安全认证网关国密标准GMT0026-2014

        安全认证网关是采用数字证书为应用系统提供用户管理、身份鉴别、单点登录、传输加密、访问控制和安全审计服务的产品。安全认证网关（也有称为应用安全认证网关）相关标准包括：

        （1）GM/T 0026-2014 安全认证网关产品规范

        （2）GM/T0028-2014 密码模块安全技术要求（安全1-4级）（密码产品类标准）

        一般安全认证网关基于SSL或IPsec协议，所以相关标准还包括：

        （3）GM/T0022-2014 IPsec V*N技术规范

        （4）GM/T0024-2014 SSL V*N技术规范

        安全认证网关是为应用系统服务的，在部署模式上有物理串联（必备）和物理并联（可选，且必须为应用提供鉴别用户是否经由网关进行访问的技术手段）。目前基于SSL协议的较多，支持终端用户以B/S和C/S方式接入。

        安全认证网关的产品功能包括：

        （1）用户管理-对访问的用户进行管理（用户增删改查、同步证书用户信息、角色分组）。

        （2）身份鉴别-代理模式（IKE或握手阶段最终用户的身份鉴别）、调用模式（被调用时鉴别最终用户的证书及签名）。

        （3）应用管理-对应用信息进行增删改查（三类：网段、TCP/UDP应用、web应用-按照协议域名端口号和路径标识）。

        （4）访问控制-基于用户管理+应用管理，对用户访问的应用的权限进行控制。

        （5）单点登录。

        （6）信息审计，对用户对系统的访问进行详细记录。

        （7）随机数生成。

        （8）工作模式-IPsec工作模式或SSL工作模式。

        （9）密钥交换，同ipsec、ssl协议。

        （10）安全报文的传输，同ipsec、ssl协议。

        （11）密钥更新-同IPsec工作密钥24h、会话密钥1h，同SSL客户端-服务器端模式8h、网关-网关模式1h。

        （12）NAT穿越，同ipsec要求。

        （13）抗重放攻击，在被测设备的内网口应不能检测到重放的数据报文。

        （14）客户端主机安全检查。

        安全性要求包括：分权管理，实现系统管理员、安全管理员和系统审计员分权管理。

        管理方式包括：合规性验证、远程参数配置、远程监控。