GB/T 36968—2018 信息安全技術 IPSecVPN 技術規范7.1 產品功能檢測
7.1.1 隨機數功能
按照GB/T 32915的要求提取樣本,并按照該標準的相關要求進行檢測,檢測結果應合格。
7.1.2 密碼算法
測試設備在出廠狀態下,建立一條IPSec配置,查看其密碼套件配置選項,默認使用的算法應當為國密算法。
7.1.3 工作模式
將測試設備與被測設備均設置為隧道模式,應能成功完成密鑰交換,建立IPSec隧道進行通信。
被測設備支持傳輸模式時,將測試設備與被測設備均設置為傳輸模式,應能成功完成密鑰交換,進行通信。
將測試設備與被測設備一方設置為隧道模式,另一方設置為傳輸模式,密鑰交換應失敗,無法建立IPSec隧道進行通信。
7.1.4 密鑰交換
密鑰交換的檢測按7.1.3的方法進行。對密鑰交換過程進行網絡數據截獲,查看其過程應符合5.1的要求,應能正確進行加解密通信。該項測試通過,可以間接證明設備采用的對稱密碼算法、非對稱密碼算法和密碼雜湊算法的實現正確性。
7.1.5 安全報文封裝協議
將測試設備與被測設備的安全報文封裝協議均配置為ESP協議,對通信的報文進行網絡數據截獲,查看其封裝格式應符合5.2的要求,應能正確進行加解密通信。
將測試設備與被測設備的安全報文封裝協議均配置為AH協議嵌套ESP協議,對通信的報文進行網絡數據截獲,查看其封裝格式應符合5.2的要求,應能正確進行加解密通信。
7.1.6 NAT穿越
將待檢測設備放在NAT下,與檢測中心設備進行隧道測試,建立ESP協議的隧道模式的IPSec VPN,測其功能是否完成,該項檢測是必備檢測。
按5.2.3的方法進行密鑰交換。對密鑰交換過程進行網絡數據截獲,查看其過程應符合6.1.4的要求,應能正確進行加解密通信;對加密通信的報文進行網絡數據截獲,查看其封裝格式應符合6.1.5的要求。
7.1.7 鑒別方式
按產品提供的鑒別方式,按6.1.4的方法進行密鑰交換,應能成功完成協商過程,建立IPSec隧道進行通信。產品應支持基于數字證書進行鑒別的方式。
7.1.8 IP協議版本支持
在IPv4或者IPv6的環境下,按6.1.4的方法進行密鑰交換,應能成功完成協商過程,建立IPSec隧道進行通信。
7.1.9 抗重放攻擊
利用測試設備或網絡報文截獲工具重放報文傳輸階段的安全報文,在被測設備的內網口應不能檢測到重放的數據報文。
7.1.10 密鑰更新
在被測設備上分別設定工作密鑰和會話密鑰的更新周期,當滿足更新條件時,使用網絡報文截獲工具應能分別看到相應的第一階段和第二階段的密鑰的協商過程。
如果設備具有根據流量更新密鑰的功能,在被測設備上設定會話密鑰的流量更新條件,當滿足更新條件時,使用網絡報文截獲工具應能看到第二階段的密鑰的協商過程。
推薦文章: