| 国家密码管理局颁布了《IPSec VPN技术规范》《SSL VPN技术规范》,对IPSec VPN和SSL VPN提出了要求,主要内容介绍如下。
|
|
|
|
|
| IPSec VPN使用国家密码管理局批准的非对称密码算法、对称密码算法、密码杂凑算法和随机数生成算法,算法及使用方法如下:
|
|
|
| . 非对称密码算法使用1024比特RSA算法或256比特SM2椭圆曲线密码算法,用于实体验证、数字签名和数字信封等。
|
|
|
| . 对称密码算法使用128比特分组的SM1分组密码算法,用于密钥协商数据的加密保护和报文数据的加密保护。该算法的工作模式为CBC模式。
|
|
|
| . 密码杂凑算法使用SHA-1算法或SM3密码杂凑算法,用于对称密钥生成和完整性校验。其中,SM3算法的输出为256比特。
|
|
|
| . 随机数生成算法生成的随机数应能通过《随机性检测规范》规定的检测。
|
|
|
|
|
| . 非对称密码算法包括256位群阶ECC椭圆曲线密码算法SM2、IBC标识密码算法SM9和1024位以上RSA算法。
|
|
|
| . 分组密码算法为SM1算法,用于密钥协商数据的加密保护和报文数据的加密保护。该算法的工作模式为CBC模式。
|
|
|
| . 密码杂凑算法包括SM3算法和SHA-1算法,用于密钥生成和完整性校验。
|
|
|
|
|
| IPSec VPN的主要功能包括:随机数生成、密钥协商、安全报文封装、NAT穿越、身份鉴别。身份认证数据应支持数字证书或公私密钥对方式,IP协议版本应支持IPv4协议或IPv6协议。
|
|
|
| SSL VPN的主要功能包括:随机数生成、密钥协商、安全报文传输、身份鉴别、访问控制、密钥更新、客户端主机安全检查。
|
|
|
|
|
|
|
|
|
| 加解密吞吐率是指分别在64字节以太帧长和1428字节(IPv6是1408字节)以太帧长时,IPSec VPN产品在丢包率为0的条件下内网口上达到的双向数据最大流量。产品应满足用户网络环境对网络数据加解密吞吐性能的要求。
|
|
|
|
|
| 加解密时延是指分别在64字节以太帧长和1428字节(IPv6是1408字节)以太帧长时,IPSec VPN产品在丢包率为0的条件下,一个明文数据流经加密变为密文,再由密文解密还原为明文所消耗的平均时间。产品应满足用户网络环境对网络数据加解密时延性能的要求。
|
|
|
|
|
| 加解密丢包率是指分别在64字节以太帧长和1428字节(IPv6是1408字节)以太帧长时,在IPSec VPN产品内网口处于线速情况下,单位时间内错误或丢失的数据包占总发数据包数量的百分比。产品应满足用户网络环境对网络数据加解密丢包率性能的要求。
|
|
|
|
|
| 每秒新建连接数是指IPSec VPN产品在一秒钟的时间单位内能够建立隧道数目的最大值。产品应满足用户网络环境对每秒新建连接数性能的要求。
|
|
|
|
|
|
|
| 同时在线用户的最大数目,此指标反映产品能够同时提供服务的最大用户数量。
|
|
|
|
|
| 同时在线SSL连接的最大数目,此指标反映产品能够同时处理的最大SSL连接数量。
|
|
|
|
|
| 每秒钟可以新建的最大SSL连接数目,此指标反映产品每秒能够接入新SSL连接的能力。
|
|
|
|
|
| 在丢包率为0的条件下,服务端产品在内网口上达到的双向数据最大流量。
|
|
|
京公网安备 11010502032051号 | 营业执照