国家密码管理局于2023年12月公布了25项密码行业新标准，并于2024年6月1日起开始实施。其中，安证合规集团旗下核心子公司深圳市网安计算机安全检测技术有限公司（以下简称“网安检测公司”）参与《GM/T 0022-2023  IPSec VPN技术规范》该项标准的起草编制。

参编专家介绍

龙军

深圳网安检测公司 副总工程师

CISP、CISAW、CIIPT-T、CCRC-PIP， EXIN 认 证DPO，网络空间安全系统测评高级工程师，知识产权司法鉴定人，中国科技法学会大数据治理专业委员会顾问，广东省网络安全等级保护专家库成员，广东数据资产登记合规委员会专家，等级保护高级测评师。

标准解读

01 标准概述

GM/T 0022-2023标准于2023年12月4日发布，该标准取代了2014年版的GM/T 0022，并在结构调整和编辑性改动的基础上，对主要技术内容进行了更新和修订。标准涵盖了IPSec VPN的密码算法、密钥类别、协议要求、产品功能、性能参数、安全管理以及产品检测等方面。

02 密码算法和密钥类别

IPSec VPN使用多种密码算法来确保数据安全，包括非对称密码算法（如SM2椭圆曲线密码算法）、对称密码算法（如SM4分组密码算法）、密码杂凑算法（如SM3密码杂凑算法）以及随机数生成算法。这些算法需遵循相应的国家标准和行业标准。

密钥类别包括设备密钥、工作密钥和会话密钥。设备密钥用于实体验证和数字签名；工作密钥用于保护会话密钥交换过程；会话密钥用于数据报文的加密和完整性校验。

03 协议要求

IPSec协议包括密钥交换协议和安全报文协议。密钥交换协议定义了协商、建立、修改、删除安全联盟的过程。安全报文协议则包括鉴别头（AH）和封装安全载荷（ESP），提供数据的完整性、数据源鉴别、抗重放攻击以及机密性保护。

04 产品功能与性能参数

IPSec VPN产品应具备以下功能要求：

支持随机数的安全生成。

支持SM2、SM3、SM4等密码算法。

支持隧道模式和传输模式。

实现密钥交换功能，产生工作密钥和会话密钥。

支持AH和ESP协议，以及NAT穿越。

鉴别功能，支持数字证书方式。

支持IPv4或IPv6协议。

具备抗重放攻击能力。

支持密钥更新功能。

性能参数包括加解密吞吐率、加解密时延和加解密丢包率等，以确保产品满足不同网络环境下的性能要求。

05 安全管理

安全管理要求包括密钥管理、数据管理、人员管理和产品管理。其中，密钥管理要求设备密钥、工作密钥和会话密钥的生成、更新、备份和恢复过程符合安全策略。数据管理要求配置数据和日志的完整性和可靠性。人员管理要求管理员通过身份鉴别进行管理操作。产品管理则关注硬件和软件的安全，设备初始化、注册监控、自检和物理安全防护。

06 产品检测

产品检测部分详细规定了功能检测和性能检测的方法和要求，确保IPSec VPN产品在实际应用中能够达到标准规定的安全和性能指标。

07 结论

GM/T 0022-2023标准的发布为IPSec VPN技术在中国的应用和发展提供了规范性指导。它不仅确保了数据传输的安全性，也为相关产品的研制和检测提供了统一的技术要求，有助于推动密码行业技术的进步和产业的健康发展。随着该标准的实施，预计将进一步提升国内IPSec VPN产品的整体安全性能，为用户带来更加安全可靠的网络通信服务。