《信息安全技術(shù) IPSec VPN安全接入基本要求與實(shí)施指南》編制說明

一．任務(wù)來源

本任務(wù)來自全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會，由全國信息安全標(biāo)準(zhǔn)化技術(shù)委

員會WG3工作組負(fù)責(zé)管理。

任務(wù)承擔(dān)單位：國家信息中心。

任務(wù)參加單位：華為技術(shù)有限公司、中安網(wǎng)脈（北京）技術(shù)股份有限公司、

網(wǎng)神信息技術(shù)（北京）股份有限公司、北京天融信科技有限公司、邁普通信技術(shù)

股份有限公司。

該標(biāo)準(zhǔn)由國家信息中心、華為技術(shù)有限公司、中安網(wǎng)脈（北京）技術(shù)股份有

限公司、網(wǎng)神信息技術(shù)（北京）股份有限公司、北京天融信科技有限公司、邁普

通信技術(shù)股份有限公司負(fù)責(zé)起草。

二．本標(biāo)準(zhǔn)依據(jù)的規(guī)范性引用文件

本標(biāo)準(zhǔn)主要參考了以下資料：

GB/T1.1-2000標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫規(guī)則

GB/T25069-2010信息安全技術(shù)術(shù)語

GM/T0002-2012SM4分組密碼算法

GM/T0003-2012SM2橢圓曲線公鑰密碼算法

GM/T0004-2012SM3密碼雜湊算法

GM/T0016-2012智能IC卡及智能密碼鑰匙密碼應(yīng)用接口規(guī)范

GM/T0017-2012智能密碼鑰匙密碼應(yīng)用接口數(shù)據(jù)格式規(guī)范

GM/Taaaa-20xxIPSecVPN技術(shù)規(guī)范

GM/Tbbbb-20xxIPSecVPN網(wǎng)關(guān)產(chǎn)品規(guī)范

三、目的與意義

國家密碼管理局發(fā)布的《IPSecVPN技術(shù)規(guī)范》《IPSecVPN網(wǎng)關(guān)產(chǎn)品規(guī)范》

對IPSecVPN的技術(shù)協(xié)議、產(chǎn)品的功能、性能和管理以及檢測進(jìn)行了規(guī)定，用于

1

指導(dǎo)IPSecVPN產(chǎn)品的研制、檢測、使用和管理。

在基于IPSecVPN技術(shù)的具體安全接入應(yīng)用過程缺乏相應(yīng)的要求和指南，為

了規(guī)范IPSecVPN技術(shù)應(yīng)用實(shí)施的核心內(nèi)容和技術(shù)管理要點(diǎn)，指導(dǎo)基于IPSec

VPN技術(shù)的安全接入平臺或系統(tǒng)的規(guī)劃設(shè)計、設(shè)備選型、建設(shè)實(shí)施、運(yùn)行維護(hù)

和管理工作，有必要制定相關(guān)標(biāo)準(zhǔn)。

通過技術(shù)、管理兩方面的基本要求和基于IPSecVPN技術(shù)的安全接入平臺或

系統(tǒng)建設(shè)的實(shí)施指南，指導(dǎo)機(jī)構(gòu)建立安全接入平臺或系統(tǒng)，為其用戶提供通過公

眾網(wǎng)絡(luò)進(jìn)入到內(nèi)部網(wǎng)絡(luò)的安全通道。同時確保在此過程中遵循我國有關(guān)法律、法

規(guī)和技術(shù)規(guī)范；合理的部署IPSecVPN設(shè)備和相關(guān)系統(tǒng)；正確的開展基于IPSec

VPN技術(shù)的安全接入平臺或系統(tǒng)的規(guī)劃設(shè)計、設(shè)備選型、建設(shè)實(shí)施、運(yùn)行維護(hù)

和管理工作。

四、主要編制過程

1.成立專門標(biāo)準(zhǔn)編制組

2012年12月工信部下達(dá)標(biāo)準(zhǔn)編制任務(wù)后，國家信息中心籌建標(biāo)準(zhǔn)編制組，

進(jìn)行了前期研究工作。2013年初，由國家信息中心牽頭，行業(yè)內(nèi)重要公司華為

技術(shù)有限公司、中安網(wǎng)脈（北京）技術(shù)股份有限公司、網(wǎng)神信息技術(shù)（北京）股

份有限公司、北京天融信科技有限公司、邁普通信技術(shù)股份有限公司等聯(lián)合組成

編制組，開展標(biāo)準(zhǔn)編寫等相關(guān)工作。

2.制定工作計劃

編制組首先根據(jù)“調(diào)研和收集資料、完成草稿、征求意見稿、送審稿”的工

作流程制定了相應(yīng)的工作計劃，并確定定期召開編制組例會并組內(nèi)通報編制情況，

以便及時征求意見和交流情況。

3.確定標(biāo)準(zhǔn)內(nèi)容

經(jīng)編制組多次會議討論之后，完成了《IPSecVPN安全接入基本要求與實(shí)施

指南》標(biāo)準(zhǔn)草稿，并多次征求專家意見，不斷完善本標(biāo)準(zhǔn)草稿。

4.主要工作過程

1)前期調(diào)研

2012年12月-2013年3月，進(jìn)行標(biāo)準(zhǔn)前期調(diào)研，研究相關(guān)技術(shù)和標(biāo)準(zhǔn)，形

2

成標(biāo)準(zhǔn)編制思路。

2)項(xiàng)目啟動

2013年3月，國家信息中心牽頭，行業(yè)內(nèi)重要公司華為技術(shù)有限公司、中

安網(wǎng)脈（北京）技術(shù)股份有限公司、網(wǎng)神信息技術(shù)（北京）股份有限公司、北京

天融信科技有限公司、邁普通信技術(shù)股份有限公司聯(lián)合成立標(biāo)準(zhǔn)編制組。并基于

政務(wù)外網(wǎng)的IPsecVPN安全接入實(shí)施經(jīng)驗(yàn)，給出了一份標(biāo)準(zhǔn)草案初稿。

2013年3月20日，召開了標(biāo)準(zhǔn)項(xiàng)目啟動會議，崔書昆、安曉龍、卿斯?jié)h、

肖京華、羅鋒盈、宿忠民、李智虎等專家參加了會議，對標(biāo)準(zhǔn)的草案進(jìn)行了評審，

給出了評審意見。會后編制組成員天融信、華為、邁普、網(wǎng)神、網(wǎng)脈進(jìn)行了任務(wù)

劃分，制定了工作計劃并做了具體分工。

3)項(xiàng)目研討

編制組從標(biāo)準(zhǔn)編制、標(biāo)準(zhǔn)與其它相關(guān)標(biāo)準(zhǔn)的關(guān)系定位、客戶端接口、IPv6

過渡等多個維度進(jìn)行了深入的研究探討。

a)2013年7月29日，標(biāo)準(zhǔn)工作組召開了第二次會議。在該次會議上，

對啟動會專家意見的修改進(jìn)行了討論，探討了對ISO/IEC18028－1～

5系列標(biāo)準(zhǔn)的分析結(jié)果。確立后續(xù)技術(shù)分析及研討的主題。

b)2013年8月20日，標(biāo)準(zhǔn)工作組召開了第三次會議。請北大王立福教

授講授技術(shù)標(biāo)準(zhǔn)編制基本思路以及關(guān)注的基本問題。

c)2013年8月30日，標(biāo)準(zhǔn)工作組召開了第四次會議。討論了標(biāo)準(zhǔn)編制

過程中產(chǎn)學(xué)研交流的問題，和IPSecVPN客戶端接口標(biāo)準(zhǔn)化的問題。

d)2013年9月17日，標(biāo)準(zhǔn)工作組召開了第五次會議。標(biāo)準(zhǔn)編制組與國

密局李智虎、羅鵬進(jìn)行了交流，討論了如何遵循將發(fā)布新版本的

《IPSecVPN技術(shù)規(guī)范》的問題。

e)2013年10月11日，標(biāo)準(zhǔn)工作組召開了第六次會議。標(biāo)準(zhǔn)編制組集

體學(xué)習(xí)解讀了最新版本《IPSecVPN技術(shù)規(guī)范》征求意見稿；并研討

了IPSec技術(shù)在IPV6環(huán)境下的過渡技術(shù)。

4)標(biāo)準(zhǔn)編制

標(biāo)準(zhǔn)編制組在每次研討會后，編制組成員都對標(biāo)準(zhǔn)草稿進(jìn)行了相應(yīng)的修訂，

并于10月底形成了相對完善的一個標(biāo)準(zhǔn)草案版本。

5)征求專家意見

3

a)2013年11月2日，召開了標(biāo)準(zhǔn)評審會議，李智虎、羅鵬、肖京華、

羅鋒盈等專家對標(biāo)準(zhǔn)草案進(jìn)行了評審，提出了修改意見。編制組根據(jù)

專家意見進(jìn)行了修訂。

b)2013年11月6日，召開標(biāo)準(zhǔn)評審會，邀請國密局《IPsecVPN技術(shù)

規(guī)范》編制組組長劉平對標(biāo)準(zhǔn)草案進(jìn)行了評審，提出修改意見。編制

組根據(jù)專家意見進(jìn)行了修訂。

c)2013年11月30日，召開了工作組專家審查會，全國信息安全標(biāo)準(zhǔn)

化技術(shù)委員會WG3密碼工作組的專家趙丹、安曉龍、謝永泉、袁文

恭、崔書昆、肖京華、秦小龍、李智虎、羅鋒盈、許玉娜參加了標(biāo)準(zhǔn)

審查會，對標(biāo)準(zhǔn)文稿進(jìn)行了審查，并提出修改意見。編制組根據(jù)專家

意見對文稿進(jìn)行了修訂。

d)2014年1月17日，信安標(biāo)委秘書處組織標(biāo)準(zhǔn)評審，信安標(biāo)委專家馮

惠、秘書處許玉娜對標(biāo)準(zhǔn)的內(nèi)容、格式和規(guī)范性等方面提出進(jìn)一步修

改意見。編制組根據(jù)專家意見進(jìn)行了修訂。

五、編制原則

本規(guī)范的編制原則是：

1.符合性

遵循我國有關(guān)法律、法規(guī)、國家標(biāo)準(zhǔn)和國密局相關(guān)的規(guī)定和技術(shù)規(guī)范。

2.安全性

從管理、控制、用戶三個層面及訪問控制、鑒別、抗抵賴、數(shù)據(jù)保密性、通

信流安全、數(shù)據(jù)完整性、可用性、隱私八個方面進(jìn)行安全考慮。對IPSecVPN安

全接入從設(shè)備、管理、流程等方面都做了嚴(yán)格的規(guī)定，確保IPSecVPN接入的安

全性。

3、指導(dǎo)性

具備從需求分析、方案設(shè)計、部署實(shí)施、運(yùn)維管理直到業(yè)務(wù)撤銷的完備實(shí)施

流程，具有很強(qiáng)的指導(dǎo)性。

4、實(shí)用性

適用于不同行業(yè)的應(yīng)用場景，對構(gòu)建基于IPSecVPN技術(shù)的安全接入平臺或

4

系統(tǒng)具有實(shí)用價值。

六、主要內(nèi)容

本規(guī)范共包括8章，分別為：范圍、規(guī)范性引用文件、術(shù)語和縮略語、安全

接入場景、安全接入基本要求、實(shí)施指南，其章節(jié)內(nèi)容如下：

1.范圍

2.規(guī)范性引用文件

3.術(shù)語和定義

4.縮略語

5.安全接入場景

6.安全接入基本要求

7.實(shí)施指南

8.附錄

其中：

第5章安全接入場景，描述了IPSecVP安全接入應(yīng)用的兩種場景。

第6章安全接入基本要求，從IPSecVPN安全接入應(yīng)用實(shí)施的角度，提出

IPSecVPN網(wǎng)關(guān)的功能和性能、IPSecVPN客戶端等的技術(shù)要求，以及安全管理

要求。

第7章實(shí)施指南，主要從需求分析、方案設(shè)計、配置實(shí)施、測試與備案、

運(yùn)行管理等5個方面規(guī)范基于IPSecVPN技術(shù)的安全接入平臺或系統(tǒng)建設(shè)的實(shí)施

過程。

七、規(guī)范的驗(yàn)證情況

本規(guī)范對網(wǎng)關(guān)設(shè)備及客戶端提出的技術(shù)要求，業(yè)內(nèi)很多IPSECVPN網(wǎng)關(guān)產(chǎn)

品的生產(chǎn)廠家已經(jīng)基于滿足。本規(guī)范提出的實(shí)施流程已經(jīng)基于國家電子政務(wù)外網(wǎng)

安全接入平臺進(jìn)行驗(yàn)證，并將根據(jù)國家密碼管理局的要求對規(guī)范進(jìn)行相應(yīng)的驗(yàn)證

5

八、有關(guān)問題說明

1.與相關(guān)標(biāo)準(zhǔn)的關(guān)系與定位：

（1）與GB/T25068-2012系列標(biāo)準(zhǔn)的關(guān)系

GB/T25068-2012系列標(biāo)準(zhǔn)是等同采用ISO/IEC18028:2006系列標(biāo)準(zhǔn)，

其中：

---GB/T25068.1定義和描述網(wǎng)絡(luò)安全的相關(guān)概念，并提供網(wǎng)絡(luò)安全管理

指南---包括考慮如何識別和分析與通信相關(guān)的因素以確立網(wǎng)絡(luò)安全要求，

還介紹可能的控制領(lǐng)域和特定的技術(shù)領(lǐng)域；

---GB/T25068.2定義一個標(biāo)準(zhǔn)的安全體系結(jié)構(gòu)，它描述一個支持規(guī)劃、

設(shè)計和實(shí)施網(wǎng)絡(luò)安全的一直框架；

---GB/T25068.3定義使用安全網(wǎng)關(guān)保護(hù)網(wǎng)絡(luò)間信息流安全的技術(shù)；

---GB/T25068.4定義保護(hù)遠(yuǎn)程接入安全的技術(shù)；

---GB/T25068.5定義對使用虛擬專用網(wǎng)（VPN）建立的網(wǎng)絡(luò)間連接進(jìn)行

安全保護(hù)的技術(shù)。

本標(biāo)準(zhǔn)在編制過程中參考了GB/T25068-2012系列標(biāo)準(zhǔn)，并與本系列

標(biāo)準(zhǔn)保持一致。GB/T25068.2-2012中提到的從管理安全面，控制安全面，

終端安全面分別涉及的八個安全維度在本標(biāo)準(zhǔn)中均有對應(yīng)體現(xiàn)。GB/T

25068.5-2012中提到的VPN體系結(jié)構(gòu)中應(yīng)考慮的十一個方面，在本標(biāo)準(zhǔn)

中也均有對應(yīng)體現(xiàn)。

（2）與國家密碼