1、中华人民共和国国家标准信息处理数据加密物理层互操作性要求发布实施国家技术监督局发布中华人民共和国国家标准信息处理数据加密物理层互操作性要求国家技术监督局批准实施本标准等效采用国际标准信息处理数据加密物理层互操作性要求本标准规定了在传送自动数据处理信息的远程通信系统中开放系统互连参考模型的物理层采用加密的互操作性和安全性的有关要求本标准便于要求密码保护的数据通信设备和系统中使用的数据加密设备互操作的实现物理层加密的目的是对抗包括业务分析在内的所有形式的被动攻击只有在同步操作中才能提供彻底对抗业务分析的保护这是因为在同步操作中所有比特均可加密而在异步操作中起始和停止比特不可加密本标准不提供对物理连
2、接建立的保护主题内容与适用范围本标准适用于在数据通信物理层中加密信息的系统无论数据加密设备是作为物理上独立的设备实现还是作为数据终端设备或作为数据电路终接设备的一部分实现本标准均可同等适用当加密部分集成到或中时本标准适用于或设计中实现本标准要求的那些部分本标准的互操作性要求是为下述物理接口定义规定的和中描述了物理层在物理层加密中所有的服务数据单元通常都被加密本标准所描述的互操作性要求对全双工方式和半双工方式中的同步操作和异步操作均适用本标准的正文规定了适用于使用各种加密算法的要求附录参考件举例说明使用一个分组密码算法的附加要求本标准规定了同步操作的两种可选方式延迟选项和立即选项这两种方式互不兼
3、容本标准还规定了对异步操作中断的两种可选动作类和类这两种动作互不兼容引用标准数据处理词汇部分数据通信信息处理系统开放系统互连基本参考模型信息处理分组密码算法的工作方式建议数据终端设备和数据电路终接设备之间的接口电路定义表建议公用数据网上起止传输业务使用的数据终端设备和数据电路终接设备间的接口建议公用数据网上同步工作的数据终端设备和数据电路终接设备间的接口建议与同步系列调制解调器接口的数据终端设备在公用数据网上的用法建议与同步双工系列调制解调器接口的数据终端设备在公用数据网上的用法建议在电话网上进行数据通信的调制解调器的维护和测试调制解调器用的环路测试设备信息处理系统开放系统互连基本参考模型第部
4、分安全体系结构术语本标准使用中定义的下列数据通信术语物理层数据通信数据终端设备数据电路终接设备数据电路终接设备数据终端设备接口呼叫建立数据传送测试环路串行传输异步传输起止式传输起始信号停止信号同步传输双工传输半双工传输本标准使用有关标准中定义的下列术语服务数据单元物理连接密文明文初始化值启动变量适用的接口在与之间与之间或与和之间如果有接口该接口可以是和中的一种本标准涉及通过这些不同的接口以不同方式传送而实现的物理层连接的呼叫建立既不影响操作也不受操作影响的控制信号应直接通过或在处重新驱动提供标准接口的当它向转发如发送准备好数据设备准备好或数据准备好等信号时因要求完成其自身的操作需要延迟这些控制
5、信号由引起的延迟加上由引起的延迟应符合所确定的超时要求在收到上述相应的控制信号之前不应开始数据传输的接口对于的互换电路使用时的从到的电路数据终端准备好把数据设备接至线路从至的电路数据设备准备好和从到的电路数据信道接收线路信号检测器都直接通过或由以最小延迟重新驱动建议将电路上的接通状态延迟传送给直到能在电路接收数据上将数据传送给时为止在电路上的接通状态传送到之前不应将电路上的接通状态传送给将插入接口就在控制信号中引进了固有的延迟应当考虑现有设备的超时规定超时规定主要取决于双工传输和半双工传输具体须查询合适的调制解调器标准双工传输物理连接的呼叫建立是由接收到来自的电路上的接通状态来指示的在租用线路
6、的操作中电路永远处于接通当电路和电路处于接通时发送和接收数据信道均是激活的当下列条件全部满足时才将电路上的接通状态传送给从到的电路被接通并经通到如果要求的话接通来自的电路并通到来自的电路是接通的并且的初始化操作已完成物理连接能由下列设备清除这种清除由电路跃变成断开状态来指示它可作为一个任选项或它由电路跃变成断开状态来指示或它由至的电路和至的电路跃变成断开状态来指示当发生这种情况时它指示出现故障半双工传输物理连接的呼叫建立是通过接收到来自的电路上的接通状态来指示的在租用线路操作中电路永远处于接通根据请求发送电路的状态在一个时刻或者是发送数据信道激活或者是接收数据信道激活发送状态准备好电路接通是在
7、和将电路接通后由指示的接收状态准备好是由来自的电路接通来指示的电路应这样使用它用来使得接通状态跃变总是直接通过或者由以最小延迟重新驱动至的电路跃变成断开状态由加以延迟直到最后一个数据比特在发送数据电路上被发送为止在初始化操作完成之后才指示到的电路接通状态物理连接能由下列设备清除这种清除由电路跃变成断开状态来指示它可作为一个任选项或它由电路跃变成断开状态来指示或它由至的电路和至的电路跃变成断开状态来指示当发生这种情况时它指示出现故障注在电路上由接通到断开的跃变及随后的电路上由断开到接通的跃变之后不久电路上可能出现伪信号为了避免伪信号引起伪解密启动应与下述一起使用该使用第条箝位任选项同时其电路由断
8、开到接通的较长响应时间应由有关标准规定或的接口对于和的互换电路查询上面所述适用的双工传输操作的接口对于的互换电路物理连接的呼叫建立提供了起止式传输和双工传输它是在接收互换电路上接收到呼叫控制字符来指示的在租用电路业务中可以在任何时候发送和接收数据在电路交换业务中接收数据接收状态准备好可以在收到之后立即进行此状态称作连接的发送数据发送状态准备好在出现以后发生它称作数据准备好从到连接的状态是在初始化操作完成之后由来指示的清除物理连接在进行清除的处由清除证实指示或在被清除的处由清除证实来指示两者都是由在电路上传输连续的二进制即来指示的它至少持续清除既可以由来自的清除请求来自的清除指示来启动也可以由对
9、指示清除请求和对指示清除指示来启动启动的清除表明出现故障的接口对于的互换电路物理连接的呼叫建立提供同步和双工传输它要求从到的发送互换电路处于接通状态呼叫建立是由数据准备好状态指示的该状态由来自的指示互换电路跃变为接通指示在租用电路业务中电路接通以作为对电路被接通的响应从到的电路总是直接通过或由以最小延迟重新驱动发送和接收数据发送状态准备好和接收状态准备好要在电路接通时间之后发生从到的数据准备好状态即电路接通是在初始化操作完成之后指示的清除物理连接在进行清除的处由清除证实指示或在被清除的处由清除证实来指示两者都由来自的电路跃变为断开连同电路上一串二进制即电路断开指示清除既可以通过来自的清除请求来
10、自的清除指示来启动也可以通过由对指示清除指示和对指示清除指示来启动启动的清除表明出现故障发送和接收数据的互换电路本标准中的发送数据的互换电路在或接口情况下指电路而在或的接口情况下指电路本标准中的接收数据的互换电路在或接口情况下指电路而在或的接口情况下指电路一般要求当使用本标准使各之间配合工作时要求配合工作的组中的全部满足下列条件相同的密码算法相同的密钥值相同的长度结构和比特传输顺序本标准没有规定特定的密码算法但要求所使用的任何算法每次以单个比特或单个字符为处理单元适应于所提供的物理层服务注使用所规定的密文反馈工作方式下的分组密码算法满足本标准的要求附录举例说明使用一个分组密码算法进行加密时的要
11、求如果之间的同步丢失并且该状态被检测出来那么可以先清除物理连接然后采用适合于第章中所规定接口类型的步骤重新建立物理连接由或强行再同步该不应启动连接重新建立同步加密操作的长度和结构可以按照应用来选择对于配合工作的组全部的长度和结构应预先商定发送一旦呼叫建立物理连接并指示发送状态准备好发送数据的互换电路就处于传号状态在此刻发送值并且在的前面用单个二进制为其定界加密一直持续到物理连接清除或半双工传输中数据信道转换为止传输的第一个已加密数据比特应按下列选择方式中的一种紧跟在传输之后进行选择方式立即第一个已加密的比特紧跟在传输之后选择方式延迟紧跟在之后可以发送数目不定的二进制比特传号状态但如果选用此方式
12、则该延迟状态至少应维持最长不超过在这些二进制比特后紧跟单个二进制比特来为数据定界之后接第一个已加密的数据比特接收一旦呼叫建立物理连接并指示接收状态准备好接收数据的互换电路就处于传号状态紧跟在第一个二进制比特后面的被立即接收在选择方式中所有随后接收的比特都被解密在选择方式中接收在内应具有识别定界的二进制比特的能力并解密以后进来的数据在选择方式和选择方式中解密都持续到清除物理连接或半双工传输中数据信道转换为止图表示双工传输互换电路的操作图和图分别说明同步加密选择方式和选择方式的半双工传输的信号顺序注如果要求图表示一个方向上数据加密的互换电路的操作图同步加密的半双工传输信号顺序选择方式图同步加密的半
13、双工传输信号顺序选择方式异步加密操作注为了提高操作的效率建议使用能进行双工传输的物理连接发送一旦建立物理层连接并指示发送状态准备好发送数据互换电路就处于传号状态应将分解成与待加密和待传送的字符长度相等的单元来发送该的长度和结构可根据应用来选择在发送和接收之间应预先商定长度结构以及按发送字符的编帧启动加密在起始信号和停止信号之间已编帧的字符对应于发送数据互换电路上的诸字符紧跟在最后一个字符后面被加密发送对起始和停止编帧信号不进行加密除下面描述的中断以外加密一直到要持续到清除物理连接或半双工传输中数据信道转换为止图说明了异步加密的启动及下面描述的类中断操作图异步加密的启动和类中断操作中断中断是用一
14、个字符时间或更长的空号状态来表示的对中断的动作选择下面两种动作中的一种类将中断的第一个二进制比特当作起始信号对以后的个二进制比特进行加密其中是不包含起始信号和停止信号的以比特数度量的通常字符长度不输出停止信号传号状态对中断内的后续二进制比特不进行加密且继续输出二进制状态图的右侧描述了这一动作输入跃变为传号状态将引起输出产生对应的跃变随后恢复正常的操作类在收到停止信号之前通常不输出任何字符中断是由于未出现期望的停止信号而被检测出的一旦检测出中断就输出一个等同的中断并同时停止加密在适当延迟之后中断终止紧接着就恢复正常的操作图说明了类中断操作图类中断操作期望的停止信号接收启动解密一旦呼叫建立物理连接
15、并指示接收状态准备好接收数据的互换电路就处于传号状态按照在发送和接收之间关于长度结构及其按字符编帧的约定除起始信号和停止信号外首先接收的几个字符即为所有随后的字符除起始信号和停止信号外均被解密除中断期间外解密一直持续到清除物理连接或半双工传输数据信道转换为止中断的接收下面描述接收加密形式的中断的动作它依赖于发送的操作类型类将由已加密的二进制比特组成的字符解密若无停止信号表示中断操作已经开始直到在输入端中断终止之前该接收的输出一直保持空号状态此后输出至传号状态的跃变并且恢复正常操作图的右侧描述了这种操作类中断是由未出现停止信号而被检测出来的在接收到停止信号之前不输出任何字符一旦检测到中断就输出一
16、个相同的中断并暂停解密在适当延迟之后中断终止随后就恢复正常操作图说明了这种操作旁路控制设施任选作为一个附加的功能物理层加密可以任选地提供加密过程旁路以便在中描述的互换电路控制下进行测试环路操作尽管测试环路被定义为接口的用户设施但在本标准中对和的接口未规定旁路控制设施在使用此任选项时只要来自的电路测试指示器处于接通且来自的电路本地环回或电路环回维护测试之一处于接通就出现旁路电路和电路同时处于接通被看作是一种差错状态此时不能进入旁路方式在接口上重新将任一个环回信号发送给并重新将测试方式发送给图说明了这些带有本地或远程数据环回的电路的操作图测试环路操作的加密旁路电路环回维护测试电路本地环回电路测试指
17、示器加密功能解密功能附录物理层加密的背景信息参考件物理层加密的特性物理层加密可简化的设计它通常不要求改变链路层或较高层的规程或协议假如实现加密操作是限制因素使用密文反馈方式的分组加密可能会限制数据速率然而物理层加密常常在相对较低的数据速率下使用对于较高层能察觉的链路性能变化是延迟及业务量开销它是在呼叫建立物理连接和指示发送及接收状态准备好后数据传送之前由发送而引起的只有在具有短电文的半双工传输中数据信道快速转换的情况下它才是重要的在双工操作的情况下它并不重要传输差错扩展密文中单个比特的差错通常会扩展到被接收明文的多个比特上差错控制规程必须能够处理这种突发差错或需加以变更以适应这一差错特性物理层
18、加密隐藏了线路上所有信息的内容包括较高层的所有标题和地址这种业务信息的隐藏是十分有用的物理层加密对数据的插入删除更改或重用没有提供检测的规程只能在较高层防止这种主动攻击的威胁本标准中提供的选择方式在异步操作中对中断的动作提供了类和类选择方式类中断操作是以逐比特为基础进行的它仅使通过的数据延迟稍大于一个比特时间但它产生一个没有正常停止信号的字符这不是所有通信信道都能接受的因为除中断外它还可能导致一个数据差错指示类中断操作要求数据延迟至少一个起始停止信号传输时间异步操作的可提供一类或两类类和类中断操作旁路控制设施任选通过本地和远程调制解调器的环回旁路用来方便线路故障诊断不必在连接的两端或所有端都提
19、供旁路的旁路设施不影响它与其他不包含这一任选项的兼容在某些情况下存在旁路设施可能会削弱安全性用户在考虑便于自动线路测试的同时也要考虑安全性这一要求如果必要可以备有旁路控制使其只在需要时才起作用如果提供这种切换建议采用锁的物理钥匙进行控制它可提供以下三种操作方式的一种或几种作为可选的选择方式旁路方式当物理上实现旁路方式时对数据传输通路实际上透明中的加密和解密过程对所有数据旁路在接口处所有以明文出现旁路安全方式当物理上实现旁路安全方式时旁路将由环回信号和测试指示器信号来控制即仅在自动线路测试期间该才提供旁路功能故选择这种方式时只有当来自的电路及来自的电路或电路均处于接通时见图才会出现旁路安全方式提
20、供通过接口只传送密文用户数据的功能附录对分组密码算法结构和传输的要求举例参考件概述可选的长度具有较高的安全性但是对许多用户强制性长度的安全性已足够如果延迟和开销都不可忽视则可使用强制性长度如何选择应由用户来权衡可以提供具有可切换选择的任选项同步加密操作支持一个的长度为了从该产生的在其左边连续添加个在这些后面的下一个比特就是发送的的第一个比特可以任选地支持一个的长度该等于其左边是第一个发送的比特异步加密操作支持一个长度它是不小于的最小的字符长度整倍数见表为了从该产生的在其左边连续添加若干个二进制比特图说明对字符从进行的推导表推导每个字符的比特数每个的字符数的长度选项可任选地支持一个长度它是不小于
21、的最小的字符长度整倍数见表为了从产生的在其左边连续添加若干个二进制比特图说明对字符从一个进行的推导表选项每个字符的比特数每个的字符数的长度选项可任选地支持一个长度它是不小于的最小的字符长度整倍数见表为了从该产生的发送的超出以外的部分都被丢弃如果必要也可以丢弃发送的前面几个比特图说明了对字符从一个进行的推导表选项每个字符的比特数每个的字符数的长度选项分类建议任选的在特定设备上实现时可用下列形式定义本标准包括附录所描述的选项同步加密操作字段内容说明同步加密操作初始化值空白强制性长度强制性和任选和传输选择方式立即选择方式延迟空白无旁路设施提供旁路设施异步加密操作字段内容说明异步加密操作初始化值空白强
22、制性长度强制性和选项强制性和选项中断操作类类空白无旁路设施提供旁路设施举例符合分类定义的例子有对于具有多种可能的设备例子有图对字符从推导的优选方案图对字符从推导的可接受方案图对字符从推导的可接受方案附录本标准与国际标准的差异参考件按照国家标准的编写要求本标准引言部分未使用的标题引言同时关于各附录的性质也未在引言部分中说明国际标准中引用了鉴于我国的有关规定并且在技术内容上是一种的分组密码算法本标准规定的互操作性要求不是针对任何一种具体的算法因此在本标准第章第章和附录中以分组密码算法代替在第章中删除了由于附录中的结构和传输要求本身并不是物理层互操作性要求因此本标准将其由的补充件改为参考件国际标准的条中有多处错误本标准修改如下改为改为改为改为改为附加说明本标准由中华人民共和国机械电子工业部提出本标准由机械电子工业部第四研究所第三十研究所负责起草本标准主要起草人罗韧鸿方关宝龚奇敏黄家英周有根
