1、GB/T 179632000 前言本标准等问采用自国际标准ISO/IEC11577: 1995(倏息技术开放系统互连网络层安全协议儿为i草成育息处琐的需要,本标准依辙。SI参考模型酷的层次结构和GB/T15274 起义的网络层组织规定r网络隧安全协议。本串串准无论在技术内容上还是在编排格式上均与国际标准保持款。本标樵的附录A、附录B、附录C、附录。都是标准的附录;附录E、附录F、附录G、附录H都是捷克币的附漠。本标哥是由中华人民共和阔信息产业部提出。本栋准由中国电子技术标准化研究所归口.本标准起草单佼:西安交通大学、中国电子技术标准化研究所。本标准主要起草人g邓良松、冯疏、邓黎、丁峰。724
2、G!T 17963-2000 ISO/IEC前宫ISOC国际标准化组织);f!IIECC罔际电工委员会)经世界悦的标准化专门机构国家成员体(他们都是ISO成IEC的成员阁)通过倒除组织建立的各个技术委员会参与制定针对将定技术范隘的国际标准,ISO和IEC的各技术委员会在共同感兴趣的领域内进行合作,与ISO和IEC有联系的其他官方和非宵方E国际组织也可参与国际标准的制定工作。对于信息技术领域,ISO和IEC建立了一个联合技术委员会,即ISO!IECJTCl 0由联合技术委员会抱朗的国际标准京宋德分发给国家成员体进行淡淡。发布个国际标准,少儒要75%的参与司挺快的国家成员体投巢赞成。t司际标准IS
3、O!IEC11577是由ISO!IECJTCl信息技术联合技术委员会、SC俨系统问远程通信和仿息交换分技术委员会与ITU-T合作制定的,该文本也以ITU-T建议X.273发布。按:由于本周际标准最终版本编辑日期的镰故,在本阔际标礁引用的ISO/IEC749B阳1、ISO/IEC9646-1、ISO!IEC 9646-2.ISO!IEC 10731、ISO!IEC10745和ISO/IECTR 13594的出版日期不同于栩闷的ITU建议X.273中哥|闸的这些标横的刷版日期。附去世A到附法。是本国际栋准的组成部分。附没E到附录日仪提供参考信息。725 G/T 17963-2000 I 空间本标准
4、定义的协议提供安余服务以支持较低层实体间的通信实例。本协议由GB/T9387. 1 9387. 2中寇义的层次结构和GB/T15274中定义的网格层组织相对其他标准来定位.并按照I50/IEC TR 13597 (低层安3;:模型)来扩展。它提供连接方式和x连接方式网络服务的安全服务支持,尤其,卒协议位于网络庭,在其上边界处和下边界处有功能接口和lE义清晰的服务接问。为了评价特定实现的一数傲,需要有对给定05I协议巳实现的能力和选琐的声明,这种声明称为协议实现致性声明,p被撞述成似乎是应割草务您可能究会草草戳在网络应中,取决于NLSP:;层的Ij景(见i!ft策E)。NLSP的两种方式都能在端
5、系统和中间系统中实现。两种方式都允许源和恳的NLSP地址及其他NLSPCONN在CT参数被任浓浓保护。llf农闲络臻的任何处操作NLSP-CO,可在依赖于子网收放协议731 GB/T 17963 2000 o也GB/T15274)之上的网络应的任何处操作NLSP-CL,设计本协议应为了优化树足从业要盟关心高度安全环4碰到室里耳关心性能优化环境的一系列哥哥求。特淤地,尽管f能会商低安金,您NLSP-CO中巍然的uj披头景是项可获得对满信效寨的影哥哥条小。NLSP协议使用了安会联系CSA)的概念,8lJ存在于某一样般的光您接或烧接UNITDATA之外,为ii:1:要靠费生例如草草法、将领等):;E
6、义的身毒性集是为SA商定义的e卫在协议激王军上、下边界上提供了相阔的服务(COCL)方式庸本协议交拣一系列中夺:;E:1:机制(标准化的相非栋撒化的)的使用。用户和实现者将选择型号余机制与协议配合使黯以翻强安余服务和要罢王竟然保护级那珍第9尊E事总第1艺寨J走在时条C;J.由为TRUE的SA属性ParamProt(见6.2)来越持本1B吃。b) NLSP 用户数擦保护苦在本方式中保护涌户敷据f盟主主千啦NLSP服务参数则不受保护。由为FALSE的SA腐蚀Param而Prot来i盛择本ln吃恩对气fNLSP忍。,只LSP用户数糠的保护有滋步的子方式,下爽方式之一z1)保护所用的NLSP用户数据(
7、!l搁在NLSp.CNN缸CT、NLSP-DATA和NLSP-DISCONNECT 服务服饿中的NLSP用户数擦h2)保护农到LSPDATA中的NLSP!每户数怨和由SA属性Protect_ Connect _ Param (Jij. 8. 3)来激步逃掷NLSP的子方式。密ProtectConnecl Param为TRUE.9!JJ保护所有的NL5P用户数攘,否则央保护在NLSp.DATA中部NLSP黯户数量击。辛苦ParamProt沟TRU缸,则镶边Protect_ Connect Param为TRU在障务参数lU靠从NLSP服务接口拷贝到UN服务接口或激娘从UN脱务接口传贝到NLSP服务
8、接口。5.7.3 NLSP而CONNECT在接收NLSP-CONNECTRequest 时,NLSPE检验具有婆求特征的SA当前是哥哥存在。若干宇夜,即可用于保护烧撼。否则,带内建立新的SA作为NLSP-CONNECT功能的一部分或我输出的划时中带外嫁哀。辛苦这辈辈都不费量进行,然站立在IINLSP-DlSCONNECT。支持两种建立NLSP连锁的基本方式。一种是在N啕CONNECT服务原语中f略带NLSPCON牛NECT参数。另一种j盖在SOTPOU封装后携带NLSPCONNECT参数,按UN连接建立后的UNDATA巾,建立NLSP!t婆的两种方式有不同之处a种扇子网携带在UN胁DATD命的
9、带内SA平进行交换(使用具有SA.P内容数据类型的SAPDU和/或SDTPDU);另一种用于带外建立的SA。嫁接安才是辈辈锁(CSC)PDUi器来标志连续建立的方式,辛苦不携带楼内SA命p,cscPDU交换钱F富于za)为使用保护连接(例如幡钥、完数性顺序惨)建立机制特定安金属性gb)执行对等实体且在别。对3墨子盖在jJlJ秘密钢管穰鹤禽等要求响应税费器的投透支持获第iO意中定义。校NLSP-CONNECT借助带内SA-PiE棋携带UNCONNECT的情况下,在执行携带有NLSPCONNECT参数的UN-CONNECT交换之前,建立UN嫁接以挽手赞SA-P然后将放。:tE第二工次UNCONNE
10、CT交换t使用CSCPDU以满身在JlJ对等NLSP;$;体。通过交换SAPDU或带有建立要求的SA剧性所需的俄息的SDTPDU可完成SA建立附法C定义了F君子号费用途的SA协议。若要害求保护NLSP喃CONNECT参数,在传送前封装这接参数。5.7.4 NLSP-DATA 主要收NLSP-DAT A Req悄悄时za)赛选择基于保护的SDTPDU ,NLSP实体封装命活的服务参数形成5DTPDU并作为UNDATA的UN用户数锻传送它gb)辛苦逃佯丢在于保护的5i;报头,加1黯NLSP用户数锻并传送到UN句口ATA议equest的UN用户数据。接收UN-DATA lndcaton时$a)幸普选
11、挥Ji于保护的SDTPDU,NL5P实体检验PDU并使用解封功能银取NLSP用户数搪,也可能换取NLSP保栋做t需求8b)辛苦选择婆子保护的5i;在头,解牵挂UN用户般指以草草骂I!.NLSP用户数撞击4c) NLSP服务参嗷传递给NLSP-DAT A Indication中的NLSPJ!户.5.7.5 NLSP翩EXPEDITED-DATAi汪精似TNLSP-DATA .Request的方法来处穗,浊:当使用SDTPDU时,纣授功能可能会扩大数据六小.因此,限制了用户般指学段的大小,可以整求保护的加快数握役通过襄怒声毒害于激叫ti才告段幸事.镀65.7.6 NLSP-RESET 通过NLSP
12、直接传递交底隧闷,1董事可擦身IJ安余连接,J醒过使用N-DATA中携带的CSCPDU 1慧建饥翻转去iU撞俊。736 GB/T 17963 2000 t主,!于数据可能e丢失.可能需要戴初始化荼鹦安余乳制。特别辈革完整性序列机制必确在数搪哥失蹈避免重草草攻击告5.7.7 NLSP-DATA-ACKNOWLEDGE 辛苦婆保护所有的NLSP服务参数(即Param明Prot为TRUE).封装该服务原谓.子SDTPDU中并通过NLSP传i跑到UN于鼠也沓卿tlii直服务且在谁I革接映射到UN-DATA-ACKNOWLEDGE,5.7.8 NLSP-DlSCONNECT 接收NLSP-DlSCONN
13、ECT民叫时的时,精选择的保护方式(见5.5.1)姿求保护服务参数.NLSP实体盖章滚了包含NLSP-D1SCONNECTR何时时、NLSP用户数据击和任边的其他参数灼安数据传滋PDU。该PDU在UN连接释放前,携带在N-DATA中,或者辛苦合t章.SDTPDU iiJ携带在UND1SCNNECT的UN用户数据巾若不署喜求保护NLSP-DISCONN立CTRequest的参数*型Ul它们传送到UNDlSCONNECTRequest中。5.79其他功能NLSPt单交停下列功能,在辈革对草草爽他外部事件时,启动这些功能sa) CSC PDU交换以改变动态SA腾傲,如衔钥;b)安全测试交换以检验SA
14、的加密特征iE确建立$c) SDT PDU传送仪含通信!il:l量保密傲的通信激旗充字段-6 NLSP-CL罪IlNLSP心。公共的协议功能6. 1 导引本激描述NLSP连接和无漆接方式公共协议功能原它们的使用盘时在71袁和第8j曹中所渎。6.2 公共SA越做下列日A属做按制连接方式和Je接方式NLSP的操作。它们的描述包含在本规市内攒及这些居麟佼佼娘的助iC符。校j,SA属憔是ASSR约束的地方,该约束可r义单个假戒僚的集齿夜ASSR定义债的Ii.丽中,可即osn臣就管蝶、SA吨P变换或本规泡外的其他1r法建直剧性恼。a) SA标识zMy _SA-ID,O到(256州最大长!V一1泡阁的醒数
15、。SA的本地标识符,该属傲的健fiZ;SA建立时设置LYaur SA命ID,O到1(25击H章是太长110-1范恼的整费宜。SA的远程你识符,该剧性的僚底在SA建立时设置景。最大极度是2到126中的个整数。泼2,SA有事个相fPDU的交换,则磁llt章建立究成前在UN-DATA中交换门。现役,完成了NLSP连接建立娩狸。8.5.3 Ul、I.CONNEC中具有SA呵?的NLSP-CONNECT749 期攘的事件序列在湖2中说明盼8.5. 3. 1 NLSP-CONNECT Request GB/T 17963 2000 我NLSP-CONNECTRequest上,辛苦只LSP-CONNECT携
16、带在EUN-CONNECT中,j盖越撼了带内SA建立,成执行下列规程z川成搬串fCSC PDU Jl, 1) UNC-UND标志消除多2)曹tSA标志1主SA-JD、内容长度和CSCPDU内容不出现sb) 1ill.:t送UN-CONNECTReq时时Jlt。UN被叫却也就设为Peer伽Adr,2) UN主叫地址囊为本地NLSP实体UN地址#3) UN接收泼墨E逸事事就为本地确3军费:Ii事,4) UN加快数据选择Jl为本地确定的值35) UN QOS参数量为本地确定的僚,6)NJ曾户数据窍,7) UN 别黛为CSCPDU , c)主:同NLSPE应等待8.5.3.3中所泼的UN-CONNEC
17、TConfirm或8.10 旨所述灼UN句DISCONNECT Indication NLSP用户NLSP体席摆阔NLSP虫体NLSP用户NLSP叩CONNECT Req NLSP CONNECT Clf. (8. 5. 2. 4) UN CO!电NECT1m!. UN CONNECT C出lf.UN D1汇ONNECTInd UN- CONNECT Ind. 00 2 UN-CONNECT中热辛苦SA-P的NLSP伽CONNECT的服务服话时序阁8. 5. 3. 2 UN-CONNECT Tndication一一响UNC-ND清除和SA叩F设置E收到i其?可望Ul包含C汉;PDU钓N-CON
18、NECT Indication. UNC-UND标志消除.llSA-P标志设置1,a) NLSP应准备CSCPDU1主z1) UNC-UND标志清除,2) SA啕P标志设置s3) CSC内容续p750 G8/T 17963-2000 b) NLSPE应接着Jjf.牢牢UN-CONNECTResponse且:1) UN响应地址媲为本地N地址,2) UN t靠侬说实选择和加钱数据逃探望量为从UN-CONNECTIndication帘的参数2草地确您的值$3) UN QOS参数量E为从UN-CONNECTIndication 9阔的UNQOS参数本地确定的傻$4) UN ffI户数据交$5) UN
19、i!:i如1景为CSCPDU, 被4NLSPE IJI.等待8.10中所述的SA-P交换草草UN-DlSCONNECTIndication,SA伽P命的任何I!错应当作8.4中所述的援锵处理。8.5.3.3 UN年CONNECTConfirm一UN心UND消除和SA明F设置i攸放辍到11其幸飞m沁4虽搂在E茹刻F摇i告忽g含哥淌智E戍室CSCPI沙飞j费的gUN喝-cm沁咱N司E瓦1梭骏SOTPDU ,1?;并不包含与NLSP服务参嫩相关的内!f:段,b)磁盘NLSP吨DATA-ACKNOWLEDGEIndication传递给NLSP辑户,8.9.3 UN-DATA古ACKNOWLEDGEIn
20、dcation 收到UUNDA T A-ACKNOWLEDGE时za) NLSPE庭被验NoH捕d盯为RU立草草ParamProt为FALSEIb) 把NLSP-DATA-ACKNOWLEDGEIndication传递给NLSP用户。8.10 NLSP-DISCONNECT 下面自列出的俊俏与NLSP草UN-DISCONNECT稍关的事伶先t5任何CSC-POU交换、SA-P交徐娥正在进行中的Test交换。4说燃了NLSPJij户启动的靠背ff裁军重NLSP用户NLSP盎悻底圈阅NLSP靠悻NLSP用户情醒1.UN- D1SCONNIlCT R叫U四t擒带全部用户撒据NLSP I I I 口l
21、SCONNETI UN I I R同.飞-.j口ISCONNE(二TI UN叩lI R叫-.飞IDI双刃NNECTI NLSP一I I lt此可-tDl国CONN嚣CTI I I Ind. 睛监队用户lI:撇撇出UN一口IISCONNECTR明ue$tNLSP叫Dl町ONNECTReq.飞叫UN仙NLSP DISCONNECT lnd.、陶、!, NLSP D1SCONNKCT 可能出现在搞魄的任何点上。由自4r咱LSPDISCONNECT的服务盖在淄时序自自8.10.1 NLSP白DISCONNECTRequest 8.5 J!哥这部NLSP连接建立辈革辍燃烧收到NLSP-DISCONNEC
22、TReq捕前对,成依然。SI网络搬务发出UN-DISCONNECTRequest(即着已开始建立UN逐後).且夭折烧接建立规程.辛fProtect Connect愉Param为TRUE.成由本地确定任何UN-DISCONNECTRequest的参数,否则应激过等价的UN响DISCONNECTR叫时机参数拷贝NLSPDISCONNECTR叫uest参数。758 GB/T 17963-2000 法z辛苦在亲接建立期间出现NLSP-D1SCONNECTReq时时愚选择了ProtectConnect Param,则婆婆弃NLSP口ISCONJECTRequest参数.收到8撞撞事NLSP连接盖在京协1
23、、JLSP-DISCONNECTReq时就娓ga)辛苦Protect盼Connect_ Paran飞为TRUEJ主NoHeader为TRUE.li1llil如6.4. 1. 2中所述那样封装任何NLSP用户数据。ret:放毁于UN-DISCONNECTRequest的UN用户数据中。i醒过等价的UN-DISCONNECR叫飞lest参数拷贝其他的NLS立DlSCONNECTR叫悄悄参数pb)辛苦Protect Connect叫Param为TRUE.No明Header为FALSE鼠Param_ Prot为TRUE.如j产生SDTPDU.t:包含6.4. 1. 1中所述的所有NLS机DISCONN
24、ECTRequest 参数,具有数据类型撞NLS在DISCONN犯CTreq/nd。把它放1辈子UN用户数据中。其他的UN响DISCONN茸CT参数由本地确定sc)辛苦也牵挂NLSP用户数嫌,Prot时在_Connect Param 母TRUE,只o_Head盯为FALSE就Para即向Prot为FALSE.li1U产生SDTPDU.它包含6.4.1.1中所述的NLSP用户数据,具有数据类型NLSPDISCONNECT req/nd飞那它放毁于NJll户数报中。通过等价的UN俨DISCONNECTRequest参数拷果其他的NLSPPISCONNECTRequest参数多d)幸lProtect
25、 Connect _ Param为FALSE,则通放等价的UN-DISCONNECTRequest参数拷贝所有的NLSP盹DISCONNECT参敖p泼z锻jNLSP窗户数据的长If限制与UN用户数据的相同。e)幸?跟随上丽的b)和c).得到了UN用户撒据参费生比UN-D1SCONNECTRequest的UNJll户数攘的娘大妖摆在更大,jlJjI草代替草草UN-DATARequest的UNI费户数撞击参数发送t:底传滋纷飞JN服务提供者。N-D1SCONNECTRequest的UN用户数据成为;注z一个实现将等待诙UNDATA以搬进行下段中所述的UN-DlS(二ONNECT之铺混过底烧网.该等
26、持期间由中地确寇eOllil发送UN-DISCONNECTReque盯胶虫ut_所述设置E参数-8.10.2 UN-DATA Indication中保护的NLSP-DlSCONNECT辛苦在UN-DAT A Indcaton中收到SDTPDU il.数据类理直就为NLSP-DISCONNECT,如8.6.2中d)所述,则sa) NLSPE拨拨Pro相机叩ConnectParam为TRUE旦No_Heade苦为FALSE;b)任何包合NLSP服务参数的内容字段拷贝到等价的NI.SP-DISCONNECT参数,且NLSPn黑发者援为NS用户,c) NLSPE i串磁盘盘上没毁约NLSP吨DISCO
27、NNECT盖在数,等待UN叫D1SCONN芷CTIndcation骂骂立即发崩NLSP-DISCONNECTIndcation该选挥是一个本地如.8.10.3 UN也DISCONNECTIndication 在队5中所榕的NLSP淀援建立规稼期间收到UUN-DISCONNECT Indicaton肘,成依照OSI网路服务发出NLSP-DISCONNECTIndicaton 踉夭折迷饿建立规稽。应通过任何NLSP-D1SCONNECTIndicaton朗等价参数拷贝。?心DISCONNECTlndication参数,或者辛苦Pro忧ctConnectParam为TRUE.t:tte*地确定来设逝
28、。否则,夜跟随着NLSP靠接建立1iUN Jll户数据非蜜的UN协DISCONNECTIndication上:a)牵iProtect _ Connect叫Param为TRU在j主No_ Header为TRU忘则磁盘日自.4.2.2!吁泼那样解纣UN用户数据.把它放.子NLSp.DISCONNECTIndication的NLSP用户数据中。其他的NLSP啕DISCONNECT Indicaton参数应被t为N-DlSCONNECTlndicaton约等份参数2b) 辛苦Protect叩ConnectParam为TRUE,No_ Header为FALSE1i Param _ Prot为TRUE,则
29、如6.4.巳1中所述的那样检革命UN用户数樵中的SDTPDU.llil检验数据樊盟臣是NLSP-DISCONNECTreq/ind也通过这接参数拷贝与NLSP-D1SCONN在CT参数将关的ff:何内容学段s75 G/T 17963-2000 c)密Protect叩Connect阳Param为TRUE,No_Header为FALSE鼠ParamProt为FALSE,则如6.4.2.1中所述被验UNJ!l户数据中的SDTPDU , m枪单靠数搅乡提到型是NLSP-D1SCONNECT0 m梭革最F在户数据营内容字段豁出革,t辈辛苦送过NLSp.DISCONNECTIndicati峭的NLSP用户
30、数擦拷贝用户激据内容字段。通过等价的NLSP却ISCONNECTlndication参数拷贝其他的UNDISCONNECTlndication参数;d)着Protect_ Connect伽Param为FALSE,溯通过等价的NLSP-DlSCONN在CTlndicaton参数挎贝p所有的UN-DISCONNECT参费t,e) NLSP-DlSCONNECT lndicaton m传递给NLSPJ!l户。否则,在跟随NLSP连接磁立ll.NLSP 用户数据为燎的UN-DlSCONNECTIndcaton上1a)辛苦NLSPE :等待跟随UN-DATA Indication Jl1 8. 10.
31、2 c) 巾保护的NLSP-DlSCONN日CT;t Fri始ur叫HSCONNECTlndication,则保护的NLSP参费生学段成放登于沁LSP-DISCONNECTIndca酌tlOn中。其他的NLSP-D1SCONNECTIndcation参数应最为UN-DISCONNECTIndication的等价参数,bH苦lll.应通过理事价的NLSP明DlSCONNECTlndication参歉拷JqUN-D1SCONNECT lndication 理事费I心NLSP-DlSCONNECTlndcation E宣传递给NLSPJ在户,除非已发出了1?:等密Retain_ 00 _ Disco
32、nnect为FALSE,可能本地删除跟随任何UN-DISCONNECT的SA属性因8.10.4 扇动NLSP断开我SA丰革主任侥幸笔她能被验失败时,NLSP-DlSCONNEC1、lndcation .注u忡DlS以JNNEC代T民equest被传i遭到如8.4中所定义的NLSP用户和j磁层闷。图5绘出了由于不成功的SA-P燃动的NLSP断开例子的说晓。NLSP用户NL百F事体服愿同NLSP CONNECT E想思NI.SP CONN草工TConf, NLSP在体NL且带用户自由5由于不成功的SA-Pf.l动NLSP断开8.11 其他功能规定时间或外部事件上启动下列舰草里。8.11.1 J在新
33、动态SAJi需馀NLSPE 可以夜泼接生命期中的ff何时间更新动态SA!i曾做(!XL附录G)。对动态SA腾傲的任何改然应;在1在新提供的安企服务。这可通过CSCPDU交换草草UN-DATA用户数据中的SA交换(使用SA啤PDU草草蒋内容数缀类毅SA协议的SDTPDUl或外辈革方法究痰。t蓝交换对1、lLSPJ苦?为男主透嚼的且不定义NLSPn在雨来调用它2主z例如,为了交换掰鸽,在烧擦中有规撑地问慨地发生该交换(例如,每小时就每10000安余数撒PSU).当主衍数吉普传送主主逸事串了元披头筒,应在8.S.5tflll哥1主义的CSCPDU交换之吉宫发送UN-760 GB/T 17963 20
34、00 RESET , CSC-PDU交换的规粉底如8.12中描述的。附盖世C中给出了包含SA毒性更新规糠的SA-P的iItl可F旦8.n2 安3t测试交换这些些规程应使用于测试SA的糠哥哥1f酶的操作。在NLSP-DATA原谱被发送到tlUN-DATA中的状态下,这些观稳才可被调Jf!ll,则在必须时,完整性填充字段应被添加到现存字段,以使具有完整性填充字段(包括被保护的内容字段)的现存字段的长度是ICV块大小(即ICV叩日lk)的接数倍。辛苦出现这种字段,则由本地确定的一定数量和形式的填充应被披置于完整性填充内容字段。辛苦要求填充单个八位位绵,则应使用单个八佼佼组填充内容字段。内军事长度假应
35、增加所加的填充数量景。应在现乎乎字段之前放置于内容长度。所有现存字段的i:llI应被确定并放置于内容度。着(lCV为TRUE)则长llIICVLen的ICVrl!.被计算出来,并添加到现存字段。股采用ICVAlg来标识使用的算法,所用的密钥应是sa) Data _ ICV _ GenKey,若data-unit-type=norm.al;戒b) Exp _ ICV _ Gen _ Key .着data酌unlt-type础expedited。幸i理性EncAuth Len定义。2 密钥信息的任度取决于使用的嘴钥分配方法。若不改变密钥,则不包括它自13. 5. 7 加衔的Auth-DataC机制
36、特定见图17.阁16CC-PDU内容该字段包含的编号用于鉴别,若被选择,作为完整性顺序号,它的长度被定义为SA属性的一部分。当从主叫1i送到被叫NLSP实体时,Y our-initial ISN为0。MyIntiallSN Your-InitiallSN 可贵可塑阁17加密的Auth-Data13.5.8 密钥信息(机制特定)取决于为安余联系选择的窃钥分配方法,该参数不出现,指明个榕在着的密钥应被使用,或包合取决于SA属性kdm的下列之:kdm _mutual田使用多重KEK的加密密钥kdm asyrnmetric叩剖ngle具有接收者公开哥哥钥的力n曾镣钥kdm _ asyrnrnetric
37、 double-具有发送者的专用哥哥钥和接收者的公开密钥的加密榜钥kdrndistributed-密钥参考kdrn _ other 1,fffl)义的内容该字段的出现滋味着内容长度与SA腾性EncAuth Len的比较。14 数性14.1 静态致做要求14.1.1 致性类系统Jll支持一致性的下列类中的一个或两个za) NLSP-CL方式eb) NLSP-CO方式。对这些一致性烫的支持按照14.1. 2和14.1. 3中定义的性能定义。使用本标准支持的安全机制,对一致性的每一类的支持是任选的。本标准支持的安全机制的使用按照14.1. 5中定义的安全机制的要求定义。14.1.2 NLSP-CL方
38、式能力14.1.2.1 安全服务与NLSP-CL方式一致的系统应支持下列服务sa)一个或多个下列服务g1)无选接保精怯p777 2)流连接究串串性33)数撼原鉴别eb)径选草草,访问校JIiIl;c)任封草地,通俗流量保吉普蚀。14.2.2 保护的您自建GB/T 179632000 声称均NLSP-CL致的系统应支持个或两千za)所有NLSP服务参敬的保护g如)NLSP j在户数撞击的保护;向称E哥NLSPCL致的系统任逃跑支将ac)宠保炉。14.1.2.3 其他能力支持NLSP-CL方式时,系统可怜法和/1我接收SDTPDU畸14.1.3 NLSP-CO方式钱为14. ,. 3. 1 安全l
39、IIl务占NLSPco方式效的系统成交格下Y11服务$玲一个或多伞下列凝务31)簇簇保密做;幻觉恢放的泼接窍事馀$3)对等实体站在划。b)佼t曲t啦,访问按制:。径选草草,海盲流维然苦苦苦生.14. ,. 3. 2 保护的t1I目前简称与NLSP。一致的系统li支持一个或多个2心保护所有NLSPB蓝务参数多b)保护NLSP用户数攘,创括NLSP-CONNECT利NLS队DlSCONNECT中的NLSPj!ff户数据;d在数撒传送保护NLSP府户数擦多声称与NLSPCL致始系统缸远地支持3dl无保护。14. ,. 3. 3 其他能力支排NLSp.CO方式时,系统应能够2a)启动和/或接受连接;b
40、)传送并收到CSCPDU; )传t慧和或收到II少一个21)使用3辈子先披头的封毒靠拢制保护的数攘,盘6.4.1.2将6.4.2.2cj持滋义曹辈革2)揍习fSDTPDU的封袋,如6.4. 1. 1和6.4.2.1中1主义的。d)菜少l8. 5 lflE义的NLSP连接牵挂立I.1fj吃之一:e¥1:1:辈辈辈革,支持满成交换$f)饪法辙,交待带内SA协议。14.1.4 x才PDU的支持我3l王在绘定的PDU费号文辛辛游子给1董必操作牵强制的还装後逸的。14.1.5 机制静态要求声称支持本标激中E主义的安全机制的系统li满足F到婆求.就逸事罪的机制哥哥论怎份声称交待主主钱就3毛主甚者是保攒钱交
41、企服务部练个系统1w.通过使掰加密机制援供那也lIIl务g718 GB/T 1796320 b)简称3H奇元连接究毁性或主吃恢复的连接完整性安全服务的每个系统J:il提供使用机制的那些服务,机制使用13.3.3.2中定义的ICV字段和任逃地在13.3. 5. 1中定义的ISN字段;。声称支持通盲流量保曾于性安金服务的每个系统应提供使用机制的服务,该机制使用13.3.3中5E义的通信黛填充字段;d)声称交待数据首E在发鉴别型,i是服务的每个系统成提供使用力H嗡机制成密码机制的服务。该机制使用13.3. 3. 2中5E义的ICV字段;e)声称支持对费事实体鉴别安金服务的每个系统应支持13.5.75
42、E义;f)对于PDU的结构和编码,如第13章中所述的PDU的结构和编码。14.3 协议实现一致做声明实现本标准的一致傲的任何声称底完成附浅。中纷出的协议实现一致性声明(PICS).应根据相关的PICS形式表来产生PICS.779 GB!T 179632000 附最A串串攘的群H量映射UN腺端GB!T 1引26我AlUNJii谛曲下列腺谱传送tt lif UN甲UNITDATANUNITDATA 从飞JNH提到fJ GBfT 15126 ADl N UNITDATA m谱的简单映射重量数串起射到理事价的心里IT15126参数上.I UN-CONNECT N叫CONNECT只是zUN鉴别与UN用户
43、数拇连在起被映射到N-CONNECTD草滋部海户数擦中UN-DATA N-DATA 简单映射s金部参敏映射到等价的GBfT 15126参数上UN协EXPEDITED-DATAN叩EXPEDlTED-DATA 销单映射UN-DATA-ACKNOWLEDGE N-DATA-ACKNOWLEDGE 简单映射UN-DISCONNECT N-D!以3注NNECT费事单串在射附浪B(你准的附ml竟是射UN踩着哥泵GB/T1部74在OSI环境中,按UN服务服谐与GB!T16974之间的映射如同在GB/T16976为等价的网络庭服务滚滚一样定义,DTE耐保护设施中传送的UN-CONNECTUN鉴别参数除外。表
44、B1中间一校描述了用来传送UN原谐的GB!T16974,在这种情况下,GB/T16974可以以本栋泼允许的任何方式使贱,例如;可以满周Q占;t。这样的GB/T1的74的特定位E呈递过NLSP无泼变地传激他我BlUN Jf.浴窗下列原谣传送!: 释UNUNITDATA NfA E在DTEf草护设施中传送的UN鉴如j参UN-CONNECT CALL 敬之外,脐带参数映射到等价的GB/T 1674 CALL包设施中.UN明DATADATA 简单映射UN-EXPEDITED-DATA INTERRUPT 简单映射UN-DATA-ACK汉OWLEDGERR草草RNR能单映射UN-D1SCONNECT C
45、LEAR 简单映射780 GB!T 17963 2000 附烧C(标准你附录使用黯钥令牌交倏和戴学签名的安全联M协议川军事引本隙翁为使f!l:;j略性(仅NLSP-CO);b)保护cO彝数(仅NLSP-CO),。使用无披头选项仪NLSP-CO入启动的NLSP实体发激楼收者NLSP实体在杂项你志学段咿提出的SA腐傲然。作为本地判定,接收者NLSP!J体将对R宫发者返阴下列IPCI , a)辛苦接收费接受所有提出的SA属性,那返回不确确的PCI.辛辛接收者不拒绝该SA.则精指该SA783 GB/T 1796320 腐校对接收者NLSP;ll;f丰是可接受的白bl着任何属性;之一不可接受,接收省拒绝
46、SA并通过返回一个状态来指明哪一个属性等数拒绝。C4.5 1袁定密锁辛苦为1量密钥一个l日SA而建立SA,则仪执行密钥和ISN逃撑。并把事哥继承这些属性的|日SA的寻Iffl放囊子。ld-Your孙SA-ID中,而不是服务标号集及杂税SA腐馀协商。C5 SA炎挤/释放实体H曾碗,通过SAPDU 1寄一个使fflC3叫PJ主义必魏草草签名和加密原因码龄双向交换,它不再使用资金联系。C6 SA协议功能到协议交换的峡射本SA协议在三个独特的协议交换期问执行前述的二三个功能ta)第一交换,邸EK日和i证书交换然成,主直没有戚朋加哥哥#b)第二交换,由被保护的安全协商毒草草草以後供C3J主义约鉴别;。分
47、离的交换,当不再要求SA时被启动,由被保护的原因码组成,以撼供C3义的鉴别。C6.1 KTE(第一交换C6. 1. 1 请求启动SA协议NLSP实体成本战安全管盟国启动SA协议。启动的NLSP实体执行下列功能并给接收农:l:送下功j信息2a)可获得的SA-ID作为E宫发者的My皿SA-I日被选择和放1:.b)开始KTE,并发送Key-Token-l. 。摆在III保密伎机制的列夜,可用来保护第二SA协议交换。该列表被表达为包指下列句,个ilt整个元繁的集合,ASSRlD和所选摊的保哥哥快安全服务6辛苦机制事先已商定,则不发送该列表;d)援t拉完整住机秘的殉道整合其中之一可用于数字签名第二SA协
48、议交换。该熟l提被寻怪这为一个草草草草个包括下列元素的集合,ASSR叩ID和所逸事罪的完l!i做型号服务。辛苦机制碍事先已商娥,则不发送该列表.tl: 1 逃桦的保密性1. Key-Token-4 这段必逃字段用于文炸声日本附盖世早先所述的KTE及串串别啕C7. 3. 4 串串别数字簇名一证书立在善是必是靠字毅然予支持虫草本份起走浮光彩泼的绥j自IJ.C7. 3. 5 服务选桦该校逃字段冻第一及第二交换中都使郑ta)辛苦在第交换期间使用,它F回来标识在第二SA协议交换期间婆使用的保密性和/或究整性机制,在这情况i,仅前两个八位位组出现$bl辛苦在第二二交换湖向使用,它用来祭出正在建立的SA保护她NLSP通汛期i阿婆使用灼所有机制.该ft段成赚钱ASSR酷数出现之后景,哥被一次或多次包括农第一骂是第二交换PDU啦,以便为协商形成-个费a服务提出簸,铸个参数与藏簇的前等ASSR参数相关。t在参数饭食指明要求逃桦安全服务级的八佼佼级序列,级别的话义定义为都分安全策略.每个安全般务A生位级以下滋辈辈号慧能般J1tt起貌。若被曾在撼的八位位经费事与值为导的务相当虫,A主仪缀F乎只J1lJ被截锺.一
