GB/T 18231-2000
基本信息
标准号: GB/T 18231-2000
中文名称:信息技术 低层安全模型
标准类别:国家标准(GB)
标准状态:现行
发布日期:2000-10-17
实施日期:2001-08-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:547276
标准分类号
标准ICS号:信息技术、办公机械设备>>开放系统互连(OSI)>>35.100.40运输层
中标分类号:电子元器件与信息技术>>信息处理技术>>L79计算机开放与系统互连
关联标准
采标情况:idt ISO/IEC TR 13594:1995
出版信息
出版社:中国标准出版社
书号:155066.1-17443
页数:24页
标准价格:13.0 元
出版日期:2004-04-16
相关单位信息
首发日期:2000-10-17
复审日期:2004-10-14
起草单位:西安交通大学
归口单位:全国信息技术标准化技术委员会
发布部门:国家质量技术监督局
主管部门:国家标准化管理委员会
标准简介
本标准描述了在OSI参考模型低层(运输、网络、数据链路和物理层)中提供安全服务的跨层的内容。本标准描述:a)基于GB/T 9387.2中定义的低层公共的体系结构概念;b)低层协议之间与安全有关的任何交互作用的基础;c)OSI的低层和高层之间与安全有关的任何交互作用的基础;d)与其他低层安全协议有关的安全协议的放置以及这种放置的有关作用。在低层安全协议和本标准中描述的模型之间不应该存在冲突。GB/T 16264.1标识了与OSI参考模型的每个低层有关的安全服务。 GB/T 18231-2000 信息技术 低层安全模型 GB/T18231-2000 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
rC$ 35. 100. 40
中华人民共和国国家标准
GB/T182312000
id IS0/1EC TR 13594:1995
信息技术
低层安全模型
Information technology-Lower layers security model2000-10-17发布
2001-08-01实施
国家量技术慌督局发布
GB/T 18231 2000
30/1E 前
引用标准
销略语
安全联系
对玩存协总的影响
公共安企D结划
安全服务和机叫的确定
保护QuS
经全好则
低是忘全的学
起(N)层安全而使历的N->店
安全证
安全地www.bzxz.net
路山逆择安车
公全管理
还信流世保率性
SA同性定义的准则
差错姓好
除录A(提示花时尽:
安全规则南定案示州
-iiKAoNniKAca-
(Hr8231—2000
点标痘举采H国际标准IS/EC-R334:19信户技术低层安全模型:为适应信息处理的需要,不标准依据OS参考慎要的层次经构,它措述这些层公共本系站构慢念,有安全有关的交克作用内基础和低员中安全协议的成置。在制定标准时,报起正文内容,在引所标作三增灿了为项标准。术标准代劳代内穿上与写际标准保一致,在影准的附源A是换示计表
云称准土中保人氏共和国信息产业书提出。本标准由中间电了技术尔洋化就第所性日:本标准起率单宝:装道大学。
你准要起单人美惠
GB/I18231-20Q0
-iiKAoNniKAca-
ISO/IEC前言
15门兰际际准化组织和EC(国际七工资员会是世界的标准化专门机网,家减的体它们都是IS)或IE:的或品对证过用际组!建文的各个效术需大会参与制定性对特定荒术范用的国际标阵.1和的各变术整质会在共司感此规的领内进行个作,与IS行IEC有联系的其他官方和非官方管际密实位可移与国际标净的谢定工作。对」信息技大领域,SOIFC连个联合波术要会,即1S/TFCJTC检六委内会出注要任务是制是际标准,但在特殊情况下技求委员会可必理议乳下类型之的按代报告的山:
一类型1,当经多次努力,仍得不到出版国际标能所需要的支持时;二一交型2,当土题反处,传严发,成者主于其隐某原内,存在将来而即刻就国际标准达成也议的可能性时:
一菜并3、业轻委员会达止式出版如报新出版的际违市口收策不同种类产数据时
1和2的投齐技节在服高一年尚位该经受复变,以放定它们提否能被转换为国际标准。类型的技术丧泛必要点致直到它们供的数据认为人事有效或有升。欧R13已举3的技代报行,由合技代要员会0T1誉息技术\与ITUT会作制定。析同的文术作为1TL议X.82出:2000
GB/E18231
本求准插逆了在参专模型低层(运输,网络,数据链路和物理层》中提大安全最务范跨离的内容。它酒述了这此尝的公以体系结均抵念、与间安全有关的交五作用的站础利虽中安全划设的放1范围
-iiKAoNniKAca-
中华人民共和国国家标准
信息技术低层安全模型
Information technologyLorer layers yecurliy modelGB/T 182312000
idl 8O/IEC TR 13594:1995
本坏准曲达了止口江参书模型低是(运描、网略、散据链路和物层)压提供安全服务的跨的容。
以标准描述:
1)基于GB门9357.2定义的低层公共的体系结构要名:h)低层协议之间与安全·有差的交互作用的套叫:OS的低和高层之间与安会有关的征何交互作用的基础:)其他低崇安全协议有关的案企协议的敬丝以及这神放世为有关作用.在低层安企协汶和本标准中挡述关模型之间不成该存在冲突。心B/T:6254.1证了与OSI参考模型的年个层关的安全取务2引用标准
下刻标准序包含的条义,通过在本标准中引而均成本标准的条文。本标准出版时,所示版本均为凸效,所示准邮会被峰订,使月本标准的各万应探讨懂用下划标准最新版本的可能性:[H9387.1一1%借息技术于欣系就互进基参考模型英:部分:基本模型(idt 1St3/IE:7498-1:1994:
Gk/9387.2一1!!5良处理系统开放系统互烂基本参考模型第3部分:安全体系站构(idt 1SO 7493-2._939)
GR/T 1527J—1994
信良处理系统万系统互连网络原的内部组多结均(id1[SOB64B:19RR)
GBT16262—1956
信息处理案统
放系统互连
1EC: 8824:1000)
扯象语法记运·-(ASN.规范(iltISO信追处理系统川放系统点连抽象培法记达-(ASN.1)基本筛臣规则规G3/T 13243 . 1Uun
范(id1150/IEC8825:1990)
GH/J16264-1—:036
信息技术汗放系统互连
1S0/1F (504-1:190)
GT/T 16723----0r
G3/T 16674_997
日录第1邮分抵念,模型礼务的述ill信总技大提供(3S1上注度方运输胜务的协效(:1S0/1EC8602:1995)信良代
数据通信数推终端设各月X.2包层协议(id1S门/TEC8208:1a9?
GB/T12125.-二997偿总技犬提供无连赖力式网终服务实协改第1部守:协规范et JS0/FC 847 1:1$64
GB/T1218C二997信息处到系统系统间运程通信和信皇交换与提供无连接方式拍网落服务协议联合使用的端系统刘中间系沈路目必挥交换质设(icll1SO/FF:9542:国家质量技术监督局2000-10-17批准2001-08-01实施
GB/T17SE320CC
GH/T 17$66-—2CCC
CB/T 18231—2000
信息载术系互连网络层安全协议1S/IE心9979数拼女需格术加本算法的登证规程ISO/IECIUIHI措点技术放系统左连开微系势中内安全接渠:安会恒架慢述IS0/IEC101813信总技术开放乘五述开放系整中的案企拉架:防方控司抵架[S0/TFC1019:199信息这术亲统回程承完和息交趣与提供元连接方式网络取务出议(15)6473)一悦用的中间感热到中间系统内路白选详信忘交换协议
常点技术鼎统间运程通信和告息交换逐端层安全协议ISN/IEC1U736:1
瑞忘技术案统问远虚通信和信息交换、为持转发ESO8473PL儿在中TSE107171S4
川系统之交换内路虫选搭借息的协议3定安
3.(T参专模型定义
公标准来用GB/TS287,:中定义的下列术语:一alyrrvice
3.2开放系洗安全框架定义
不标准采用130/C101x1-1中定义的一列×询:安全域securitytit物ain
3.3可骆层内部织结哟示义
云标准采用心B/T15271中定义的下列术语:于网间aulserwarkaccepcl;
h系ere syatera;
)中i系统intermediaeaystem
3.4附定义
本标准采用下列定义:
3.4.1转保护rclectin Frote=on当效效据单示已波这原发齐日上检测的保护机利。3.4.2安全联系性rxim
为丁控制一个实你!共远程对等方体之回闪重信安全所需署出信息东。3.2.3安全联系seuritssuiain
存在扫成安全系性的低层通信味之间性关系。3.4.4学全规seeuri-r redes
本也倍息给定所还授并去全务规定厂要原用的低层安全江制.包括该机制的操作所需要的新自参数。
*:安会规见是的层安全提重79中光支版安全互作国现的式、4缔略语
完垒低质号
SA 且性
NLSP-CQ
NI.SP-CI.
5安全联系
网络层安全议
连接式NSP
元连接方式NLSI
-iiiKAoNniKAca-
GB/T1B2312000
服务质基(如GH1S387.1十定义)安全联系
安全联系标识符
两访向办设(GB/T15274定义)
但部子网安全阅说
运输层安全办议
5.1.1注何安全协议利用评多专全机制为上层提世安全服务,高层所要求的安全眼务可以证过使月本地安全管军边能被指明给层,安全协议&它的每个安会机制要求除儿综码款后总之外的后息能够安企谨信。这种附加信息的钟了有协这将要使用并机制的规范以及每个礼的持信总,流如加游机制所要改方密记估息:每条附加估息被右作为安全联系服性。5.1.2安全联系属性可以使用许等矶需放互」协实体中,一些放至机制倒子是a)设各造期间改置
6)设备树始化期间效些:
c)通过手动接口(如面报控制微:)比S系染安全管理敬置
e)主()5T层安全管理效置;
)由SI操作安全敬
5.1.3SA再性可以本与们台美的通信前的年行时模效官.当相容的S4扇性常(SSAA?效价每-个协议实体也的柜应位时,一下安全联系既存在下协这实你之间了5.1.455AA<和安企联系)可以以不¥粒度存在,有时偿能引用具不粒度的SSAA尺有甲的。例如,出去全规则商定集(AR定义的SSA4能以SSAAASR表示,或名以两个即议实体之间链立配对密皆以月于许多公共的源寸的地址对实例,类以的,过于某一追信实例的SS八A能内通信的SSAA实例用。可样,月面向年PU的SSAA能由SSAACOFDTI5.1.5通常,SA属性须通过安金于投放置于协议实体中2维护安企:这含5A属也或者使书物理安金乎段敢胃,或者可以利用一个现有并,为此而预先改胃的安全顺系产放两5.1.6于安全联系部分的AA,经带山…只有木池意义并以为足SA-1的款符引用。在何时药,SA展性其范一些成贝可以无定义,只型内是在个安全通信的划化期间,SSAA将不会完金在其中同时在用产数期交换成,初好交换将被出求完整均放人SSAA中,5.1.了了提供单播护,必续对A-J..引出的SSAA升SA减生的使用以服:》SAI不可以以亢范加密密垂用:h)当任何S需长已放入到由SA-T引月的S5AA中除非安全协设有某种方张示克谨实忧之问的改变·店则该SA满非不度改变。这陷含了为也准钥能换压,必沃以日SA需理的冷贝及一个新州期来使用新的SA-I),除非安全办议一个示意密钥收查片些决办法创如,士NSPCOCSCPLU支持>。
5.1.8以SSA4中去除任何SA成性将有效控关团安企联系,5.1.9些SA属性对一通信实例心连接DU或连接具有重要总义,他A3选按:的单个其有审要意义流格性顺号们安全记是这样实A再生所例下。它可以表划为这性SA间3
G0/T18231-2000
性的政变造反下!述.1.7b)中的限制,然而,逻辑上包括这些SA属性的安全联款·这在单个PDTI量生命期效。ISN成SA11>的一个逻择展,从而收变了有效SA-ID>标记仅于展的SA-实有效。因此.那些限制得以维女,这些SA高有时弥为动态A两。5.1.10部分安企策略将限当协效实体的据作,这证分安全策略称为\协议实体的安全规则策”。协议空体的案全规则案可以限诸如要使用的安全机制和3A品生的宜与效受机制之史的事情。安全期案也将定义所选评的安全服务映射别安全快仪所用的安全机制。安企规则策是安企交可为规则的:种式。
5.1.11当用于减内或减间添必日时,不卡该安全规则案需要注立·个唯一标总符并被称为安全规.商定集,ASSR标识符一以为安余联系炖立的·-部分被交换,以定义或限在安全规贝英一文形SAAASSR:其余的SA属,如只有的话·必频使用述..2中所的其件方达建立:5.2为低层延.证安全联系
5.2.1为「供护通信例(光连接[DU速接,必须在通信实体之间伴立安全联系。5.2.2形成的SA信息要么是静念信息,在SA建立时可以\-外”,然后在联系存在期间保得不变要之是动滤信息,它可在通信实例中较更新,5.2.3作为0S1的1层至4层快议,道过安企联系协议数据详元(PD>的交换或(SI低层范币之外的机制来立个SA。
5.2.4在建文5A前,年个实车必预先践立一个公共的、相五前定和哗一标识书索全规则策以放可及被选择的安举服务。
5.2.5如来SA定通过安全联系PD的交焕文支,那么下列内率也2须预步我立:)安企服务的款始选择以及延文SA时要成用的安全规制;b)建文SA所的基术定谢识信息,5.2.6准立SA时,实体端义下列与其远程对等文体儿享的前息,该证忙对等实休代系的生期必须保技不实(即净态):
a)本始知运位5A-ID,
b)用十通信实例的收系实体之间的所选择的安全服务;三,要饱币的索会限务可以在日先出立内安全联务户逆计,)通过所造择的安全服好院害将要使用的机制设其特性:山)用于还倍实例的完整性,加密机制和鉴别的订始共案钾。e)为访,控制而在本联系上促用的安标记与地址来。5.2.7SA-I)机共%钥上述>d项门必须基于势一不联系来业。其他信息可以预先码立。号外,作为率立SA的一部分,远程对等实外的身份必积教鉴必对等实体鉴则.5.2.8可为道信变的蒸地孕新小划信应)每个方亢的正常和加速数源所需的光整性顺序号;b)成静点安全标记集中动态地选择安全标记!心)用于全快议中圳密/党整生机制的重密信良,该安全协设支持.次系闪审新定需钮例如连接方式网络偿安全协议)。
5.2.9为获得对等实体监判或数据原发浆别,每一通借实例部需要应用监别机制5.2.10于以在安全联品为不同阶致建立不的SA用性,如图1所示,钓而日户描逆的有关案全账系逆用先建立项、培态项和或态项。服便用的颈知鉴务形式师前面单当中措求芳娜择5.2.11实体将识到使月3AID的必要5A网5.2.72SA应弃保护预信实燃前逆立预完染进
全规则商尽货
能与变全退务
到始安全服务
五车室钥品
5.3安全联录关闭
iiKAoNhiKAca-
GB/I18231-2Q00
初始均
择保斯QuS摄
逆择的机制
安全标记/地北来
图:安企联系陷调性说列
当SA不再有效时,关闭由SA-I指明的SA安全联系能用列方法关闪:
学全标记
)作女(SI的:层垒4层办放,通过安全联系协议数据单元PP交换)使S低层萨翌之部
)用关闭:个连要(该方法仅对逆接力式适月)而隐式关闭:d)当一个炜钥处十SA期满时隐式关闭。强
计:内为每个对等实体中可以产也至害差异内位,活医只布对学实年间传送/表权效据起数业义的暂期十产期,回此快川方扶>应道估。在使其上述>次然前,安争联素的晨冶必额指明联系将逐过关闭快用该联来的连接而关闭
5.4连按中的遇生的伴改
对于每一通管实例(无连接P[或连接),只能举立一个SA,在牢接存在期同,用于该选接的安至务和机制不越被修改门意,这并不持尺收必率钥),新密的使制指示应出安企协以推述,6对现荐协议的彩响
6.1总叫
则工,安会协议对现存协议的彩响度为最小。6.2元年接SDL:大小
代效据传送期问,迅据新选择控安全机制,安全对于(N>房齿议有下页影的)(N)用户数据以及基些情配下(N)协设控格息由运输前后的密码变换来操临。这举可能改女(V)出户数诺的长流
1)与(N>用产款规有关的协议控制信息<例如安全逆系标认符、率码检验代码)可能需要由(N)协议换带:
注,达将对七GB/T15791954的5.2.3证G3[2453—1中文的量大用户数据太小专影明,6.3PDU的链接
只有在相时安全联系下被保护范PL可以被链括。6.4算法和机独立性
保层安全协故故规足为链立下算法,而且,N1.SP包采用担安全协议分为依赖于机制部分和测实十矶制部分的法,项计将来药低层安全协放可以谨过将适用担象股务用沪OST的高层和低层公共安全来达到这一点。
7公共安全PDU结构
7.1公我的般U结快将用丁在低层旁全议中保护数据PDU。虽线一般P结构对十所有低房安全协议品科间的,也这些任层安全协这目:不回因府不同,其中最主要的京内则是主持定护函设层所施加的格式限:
GB/T18231—2000
7.2低层安全协议中结构的公共部分可以:a)PDLT昆部的完整性趋验值(I心V除任何加整填充外:克下面>;1)火实现通信落量保容性、完整性杠加密机制所选行的项充可以放置工个别的:字段内)题序完能生便用的可变良效日:d》使用类型/长感/销的字段的灵活缩码方法,该方法允许穿易式展并给予字段师宁的限制量小e)山被保护A.的店动者对响应者方间标志提供的转向保护,8安全服务和机制的确定
安全协议要成用的安全服务好第!章中描述的邦性确定:给定择的安全眼务,通过使用第1幸中插述的发全规则来确定要应用的安全试引:9保护Qos
保护Q示指服务提供者试压使用那资用书据层的安全服务来访御安全威触时度。保护QoS服务率数的处理根据有效的安全策略来趋制的本池事宵。保护Q不在服务月户之间协顾,对」通措实例,服务用户可以,司服:务据供者指明其保护QoS要求。服务提实者可以指明在通信实划中提供给服务广的保护QoS。服务提供者提供的保扩QoS不必和服务用广要求的村同。十放系统之间传避有关被选择的安全服务信息的任何低层协议交换(指“帮为协议交换》在独立于通信实创的安全联系恢设内逆行。这可拟通过安全标记题式进行,也可以通过其他方法显式进行。10安全规则
始案选择的安全服务,资全知则规完了要更用的安全机制,包据落杜制操作所声的所有签效。日以被穿为团体使用的安全观则例子药说期在附求A中给凸:日安企标证隐含造择的安个或务的情况下,安全规则也现定了及安全标记到所隐全的保护要求的映射:
注:其前GD然有将表全提则标继化,11低层中安全的放置
为在运摘层村网路层中的使用,当前定义了安全协说运输层安全协设(TLSP见1S3/1EC1C736和附络房安会协设-iiiAoNiKAca-
GA/T 18231 2000
培系标
O AGTs
轻春经路
图2I.SP宁TS)/EC8073连可运行的说可络层中的安企可以山独文于子网安全协议(S>ISP)提供,除了GB/T15274中标识的任务外该SVISP究成独文于子网安件下面描连中,对如逐NLSP的SHP和提实其他网路层协设任等(划CB/T15274中标的协议之间并不司关系,存在详多遗项。对于端系统之间的造据方大通信,NESP能运行亡“正常网终层协议之上:好图4所示这祥况护与降络服务数据笔元
外,刘于树个地系统之叫,端受统和间录能之间戒两个中系统之间的无连拷方式通伯,NISP运行在无连接刚路办将(以G/门17173.1)之下以及在子网收款协议或当G月/T17179.1之上,送在图5和图6说,两个T1179.1层和个N$P层的表示不必官分内设机这表赖于本也实现策些。这拦保护网络的议数据单示,再连接式通信.N1S急运行代独立十于网协没者如G门16974那样的子两诺阅协议之上。这在7.图5和图9中说明。这样化护一网络限务数据单元,NI.SP不2定正在均率层部:学系势
LbIsna
BT 1S:1+
效控长路
TB,T 15723
网路轮职以到
微路5%
图31.SP与C:T/T16723连同老行的说明
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T182312000
id IS0/1EC TR 13594:1995
信息技术
低层安全模型
Information technology-Lower layers security model2000-10-17发布
2001-08-01实施
国家量技术慌督局发布
GB/T 18231 2000
30/1E 前
引用标准
销略语
安全联系
对玩存协总的影响
公共安企D结划
安全服务和机叫的确定
保护QuS
经全好则
低是忘全的学
起(N)层安全而使历的N->店
安全证
安全地www.bzxz.net
路山逆择安车
公全管理
还信流世保率性
SA同性定义的准则
差错姓好
除录A(提示花时尽:
安全规则南定案示州
-iiKAoNniKAca-
(Hr8231—2000
点标痘举采H国际标准IS/EC-R334:19信户技术低层安全模型:为适应信息处理的需要,不标准依据OS参考慎要的层次经构,它措述这些层公共本系站构慢念,有安全有关的交克作用内基础和低员中安全协议的成置。在制定标准时,报起正文内容,在引所标作三增灿了为项标准。术标准代劳代内穿上与写际标准保一致,在影准的附源A是换示计表
云称准土中保人氏共和国信息产业书提出。本标准由中间电了技术尔洋化就第所性日:本标准起率单宝:装道大学。
你准要起单人美惠
GB/I18231-20Q0
-iiKAoNniKAca-
ISO/IEC前言
15门兰际际准化组织和EC(国际七工资员会是世界的标准化专门机网,家减的体它们都是IS)或IE:的或品对证过用际组!建文的各个效术需大会参与制定性对特定荒术范用的国际标阵.1和的各变术整质会在共司感此规的领内进行个作,与IS行IEC有联系的其他官方和非官方管际密实位可移与国际标净的谢定工作。对」信息技大领域,SOIFC连个联合波术要会,即1S/TFCJTC检六委内会出注要任务是制是际标准,但在特殊情况下技求委员会可必理议乳下类型之的按代报告的山:
一类型1,当经多次努力,仍得不到出版国际标能所需要的支持时;二一交型2,当土题反处,传严发,成者主于其隐某原内,存在将来而即刻就国际标准达成也议的可能性时:
一菜并3、业轻委员会达止式出版如报新出版的际违市口收策不同种类产数据时
1和2的投齐技节在服高一年尚位该经受复变,以放定它们提否能被转换为国际标准。类型的技术丧泛必要点致直到它们供的数据认为人事有效或有升。欧R13已举3的技代报行,由合技代要员会0T1誉息技术\与ITUT会作制定。析同的文术作为1TL议X.82出:2000
GB/E18231
本求准插逆了在参专模型低层(运输,网络,数据链路和物理层》中提大安全最务范跨离的内容。它酒述了这此尝的公以体系结均抵念、与间安全有关的交五作用的站础利虽中安全划设的放1范围
-iiKAoNniKAca-
中华人民共和国国家标准
信息技术低层安全模型
Information technologyLorer layers yecurliy modelGB/T 182312000
idl 8O/IEC TR 13594:1995
本坏准曲达了止口江参书模型低是(运描、网略、散据链路和物层)压提供安全服务的跨的容。
以标准描述:
1)基于GB门9357.2定义的低层公共的体系结构要名:h)低层协议之间与安全·有差的交互作用的套叫:OS的低和高层之间与安会有关的征何交互作用的基础:)其他低崇安全协议有关的案企协议的敬丝以及这神放世为有关作用.在低层安企协汶和本标准中挡述关模型之间不成该存在冲突。心B/T:6254.1证了与OSI参考模型的年个层关的安全取务2引用标准
下刻标准序包含的条义,通过在本标准中引而均成本标准的条文。本标准出版时,所示版本均为凸效,所示准邮会被峰订,使月本标准的各万应探讨懂用下划标准最新版本的可能性:[H9387.1一1%借息技术于欣系就互进基参考模型英:部分:基本模型(idt 1St3/IE:7498-1:1994:
Gk/9387.2一1!!5良处理系统开放系统互烂基本参考模型第3部分:安全体系站构(idt 1SO 7493-2._939)
GR/T 1527J—1994
信良处理系统万系统互连网络原的内部组多结均(id1[SOB64B:19RR)
GBT16262—1956
信息处理案统
放系统互连
1EC: 8824:1000)
扯象语法记运·-(ASN.规范(iltISO信追处理系统川放系统点连抽象培法记达-(ASN.1)基本筛臣规则规G3/T 13243 . 1Uun
范(id1150/IEC8825:1990)
GH/J16264-1—:036
信息技术汗放系统互连
1S0/1F (504-1:190)
GT/T 16723----0r
G3/T 16674_997
日录第1邮分抵念,模型礼务的述ill信总技大提供(3S1上注度方运输胜务的协效(:1S0/1EC8602:1995)信良代
数据通信数推终端设各月X.2包层协议(id1S门/TEC8208:1a9?
GB/T12125.-二997偿总技犬提供无连赖力式网终服务实协改第1部守:协规范et JS0/FC 847 1:1$64
GB/T1218C二997信息处到系统系统间运程通信和信皇交换与提供无连接方式拍网落服务协议联合使用的端系统刘中间系沈路目必挥交换质设(icll1SO/FF:9542:国家质量技术监督局2000-10-17批准2001-08-01实施
GB/T17SE320CC
GH/T 17$66-—2CCC
CB/T 18231—2000
信息载术系互连网络层安全协议
常点技术鼎统间运程通信和告息交换逐端层安全协议ISN/IEC1U736:1
瑞忘技术案统问远虚通信和信息交换、为持转发ESO8473PL儿在中TSE107171S4
川系统之交换内路虫选搭借息的协议3定安
3.(T参专模型定义
公标准来用GB/TS287,:中定义的下列术语:一alyrrvice
3.2开放系洗安全框架定义
不标准采用130/C101x1-1中定义的一列×询:安全域securitytit物ain
3.3可骆层内部织结哟示义
云标准采用心B/T15271中定义的下列术语:于网间aulserwarkaccepcl;
h系ere syatera;
)中i系统intermediaeaystem
3.4附定义
本标准采用下列定义:
3.4.1转保护rclectin Frote=on当效效据单示已波这原发齐日上检测的保护机利。3.4.2安全联系性rxim
为丁控制一个实你!共远程对等方体之回闪重信安全所需署出信息东。3.2.3安全联系seuritssuiain
存在扫成安全系性的低层通信味之间性关系。3.4.4学全规seeuri-r redes
本也倍息给定所还授并去全务规定厂要原用的低层安全江制.包括该机制的操作所需要的新自参数。
*:安会规见是的层安全提重79中光支版安全互作国现的式、4缔略语
完垒低质号
SA 且性
NLSP-CQ
NI.SP-CI.
5安全联系
网络层安全议
连接式NSP
元连接方式NLSI
-iiiKAoNniKAca-
GB/T1B2312000
服务质基(如GH1S387.1十定义)安全联系
安全联系标识符
两访向办设(GB/T15274定义)
但部子网安全阅说
运输层安全办议
5.1.1注何安全协议利用评多专全机制为上层提世安全服务,高层所要求的安全眼务可以证过使月本地安全管军边能被指明给层,安全协议&它的每个安会机制要求除儿综码款后总之外的后息能够安企谨信。这种附加信息的钟了有协这将要使用并机制的规范以及每个礼的持信总,流如加游机制所要改方密记估息:每条附加估息被右作为安全联系服性。5.1.2安全联系属性可以使用许等矶需放互」协实体中,一些放至机制倒子是a)设各造期间改置
6)设备树始化期间效些:
c)通过手动接口(如面报控制微:)比S系染安全管理敬置
e)主()5T层安全管理效置;
)由SI操作安全敬
5.1.3SA再性可以本与们台美的通信前的年行时模效官.当相容的S4扇性常(SSAA?效价每-个协议实体也的柜应位时,一下安全联系既存在下协这实你之间了5.1.455AA<和安企联系)可以以不¥粒度存在,有时偿能引用具不粒度的SSAA尺有甲的。例如,出去全规则商定集(AR定义的SSA4能以SSAAASR表示,或名以两个即议实体之间链立配对密皆以月于许多公共的源寸的地址对实例,类以的,过于某一追信实例的SS八A能内通信的SSAA实例用。可样,月面向年PU的SSAA能由SSAACOFDTI5.1.5通常,SA属性须通过安金于投放置于协议实体中2维护安企:这含5A属也或者使书物理安金乎段敢胃,或者可以利用一个现有并,为此而预先改胃的安全顺系产放两5.1.6于安全联系部分的AA,经带山…只有木池意义并以为足SA-1的款符引用。在何时药,SA展性其范一些成贝可以无定义,只型内是在个安全通信的划化期间,SSAA将不会完金在其中同时在用产数期交换成,初好交换将被出求完整均放人SSAA中,5.1.了了提供单播护,必续对A-J..引出的SSAA升SA减生的使用以服:》SAI不可以以亢范加密密垂用:h)当任何S需长已放入到由SA-T引月的S5AA中除非安全协设有某种方张示克谨实忧之问的改变·店则该SA满非不度改变。这陷含了为也准钥能换压,必沃以日SA需理的冷贝及一个新州期来使用新的SA-I),除非安全办议一个示意密钥收查片些决办法创如,士NSPCOCSCPLU支持>。
5.1.8以SSA4中去除任何SA成性将有效控关团安企联系,5.1.9些SA属性对一通信实例心连接DU或连接具有重要总义,他A3选按:的单个其有审要意义流格性顺号们安全记是这样实A再生所例下。它可以表划为这性SA间3
G0/T18231-2000
性的政变造反下!述.1.7b)中的限制,然而,逻辑上包括这些SA属性的安全联款·这在单个PDTI量生命期效。ISN成SA11>的一个逻择展,从而收变了有效SA-ID>标记仅于展的SA-实有效。因此.那些限制得以维女,这些SA高有时弥为动态A两。5.1.10部分安企策略将限当协效实体的据作,这证分安全策略称为\协议实体的安全规则策”。协议空体的案全规则案可以限诸如要使用的安全机制和3A品生的宜与效受机制之史的事情。安全期案也将定义所选评的安全服务映射别安全快仪所用的安全机制。安企规则策是安企交可为规则的:种式。
5.1.11当用于减内或减间添必日时,不卡该安全规则案需要注立·个唯一标总符并被称为安全规.商定集,ASSR标识符一以为安余联系炖立的·-部分被交换,以定义或限在安全规贝英一文形SAAASSR:其余的SA属,如只有的话·必频使用述..2中所的其件方达建立:5.2为低层延.证安全联系
5.2.1为「供护通信例(光连接[DU速接,必须在通信实体之间伴立安全联系。5.2.2形成的SA信息要么是静念信息,在SA建立时可以\-外”,然后在联系存在期间保得不变要之是动滤信息,它可在通信实例中较更新,5.2.3作为0S1的1层至4层快议,道过安企联系协议数据详元(PD>的交换或(SI低层范币之外的机制来立个SA。
5.2.4在建文5A前,年个实车必预先践立一个公共的、相五前定和哗一标识书索全规则策以放可及被选择的安举服务。
5.2.5如来SA定通过安全联系PD的交焕文支,那么下列内率也2须预步我立:)安企服务的款始选择以及延文SA时要成用的安全规制;b)建文SA所的基术定谢识信息,5.2.6准立SA时,实体端义下列与其远程对等文体儿享的前息,该证忙对等实休代系的生期必须保技不实(即净态):
a)本始知运位5A-ID,
b)用十通信实例的收系实体之间的所选择的安全服务;三,要饱币的索会限务可以在日先出立内安全联务户逆计,)通过所造择的安全服好院害将要使用的机制设其特性:山)用于还倍实例的完整性,加密机制和鉴别的订始共案钾。e)为访,控制而在本联系上促用的安标记与地址来。5.2.7SA-I)机共%钥上述>d项门必须基于势一不联系来业。其他信息可以预先码立。号外,作为率立SA的一部分,远程对等实外的身份必积教鉴必对等实体鉴则.5.2.8可为道信变的蒸地孕新小划信应)每个方亢的正常和加速数源所需的光整性顺序号;b)成静点安全标记集中动态地选择安全标记!心)用于全快议中圳密/党整生机制的重密信良,该安全协设支持.次系闪审新定需钮例如连接方式网络偿安全协议)。
5.2.9为获得对等实体监判或数据原发浆别,每一通借实例部需要应用监别机制5.2.10于以在安全联品为不同阶致建立不的SA用性,如图1所示,钓而日户描逆的有关案全账系逆用先建立项、培态项和或态项。服便用的颈知鉴务形式师前面单当中措求芳娜择5.2.11实体将识到使月3AID的必要5A网5.2.72SA应弃保护预信实燃前逆立预完染进
全规则商尽货
能与变全退务
到始安全服务
五车室钥品
5.3安全联录关闭
iiKAoNhiKAca-
GB/I18231-2Q00
初始均
择保斯QuS摄
逆择的机制
安全标记/地北来
图:安企联系陷调性说列
当SA不再有效时,关闭由SA-I指明的SA安全联系能用列方法关闪:
学全标记
)作女(SI的:层垒4层办放,通过安全联系协议数据单元PP交换)使S低层萨翌之部
)用关闭:个连要(该方法仅对逆接力式适月)而隐式关闭:d)当一个炜钥处十SA期满时隐式关闭。强
计:内为每个对等实体中可以产也至害差异内位,活医只布对学实年间传送/表权效据起数业义的暂期十产期,回此快川方扶>应道估。在使其上述>次然前,安争联素的晨冶必额指明联系将逐过关闭快用该联来的连接而关闭
5.4连按中的遇生的伴改
对于每一通管实例(无连接P[或连接),只能举立一个SA,在牢接存在期同,用于该选接的安至务和机制不越被修改门意,这并不持尺收必率钥),新密的使制指示应出安企协以推述,6对现荐协议的彩响
6.1总叫
则工,安会协议对现存协议的彩响度为最小。6.2元年接SDL:大小
代效据传送期问,迅据新选择控安全机制,安全对于(N>房齿议有下页影的)(N)用户数据以及基些情配下(N)协设控格息由运输前后的密码变换来操临。这举可能改女(V)出户数诺的长流
1)与(N>用产款规有关的协议控制信息<例如安全逆系标认符、率码检验代码)可能需要由(N)协议换带:
注,达将对七GB/T15791954的5.2.3证G3[2453—1中文的量大用户数据太小专影明,6.3PDU的链接
只有在相时安全联系下被保护范PL可以被链括。6.4算法和机独立性
保层安全协故故规足为链立下算法,而且,N1.SP包采用担安全协议分为依赖于机制部分和测实十矶制部分的法,项计将来药低层安全协放可以谨过将适用担象股务用沪OST的高层和低层公共安全来达到这一点。
7公共安全PDU结构
7.1公我的般U结快将用丁在低层旁全议中保护数据PDU。虽线一般P结构对十所有低房安全协议品科间的,也这些任层安全协这目:不回因府不同,其中最主要的京内则是主持定护函设层所施加的格式限:
GB/T18231—2000
7.2低层安全协议中结构的公共部分可以:a)PDLT昆部的完整性趋验值(I心V除任何加整填充外:克下面>;1)火实现通信落量保容性、完整性杠加密机制所选行的项充可以放置工个别的:字段内)题序完能生便用的可变良效日:d》使用类型/长感/销的字段的灵活缩码方法,该方法允许穿易式展并给予字段师宁的限制量小e)山被保护A.的店动者对响应者方间标志提供的转向保护,8安全服务和机制的确定
安全协议要成用的安全服务好第!章中描述的邦性确定:给定择的安全眼务,通过使用第1幸中插述的发全规则来确定要应用的安全试引:9保护Qos
保护Q示指服务提供者试压使用那资用书据层的安全服务来访御安全威触时度。保护QoS服务率数的处理根据有效的安全策略来趋制的本池事宵。保护Q不在服务月户之间协顾,对」通措实例,服务用户可以,司服:务据供者指明其保护QoS要求。服务提实者可以指明在通信实划中提供给服务广的保护QoS。服务提供者提供的保扩QoS不必和服务用广要求的村同。十放系统之间传避有关被选择的安全服务信息的任何低层协议交换(指“帮为协议交换》在独立于通信实创的安全联系恢设内逆行。这可拟通过安全标记题式进行,也可以通过其他方法显式进行。10安全规则
始案选择的安全服务,资全知则规完了要更用的安全机制,包据落杜制操作所声的所有签效。日以被穿为团体使用的安全观则例子药说期在附求A中给凸:日安企标证隐含造择的安个或务的情况下,安全规则也现定了及安全标记到所隐全的保护要求的映射:
注:其前GD然有将表全提则标继化,11低层中安全的放置
为在运摘层村网路层中的使用,当前定义了安全协说运输层安全协设(TLSP见1S3/1EC1C736和附络房安会协设
GA/T 18231 2000
培系标
O AGTs
轻春经路
图2I.SP宁TS)/EC8073连可运行的说可络层中的安企可以山独文于子网安全协议(S>ISP)提供,除了GB/T15274中标识的任务外该SVISP究成独文于子网安件下面描连中,对如逐NLSP的SHP和提实其他网路层协设任等(划CB/T15274中标的协议之间并不司关系,存在详多遗项。对于端系统之间的造据方大通信,NESP能运行亡“正常网终层协议之上:好图4所示这祥况护与降络服务数据笔元
外,刘于树个地系统之叫,端受统和间录能之间戒两个中系统之间的无连拷方式通伯,NISP运行在无连接刚路办将(以G/门17173.1)之下以及在子网收款协议或当G月/T17179.1之上,送在图5和图6说,两个T1179.1层和个N$P层的表示不必官分内设机这表赖于本也实现策些。这拦保护网络的议数据单示,再连接式通信.N1S急运行代独立十于网协没者如G门16974那样的子两诺阅协议之上。这在7.图5和图9中说明。这样化护一网络限务数据单元,NI.SP不2定正在均率层部:学系势
LbIsna
BT 1S:1+
效控长路
TB,T 15723
网路轮职以到
微路5%
图31.SP与C:T/T16723连同老行的说明
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。