VPN的主要安全目标是抵御未授权访问。因而VPN才能用于完成更多的网络安全目标： 防护网络中的以及与网络相连的系统中的信息以及它们所使用的服务； 保护支撑性的网络基础设施； 保护网络管理系统。 为实现上述目标，VPN的实施方式宜确保： 在VPN端点之间传输的数据的机密性； 在VPN端点之间传输的数据的完整性： VPN用户和管理员的真实性； VPN用户和管理员的授权管理； VPN端点和网络基础设施的可用性。 总之，这意味着用于构建VPN的下层隧道宜按照满足安全目标的方式实现。图2中概括了这些 全目标。 实现机密性、完整性和鉴别要求时宜使用基于密码技术的机制，应支持国家密码管理主管部门批准 用的密码算法，使用国家密码管理主管部门认证核准的密码产品，遵循相关密码国家标准和行业

GB/T 25068.5=2021

图2映射到下层隧道的VPN一般安全要求

隧道中传输的数据和代码的机密性不宜受到破坏。使用隧道技术可能意味着传输的数据和代码对 网络中的其它用户是不可见的。然而，这并不意味着这种数据流一直是保密的。特别是隧道中的数据 和代码流不能抵御使用数据分析器或探测器进行的确定性探测。因此保持隧道中传输的数据和代码的 机密性关键依赖于这种探测发生的可能性。总之，这是支撑VPN的下层网络中存在的可信度因素之 肉制品标准，它将依赖于传输网络的所有权而变化。如果传输网络未处于可信域（有关可信域的更多信息见 GB/T25068.1一2021），或者如果认为被传输的数据和代码是敏感的，就可能需要采取附加安全控制措 施来进一步保护机密性。在这些情况下，所采用的隧道机制宜支持加密，或者所发送的数据项在VPN 上传输前宜离线加密。隧道端点的安全也不宜被忽视（见7.7）

隧道中所传输的数据和代码的完整性不宜受到破坏。用于实现VPN隧道的机制宜支持所传输数 据和代码的完整性检查。使用的技术包括消息验证码，消息鉴别码和防止重放的机制等。如果在隧道 实施时无法使用这类保护，或者如果传输的数据和代码特别敏感，则完整性保护控制宜在终端系统中实 现，这样完整性保护将以端到端的方式提供

隧道的建立和操作过程宜 CL（访问控制列表)等技术，从而能保证隧道的每一端都与得到授权的对端（可能是一个远程接人系 充）通信以及所接收的数据和代码来自已授权的源

隧道及VPN的可用性是支撑性网络基础设施和端点系统可用性的一项功能。抵抗针对隧道机

GB/T 25068.52021

的拒绝服务攻击的安全控制设施，宜在任何可能之处被结合使用。 对于特定服务等级的协定，宜检验多种弹性隧道机制进而作为备用

受控的网络数据流。这通常意味着关闭路由以及至少使用包过滤器或防火墙技术。更多细节见9.4.2 （端点安全）和9.4.3（终止点安全）。

重然隧道对于普通的网路用户是德藏的，但并非不可见，因此不是本质上安全的。用于构建隧道的 基本划分过程（划分为虚电路或标签交换通道）或封装过程，在攻击者使用网络分析器或探测器进行确 定性探测时，将不受保护。如果隧道的实现没有使用加密技术，攻击者将能访问其数据流。即使使用了 加密技术，也无法隐藏隧道及其端点。 此外，保护隧道端点免遭未经授权的逻辑或（和）物理访问也可能是不必要的。为实现安全的 VPN，有必要根据组织安全策略和风险承受级别对隧道使用安全控制措施。能否接受这些安全风险取 决于组织的安全策略 如果保护网络通信节点之间的网络接入安全，则需要提供节点之间的网络接入安全和数据传输安 全保护。网络接入安全包括鉴别接入网络节点的身份合法性和鉴别其平台的可信，数据传输安全包括 保障数据在传输过程中的机密性、完整性和抗重放性等。使用现有的IP安全可信技术，可满足以上要 求，如使用附录A中给出的TISec技术。 注：即使数据被加密了，数据流的出现也可能和通信数据一样重要。例如，如果确定了VPN端点，个人用户的位置 也可以确定，这就可能暴露个人隐私，如果是在执法或者军事行动的情况下，就可能泄露他们的任务

用于建立下层安全信道的安全控制可使用常规广域电信设施中的虚电路，例如租用线路，它使用顿 中继或ATM等技术。在这些技术中，对于电信操作人员保持私人用户的租用线路设施与所提供的公 共访问互联网服务之间分离的程度而言，其下层网络也是基本安全的。虚电路中使用的技术使通道内 具有一定程度的机密性，但不具有绝对的安全性。在这种传统虚电路上构建的VPN被认为受到损害 的可能性相对较小，因为违规的安全操作或攻击通常需要来自服务提供商的核心网络内部，

GB/T25068.52021

共互联网就有效地成为下层传输系统。对于VPN的机密性而言，这意味着更高的不确定性。隧道是 联网设备之间的数据通道，是跨越现有的网络基础设施而建立的。它对正常的网络操作是透明的。在 银多现实场景中，其用法相当于正常的网络连接。在必要时，隧道能根据需要很容易地打开或关闭，而 不必对下层的物理网络基础设施做任何更改。因此，用隧道创建的VPN比基于物理连接的网络更加 灵活。 可使用以下技术创建隧道： 一虚电路； 一标签交换； 一协议封装。 创建为虚电路的隧道，通常作为租用线路在常规的广域网设施中使用包交换技术（例如顿中继或 ATM)建立。这些技术能够确保隧道之间的数据流是分离的。 标签交换是创建隧道的另一种方式。流经一个隧道的所有数据包都被分配一个识别标签。这种标 签能确保将每个具有不同标签的包都从在规定的网络穿越路径中排除。 虽然隧道所使用的技术能保证隧道与下层网络之间的数据流适当分离，但不能满足一般的机密性 要求。如果需要保密，就需要使用加密技术来提供所需的安全级别。 VPN隧道能在OSI模型的不同层上创建。虚电路能够在第2层形成隧道。标签技术充许隧道在 第2层或第3层创建。协议封装技术能在除物理层之外的所有层上使用（多数在第3层及以上层实 施）。 隧道也能够使用协议封装技术来创建，即一个协议的数据单元被包装和承载在另一个协议中。例 如，使用TISec技术中TUE协议的隧道模式或IPSecESP协议的隧道模式来封装IP包，并在插人附加 的IP头后在IP网络上传输

9.3VPN 管理方面

在考虑使用VPN时，凡工作职责与VPN相关的人员宜明白业务需求和利益诉求。此外，他们和 所有的VPN使用者还应了解这种连接的安全风险以及相关的控制域。业务需求和利益诉求可能影响 如下过程中的很多决定和行动：考虑VPN连接，识别潜在的控制域，最终的选择、设计、实施和安全控 制的维护。总之，在整个选用VPN的过程中，都需考虑业务需求和利益诉求

在选择VPN时，宜考下列架构方面的因素 端点安全； 终止点安全； 恶意软件防护：

GB/T25068.5—2021 鉴别； 入侵检测与防御系统（IPDS）； 安全网关（包括防火墙）； 网络设计； 其它连接； 分离隧道； 日志审计和网络监控； 技术漏洞的管理； 公共网络路由加密。 上述各因素汇总如下。

GB/T 25068.52021

鉴别； 入侵检测与防御系统（IPDS)； 安全网关（包括防火墙）； 网络设计； 其它连接； 分离隧道； 日志审计和网络监控； 技术漏洞的管理； 公共网络路由加密。 上述各因素汇总如下。

9.4.4恶意软件防护

途径是通过接收者所执行的数据（日 许多程序允许代码（脚本）嵌入在看似不起眼的数据里。VPN端点能够提供良好的控制点来实 意软件的防护，从而来控制此类数据的传输

GB/T 25068.5=2021

更多有关恶意代码（包括病毒、端虫和特落伊木马）防护的信息见GB/T22081 注：为了端点安全，尤其是可能涉及非常敏感的信息时，宜为“威胁代码”制定规则。为了保护遭受威胁的端点用 户，宜允许对威胁代码的访问，这可能会触发额外的日志记录或追踪，并向相关管理层发送提醒，

鉴别是建立VPN时的关键阶段之一。必要时，每个端点都宜对其预期的会话伙伴进行鉴别（换句 说，就是需要双向鉴别），可通过以下2种方法实现： 预共享密钥。此方法可提供更好的便利性，因为一且建立，就无需更多的管理。然而，如果密 钥受到损害，就可能被滥用（例如，中间人攻击）。 证书。这种方法可提供更大的灵活性和可扩展性，尤其是在部署了PKI的情况下，密钥管 理、撤销和重新分发等将被简化。有关鉴别和使用基于密码服务的鉴别的更多信息见 GB/T17901.12020和GB/T22081

9.4.6入侵检测与防御系统

对于人侵检测与防御系统技术的需求宜纳人考虑范围。IPDS可在VPN的两端实现，以检测可 （侵。IPDS警报可由任何适当的机制发出，也可作为审计跟踪的一部分被记录（和管理）。值得注 ，一些个人防火墙也能起到简单的人侵防护系统（IPS)的作用，阻止未授权应用接人网络。 有关IDS的更多信息参见ISO/IEC27039

9.4.10 分离隧道

条件允许时，宜避免使用分离隧道。分离隧道是指单一连接（通常是互联网）同时支持VPN和其 它连接（VPN或其它）的能力。在这种情况下，存在远程网络的安全性受到通过其它隧道的攻击而损害 的风险。这种情形类似于具有双网卡的个人计算机在两个网络之间路由。总之，通过VPN产品“接 管”网络连接能够避免分离隧道

9.4.11日志审计和网络监控

与其它安全技术相同的是，所选择的VPN解决方案宜维护适当的审计日志，用于分析该端点上

GB/T 25068.52021

所有活动。与网络产生的其它审计志一样，宜对它进行分析从而对安全事件进行指示。 宜注意确保审计日志本身受到保护，与评估的风险相称，以防止腐败和滥用。如果审计日志被用于 法律诉讼，其完整性宜不容置疑

9.4.12技术漏洞的管理

与其它复杂系统一样，网络环境也会存在错误。在VPN等网络中，技术漏洞会出现在频繁使用 牛，并会加以发布。这些技术漏洞被利用的话，将严重影响VPN的安全，通常可见于对可用性和 生方面的影响。因此所有的VPN设备宜对技术漏洞加以管理

9.4.13公共网络路由加密

在静态隧道上通过第三方/不受信任的网络进行路由，将使VPN易受网络分析的影响。如8.1提 到的，尽管使用了数据加密，隧道和端点也是无法隐藏的， 在需要对端点进行模糊化处理的VPN架构中，需要通过控制来隐藏VPN用户的源和目的地址 由于VPN运营商无法控制第三方/不受信任的网络，因此实施这些控制本身是具有挑战性的。在第三 方网络中，源和目的IP地址混淆技术是存在的，例如虚拟代理和洋葱路由项目。第三方网络提供商需 讨论运行此类工具的法律影响并批准后，这些工具才能使用

为了安全地实施VPN，需要系统地考虑目标中所确定的因素。宜特别考虑以下4个方面： 承载协议的选择； 硬件与软件； VPN设备管理； VPN安全监控

9.5.2VPN设备管理

宜正确地管理VPN设备。VPN设备管理是与设置和监控VPN设备的过程相关的通用术语。设 置VPN设备包括：将其按照网络配置及端口/应用访问的要求进行配置、安装证书（例如为更高层的 VPN安装)以及同其它任何网络设备一样对VPN设备进行持续的网络监控。宜控制使用光盘、磁盘等 更携式介质进行的VPN部署，例如，通过创建收发日志进行限制以及实施对介质的重复使用的限制 等，具体包括像设定到期日期/时间或 数进行限制等

9.5.3VPN安全监控

如果未对VPN（尤其是当其作为进入公司网络的远程接入信道时)进行细心的管理和控制，会给网 络安全管理带来特殊挑战。宜考虑隧道自身、端点以及流经隧道的数据和代码，以防止变成为攻击者提 供便捷的安全通道。 为使网络安全控制保持有效，对包括VPN在内的安全实施进行系统的网络监控，以及网络管理者 或管理员能够对实际的或怀疑的信息安全事件进行检测和做出反应，这都是至关重要的。 此外，宜采取以下一个或多个措施： 一入侵检测系统； 一安全/事件警告； 安全/审计日志；

GB/T25068.52021

常规检测； 培训用户，使其能够识别和报告信息安全事件。 重要的是，要认识到网络安全是一个动态的概念。因此，安全人员及时了解该领域的最新发展 VPN与其支撑技术.始终使用供应商提供的最新安全补工和修复程序.这些是非常有必要的。

常规检测； 培训用户，使其能够识别和报告信息安全事件。 重要的是，要认识到网络安全是一个动态的概念。因此，安全人员及时了解该领域的最新发， N与其支撑技术，始终使用供应商提供的最新安全补丁和修复程序，这些是非常有必要的。

宜基于以下几个方面来选择合适的安全承载协议： 业务需求； 互操作性（正式的国际标准或专用标准）； 市场认知； 已知的脆弱性； 纯业性

GB/T 25068.52021

A.1TISec技术架构

A. 1.1TISec 概迷

TISec技术的目标是为IP网络端到端的访问和通信提供安全保障，包括保护IP网络通信节点之 可的网络接入安全和数据传输安全。网络接入安全包括鉴别接入网络节点的身份合法性和鉴别其平台 约可信，数据传输安全包括保障数据在传输过程中的机密性、完整性和抗重放性等。 为实现以上目的，TISec技术具有以下4类功能： a）用于实现网络安全接人的能力： 1）网络节点的身份鉴别； 2）网络节点的平台鉴别。 b 用于实现节点之间状态检测与协商的协议： 端点状态检测能力与协商PSD协议。 用于实现IP数据安全传输的服务： 1）数据机密性； 2 数据完整性； 抗重放能力； 访间控制； 5 数据混淆； 数据压缩。 d 用于IP数据转发服务： 数据转发（DR）

A.1.2TISec体系结构

络节点之间协商SAP参数、状态检测和控制服务，TUE基于SAP和安全策略SP两种参数提供TISec 网络节点之间的IP数据安全传输服务，DR技术提供TISec网关和被保护节点之间的数据转发机制。

TAI协议包括鉴别与密钥建立协议和平台鉴别协议两部分，分别提供TISec网络节点之间的身份 鉴别服务和平台鉴别服务。 TAI协议使用鉴别与密钥建立协议完成身份鉴别，并导出用于IP数据传输保护的密钥，同时TA 办议提供密钥更新服务，TAI协议依赖鉴别与密钥建立协议实现密钥导出和密钥更新， TAI协议通过鉴别与密钥建立协议提供数据传输保护服务，两个TISec网络节点间信息交互在此 服务的保护下进行。

PSD协议用于协商建立两个TISec网络节点之间的SAP参数，以及维护和控制TISec网络节点的 12

PSD协议用于协商建立两个TISec网络节点之间的SAP参数，以及维护和控制TISec网络节点

GB/T25068.52021

状态。 鉴别与密钥建立协议输出用于保护PSD数据的密钥套件，PSD消息通过此密钥套件加密后作为鉴 别与密钥建立协议消息的载荷进行发送， TISec网络节点之间需要协商IP数据安全传输所需参数，PSD协议负责完成这个过程，PSD协商 完成之后TISec网络节点分别创建一组SAP，TISec网络节点可以协商多组SAP。SAP标识TISec网 络节点TUE等协议所需的参数，SAP建立完成之后，TISec网络节点通过PSD维护和控制TISec网络 节点的状态。

TUE协议为IP分组提供保护能力，具体提供以下服务： a) 机密性保护； b) 完整性保护； c) 抗重放能力保护； d 访问控制服务； e) 数据混淆服务； f) 数据压缩服务

DR技术定义了TISec网络节点和被保护设备之间的IP分组转发机制，用来解决被保护设备 Sec网络节点通过路由配置机制的缺点

A.2.1TAI协议鉴别架构

TAI协议依赖鉴别与密钥建立协议和平台鉴别协议分别实现两个TISec网络节点之间的身份鉴 可服务和平台鉴别服务，鉴别与密钥建立协议和平台鉴别协议采用三元对等鉴别架构，两个TISec网络 节点在鉴别过程中需要有一方作为AAC的角色向AS和PAS服务器发起鉴别请求，如图A.1

图A.1TAI协议鉴别架构

TAI消息默认使用UDP的4113 UDP的4113端口发送的消息包括鉴别与密 钥建立协议身份鉴别消息、PAI平台鉴别消息和通过鉴别与密钥建立协议封装保护的PSD消息

PSD是一种用于端点状态检测封装协议，利用PSD封装可以完成两个TISec网络节点之间女 卷消息交互：

GB/T 25068.52021

用于TISec节点之间路径NAT设备的探测和协商，

重庆标准规范范本用于TISec节点直接通信参数的协商。两个TISec网络节点之间通过安全关联参数协商过程协商 建立SAP所需的必要信息。通过SAP协商过程可协商如下几类信息： a） 加解密算法套件； b） 压缩算法套件； c TUE封装模式； d) 数据混淆服务参数； e） 安全关联有效性保持参数； f) 虚拟IP地址参数； g） 地址池参数； 数中金数

用于TISec节点直接通信参数的协商。 建立SAP所需的必要信息。通过SAP协商 加解密算法套件； b) 压缩算法套件； c) TUE封装模式； d) 数据混淆服务参数； e) 安全关联有效性保持参数； f) 虚拟IP地址参数； g) 地址池参数； h) 路由参数

TUE协议能够为IP协议分组提供以下保护能力： a) 机密性保护； b) 完整性保护； c) 抗重放能力保护； 访问控制服务； e) 数据混淆服务； 数据压缩服务

在传输模式下，TUE报头插入到IP报头和载荷协议报头之间，对IP分组的载荷协议提供安全 传输模式主要满足端对端网络节点之间IP数据安全性

A.4.4UDP/TCP封装

GB/T25068.52021

DR技术定义了TISec网络节点设备和被保护设备之间的IP分组转发机制，用来解决传统安全 设备和被保护设备通过预先路由配置存在的缺点，同时VPN应用中IP地址更易于实现权限管理

楼梯标准规范范本GB/T25068.52021