ICS 35.030 GM CCS L 80 中华人民共和国密码行业标准 GM/T 0023—2023 代替 GM/T 0023一2014 IPSecVPN网关产品规范 IPSec VPN gateway product specification 2023-12-04 发布 2024-06-01 实施 国家密码管理局 发布 GM/T 0023—2023 目 次 前言 范围· 规范性引用文件 2 3 术语和定义 缩略语 5 功能要求 5.1 随机数生成· 5.2 工作模式 5.3 密钥交换· 5.4 安全报文封装· 5.5 NAT穿越· 5.6 鉴别方式· IP协议版本支持： 5.7 5.8 抗重放攻击 5.9 密钥更新· 5.10 包过滤· 5.11 热备份· 负载均衡· 5.12 5.13 对端探测· 5.14 网络适应性 ·3 集群部署 5.15 5.16 动态地址· 6 性能要求 6.1 加解密吞吐率 6.2 加解密时延· 6.3 加解密丢包率 6.4 每秒新建隧道数· 6.5 最大并发隧道数· ７安全性要求 7.1 密钥管理要求 密码协议要求 7.2 7.3 算法配用要求· GM/T 0023—2023 7.4 密码部件调用接口要求 敏感参数管理要求 7.5 7.6硬件安全要求 7.7 软件安全要求· 8管理要求· 8.1 配置管理 设备监控 8.2 设备管理 8.3 8.4 管理员要求 管理协议和接口· 8.5 硬件要求 外部接口 9.1 9.2 密码部件? 9.3 随机数发生器 9.4 环境适应性 9.5 电磁兼容性· 9.6 可靠性 10检测方法 10.1 检测说明 10.2 外观和结构的检查· 10.3 提交文档的检查 10.4 功能检测· 10.5 性能检测· 10 安全性检测· 10.6 ....11 管理检测 10.7 10.8 硬件检测· 11 判定规则· II GM/T 0023—2023 前言 定起草。 本文件代替GM/T 0023—2014《IPSecVPN网关产品规范》。与GM/T0023—2014相比,除结构 调整和编辑性改动外，主要技术变化如下： a）增加了GCM可鉴别加密机制作为对称算法的工作机制（见 5.4和7.3); b）增加了“热备份”“负载均衡”“对端探测”“网络适应性”“集群部署”“动态地址”的要求（见 5.11、5.12、5.13、5.14、5.15和 5.16); c） 删除了“参数可配置能力要求”“过程保护”（见2014年版的5.6和5.7）； ，，，，（ 求（见 7.2、7.3、7.4 和 7.5）; ，，，， e） ,,，共, 控”并删除了“参数查询”,将“日志管理”更改为“日志功能”并合并到“设备监控”,删除了“远 （见第8章，2014年版的第5章）； f）将“检测要求”更改为“检测方法”,并按照新的章节结构和内容进行了相应更改（见第10章， 2014年版的第6章）; g）将合格判定”更改为“判定规则”,并按照新的章节结构和内容进行了相应更改（见第11章， 2014年版的第7章）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由密码行业标准化技术委员会提出并归口 本文件起草单位：中电科网络安全科技股份有限公司、四川大学、深信服科技股份有限公司、阿里 云计算有限公司、鼎铉商用密码测评技术有限公司、格尔软件股份有限公司、无锡江南信息安全工程技 术中心、兴唐通信科技有限公司、山东得安信息技术有限公司、华为技术有限公司、天融信科技集团股 份有限公司、西安交大捷普网络科技有限公司、山东大学 本文件主要起草人：罗俊、龚勋、叶润国、张大江、邹家须、郑强、谭武征、李元正、徐明翼、徐强 王妮娜、马洪富、黄敏、孔凡玉。 本文件及其所代替文件的历次版本发布情况为： -2014年首次发布为GM/T0023—2014； 一一本次为第一次修订。 II GM/T 0023—2023 IPSecVPN网关产品规范 1范围 本文件规定了IPSec VPN 网关产品的功能要求、性能要求、安全性要求、管理要求、硬件要求、检 测方法和合格判定条件。 本文件适用于IPSec VPN网关产品的研制、使用和检测。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件；不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T 9813.3 计算机通用规范 第3部分：服务器 GB/T 15153.1 远动设备及系统 第2部分：工作条件第1篇：电源和电磁兼容性 GB/T 15843.1 信息技术安全技术 实体鉴别 第1部分：总则 信息技术‧安全技术 GB/T 15843.2 实体鉴别 第2部分:采用对称加密算法的机制 信息技术 GB/T 15843.3 安全技术 实体鉴别 第3部分：采用数字签名技术的机制 GB/T 15843.4 信息技术‧安全技术 实体鉴别 第 4部分:采用密码校验函数的机制 GB/T 15843.5 信息技术安全技术 实体鉴别 第5部分：使用零知识技术的机制 GB/T 38636 信息安全技术传输层密码协议（TLCP) GM/T 0005 随机性检测规范 GM/T 0016 智能密码钥匙密码应用接口规范 GM/T 0022- —2023IPSec VPN 技术规范 GM/T 0028 密码模块安全要求 GM/T 0062 密码产品随机数检测要求 GM/Z 4001 密码术语 3术语和定义 GM/Z 4001 界定的术语和定义适用于本文件。 4缩略语 下列缩略语适用于本文件。 AH:鉴别头（Authentication Header) CBC:密文分组链接（Cipher Block Chaining） DPD:对端探测(Dead Peer Detection) ESP:封装安全载荷（Encapsulating Security Payload) GCM:Galois 计数器模式(Galois Counter Mode) 1