编号:MSCTC-GFJ-03 信息技术V PN 产 品 安 全 检 验 规 范 公安部计算机信息系统安全产品质量监督检验中心 第一版 第 0 次修订 2003 年 11 月 01 日颁布 2003 年 12 月 01 日实施 GAXXX--2003 i 前 言 为了规范全国VPN 产品的开发与应用,保障公共信息网络安全,根据公安部公共信息网络安全监察局的要求,本规范对VPN 产品提出了安全功能要求和保证要求,作为对其进行检测的依据。 本规范由中华人民共和国公安部公共信息网络安全监察局提出。 本规范起草单位:公安部计算机信息系统安全产品质量监督检验中心。 公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。 GAXXX--2002 1信息技术VPN 产品安全检验规范 1 范围 本规范规定了信息技术VPN 产品的安全功能要求和保证要求。 本规范适用于信息技术VPN 产品的生产及检测。 2 术语和定义 2.1 虚拟专用网VPN(Virtual Private Netw ork) VPN是一种虚拟的专用网络,它采用隧道技术,将专用网络中的数据封装在隧道中,通过公用网络进行传输。 2.2 隧道(Tunnel) 在隧道的起点将待传输的原始信息经过封装处理后嵌入另一种协议的数据包内,像普通数据包一样在网络中进行传输。在隧道的终点,从封装的数据包中提取出原始信息。 能够实现隧道技术的协议主要有L2TP、GRE、IPSec 和MPLS协议。 2.3 IPSec IPSec是由IETF的IPSec 工作组提出的将安全机制引入TCP/IP网络的一系列标准,是一组开放的网络安全协议的总称。 主要有认 证头 协议(Authentication Header ,简 称 AH )、 封装安全载 荷 协议(Encapsulating Security Payload,简称ESP)和Internet密钥交换协议(Internet Key Exchange,简称IKE)。还有两个重要的策略数据结构:安全关联数据库(Security Association ,简称SAD)和安全策略数据库(Security Policy , 简称SPD)。 IPSec提供了完整性、认证和加密等安全功能。主要有两种工作方式:隧道模式和传输模式。 3 信息技术VPN 产品的安全功能 3.1 标识 要求在用户对VPN资源访问之前,VPN安全功能应对用户进行标识。在远程访问VPN中,应先对远程用户进行标识。 3.2 鉴别 在远程访问VPN中,在VPN隧道建立前VPN安全功能应对远程用户进行鉴别。当用户对VPN资源访问之前,VPN安全功能也应先对提出该动作要求的用户身份进行身份鉴别。同时虚拟专用网设备应对用户进行设备...
