標準解讀

《GM/T 0024-2023 SSL VPN 技術(shù)規(guī)范》與《GM/T 0024-2014 SSL VPN技術(shù)規(guī)范》相比,在多個方面進行了更新和改進,以適應(yīng)當前網(wǎng)絡(luò)安全環(huán)境和技術(shù)發(fā)展的需求。具體變更包括但不限于以下幾點:

  1. 安全算法的更新:新版標準中增加了對更多國產(chǎn)密碼算法的支持,比如SM2、SM3、SM4等,并對原有支持的加密套件進行了調(diào)整,去除了部分被認為不再安全或性能不佳的算法選項。

  2. 身份認證機制的增強:在用戶身份驗證方面提出了更高的要求,不僅限于傳統(tǒng)的用戶名/密碼方式,還鼓勵采用多因素認證(MFA)方法來提高系統(tǒng)的安全性,如結(jié)合使用數(shù)字證書、硬件令牌等手段。

  3. 訪問控制策略細化:對于如何實施細粒度的資源訪問控制給出了更詳細的指導(dǎo)原則,強調(diào)了基于角色的訪問控制(RBAC)模型的重要性,并建議企業(yè)根據(jù)實際業(yè)務(wù)需要靈活配置相應(yīng)的權(quán)限管理規(guī)則。

  4. 日志記錄與審計功能加強:明確規(guī)定了SSL VPN系統(tǒng)必須具備完善的日志記錄能力,能夠詳細記錄用戶的登錄信息、操作行為等關(guān)鍵數(shù)據(jù);同時,也對日志存儲的安全性提出了更高要求,確保這些敏感信息不會被非法獲取或篡改。

  5. 兼容性和互操作性考慮:針對不同廠商之間產(chǎn)品之間的互聯(lián)互通問題做了進一步規(guī)范,旨在促進市場上各類SSL VPN解決方案之間的良好協(xié)作,減少因標準不統(tǒng)一而導(dǎo)致的技術(shù)壁壘。

  6. 安全配置指南:新增了關(guān)于如何正確配置SSL VPN服務(wù)器以達到最佳安全狀態(tài)的具體建議,涵蓋從網(wǎng)絡(luò)架構(gòu)設(shè)計到具體參數(shù)設(shè)置等多個層面的內(nèi)容。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2023-12-04 頒布
  • 2024-06-01 實施
?正版授權(quán)
GM/T 0024-2023SSL VPN 技術(shù)規(guī)范_第1頁
GM/T 0024-2023SSL VPN 技術(shù)規(guī)范_第2頁
GM/T 0024-2023SSL VPN 技術(shù)規(guī)范_第3頁
GM/T 0024-2023SSL VPN 技術(shù)規(guī)范_第4頁
GM/T 0024-2023SSL VPN 技術(shù)規(guī)范_第5頁
免費預(yù)覽已結(jié)束,剩余39頁可下載查看

下載本文檔

GM/T 0024-2023SSL VPN 技術(shù)規(guī)范-免費下載試讀頁

文檔簡介

ICS35030

CCSL.80

中華人民共和國密碼行業(yè)標準

GM/T0024—2023

代替GM/T0024—2014

SSLVPN技術(shù)規(guī)范

SSLVPNspecification

2023-12-04發(fā)布2024-06-01實施

國家密碼管理局發(fā)布

GM/T0024—2023

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

符號和縮略語

4……………1

符號

4.1…………………1

縮略語

4.2………………2

密碼算法和密鑰種類

5……………………2

密碼算法

5.1……………2

密鑰種類

5.2……………3

協(xié)議

6………………………3

概述

6.1…………………3

數(shù)據(jù)類型定義

6.2………………………4

記錄層協(xié)議

6.3…………………………4

握手協(xié)議族

6.4…………………………9

密鑰計算

6.5……………24

網(wǎng)關(guān)到網(wǎng)關(guān)協(xié)議

6.6……………………24

產(chǎn)品要求

7…………………26

產(chǎn)品功能要求

7.1………………………26

產(chǎn)品性能參數(shù)

7.2………………………27

安全管理要求

7.3………………………27

產(chǎn)品檢測

8…………………29

產(chǎn)品功能檢測

8.1………………………29

產(chǎn)品性能檢測

8.2………………………29

安全管理檢測

8.3………………………30

判定規(guī)則

9…………………31

附錄資料性擴展字段說明

A()…………32

參考文獻

……………………35

GM/T0024—2023

前言

本文件按照標準化工作導(dǎo)則第部分標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

本文件代替技術(shù)規(guī)范與相比除結(jié)構(gòu)調(diào)整和

GM/T0024—2014《SSLVPN》,GM/T0024—2014,

編輯性改動外主要技術(shù)變化如下

,:

增加了見見第章見

a)GB/T36624—2018(5.1.2)、GB/T25069(2)、GM/T0081—2020(6.4.5.3

和見和見第章

6.4.5.4)、GM/T0090—2020(6.4.5.3)GM/Z4001(2);

刪除了術(shù)語數(shù)字證書見年版的初始化向量值見年版的協(xié)

b)“”(20143.1)、“/”(20143.5)、“SSL

議見年版的載荷見年版的會話見年版的算

”(20143.6)、“”(20143.7)、“”(20143.8)、“SM1

法見年版的算法見年版的算法見年版的

”(20143.9)、“SM2”(20143.10)、“SM3”(2014

算法見年版的算法見年版的橢圓曲線密碼

3.11)、“SM4”(20143.12)、“SM9”(20143.13)、“

算法見年版的算法見年版的證書認證機構(gòu)見年

”(20143.14)、“RSA”(20143.15)、“”(2014

版的和密鑰管理中心見年版的

3.16)“”(20143.17);

增加了縮略語和見

c)“AEAD”“ADD”“GCM”“HMAC”“IV”“TLCP”(4.2);

刪除了算法及算法的介紹見年版的和增加了加密模

d)SHA-1SM1(20145.1.25.1.3),GCM

式見

(5.1.2);

更改了客戶端密鑰中的簽名密鑰由對應(yīng)的客戶端密碼模塊產(chǎn)生例如智能密碼鑰匙見

e)()(

年版的

5.2.6,20145.2.3);

增加了密碼雜湊算法的描述見

f)(5.1.3);

增加了對版本號值的定義見

g)[6.3.3.2b)];

增加了固定的初始向量長度見

h)fixed_iv_length(6.3.2);

增加了客戶端寫初始向量和服務(wù)端寫初始向量見

i)clientwriteivserverwriteiv(6.3.2);

增加了帶關(guān)聯(lián)數(shù)據(jù)的可鑒別的加密的數(shù)據(jù)處理見

j)“(AEAD)”(6.3.3.4.4)

更改了表密碼套件列表見表年版的表

k)2“”(2,20142);

增加了是否需要擴展的選擇和的描述見和

l)extensions(6.4.5.2.16.4.5.2.2);

增加了消息擴展字段見

m)“Hello”(6.4.5.2.3);

更改了中的一個枚舉類型見年版的

n)certificate_types[6.4.5.5a),20146.4.4.4a)]

增加了和

o)client_write_IV[SecurityParameters.fixed_iv_length]server_write_IV[SecurityPa-

rameters.fixed_iv_length](6.5.2);

更改了消息中的版本為見年版的

p)ClientKeyExchangePKCS#12.1(6.4.5.8,20146.4.4.7);

更改了消息中的見年版的

q)CertificateVerifyopaquesha1_hash[20](6.4.5.9,20146.4.4.8);

增加了消息的擴展字段見

r)ClientHelloclient_id(6.4.5.2.3);

增加了消息中字段的內(nèi)容定義見

s)ServerCertificateibc_parameter(6.4.5.3);

更改了消息中當密鑰交換算法為時的內(nèi)容定義

t)ServerKeyExchangesigned_params,IBC

見年版的

(6.4.5.4,20146.4.4.3);

刪除了身份鑒別見年版的

u)“”(20147.1.5);

更改了報文流量為必備功能見年版的

v)“”(7.1.6,20147.1.7);

刪除了客戶端主機安全檢查見年版的

w)“”(20147.1.8);

更改了服務(wù)端密鑰的描述見年版的

x)“”(7.3.1.1,20147.3.1.1.1);

GM/T0024—2023

更改了名稱為見和年版的和

y)“SSL”“TLCP”(7.2.17.2.2,20147.2.27.2.3);

增加了實例釋放時應(yīng)銷毀見

z)“”(7.3.1.1);

更改了硬件安全的標題和內(nèi)容見年版的

aa)“”(7.3.1.3,20147.3.1.2.1);

增加了擴展字段說明見附錄

bb)“”(A)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別專利的責任

。。

本文件由密碼行業(yè)標準化技術(shù)委員會提出并歸口

本文件起草單位格爾軟件股份有限公司北京信安世紀科技股份有限公司螞蟻科技集團股份有

:,、

限公司飛天誠信股份有限公司山東漁翁信息技術(shù)股份有限公司山東得安信息技術(shù)有限公司北京天

、、、、

威誠信電子商務(wù)服務(wù)有限公司廣東省電子商務(wù)認證有限公司北京國脈信安科技有限公司智巡密碼

、、、

上海檢測技術(shù)有限公司天融信科技股份有限公司山東大學華為技術(shù)有限公司阿里云計算有限公

()、、、、

司深圳市深信服電子科技有限公司深圳市奧聯(lián)科技有限公司網(wǎng)御神州科技北京有限公司中電科

、、、()、

網(wǎng)絡(luò)安全科技股份有限公司無錫江南信息安全工程技術(shù)中心長春吉大正元信息技術(shù)股份有限公司

、、、

北京東方華盾信息技術(shù)有限公司中國國際電子商務(wù)有限公司聯(lián)想網(wǎng)御科技北京有限公司上海安

、、()、

達通信息安全有限公司

。

本文件主要起草人劉平鄭強汪宗斌楊洋李延昭譚武征黃敏朱鵬飛羅俊王鵬胡金山

:、、、、、、、、、、、

趙敏梁寧寧藥樂韓瑋安高峰孔凡玉曾建發(fā)但波韓琳

、、、、、、、、。

本文件所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2014GM/T0024—2014;

本次為第一次修訂

———。

GM/T0024—2023

SSLVPN技術(shù)規(guī)范

1范圍

本文件規(guī)定了的技術(shù)協(xié)議產(chǎn)品功能要求產(chǎn)品性能參數(shù)和安全管理要求

SSLVPN、、。

本文件適用于產(chǎn)品的研制也適用于指導(dǎo)產(chǎn)品的檢測管理和使用

SSLVPN,SSLVPN、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語

GB/T25069

信息技術(shù)安全技術(shù)可鑒別的加密機制

GB/T36624—2018

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權(quán),嚴禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論