【国家标准(GB)】 信息技术 开放系统互连 网络层安全协议

GB/T179632000
本标准等采用国际标准1SO/IEC11577:1995信息技术开放系统互连网络层安全协议》。为适应息处理的需要，本标准依据OSI参考模型的层次结构和GB/T15274定义的网络层组织规定了网络层安全协议。本标准无论在技术内容上还是在编排格式上均与国际标准保持一致。本标准的附录A、附录B、附录C、附录D都是标的附录;附录E、附录F、附录G、附录H都是提示的附录。
本标雄由中华人民共和国信息产业楚出。本标准由中国电子技术标准化研究所归口：本标准起单位：西安交通大学，中国电子技术标准化研究所。本标准主要起草人，邓良松，冯惠，邓秦，了峰。724
GB/T17963---2000
ISO/IEC前言
ISO（国际标准化组织)和IEC(国际电工委员会）居世界性的标准化专门机构。国家成员体（他们郡是ISO或 IEC的成员国）通过国际组织建立的各个技术委员会参与制定针对特定技术范国的国际标准，IS和IFC的各技术委员会在北同感兴趣的领城内进行合作，与ISO和IEC有联系的其他盲方和非宜方国际组织也可参与国际标准的制定工作。对于信息技术领域，ISO和IEC建立了一个联合技术委员会，即ISO/IECJTC1。由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决。发布一个国际标准，至少需要75%的参与表决的国家成员体投票费成。
国际标准ISO/TEC11577是由1SO/IECJTC1“信息技术\联合技术委员会、SC6系统间远程通信和信息交换\分技术委员会与ITU-T合作制定的，该文本也以ITU-T建议X.273发布。注：由手本国际标准量终版本编辑月期的缘故，在本国际标准引用的ISO/EC7498-1，ISO/IEC96461、ISO/IEC9645-2、ISO/1IEC10731.ISO/IEC10745和ISO/IECTR13594的由版日期不同于相同的ITU建议X.273 中引用的这些标准的出版日期。附录A到附录D是本国际标准的组成部分。附求E到附录H仅提供参考信息。725
GB/T17963-2000
本标准定义的协议提供安全服务以支持较低层实体间的通实例。本协议由GB/T9387.1~9387.2中定义的层次结构和GB/T15274中定义的网络层组织相对其他标准来定位，并按照ISO/1ECTR13597(低层安全模型）来扩展。它提供连接方式和无连接方式网络服务的安全服务支持，尤其·本协议说于网络层,在其上迎界处和下逐界处有功能接口和定义清晰的服务接口。为了评价特定实现的一致性，需要有对给定OSI协议已实现的能力和选的声明，这种声明称为协议实现--致性声明(PICS)。
1范圈
中华人民共和国国家标准
信息技术开放系统互连
网络层安全协议
Information technology : -Open Systerus InterconnectionNetwork layer security protocalGB/T 17963—2000
idt IS0/rEC 11577:1995
本标准规定的协议将由端系统和中间系统使用，以在网络层提供安全服务，而网络层由GR/T15126和GB/T15274定义，本标准中定义的协议称为网络层安全协议（NI.SP）。本标准规定：
a）支持GB/T 9387.2中定义的下列安全服务：1)对等实体鉴别
2）数据原发鉴别;
3）讨间控制；
4）连接保密性：
5）无连接保密性；
6）避信流量保密性：
7）无恢复的连接完整性（包括数据单无完整性，其中连接上的各个SDU其有完整性保护）8）无连接完整性。
b)声称与本标准一致的实现的功能要求,本协议的规程根据下列定义：
1）可用于本协议实例的加密技术的要求：2）用于通信实例安全联系中携带借息的要求。尽管一些安全机制提供的保护程度取决于一些特定加密技术,而本协议的正确操作并不取决于某种特定的加密或解密算法的选择。这是通猎系统的本地事情。此外，特定的安全策略的选择和实现都不在本标准的范围之内。特定的安全策略的选择以及因此将达到的保护程度，留作使用安全通信的单个实例的系统之间的本地事情,本标准不要求涉及一开发系统的多个安全通信的实例必须采用相同的协议，附录D按照ISO/1EC9646-2中给出的相关指导为网络层协议提供了PICS形式表。2引用标准
下列标准包含的杂文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订·使用本标准的各方应探讨使用下列标准最新版本的可能性。CB/T9387.1—1998信息技术并放系统互连基本参考模型第1部分：基本模型(idt ISO/IEC7498-! :1994)
GI/T9387.2—1995信息处理系统开放系统互连国家质量技术监督局2000-01-03批准第2部分：安全体系结构
基本参考模型
2000-08-01实施
GB/T 17963—2000
(idt 1S0/IEC 7498-2:1989)
GB/T151261994信息处理系统数据通信网络服务定义(idt1SO8348：1987）(GB/T15274—1994信息处理系统开放系统互连网络层的内部组织结构(idt IS0/IEC 8648.1988)
信息处塑系统开放系统互连抽象语法记法一（ASN.1)基本编码规则规GB/T 16263
范（idtISO/IEC8825,1990)
GB/T 16264.8
信息技术开放系统互连目录第8部分，鉴别框架1996
(idt IS()/IEC 9591-8:1990)
GB/T 16974- 1997
信息技术数据通信数据续端设备用X.25包层协议(idt ISO/IEC 8208:1995)
GB/T16976-1997
信息技术系统间远程通信和信息交换使用X.25提供（OSI连接方式网络服务（idt1SO/IEC8878：1992)GB/T 17178. 1—1997
信息技术开放系统互连
一致性测试方法和框架第1部分：基本概念(idt 1SO/IEC 9646-1:1994)
GR/T17179.1—1997
信息技术提供无连接方式网络服务的协议筹1部分：协议规范GB/T 17967—2000
(idi.ISO/IEC 8473-1:1994)
信息技术并放系统互连基本参考模型OSI服务定义约定
(idt 1SO/IEC 10731:1994)
ISO/IEC 9646 2:1994t
信息技术开效系统互连
套规范
致性测试方法和框架第2部分，抽象测试ISO/IEC9834-1:1993
信息技术开放系统互连()SI登记机构的操作规程是第1部分：般规此内容来自标准下载网
IS0/IEC9834-3-1990
ISO/IEC997911991
信息技术开放系统互连OSI登记机构的操作规程CCITT联合使用的客体标识符部件值的爱记数据加密技术加密算法的登记规程1SO/IFC10745:1995
信息技术开放系统互连高层安全模型ISO/1ECTR13594:1995
信息技术开放系统互连低层安全模型第3部分;ISO/
CCITT建议X.25(1993）
用专用电路连接到公用数据网上的分组式数据终端设备（DET）与数据电路终接设备(DCE)之间的接口
3定义
3.1参考模型定义
本标准采用GB/T9387.1中定义的下列术语；a）端系统endsystem
h）网络实体networkentity；
e）网络层network layer；
d）网络协议networkprotocal；e）网络协议数据单元petworkpratocoldataunit；f）网络中继network relay,
g）网络服务networkservice
h）网络服务访问点networkserviccaccessPoint；i）网络服务访问点地址networkserviceaccessPointaddress,j）网络服务数据单元networkservicedataunit728
GB/T 17963—2000
k）协议数据单元protocal data unit1）路由选择routing
m）服务ervicct
n）服务数据单元servicedataunia，3.2安全体系结构定义
本标准采用GB/T9387.2中定义的下列术语：a）访间控制
access contral;
b）保密性confidentiality：
c）无恢复的连接完整性connectionintegritywithoutrecoveryd）无连接保密性connectionless confidentialityFe）无连接完整性connccLionlessintegrity,f)数据原发鉴别dataorigineuthenticationg）解密decipherrnent;
h）数字签名digitalsignature：i）加encipherment！
）对等实体鉴别peerentityaughentication；k）安全标号
secirity label:
1）安全服务
security servicet
m）通信流量保密性lrafficflowconfidentielity。3.3服务约定定义
本标准采用GB/T17967中定义的下刻术语：a）服务提供者setviceprovider4b）服务用户serviceuscr
3.4网络服务定义
本标准采朋GB/T15126中定义的下列术语：子网连接点subnetworkpointofattachrnent。3.5网络层内部组织结构定义
本标准采用GB/T15274中定义的下列术语：a）中间系统intermediatesystem；b）中继系统 relayBystem,
e）网suhnetwark；
d）手网访向协议subnetworkaccessprotocnl；e）依赖于子网收敏协议subnetworkdependen:convergenaeprotocolf)独立于子网收敏协议subnetwork independentconvergence protocol。3.6无连接网络协议定义
本标准采用GB/T17179.1中定义的下列术语a）初始PDUinitial PDU，
b）本地事情localmatter;
c）直装（reassembly
d)段segment,
3.7高层安全模型定义
本标催采用1SO/IEC10745中定义的下列术语：a）安全交互作用策略secureinteractionpolicy729
b）安全美系securityrclatianship3.8一致性测试定义
GB/T 17963—2000
本标准采用GB/T17178.1中定义的下列术语：n）PICs形式表PICS profarma
b）协议实境-致性明protocol implementation conformancestatenent;c）静态一致性概述staticconformenceoverview。3.9附加定义
本标催采用下列定义：
3. 9. 1 冻结 SA-ID frozen SA-ID)出于要求防止重用，不能用来分配给某个安全联系的一种SA-ID。3.9.2成对的密钥pairwisekey
用于特定双方间的一对相关的（公开密钥）或同一的（翻密密钥）密钢值。3.9.3安全控制信息securitycontrolinfarmation为了建立或维护安全联系的安全协议所交换的协议控制倍息(PIC)。3.9.4 SA属性 SA-allribute
控制实体其远程对等实体之间通信安全所要求的信息汇集。3.9.5安全联系securityassociation存在相应SA属性的通信低层实体之间的安全关系。3.9.6数据单元完整性dataunit integrity连接完整性的一种形式，其中，各个ST)UJ的完整性受到保护，但不检测SDEI序列中的差错。3. 9.7带内in-hend
使用本标准中定义的SAPDU的协议机制来执行。3.9.B带外out-of-band
使用SAPDU以外的方法来执行。
3.9.9安全规则securityrules
一种本地信息。它给出选挥的安全服务，它规定要使用的安全机制及该机制操作所需的所有参数。注：该信意可以组成如ISO/1EC10745中定义的安全交互作用规的··部分。3.9.10 标号 label
与革一资源(可以是数据单光)密切相联的标号，为该资源命名规定安全属性。注：这种标号的结束闭以意明显的，也可以是略指的。4缩略语
4.1数据单亢
网络协议数据单元
网络服务数据单元
协议数据单元
服务数据单元
4.2协议数据单元字段
4.3参数
4.4杂项
长度指示符
服务质量
安全规则商定集
CSC PDL
NLSP CO
NLSF CL
SA·PDU
SDT PDU
5协效摄述
5.1导班
无连接方式
GB/T 17963--200C
光连接方式脚络协议
无连接方式姆络服务
连接方式
连接安全控制 PDU
数据单元
指密销交换(见附录H)
端系统
完整性检验值
中间系统
完整性颅序号
密钥加密密
网络层安全协议
连接方式 NLSP
无连接方式NLSP
NLSP实体
网络服务
网络服务访问点
协议挖制信息
协议数据单元
安全联系
安全联系标识符
安全联系协议
安全联系 PDU
安全控制信息
安全数据传送 PIE
子网访问协议
独这于子网收效断设
子网连接点
NLSP协议有两种基本操作方式：）NI.SP-CI-用于提供安全无连接网路服务；bA NLSP-CO-
用于提供面向安全连接网络服务NLSP的两种方式都作为网络层的子层类作，提供给上面实体的服务称为NLSP务，要提供给NLSP的所承担的服务称为底层网（UN)服务。原语和参数加上前NILSP或UN以明白地区分被引用的服务。UN和NLSP服务是“概念接口”，即被描述成似乎是层服步但可能完全驻开在网络圾中，取决乎NLSP严层的位置(见附录E)。
NLS.P的两种方式都能在端系统稚中间系统中实现。两种方式都允许源和目的NLSP继址及其他NLSPCONNECT您数被任选地保护，可在网络偿的任间处操作NLSP-CO。可在依赖于子网收效协议731
GB/T17963-2000
<见GB/T15274)之.t.的网络层的任何处操作NLSP-CL。设计本协议是为！优化膚足从主要关心高度安全环境到主娶关心性能优化环境的一系列要求。特别您，尽暨可能会低安全，很I.SP-CO中提供的”无报头“选赖可获得对游信效率的影响量小。NLSP协议使用了安全联系（SA>的概态，它可存在于某一帮定的无连接或连接UNITL)ATA之外。为安余参数（例始算法、密等)楚义的属性集是对SA面定义的。季协议在其上，下边界上提供了相间的股务(C)或C1.)方式：本协议支持一系列特定安全机制（标准化的和非标难化的）的使用。用户和实现者将选择安全机制与协设配合使用以理安全服务和要求的保护级期。第9章到第12意及附录穿义了对NLP要求的所有安全服务的特定机制策的支持：NLSP试图据供的安全保护是从安全域警理所建立的安全服务要求导出的。注：NLSP限务保护KK3S参数的使用是本跑事情，留出本标容的范国。5.2提供的服务援控
NI.SP提供了在GB/9327.2中定义的那些安全服务与GB/T1512中能支的OSI网络层服务，它们适群卡两终层。
若选择NLSP~CL它可支待下列安全服务：a）数据原发鉴别：
b）访问控制：
c）无连接保密性一一本保护托选包括所有NI.SP服务参数，取快于所选择的安全服务：遭信流量保密性；
e）无连接完整性一本保护任选地包括所有NILSP服务参数，取决于所选择的安余服务。若选择NI.SP-CO,它可变持下列安全服务：) 对等实体将剩;
b）访间控制：
！连按保性-本保护任选地包精所實NLSP连接参数联快于所选择轴安金服备d）通筛流量保密性；
e）无恢衰的连接完整性，本保护任选地包括所有NLSP违接参数，取决于所选择的安全眼务，本保护恶任选地包SDU序死的完整性，5.3所撤担的服务概述
NLSPF再所承担的服务称为旅层网（UN)服务，NLSP-CE所承担的底服务使用的愿语导无违接网络服务（GB/T15123)中定义的相。对于 NI.SP-CO,LN 接口被模型化为两部分：a）个服务，它使用与G3/T15126拍网的原语并区谢一个称车将UN签期照参数！b）该服务的映象，它映射到标谁网络眼务.或直接映射到GB/T169T4。NLSP照语中据情的网络地站称为NLSP感址。该服务参数标试NLSP用户实体，它可以是或不题-个传辫实,取决于 NLSF 上面悬容恢用其他网络层协议+饱取决于 NLSFE是做于ES 中还是 IS·中。传递到底层网的网络地址梯为UN地址。当且仅当NL.SP实体与子网访问实体间无协议操作时，该UN参数（邸EN地址）等价SNPA地5.4安案麟系与安垒规卿
5.4.1安全联系
N.SP的操作由称为安全联系感经（SA旗性）的安全您理息（如安全服务选择信息，安全算祛综识符，码密销)的汇集所控制。为腾理在通实体间媒供的安全服务所题求的委会联系属性汇集的存在称为安命联系。
IS1/ETR13594（低偿安全模整中进步播了安全联素。732
GB/T:17963~-2000
NLSF CI.和NLSP-CC要求的 SA属性在 6.2中定义，NLSP-CI.要求的SA属性在7.4中宠义，NLSP-CO婴求的离性在8.4中定义，进一步的机制特定属性在10.2,11.2和12.2中定义。为了保护悔谢实例（连接或无连接够SDUJ），可使用存在前合适SA，蓉不存在含适的SA，随器在通信方之间建立…个SA.
安余联系在带外或使用NLSP带内SA-P来建立.NLSPSA-F通过使用具有内容数撑类型SA-P的SA-PDU和/或SDTPDE来交换安全控制信息（SCI)。若无阻爵携带SC1，应使用SA-PIU。若要保护SCI,则应使用A-PDU或SIYTPDU，该SCI用于宽成建将于在任何预先建文的SA属性和安全规驱的SA属性上：
NLSP-CO他支持在连接建立中和连接期闹的信息交换以更新“动态\SA属（例如工作密钥，见谢录G。对动态SA属性的更新应不改变已提供的安全服务。帮内SA-P连同NLSP-CI.一起的使用在2.5中定义。具有M.SP-CO的带内SA-P的使用在8.5（连接建立期间）和8.11（数据传送期间）中定义，体现带内SA-P的协设在本现范的附录C中定义。降录H给出了建立为本协议健用的密销机制的例于。5.4.2安全规
安全策略将约许多SA展性的设置。该部分安全策略称为协议实体的安全规则策。协议实体的安今短则案可将诸娠字段长度、密码箕法等的SA属性约康为单个值或爱用其悠手段选一步约的值集(例如 OSI 系统赞理或便用SA-P交换。在出现选择护级处，安全规刷集将定义选择约以满是所要求保护的不间凝量。当用于NLSPE间的作时，留要建立该安全规谢集的睡标淇符，它称为安全规商定集(ASSR)，ASSR标识符可作为安全联系建立的一部分进行交换。IS0/IECTR13504（候层安全模型）对安全规赠作T进步说期。5.5协改概违-保护功能
5.5.1保护的范
NLSP-CO和NILSP-CF部有三称不同的操作方式健支持兰神基本保护释度ta) 所有 NLSP 服务参数的保护
在本方式中，保护所有的NLSP服务参数，包括地和全部用户数据，不包括那些要与服务提供者协离的盘数（QOS、接收保密性选趣、快数据选择）。由为TRUE的SA属性Param_Prut(见6.2）来选择本方试。b）NLSP用户数据保护
在本方式中保护用户数据但其姚NLSP服务参数侧不受保护。由为 FALSE 的 SA 归性 Param _ Prot 来逆择本方式。对于NLSP-CO,NLSP别户数据的保护有违一步的子方或，下雍方式之一，1）保护所用的NISP用户数据（包括在NLSF-CONNECT、NLSP-DATA和NLSP-DISCON-NECT服务原诺中的NLSP用户数据）：2)保护在 NLSP DATA 中翰 NLSP用户数据。由SA属性ProtectConnect，Param（见8.3）来进一步选择NLSP的子方式。若Protect_ConnectParEm为TRUE则保护有的NLSP用户数据，否厕只保护宠NLSP-DATA中的NLSP服户数据。若ParamFrot为TRUE，测强追Protect_ConnectParam为TRUE即保护有的NLSF用产数据）。
e）无探豹
在本方式中,所有的NLSP服务参数都直接复制成等价的 UN服务参数,并穿路所有的 NLSP 规。
长本地选择术方式是药于通信对学的现献和本地安全限务医求。733
5. 5.2探护的质量
GB/T 17963--2000
OSI低层中的安全（保护）QOS的实行通过实现来完成·这些实现选择了惜助于本地受控的安全策略所施如的安全服务，通过隧式地使用安全标号成显式地用其他手段，以独立于通信实例的安全联系协议来运送选择的安全服务的任何带内指示，因此，任何与数全服务选择相关的交换独立于穿过服务接口过界的QS馨数的运输。
注：可能也有对高层指明安全限务的要求+但到前为止+还有建立特定保护S要求定义的直遗要求。5.5.3数据保护功能
5. 5. 3. 1基于 SEYt PDU
NLSP-CO和NLSP-CI.能通过使用安全数据传送PDU(SDTPDU)来保护NLSP服务数。NLSP-CO也有两种可供选择的保护NLSP用户数据的方法，它通过SA属性No_Header(见8.3)为TRUE来选择。
使用基于规程的SDTPDU时通过下列方式保护NLSP服务参数：a）将NI.SP服务参数综码为封装前八位位维串：b）若选显式安全已如标号(SA润性Lahel为TRUE），厕把安全标号数人封前八位位组审中1c）如适于已选择的安全服务，可应用支持下列机制的封装（和封）功能。本功能提供受保护的八位应组率：
还值流慧保密性：
一完整性和数据原发整别；
一保密性。
6.4. 1.1和6.4.2.1定义通用的、用于SDT PDU的机制独立规程以保护数据,第11章定义对基于封装的SIYTPDU的机一级的支持。其他专门定义封装的规程可与SDTPDU一起使用：5.5.3.2无报头(仅NLSP-CO)
NLSPCO无报头方式通过封装功能来保护NLSP用户数据，该功能不更新被保护数摄的长度。NLSP不向所保护的数游上批任何协议控制信感，支持的安全服务将取决于便用的机制危封装均能应至少提供保寄性，无报头方式只可用于保护单·个服务参数（NLSP用户数据），因而只有当Param_Prot为FALSE时可用。
6,4.1.2籍6.4.2.2定义通用的、用于无报头方或的机制独立规程米保护数据。第12章定义对无报头封装机制一级的支持。其他专门定义封装规程可与无报头方式一起使用。5.5.4连接安全控制(NLSP-CO)
当建立连接时，交换连接安全控制PDU来标志NLSP连接建立方式（或与带内SA-P，或映射NLSPCONNECT原语到UN-CONNECT或UN-DATA原语）。此外，CSCFDU可支持对等实体鉴别，并且建立动态SA风性，如密钥和究整性短序号。这就无许班用先前避立的SA，而不会导致SA-F的额外开错。在重新鉴别（证明共享知识的)SA的连接或更新动态属性的生俞期中的任何时龚它都可用。
CSCPDU仅闻于连楼方式NLSP，第8章定义了一般的机独立的用了CSCPDU的规經。第10章定义对鉴别机制-级的支持和密钥管理。其他专门定义的支持机制其他级的规程可与CSCPDU一起使用。
注：当使用鉴别的可供选择的机制时，若用弱第11素中定义的ESN机制，该选挥的机谢将建立ISN的初始值，5. 5. 5 NISP 使用的 PDU
NLSP 使用下列 PDU :
a）安全数据传送PDU--通过5.5.3.1中概违的封装来保护NLSP务原语参数和其他数据。13.3定义了该PDLr的结构
b）连接安会控測PDU-—如5.5、4中概述的控NLSP-C连接建立方式，任选地提供对等实体734
GB/T17963--2000
监别及更新动态SA膜性。13.5中定义了该PDU的缩构；注，CSCPDU仅适食FNL.SP.CO。
r）SAPDU一\一种PDU,该PDU充许始5.4.1中概述的为了SA管理首的的安全整谢信息带内交换。13.4中定义了该PDU的结构。此外，对于NLSP-CO，可无需任何额外的如5.6.3.2概述的协议控谢信息（即不用SDTPDU)来狂选地操护数据。
5.6协议概述--NL.SP-CL
5. 6. 1宽义 NISP-CL
第 6 章和第 7童中定义了 NLSP-CL 规程,封装的任选机制特定规程定义在第 11 章中，这些规程使用如 13. 3 中定义的 SDT PDU 和如 13. 4 中定义的任选的 SA PDU。下列条仅握供NLSP-CL操作的概述t上面标识的特定章定义NLSP-CT操作。5. 6. 2NLSP-CI 功
要是 ASSR 中的访问控制规测允许,NLSP 支持在对等的 NLSP 用户间的传送保护能力或,无保护的无连接数据的能力。NLSPE本地确定题否需要保护(使用滋择的安全激务：目的NLSP地址或其他替理信总),保护的数据传送可以是保护所有 NISP服务参数或只由 SA 属性 Param-Prat 确定的 NLSP用户整据，
收到 NISP-UNITDATA Request时：a）NI.SP实体检验SA并确定展否允许与目的地址的无保护通信，要是这样，是咨要求保护；b）若不要求探护,NLSP 实体把所有的 NLSP原语和参数无改变地复谢到对随的 LN 原语痴参数，
c)著要求保护，NLSP实体封装殿务拳数，形成SDTPDU井作为UN-UNITDATAReque的UN用户数据连同UN源地址UN扫的地址和UNQOS参数传送。这仅能保护NSP用户数据液所有的 NLSP 服务参数。
收到UN-UNITDATAIndication时，NLSP实体a）使用UN源地址和本泄信息来确定是否允许与目的地址的通信，娶是这伴，是否要求保护；b)著不要求保护,UN 务参数无改变地复制到NI.SP参数，e）若要求保护，NLSP实体检验SDTPDU并运用解封功能提取NLSP用户数据和其他任选能NLSP服务参数，用户数据、凝地址、目的地址剂QOS绣数传递给NLSP-UNITD.ATAIndication中的NLSP用户，
注：传逆NLSP可在GB/T17179,1(CLNP>协议功能保护CLNPPU之后（接收之前）携作。传避NL.P也可在CLNP协议功能携带CLNPPDU数据字段的NLSPPDU之前（接收之后）操作，使用NLSP和CLNP的逊一步的过论见脏录E.
由于一些CI.NP参数可能有安全相关性，NLSP传逆后对这些参数的选择必须考虑到本地安全策略。要考虑的一些任选参数为路由记录、部分和完全的源路由选择以及就数，任何这些参数帮可以给出该网络的信息，这些信息对于网络观器不应该可用。为了确定CLNPPDU中携带有NLSP-CLPDU.在接收时，接收者将检验目的地址的选择符为0或CLNPPDU数据字段中的NLSP协议标识符如13.3中定义的，两种检验都可以用来指期与衰接把它送到传输层相比，该PDU悬由网络层处理的，5.7协议概述—-NLSP-CC
5. 7. 1定义 NLSH-CC
第6章和第8章中定义了基于无报头的NLSP-CO规程，封装的任选机制特定规程定义在第12章中，第10童中定义了连接安控制规程，这些婉差使用如13.5中定义的CSCPEU和13.4中定义的任选 SA PDU,
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。