GB/T 36968-2018 信息安全技術(shù) IPSec VPN技術(shù)規(guī)范
- 發(fā)表時(shí)間:2023-03-27
- 來(lái)源:共立消防
- 人氣:
1 范圍
本標(biāo)準(zhǔn)規(guī)定了IPSec VPN的技術(shù)協(xié)議、產(chǎn)品要求和檢測(cè)方法。
本標(biāo)準(zhǔn)適用于IPSec VPN產(chǎn)品的研制、檢測(cè)、使用和管理。
2 規(guī)范性引用文件
下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 20518 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 數(shù)字證書(shū)格式
GB/T 25056 信息安全技術(shù) 證書(shū)認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范
GB/T 32905 信息安全技術(shù) SM3密碼雜湊算法
GB/T 32907 信息安全技術(shù) SM4分組密碼算法
GB/T 32915 信息安全技術(shù) 二元序列隨機(jī)性檢測(cè)方法
GB/T 32918(所有部分)信息安全技術(shù) SM2橢圓曲線(xiàn)公鑰密碼算法
GB/T 35276 信息安全技術(shù) SM2密碼算法使用規(guī)范
RFC 2408 互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議(Internet Security Association and Key Management Protocol)
RFC 3947 密鑰交換過(guò)程中NAT穿越協(xié)商(Negotiation of NAT-Traversal in the IKE)
RFC 3948 IPSec ESP包的UDP封裝(UDP Encapsulation of IPsec ESP Packets)
3 術(shù)語(yǔ)和定義
下列術(shù)語(yǔ)和定義適用于本文件。
3.1
安全聯(lián)盟 security association
兩個(gè)通信實(shí)體經(jīng)協(xié)商建立起來(lái)的一種協(xié)定,它描述了實(shí)體如何利用安全服務(wù)來(lái)進(jìn)行安全的通信。
注:安全聯(lián)盟包括了執(zhí)行各種網(wǎng)絡(luò)安全服務(wù)所需要的所有信息,例如IP層服務(wù)(如頭鑒別和載荷封裝)、傳輸層和應(yīng)用層服務(wù)或者協(xié)商通信的自我保護(hù)。
3.2
互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議 internet security association and key management protocol
一個(gè)在互聯(lián)網(wǎng)環(huán)境中建立安全聯(lián)盟和進(jìn)行密鑰管理的協(xié)議。它定義了建立、協(xié)商、修改和刪除安全聯(lián)盟的過(guò)程和報(bào)文格式,以及交換密鑰產(chǎn)生和鑒別數(shù)據(jù)的載荷格式。這些格式為傳輸密鑰和鑒別信息提供了一致的框架。
3.3
載荷 payload
ISAKMP通信雙方交換消息的數(shù)據(jù)格式,是構(gòu)造ISAKMP消息的基本單位。
3.4
IPSec協(xié)議 Internet Protocol Security
一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu),通過(guò)使用加密的安全服務(wù)以確保在公開(kāi)網(wǎng)絡(luò)上進(jìn)行保密而安全的通信,可以端至端的層面上提供數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)源鑒別、載荷機(jī)密性和抗重放攻擊等安全服務(wù)。
3.5
鑒別頭 authentication header
IPSec的一種協(xié)議,用于提供IP數(shù)據(jù)包的數(shù)據(jù)完整性、數(shù)據(jù)源鑒別以及抗重放攻擊的功能,但不提供數(shù)據(jù)機(jī)密性的功能。
3.6
封裝安全載荷 encapsulating security payload
IPSec的一種協(xié)議,用于提供IP數(shù)據(jù)包的機(jī)密性、數(shù)據(jù)完整性以及對(duì)數(shù)據(jù)源鑒別以及抗重放攻擊的功能。
3.7
虛擬專(zhuān)用網(wǎng) virtual private network
使用密碼技術(shù)在通信網(wǎng)絡(luò)中構(gòu)建安全通道的技術(shù)。
4 縮略語(yǔ)
下列縮略語(yǔ)適用于本文件。
AH:鑒別頭(Authentication Header)
CBC:(密碼分組的)密碼分組鏈接(工作方式)(Cipher Block Chaining)
ESP:封裝安全載荷(Encapsulating Security Payload)
HMAC:帶密鑰的雜湊運(yùn)算(Keyed-Hash Message Authentication Code)
IPSec:IP安全協(xié)議(Internet Protocol Security)
IPv4:互聯(lián)網(wǎng)通信協(xié)議第四版(Internet Protocol version 4)
IPv6:互聯(lián)網(wǎng)通信協(xié)議第六版(Internet Protocol version 6)
ISAKMP:互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議(Internet Security Association and Key Management Protocol)
IV:初始化向量(Initialization Vector)
MAC:消息認(rèn)證碼(Message Authentication Code)
NAT:網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Adress Translation)
SA:安全聯(lián)盟(Security Association)
UDP:用戶(hù)數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol)
VPN:虛擬專(zhuān)用網(wǎng)(Virtual Private Network)
5 密碼算法和密鑰種類(lèi)
5.1 密碼算法
IPSec VPN應(yīng)支持國(guó)家密碼管理主管部門(mén)批準(zhǔn)的非對(duì)稱(chēng)密碼算法、對(duì)稱(chēng)密碼算法、密碼雜湊算法和隨機(jī)數(shù)生成算法。各算法及使用要求如下:
——非對(duì)稱(chēng)密碼算法應(yīng)當(dāng)支持SM2橢圓曲線(xiàn)密碼算法,用于實(shí)體鑒別、數(shù)字簽名和數(shù)字信封等。SM2算法的使用要求見(jiàn)GB/T 32918。
——對(duì)稱(chēng)密碼算法應(yīng)當(dāng)支持SM4分組密碼算法,用于密鑰交換數(shù)據(jù)的加密保護(hù)和報(bào)文數(shù)據(jù)的加密保護(hù)。算法的工作模式應(yīng)當(dāng)支持CBC模式。SM4算法的使用要求見(jiàn)GB/T 32907。
——密碼雜湊算法應(yīng)當(dāng)支持SM3密碼雜湊算法,用于完整性校驗(yàn)。SM3算法的使用要求見(jiàn)GB/T 32905。
——隨機(jī)數(shù)生成算法生成的隨機(jī)數(shù)應(yīng)能通過(guò)GB/T 32915規(guī)定的檢測(cè)。
5.2 密鑰種類(lèi)
IPSec VPN使用下列密鑰:
——設(shè)備密鑰:非對(duì)稱(chēng)算法使用的公私鑰對(duì),包括簽名密鑰對(duì)和加密密鑰對(duì),用于實(shí)體驗(yàn)證、數(shù)字簽名和數(shù)字信封等。
——工作密鑰:在密鑰交換第一階段得到的密鑰,用于會(huì)話(huà)密鑰交換過(guò)程的保護(hù)。
——會(huì)話(huà)密鑰:在密鑰交換第二階段得到的密鑰,用于數(shù)據(jù)報(bào)文及報(bào)文MAC的加密。
6 協(xié)議
6.1 密鑰交換協(xié)議
6.1.1 概述
密鑰交換協(xié)議定義了協(xié)商、建立、修改、刪除安全聯(lián)盟的過(guò)程和報(bào)文格式。協(xié)議報(bào)文使用UDP協(xié)議500端口進(jìn)行傳輸。
本章用到的符號(hào)如下:
HDR:一個(gè)ISAKMP頭。
HDR*:表示ISAKMP頭后面的載荷是加密的。
IDi:發(fā)起方的標(biāo)識(shí)載荷。
IDr:響應(yīng)方的標(biāo)識(shí)載荷。
HASHi:發(fā)起方的雜湊載荷。
HASHr:響應(yīng)方的雜湊載荷。
HIASH_<n> :雙方進(jìn)行協(xié)商交互時(shí)的中間Hash數(shù)據(jù)。
SIGi:發(fā)起方的簽名載荷。
SIGr:響應(yīng)方的簽名載荷。
CERTT_sig_r :簽名證書(shū)載荷。
CER T_enc_r :加密證書(shū)載荷。
MsgID :消息標(biāo)識(shí)號(hào)。
Ni:發(fā)起方的Nonce載荷。
Nr:響應(yīng)方的Nonce載荷。
<p>_b:載荷 <p> 的主體,就是沒(méi)有ISAKMP通用頭的載荷。
pub_i:發(fā)起方公鑰。
pub_r:響應(yīng)方公鑰。
prv_i:發(fā)起方私鑰。
prv_rr:響應(yīng)方私鑰。
CKY-I:ISAKMP頭中的發(fā)起方cookie。
CKY-R:ISAKMP頭中的響應(yīng)方cookie。
x|y:x與y串接。
[x]:x為可選。
以上為標(biāo)準(zhǔn)部分內(nèi)容,如需看標(biāo)準(zhǔn)全文,請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買(mǎi)標(biāo)準(zhǔn)正版。
- 2023-08-22消防維修保養(yǎng)記錄
- 2023-08-22消防設(shè)施維修維護(hù)
- 2023-08-19消防水池維修
- 2023-08-19消防水炮維修
- 2023-08-19消防線(xiàn)路維修
- 2023-08-19消防維保服務(wù)系統(tǒng)
- 2023-08-19消防主機(jī)維修維保大全
- 2023-08-19消防維保作用
- 2023-08-18消防維保工作聯(lián)系單
- 2023-08-18消防維保每年都要做嗎
- 2023-08-18 消防維保技術(shù)服務(wù)
- 2023-08-18消防主板維修
- 2023-08-18消防維保軟件
- 2023-08-18消防維保規(guī)章制度
- 2023-08-17消防檢測(cè)和維保
- 2023-08-17消防維保檢查
- IG541混合氣體滅火系統(tǒng)
IG541混合氣體滅火系統(tǒng):IG-541滅火系統(tǒng)采用的IG-541混合氣體滅火劑是由大氣層中的氮?dú)猓∟2)、氬氣(Ar)和二氧化碳(CO2)三種氣體分別以52%、40%、8%的比例混合而成的一種滅火劑
- 二氧化碳?xì)怏w滅火系統(tǒng)
二氧化碳?xì)怏w滅火系統(tǒng):二氧化碳?xì)怏w滅火系統(tǒng)由瓶架、滅火劑瓶組、泄漏檢測(cè)裝置、容器閥、金屬軟管、單向閥(滅火劑管)、集流管、安全泄漏裝置、選擇閥、信號(hào)反饋裝置、滅火劑輸送管、噴嘴、驅(qū)動(dòng)氣體瓶組、電磁驅(qū)動(dòng)
- 七氟丙烷滅火系統(tǒng)
七氟丙烷(HFC—227ea)滅火系統(tǒng)是一種高效能的滅火設(shè)備,其滅火劑HFC—ea是一種無(wú)色、無(wú)味、低毒性、絕緣性好、無(wú)二次污染的氣體,對(duì)大氣臭氧層的耗損潛能值(ODP)為零,是鹵代烷1211、130
- 手提式干粉滅火器
手提式干粉滅火器適滅火時(shí),可手提或肩扛滅火器快速奔赴火場(chǎng),在距燃燒處5米左右,放下滅火器。如在室外,應(yīng)選擇在上風(fēng)方向噴射。使用的干粉滅火器若是外掛式儲(chǔ)壓式的,操作者應(yīng)一手緊握噴槍、另一手提起儲(chǔ)氣瓶上的
- 0消防維保收費(fèi)每平方多少錢(qián)
- 1GB/T 7588.1-2020 電梯制造與安裝安全規(guī)范 第1部分:乘客電梯和載貨電梯
- 2消防安全評(píng)估報(bào)告多久做一次
- 3GB 50160-2018 石油化工企業(yè)設(shè)計(jì)防火規(guī)范
- 4GB 4351.1-2005 手提式滅火器 第1部分:性能和結(jié)構(gòu)要求
- 5消防安全評(píng)估收費(fèi)標(biāo)準(zhǔn)
- 6GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求
- 7消防維保多長(zhǎng)時(shí)間維保一次
- 8GB 50229-2019 火力發(fā)電廠與變電站設(shè)計(jì)防火標(biāo)準(zhǔn)
- 9消防維保是干什么的