GBT179632000信息技术开放系统互连网络层安全协议

中华人民共和国国家标准信息技术开放系统互连网络层安全协议发布实施国家质量技术监督局发布前言本标准等同采用国际标准信息技术开放系统互连网络层安全协议为适应信息处理的需要本标准依据参考模型的层次结构和定义的网络层组织规定了网络层安全协议本标准无论在技术内容上还是在编排格式上均与国际标准保持一致本标准的附录附录附录附录都是标准的附录附录附录附录附录都是提示的附录本标准由中华人民共和国信息产业部提出本标准由中国电子技术标准化研究所归口本标准起草单位西安交通大学中国电子技术标准化研究所本标准主要起草人邓良松冯惠邓秦丁峰前言国际标准化组织和国际电工委员会是世界性的标准化专门机构国家成员体他们都是或的成员国通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准和的各技术委员会在共同感兴趣的领域内进行合作与和有联系的其他官方和非官方国际组织也可参与国际标准的制定工作对于信息技术领域和建立了一个联合技术委员会即由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决发布一个国际标准至少需要的参与表决的国家成员体投票赞成国际标准是由信息技术联合技术委员会系统间远程通信和信息交换分技术委员会与合作制定的该文本也以建议发布注由于本国际标准最终版本编辑日期的缘故在本国际标准引用的和的出版日期不同于相同的建议中引用的这些标准的出版日期附录到附录是本国际标准的组成部分附录到附录仅提供参考信息引言本标准定义的协议提供安全服务以支持较低层实体间的通信实例本协议由中定义的层次结构和中定义的网络层组织相对其他标准来定位并按照低层安全模型来扩展它提供连接方式和无连接方式网络服务的安全服务支持尤其本协议位于网络层在其上边界处和下边界处有功能接口和定义清晰的服务接口为了评价特定实现的一致性需要有对给定协议已实现的能力和选项的声明这种声明称为协议实现一致性声明中华人民共和国国家标准信息技术开放系统互连网络层安全协议国家质量技术监督局批准实施范围本标准规定的协议将由端系统和中间系统使用以在网络层提供安全服务而网络层由和定义本标准中定义的协议称为网络层安全协议本标准规定支持中定义的下列安全服务对等实体鉴别数据原发鉴别访问控制连接保密性无连接保密性通信流量保密性无恢复的连接完整性包括数据单元完整性其中连接上的各个具有完整性保护无连接完整性声称与本标准一致的实现的功能要求本协议的规程根据下列定义可用于本协议实例的加密技术的要求用于通信实例安全联系中携带信息的要求尽管一些安全机制提供的保护程度取决于一些特定加密技术而本协议的正确操作并不取决于某种特定的加密或解密算法的选择这是通信系统的本地事情此外特定的安全策略的选择和实现都不在本标准的范围之内特定的安全策略的选择以及因此将达到的保护程度留作使用安全通信的单个实例的系统之间的本地事情本标准不要求涉及同一开发系统的多个安全通信的实例必须采用相同的协议附录按照中给出的相关指导为网络层协议提供了形式表引用标准下列标准包含的条文通过在本标准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息技术开放系统互连基本参考模型第部分基本模型信息处理系统开放系统互连基本参考模型第部分安全体系结构信息处理系统数据通信网络服务定义信息处理系统开放系统互连网络层的内部组织结构信息处理系统开放系统互连抽象语法记法一基本编码规则规范信息技术开放系统互连目录第部分鉴别框架信息技术数据通信数据终端设备用包层协议信息技术系统间远程通信和信息交换使用提供连接方式网络服务信息技术开放系统互连一致性测试方法和框架第部分基本概念信息技术提供无连接方式网络服务的协议第部分协议规范信息技术开放系统互连基本参考模型服务定义约定信息技术开放系统互连一致性测试方法和框架第部分抽象测试套规范信息技术开放系统互连登记机构的操作规程第部分一般规程信息技术开放系统互连登记机构的操作规程第部分联合使用的客体标识符部件值的登记数据加密技术加密算法的登记规程信息技术开放系统互连高层安全模型信息技术开放系统互连低层安全模型建议用专用电路连接到公用数据网上的分组式数据终端设备与数据电路终接设备之间的接口定义参考模型定义本标准采用中定义的下列术语端系统网络实体网络层网络协议网络协议数据单元网络中继网络服务网络服务访问点网络服务访问点地址网络服务数据单元协议数据单元路由选择服务服务数据单元安全体系结构定义本标准采用中定义的下列术语访问控制保密性无恢复的连接完整性无连接保密性无连接完整性数据原发鉴别解密数字签名加密对等实体鉴别安全标号安全服务通信流量保密性服务约定定义本标准采用中定义的下列术语服务提供者服务用户网络服务定义本标准采用中定义的下列术语子网连接点网络层内部组织结构定义本标准采用中定义的下列术语中间系统中继系统子网子网访问协议依赖于子网收敛协议独立于子网收敛协议无连接网络协议定义本标准采用中定义的下列术语初始本地事情重装段高层安全模型定义本标准采用中定义的下列术语安全交互作用策略安全关系一致性测试定义本标准采用中定义的下列术语形式表协议实现一致性声明静态一致性概述附加定义本标准采用下列定义冻结由于要求防止重用不能用来分配给某个安全联系的一种成对的密钥用于特定双方间的一对相关的公开密钥或同一的秘密密钥密钥值安全控制信息为了建立或维护安全联系的安全协议所交换的协议控制信息属性控制实体其远程对等实体之间通信安全所要求的信息汇集安全联系存在相应属性的通信低层实体之间的安全关系数据单元完整性连接完整性的一种形式其中各个的完整性受到保护但不检测序列中的差错带内使用本标准中定义的的协议机制来执行带外使用以外的方法来执行安全规则一种本地信息它给出选择的安全服务它规定要使用的安全机制及该机制操作所需的所有参数注该信息可以组成如中定义的安全交互作用规则的一部分标号与某一资源可以是数据单元密切相联的标号为该资源命名或规定安全属性注这种标号的结束可以是明显的也可以是暗指的缩略语数据单元网络协议数据单元网络服务数据单元协议数据单元服务数据单元协议数据单元字段长度指示符参数服务质量杂项安全规则商定集无连接方式无连接方式网络协议无连接方式网络服务连接方式连接安全控制数据单元指数密钥交换见附录端系统完整性检验值中间系统完整性顺序号密钥加密密钥网络层安全协议连接方式无连接方式实体网络服务网络服务访问点协议控制信息协议数据单元安全联系安全联系标识符安全联系协议安全联系安全控制信息安全数据传送子网子网访问协议独立于子网收敛协议子网连接点底层网协议概述导引协议有两种基本操作方式用于提供安全无连接网络服务用于提供面向安全连接网络服务的两种方式都作为网络层的子层操作提供给上面实体的服务称为服务要提供给的所承担的服务称为底层网服务原语和参数加上前缀或以明白地区分被引用的服务和服务是概念接口即被描述成似乎是层服务但可能完全驻留在网络层中取决于子层的位置见附录的两种方式都能在端系统和中间系统中实现两种方式都允许源和目的地址及其他参数被任选地保护可在网络层的任何处操作可在依赖于子网收敛协议见之上的网络层的任何处操作设计本协议是为了优化满足从主要关心高度安全环境到主要关心性能优化环境的一系列要求特别地尽管可能会降低安全但中提供的无报头选项可获得对通信效率的影响最小协议使用了安全联系的概念它可存在于某一特定的无连接或连接之外为安全参数例如算法密钥等定义的属性集是为而定义的本协议在其上下边界上提供了相同的服务或方式本协议支持一系列特定安全机制标准化的和非标准化的的使用用户和实现者将选择安全机制与协议配合使用以加强安全服务和要求的保护级别第章到第章及附录定义了对要求的所有安全服务的特定机制集的支持试图提供的安全保护是从安全域管理所建立的安全服务要求导出的注服务保护参数的使用是本地事情超出本标准的范围提供的服务概述提供了在中定义的那些安全服务与中定义的网络层服务它们适用于网络层若选择它可支持下列安全服务数据原发鉴别访问控制无连接保密性本保护任选地包括所有服务参数取决于所选择的安全服务通信流量保密性无连接完整性本保护任选地包括所有服务参数取决于所选择的安全服务若选择它可支持下列安全服务对等实体鉴别访问控制连接保密性本保护任选地包括所有连接参数取决于所选择的安全服务通信流量保密性无恢复的连接完整性本保护任选地包括所有连接参数取决于所选择的安全服务本保护也任选地包括序列的完整性所承担的服务概述下面所承担的服务称为底层网服务所承担的底层服务使用的原语与无连接网络服务中定义的相同对于接口被模型化为两部分一个服务它使用与相同的原语并且附加了一个称作为鉴别的参数该服务的映象它映射到标准网络服务或直接映射到原语中携带的网络地址称为地址该服务参数标识用户实体它可以是或不是一个传输实体取决于上面是否使用其他网络层协议也取决于是位于中还是中传递到底层网的网络地址称为地址当且仅当实体与子网访问实体间无协议操作时该参数即地址等价于地址安全联系与安全规则安全联系的操作由称为安全联系属性属性的安全管理信息例如安全服务选择信息安全算法标识符密码密钥的汇集所控制为管理在通信实体间提供的安全服务所要求的安全联系属性汇集的存在称为安全联系低层安全模型中进一步描述了安全联系和要求的属性在中定义要求的属性在中定义要求的属性在中定义进一步的机制特定属性在和中定义为了保护通信的实例连接或无连接的可使用存在的合适若不存在合适的则需在通信方之间建立一个安全联系在带外或使用带内来建立通过使用具有内容数据类型的和或来交换安全控制信息若无阻碍携带应使用若要保护则应使用或该用于完成建构于在任何预先建立的属性和安全规则的属性上也支持在连接建立中和连接期间的信息交换以更新动态属性例如工作密钥见附录对动态属性的更新应不改变已提供的安全服务带内连同一起的使用在中定义具有的带内的使用在连接建立期间和数据传送期间中定义体现带内的协议在本规范的附录中定义附录给出了建立为本协议使用的密钥机制的例子安全规则安全策略将约束许多属性的设置该部分安全策略称为协议实体的安全规则集协议实体的安全规则集可将诸如字段长度密码算法等的属性约束为单个值或要用其他手段进一步约束的值集例如系统管理或使用交换在出现选择保护级处安全规则集将定义选择约束以满足所要求保护的不同质量当用于间的操作时需要建立该安全规则集的唯一标识符它称为安全规则商定集标识符可作为安全联系建立的一部分进行交换低层安全模型对安全规则作了进一步说明协议概述保护功能保护的范围和都有三种不同的操作方式以支持三种基本保护程度所有服务参数的保护在本方式中保护所有的服务参数包括地址和全部用户数据不包括那些要与服务提供者协商的参数接收保密性选择加快数据选择由为的属性见来选择本方式用户数据保护在本方式中保护用户数据但其他服务参数则不受保护由为的属性来选择本方式对于用户数据的保护有进一步的子方式下列方式之一保护所用的用户数据包括在和服务原语中的用户数据保护在中的用户数据由属性见来进一步选择的子方式若为则保护所有的用户数据否则只保护在中的用户数据若为则强迫为即保护所有的用户数据无保护在本方式中所有的服务参数都直接复制成等价的服务参数并旁路所有的规程在本地选择本方式是基于通信对等的地址和本地安全服务要求保护的质量低层中的安全保护的实行通过实现来完成这些实现选择了借助于本地受控的安全策略所施加的安全服务通过隐式地使用安全标号或显式地用其他手段以独立于通信实例的安全联系协议来运送选择的安全服务的任何带内指示因此任何与安全服务选择相关的交换独立于穿过服务接口边界的参数的运输注可能也有对高层指明安全服务的要求但到目前为止还没有建立特定保护要求定义的直接要求数据保护功能基于和都能通过使用安全数据传送来保护服务参数也有两种可供选择的保护用户数据的方法它通过属性见为来选择使用基于规程的时通过下列方式保护服务参数将服务参数编码为封装前八位位组串若选择显式安全已加标号属性为则把安全标号放入封装前八位位组串中如适于已选择的安全服务可应用支持下列机制的封装和解封功能本功能提供受保护的八位位组串通信流量保密性完整性和数据原发