsoft Point-to-Point Encryption） MPLS 多协议标记交换（Multi-protocol Label Switching） NAS 网络访问服务器（Network Area Server） NAT-T NAT穿越（NAT Traversal） OSI 开放式系统互联（Open Systems Interconnection） PKI 公钥基础设施（Public Key Infrastructure） PPP 点对点协议（Point-to-Point Protocol） PPTP 点对点隧道协议（Point-to-Point Tunnelin