本标准规定的协议将由端系统和中间系统使用,以在网络层提供安全服务,而网络层由 GB/T 15126和 GB/T 15274定义。本标准中定义的协议称为网络层安全协议(NLSP)。本标准规定:A)支持GB/T 9387.2中定义的下列安全服务: 1)对等实体鉴别; 2)数据原发鉴别; 3)访问控制; 4)连接保密性; 5)无连接保密性; 6)通信流量保密性; 7)无恢复的连接完整性(包括数据单元完整性,其中连接上的各个SDU具有完整性保护); 8)无连接完整性。B)声称与本标准一致的实现的功能要求。本协议的规程根据下列定义: 1)可用于本协议实例的加密技术的要求; 2)用于通信实例安全联系中携带信息的要求。尽管一些安全机制提供的保护程序取决于一些特定加密技术,而本协议的正确操作并不取决于某种特定的加密或解密算法的选择。这是通信系统的本地事情。此外,特定的安全策略的选择和实现都不在本标准的范围之内。特定的安全策略的选择以及因此将达到的保护程度,留作使用安全通信的单个实例的系统之间的本地事情。本标准不要求涉及同一开发系统的多个安全通信的实例必须采用相同的协议。附录D按照ISO/IEC 9646-2中给出的相关指导为网络层协议提供了PICS形式表。
