《信息安全技术 IPSec VPN安全接入基本要求与实施指南》编制说明

一．任务来源

本任务来自全国信息安全标准化技术委员会，由全国信息安全标准化技术委

员会WG3工作组负责管理。

任务承担单位：国家信息中心。

任务参加单位：华为技术有限公司、中安网脉（北京）技术股份有限公司、

网神信息技术（北京）股份有限公司、北京天融信科技有限公司、迈普通信技术

股份有限公司。

该标准由国家信息中心、华为技术有限公司、中安网脉（北京）技术股份有

限公司、网神信息技术（北京）股份有限公司、北京天融信科技有限公司、迈普

通信技术股份有限公司负责起草。

二．本标准依据的规范性引用文件

本标准主要参考了以下资料：

GB/T1.1-2000标准化工作导则第一部分：标准的结构和编写规则

GB/T25069-2010信息安全技术术语

GM/T0002-2012SM4分组密码算法

GM/T0003-2012SM2椭圆曲线公钥密码算法

GM/T0004-2012SM3密码杂凑算法

GM/T0016-2012智能IC卡及智能密码钥匙密码应用接口规范

GM/T0017-2012智能密码钥匙密码应用接口数据格式规范

GM/Taaaa-20xxIPSecVPN技术规范

GM/Tbbbb-20xxIPSecVPN网关产品规范

三、目的与意义

国家密码管理局发布的《IPSecVPN技术规范》《IPSecVPN网关产品规范》

对IPSecVPN的技术协议、产品的功能、性能和管理以及检测进行了规定，用于

1

指导IPSecVPN产品的研制、检测、使用和管理。

在基于IPSecVPN技术的具体安全接入应用过程缺乏相应的要求和指南，为

了规范IPSecVPN技术应用实施的核心内容和技术管理要点，指导基于IPSec

VPN技术的安全接入平台或系统的规划设计、设备选型、建设实施、运行维护

和管理工作，有必要制定相关标准。

通过技术、管理两方面的基本要求和基于IPSecVPN技术的安全接入平台或

系统建设的实施指南，指导机构建立安全接入平台或系统，为其用户提供通过公

众网络进入到内部网络的安全通道。同时确保在此过程中遵循我国有关法律、法

规和技术规范；合理的部署IPSecVPN设备和相关系统；正确的开展基于IPSec

VPN技术的安全接入平台或系统的规划设计、设备选型、建设实施、运行维护

和管理工作。

四、主要编制过程

1.成立专门标准编制组

2012年12月工信部下达标准编制任务后，国家信息中心筹建标准编制组，

进行了前期研究工作。2013年初，由国家信息中心牵头，行业内重要公司华为

技术有限公司、中安网脉（北京）技术股份有限公司、网神信息技术（北京）股

份有限公司、北京天融信科技有限公司、迈普通信技术股份有限公司等联合组成

编制组，开展标准编写等相关工作。

2.制定工作计划

编制组首先根据“调研和收集资料、完成草稿、征求意见稿、送审稿”的工

作流程制定了相应的工作计划，并确定定期召开编制组例会并组内通报编制情况，

以便及时征求意见和交流情况。

3.确定标准内容

经编制组多次会议讨论之后，完成了《IPSecVPN安全接入基本要求与实施

指南》标准草稿，并多次征求专家意见，不断完善本标准草稿。

4.主要工作过程

1)前期调研

2012年12月-2013年3月，进行标准前期调研，研究相关技术和标准，形

2

成标准编制思路。

2)项目启动

2013年3月，国家信息中心牵头，行业内重要公司华为技术有限公司、中

安网脉（北京）技术股份有限公司、网神信息技术（北京）股份有限公司、北京

天融信科技有限公司、迈普通信技术股份有限公司联合成立标准编制组。并基于

政务外网的IPsecVPN安全接入实施经验，给出了一份标准草案初稿。

2013年3月20日，召开了标准项目启动会议，崔书昆、安晓龙、卿斯汉、

肖京华、罗锋盈、宿忠民、李智虎等专家参加了会议，对标准的草案进行了评审，

给出了评审意见。会后编制组成员天融信、华为、迈普、网神、网脉进行了任务

划分，制定了工作计划并做了具体分工。

3)项目研讨

编制组从标准编制、标准与其它相关标准的关系定位、客户端接口、IPv6

过渡等多个维度进行了深入的研究探讨。

a)2013年7月29日，标准工作组召开了第二次会议。在该次会议上，

对启动会专家意见的修改进行了讨论，探讨了对ISO/IEC18028－1～

5系列标准的分析结果。确立后续技术分析及研讨的主题。

b)2013年8月20日，标准工作组召开了第三次会议。请北大王立福教

授讲授技术标准编制基本思路以及关注的基本问题。

c)2013年8月30日，标准工作组召开了第四次会议。讨论了标准编制

过程中产学研交流的问题，和IPSecVPN客户端接口标准化的问题。

d)2013年9月17日，标准工作组召开了第五次会议。标准编制组与国

密局李智虎、罗鹏进行了交流，讨论了如何遵循将发布新版本的

《IPSecVPN技术规范》的问题。

e)2013年10月11日，标准工作组召开了第六次会议。标准编制组集

体学习解读了最新版本《IPSecVPN技术规范》征求意见稿；并研讨

了IPSec技术在IPV6环境下的过渡技术。

4)标准编制

标准编制组在每次研讨会后，编制组成员都对标准草稿进行了相应的修订，

并于10月底形成了相对完善的一个标准草案版本。

5)征求专家意见

3

a)2013年11月2日，召开了标准评审会议，李智虎、罗鹏、肖京华、

罗锋盈等专家对标准草案进行了评审，提出了修改意见。编制组根据

专家意见进行了修订。

b)2013年11月6日，召开标准评审会，邀请国密局《IPsecVPN技术

规范》编制组组长刘平对标准草案进行了评审，提出修改意见。编制

组根据专家意见进行了修订。

c)2013年11月30日，召开了工作组专家审查会，全国信息安全标准

化技术委员会WG3密码工作组的专家赵丹、安晓龙、谢永泉、袁文

恭、崔书昆、肖京华、秦小龙、李智虎、罗锋盈、许玉娜参加了标准

审查会，对标准文稿进行了审查，并提出修改意见。编制组根据专家

意见对文稿进行了修订。

d)2014年1月17日，信安标委秘书处组织标准评审，信安标委专家冯

惠、秘书处许玉娜对标准的内容、格式和规范性等方面提出进一步修

改意见。编制组根据专家意见进行了修订。

五、编制原则

本规范的编制原则是：

1.符合性

遵循我国有关法律、法规、国家标准和国密局相关的规定和技术规范。

2.安全性

从管理、控制、用户三个层面及访问控制、鉴别、抗抵赖、数据保密性、通

信流安全、数据完整性、可用性、隐私八个方面进行安全考虑。对IPSecVPN安

全接入从设备、管理、流程等方面都做了严格的规定，确保IPSecVPN接入的安

全性。

3、指导性

具备从需求分析、方案设计、部署实施、运维管理直到业务撤销的完备实施

流程，具有很强的指导性。

4、实用性

适用于不同行业的应用场景，对构建基于IPSecVPN技术的安全接入平台或

4

系统具有实用价值。

六、主要内容

本规范共包括8章，分别为：范围、规范性引用文件、术语和缩略语、安全

接入场景、安全接入基本要求、实施指南，其章节内容如下：

1.范围

2.规范性引用文件

3.术语和定义

4.缩略语

5.安全接入场景

6.安全接入基本要求

7.实施指南

8.附录

其中：

第5章安全接入场景，描述了IPSecVP安全接入应用的两种场景。

第6章安全接入基本要求，从IPSecVPN安全接入应用实施的角度，提出

IPSecVPN网关的功能和性能、IPSecVPN客户端等的技术要求，以及安全管理

要求。

第7章实施指南，主要从需求分析、方案设计、配置实施、测试与备案、

运行管理等5个方面规范基于IPSecVPN技术的安全接入平台或系统建设的实施

过程。

七、规范的验证情况

本规范对网关设备及客户端提出的技术要求，业内很多IPSECVPN网关产

品的生产厂家已经基于满足。本规范提出的实施流程已经基于国家电子政务外网

安全接入平台进行验证，并将根据国家密码管理局的要求对规范进行相应的验证

5

八、有关问题说明

1.与相关标准的关系与定位：

（1）与GB/T25068-2012系列标准的关系

GB/T25068-2012系列标准是等同采用ISO/IEC18028:2006系列标准，

其中：

---GB/T25068.1定义和描述网络安全的相关概念，并提供网络安全管理

指南---包括考虑如何识别和分析与通信相关的因素以确立网络安全要求，

还介绍可能的控制领域和特定的技术领域；

---GB/T25068.2定义一个标准的安全体系结构，它描述一个支持规划、

设计和实施网络安全的一直框架；

---GB/T25068.3定义使用安全网关保护网络间信息流安全的技术；

---GB/T25068.4定义保护远程接入安全的技术；

---GB/T25068.5定义对使用虚拟专用网（VPN）建立的网络间连接进行

安全保护的技术。

本标准在编制过程中参考了GB/T25068-2012系列标准，并与本系列

标准保持一致。GB/T25068.2-2012中提到的从管理安全面，控制安全面，

终端安全面分别涉及的八个安全维度在本标准中均有对应体现。GB/T

25068.5-2012中提到的VPN体系结构中应考虑的十一个方面，在本标准

中也均有对应体现。

（2）与国家密码