《信息安全技術 IPSec VPN安全接入基本要求與實施指南》編制說明

一．任務來源

本任務來自全國信息安全標準化技術委員會，由全國信息安全標準化技術委

員會WG3工作組負責管理。

任務承擔單位：國家信息中心。

任務參加單位：華為技術有限公司、中安網(wǎng)脈（北京）技術股份有限公司、

網(wǎng)神信息技術（北京）股份有限公司、北京天融信科技有限公司、邁普通信技術

股份有限公司。

該標準由國家信息中心、華為技術有限公司、中安網(wǎng)脈（北京）技術股份有

限公司、網(wǎng)神信息技術（北京）股份有限公司、北京天融信科技有限公司、邁普

通信技術股份有限公司負責起草。

二．本標準依據(jù)的規(guī)范性引用文件

本標準主要參考了以下資料：

GB/T1.1-2000標準化工作導則第一部分：標準的結構和編寫規(guī)則

GB/T25069-2010信息安全技術術語

GM/T0002-2012SM4分組密碼算法

GM/T0003-2012SM2橢圓曲線公鑰密碼算法

GM/T0004-2012SM3密碼雜湊算法

GM/T0016-2012智能IC卡及智能密碼鑰匙密碼應用接口規(guī)范

GM/T0017-2012智能密碼鑰匙密碼應用接口數(shù)據(jù)格式規(guī)范

GM/Taaaa-20xxIPSecVPN技術規(guī)范

GM/Tbbbb-20xxIPSecVPN網(wǎng)關產品規(guī)范

三、目的與意義

國家密碼管理局發(fā)布的《IPSecVPN技術規(guī)范》《IPSecVPN網(wǎng)關產品規(guī)范》

對IPSecVPN的技術協(xié)議、產品的功能、性能和管理以及檢測進行了規(guī)定，用于

1

指導IPSecVPN產品的研制、檢測、使用和管理。

在基于IPSecVPN技術的具體安全接入應用過程缺乏相應的要求和指南，為

了規(guī)范IPSecVPN技術應用實施的核心內容和技術管理要點，指導基于IPSec

VPN技術的安全接入平臺或系統(tǒng)的規(guī)劃設計、設備選型、建設實施、運行維護

和管理工作，有必要制定相關標準。

通過技術、管理兩方面的基本要求和基于IPSecVPN技術的安全接入平臺或

系統(tǒng)建設的實施指南，指導機構建立安全接入平臺或系統(tǒng)，為其用戶提供通過公

眾網(wǎng)絡進入到內部網(wǎng)絡的安全通道。同時確保在此過程中遵循我國有關法律、法

規(guī)和技術規(guī)范；合理的部署IPSecVPN設備和相關系統(tǒng)；正確的開展基于IPSec

VPN技術的安全接入平臺或系統(tǒng)的規(guī)劃設計、設備選型、建設實施、運行維護

和管理工作。

四、主要編制過程

1.成立專門標準編制組

2012年12月工信部下達標準編制任務后，國家信息中心籌建標準編制組，

進行了前期研究工作。2013年初，由國家信息中心牽頭，行業(yè)內重要公司華為

技術有限公司、中安網(wǎng)脈（北京）技術股份有限公司、網(wǎng)神信息技術（北京）股

份有限公司、北京天融信科技有限公司、邁普通信技術股份有限公司等聯(lián)合組成

編制組，開展標準編寫等相關工作。

2.制定工作計劃

編制組首先根據(jù)“調研和收集資料、完成草稿、征求意見稿、送審稿”的工

作流程制定了相應的工作計劃，并確定定期召開編制組例會并組內通報編制情況，

以便及時征求意見和交流情況。

3.確定標準內容

經(jīng)編制組多次會議討論之后，完成了《IPSecVPN安全接入基本要求與實施

指南》標準草稿，并多次征求專家意見，不斷完善本標準草稿。

4.主要工作過程

1)前期調研

2012年12月-2013年3月，進行標準前期調研，研究相關技術和標準，形

2

成標準編制思路。

2)項目啟動

2013年3月，國家信息中心牽頭，行業(yè)內重要公司華為技術有限公司、中

安網(wǎng)脈（北京）技術股份有限公司、網(wǎng)神信息技術（北京）股份有限公司、北京

天融信科技有限公司、邁普通信技術股份有限公司聯(lián)合成立標準編制組。并基于

政務外網(wǎng)的IPsecVPN安全接入實施經(jīng)驗，給出了一份標準草案初稿。

2013年3月20日，召開了標準項目啟動會議，崔書昆、安曉龍、卿斯?jié)h、

肖京華、羅鋒盈、宿忠民、李智虎等專家參加了會議，對標準的草案進行了評審，

給出了評審意見。會后編制組成員天融信、華為、邁普、網(wǎng)神、網(wǎng)脈進行了任務

劃分，制定了工作計劃并做了具體分工。

3)項目研討

編制組從標準編制、標準與其它相關標準的關系定位、客戶端接口、IPv6

過渡等多個維度進行了深入的研究探討。

a)2013年7月29日，標準工作組召開了第二次會議。在該次會議上，

對啟動會專家意見的修改進行了討論，探討了對ISO/IEC18028－1～

5系列標準的分析結果。確立后續(xù)技術分析及研討的主題。

b)2013年8月20日，標準工作組召開了第三次會議。請北大王立福教

授講授技術標準編制基本思路以及關注的基本問題。

c)2013年8月30日，標準工作組召開了第四次會議。討論了標準編制

過程中產學研交流的問題，和IPSecVPN客戶端接口標準化的問題。

d)2013年9月17日，標準工作組召開了第五次會議。標準編制組與國

密局李智虎、羅鵬進行了交流，討論了如何遵循將發(fā)布新版本的

《IPSecVPN技術規(guī)范》的問題。

e)2013年10月11日，標準工作組召開了第六次會議。標準編制組集

體學習解讀了最新版本《IPSecVPN技術規(guī)范》征求意見稿；并研討

了IPSec技術在IPV6環(huán)境下的過渡技術。

4)標準編制

標準編制組在每次研討會后，編制組成員都對標準草稿進行了相應的修訂，

并于10月底形成了相對完善的一個標準草案版本。

5)征求專家意見

3

a)2013年11月2日，召開了標準評審會議，李智虎、羅鵬、肖京華、

羅鋒盈等專家對標準草案進行了評審，提出了修改意見。編制組根據(jù)

專家意見進行了修訂。

b)2013年11月6日，召開標準評審會，邀請國密局《IPsecVPN技術

規(guī)范》編制組組長劉平對標準草案進行了評審，提出修改意見。編制

組根據(jù)專家意見進行了修訂。

c)2013年11月30日，召開了工作組專家審查會，全國信息安全標準

化技術委員會WG3密碼工作組的專家趙丹、安曉龍、謝永泉、袁文

恭、崔書昆、肖京華、秦小龍、李智虎、羅鋒盈、許玉娜參加了標準

審查會，對標準文稿進行了審查，并提出修改意見。編制組根據(jù)專家

意見對文稿進行了修訂。

d)2014年1月17日，信安標委秘書處組織標準評審，信安標委專家馮

惠、秘書處許玉娜對標準的內容、格式和規(guī)范性等方面提出進一步修

改意見。編制組根據(jù)專家意見進行了修訂。

五、編制原則

本規(guī)范的編制原則是：

1.符合性

遵循我國有關法律、法規(guī)、國家標準和國密局相關的規(guī)定和技術規(guī)范。

2.安全性

從管理、控制、用戶三個層面及訪問控制、鑒別、抗抵賴、數(shù)據(jù)保密性、通

信流安全、數(shù)據(jù)完整性、可用性、隱私八個方面進行安全考慮。對IPSecVPN安

全接入從設備、管理、流程等方面都做了嚴格的規(guī)定，確保IPSecVPN接入的安

全性。

3、指導性

具備從需求分析、方案設計、部署實施、運維管理直到業(yè)務撤銷的完備實施

流程，具有很強的指導性。

4、實用性

適用于不同行業(yè)的應用場景，對構建基于IPSecVPN技術的安全接入平臺或

4

系統(tǒng)具有實用價值。

六、主要內容

本規(guī)范共包括8章，分別為：范圍、規(guī)范性引用文件、術語和縮略語、安全

接入場景、安全接入基本要求、實施指南，其章節(jié)內容如下：

1.范圍

2.規(guī)范性引用文件

3.術語和定義

4.縮略語

5.安全接入場景

6.安全接入基本要求

7.實施指南

8.附錄

其中：

第5章安全接入場景，描述了IPSecVP安全接入應用的兩種場景。

第6章安全接入基本要求，從IPSecVPN安全接入應用實施的角度，提出

IPSecVPN網(wǎng)關的功能和性能、IPSecVPN客戶端等的技術要求，以及安全管理

要求。

第7章實施指南，主要從需求分析、方案設計、配置實施、測試與備案、

運行管理等5個方面規(guī)范基于IPSecVPN技術的安全接入平臺或系統(tǒng)建設的實施

過程。

七、規(guī)范的驗證情況

本規(guī)范對網(wǎng)關設備及客戶端提出的技術要求，業(yè)內很多IPSECVPN網(wǎng)關產

品的生產廠家已經(jīng)基于滿足。本規(guī)范提出的實施流程已經(jīng)基于國家電子政務外網(wǎng)

安全接入平臺進行驗證，并將根據(jù)國家密碼管理局的要求對規(guī)范進行相應的驗證

5

八、有關問題說明

1.與相關標準的關系與定位：

（1）與GB/T25068-2012系列標準的關系

GB/T25068-2012系列標準是等同采用ISO/IEC18028:2006系列標準，

其中：

---GB/T25068.1定義和描述網(wǎng)絡安全的相關概念，并提供網(wǎng)絡安全管理

指南---包括考慮如何識別和分析與通信相關的因素以確立網(wǎng)絡安全要求，

還介紹可能的控制領域和特定的技術領域；

---GB/T25068.2定義一個標準的安全體系結構，它描述一個支持規(guī)劃、

設計和實施網(wǎng)絡安全的一直框架；

---GB/T25068.3定義使用安全網(wǎng)關保護網(wǎng)絡間信息流安全的技術；

---GB/T25068.4定義保護遠程接入安全的技術；

---GB/T25068.5定義對使用虛擬專用網(wǎng)（VPN）建立的網(wǎng)絡間連接進行

安全保護的技術。

本標準在編制過程中參考了GB/T25068-2012系列標準，并與本系列

標準保持一致。GB/T25068.2-2012中提到的從管理安全面，控制安全面，

終端安全面分別涉及的八個安全維度在本標準中均有對應體現(xiàn)。GB/T

25068.5-2012中提到的VPN體系結構中應考慮的十一個方面，在本標準

中也均有對應體現(xiàn)。

（2）與國家密碼