6.1 產品功能要求

6.1.1 隨機數生成

IPSec VPN產品應具有隨機數生成功能，在使用隨機數前能對生成的隨機數進行偏“0”、偏“1”、“0、1”平衡等常規檢測，并提供檢測接口，能通過檢測接口對IPSec VPN產品所生成的隨機數進行樣本采集，隨機數檢驗應符合GB/T 32915的要求。

6.1.2 密碼算法

IPSec VPN產品應支持國密SM2、SM3、SM4算法，并將國密算法作為默認密碼套使用。

6.1.3 工作模式

IPSec VPN產品工作模式應支持隧道模式和傳輸模式，其中隧道模式是必備功能，用于主機和網關實現，傳輸模式是可選功能，僅用于主機實現。

6.1.4 密鑰交換

IPSec VPN產品應具有密鑰交換功能，通過協商產生工作密鑰和會話密鑰。

密鑰交換協議應按照5.1的要求進行。

6.1.5 安全報文封裝

安全報文封裝協議分為AH協議和ESP協議。

AH協議應與ESP協議嵌套使用，這種情況下不啟用ESP協議中的驗證操作。

ESP協議可單獨使用，這種情況下應啟用ESP協議中的驗證操作。

安全報文封裝協議應按照5.2的要求進行。

6.1.6 NAT穿越

IPSec VPN產品應支持ESP單獨使用時NAT穿越。

NAT穿越協議應按照5.2.3的要求進行。

6.1.7 鑒別方式

IPSec VPN產品應具有實體鑒別的功能，身份鑒別數據應支持數字證書方式。

6.1.8 IP協議版本支持

IPSec VPN產品應支持IPv4協議或IPv6協議。

6.1.9 抗重放攻擊

IPSec VPN產品在安全報文傳輸階段應具有對抗重放攻擊的功能。

6.1.10 密鑰更新

IPSec VPN產品應具有根據時間周期和報文流量兩種條件進行工作密鑰和會話密鑰的更新功能，其中根據時間周期條件進行密鑰更新為必備功能，根據報文流量條件進行密鑰更新為可選功能。

工作密鑰的最大更新周期不大于24小時。

會話密鑰的最大更新周期不大于1小時。