ITU-T H 235 1 FRENCH-2005 H 323 security Baseline security profile《H 323安全框架 基本安全概要 16号研究组》.pdf

1、 Union internationale des tlcommunicationsUIT-T H.235.1SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (09/2005) SRIE H: SYSTMES AUDIOVISUELS ET MULTIMDIAS Infrastructure des services audiovisuels Aspects systme Cadre de scurit H.323: profil de scurit de base Recommandation UIT-T H.235.1 RE

2、COMMANDATIONS UIT-T DE LA SRIE H SYSTMES AUDIOVISUELS ET MULTIMDIAS CARACTRISTIQUES DES SYSTMES VISIOPHONIQUES H.100H.199 INFRASTRUCTURE DES SERVICES AUDIOVISUELS Gnralits H.200H.219 Multiplexage et synchronisation en transmission H.220H.229 Aspects systme H.230H.239 Procdures de communication H.240

3、H.259 Codage des images vido animes H.260H.279 Aspects lis aux systmes H.280H.299 Systmes et quipements terminaux pour les services audiovisuels H.300H.349 Architecture des services dannuaire pour les services audiovisuels et multimdias H.350H.359 Architecture de la qualit de service pour les servic

4、es audiovisuels et multimdias H.360H.369 Services complmentaires en multimdia H.450H.499 PROCDURES DE MOBILIT ET DE COLLABORATION Aperu gnral de la mobilit et de la collaboration, dfinitions, protocoles et procdures H.500H.509 Mobilit pour les systmes et services multimdias de la srie H H.510H.519 A

5、pplications et services de collaboration multimdia mobile H.520H.529 Scurit pour les systmes et services multimdias mobiles H.530H.539 Scurit pour les applications et services de collaboration multimdia mobile H.540H.549 Procdures dinterfonctionnement de la mobilit H.550H.559 Procdures dinterfonctio

6、nnement de collaboration multimdia mobile H.560H.569 SERVICES LARGE BANDE ET MULTIMDIAS TRI-SERVICES Services multimdias large bande sur VDSL H.610H.619 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T H.235.1 (09/2005) i Recommandation UIT-T H.235.1 Cadre de scurit H.323

7、: profil de scurit de base Rsum La prsente Recommandation dfinit un profil permettant dassurer lauthentification et la protection de lintgrit, ou lauthentification seulement, pour les messages RAS et les messages de signalisation dappel H.225.0 ainsi que pour les messages H.245 tunnelliss dans des m

8、essages H.225.0, la protection des messages RAS et des messages de signalisation dappel H.225.0 tant assure par une valeur de hachage HMAC-SHA1-96 fonde sur un mot de passe et des techniques de chiffrement mot de passe scuris tant utilises. Ce profil de scurit est applicable entre un terminal H.323

9、et un portier, entre deux portiers, entre une passerelle H.323 et un portier ainsi qu dautres entits H.323 dans des environnements administrs avec des cls/mots de passe attribus de faon symtrique. Dans les anciennes versions de la sous-srie H.235, ce profil tait dfini dans lAnnexe D/H.235. Les Appen

10、dices IV, V et VI/H.235.0 donnent le mappage entre tous les paragraphes, toutes les figures et tous les tableaux de la version 3 et tous ceux de la version 4 de la Rec. UIT-T H.235. Source La Recommandation UIT-T H.235.1 a t approuve le 13 septembre 2005 par la Commission dtudes 16 (2005-2008) de lU

11、IT-T selon la procdure dfinie dans la Recommandation UIT-T A.8. Mots cls Authentification, certificat, chiffrement, gestion de cls, intgrit, profil de scurit, scurit multimdia, signature numrique. ii Rec. UIT-T H.235.1 (09/2005) AVANT-PROPOS LUIT (Union internationale des tlcommunications) est une i

12、nstitution spcialise des Nations Unies dans le domaine des tlcommunications. LUIT-T (Secteur de la normalisation des tlcommunications) est un organe permanent de lUIT. Il est charg de ltude des questions techniques, dexploitation et de tarification, et met ce sujet des Recommandations en vue de la n

13、ormalisation des tlcommunications lchelle mondiale. LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes. Lapprobation

14、des Recommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CEI. NOTE Dans

15、la prsente Recommandation, lexpression “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recommandation se fait titre volontaire. Cependant, il se peut que la Recommandation contienne certaines d

16、ispositions obligatoires (pour assurer, par exemple, linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation et les autres moyens dexpression de lobligation comme le verbe “devoir“ ainsi que leurs formes nga

17、tives servent noncer des prescriptions. Lutilisation de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donner lieu lutili

18、sation dun droit de proprit intellectuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un Membre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandations. A la dat

19、e dapprobation de la prsente Recommandation, lUIT navait pas t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas de renseignements les plus rcents, il est vivement recommand aux resp

20、onsables de la mise en uvre de consulter la base de donnes des brevets du TSB. UIT 2006 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd que ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T H.235.1 (09/2005) iii TABLE DES MATIRES Page 1 Domaine

21、dapplication 1 2 Rfrences. 1 2.1 Rfrences normatives 1 2.2 Rfrences informatives . 2 3 Termes et dfinitions 2 4 Symboles et abrviations 3 5 Conventions 3 6 Aperu gnral 5 6.1 Brve description des fonctionnalits de scurit 5 6.2 Applicabilit du profil de scurit de base . 7 6.3 Prescriptions H.323 7 6.4

22、 Aperu gnral des procdures. 7 7 Authentification et intgrit des messages de signalisation de type cls symtriques (procdure I). 8 7.1 Calcul de la valeur de hachage fonde sur un mot de passe. 10 7.2 Algorithme HMAC-SHA1-96 10 7.3 Calcul et vrification de lauthentification et de lintgrit. 10 8 Authent

23、ification seulement (procdure IA) 11 9 Exemple dutilisation de la procdure I 12 9.1 Authentification et intgrit des messages RAS 14 9.2 Authentification et intgrit des messages H.225.0 . 15 9.3 Authentification et intgrit des messages H.245 16 9.4 Scnario de routage direct 16 10 Prise en charge de s

24、ervices darrire . 16 11 Compatibilit avec le contexte H.235 Version 1 17 12 Comportement pour les messages multidestinataires. 17 13 Liste des messages de signalisation scuriss 17 13.1 Messages RAS H.225.0 17 13.2 Messages de signalisation dappel H.225.0 17 13.3 Messages de commande dappel H.245 17

25、14 Utilisation des identificateurs sendersID et generalID . 17 15 Liste des identificateurs dobjet 19 Rec. UIT-T H.235.1 (09/2005) 1 Recommandation UIT-T H.235.1 Cadre de scurit H.323: profil de scurit de base 1 Domaine dapplication La prsente Recommandation dfinit un profil permettant dassurer laut

26、hentification et la protection de lintgrit, ou lauthentification seulement, pour les messages RAS et les messages de signalisation dappel H.225.0 ainsi que pour les messages H.245 tunnelliss dans des messages H.225.0, la protection des messages RAS et des messages de signalisation dappel H.225.0 tan

27、t assure par une valeur de hachage HMAC-SHA1-96 fonde sur un mot de passe et des techniques de chiffrement mot de passe scuris tant utilises. Ce profil de scurit est applicable entre un terminal H.323 et un portier, entre deux portiers, entre une passerelle H.323 et un portier ainsi qu dautres entit

28、s H.323. 2 Rfrences 2.1 Rfrences normatives La prsente Recommandation se rfre certaines dispositions des Recommandations UIT-T et textes suivants qui, de ce fait, en sont partie intgrante. Les versions indiques taient en vigueur au moment de la publication de la prsente Recommandation. Toute Recomma

29、ndation ou tout texte tant sujet rvision, les utilisateurs de la prsente Recommandation sont invits se reporter, si possible, aux versions les plus rcentes des rfrences normatives suivantes. La liste des Recommandations de lUIT-T en vigueur est rgulirement publie. La rfrence un document figurant dan

30、s la prsente Recommandation ne donne pas ce document, en tant que tel, le statut dune Recommandation. Recommandation UIT-T H.225.0 (2003), Protocoles de signalisation dappel et paqutisation des flux monomdias pour les systmes de communication multimdias en mode paquet. Recommandation UIT-T H.235 ver

31、sion 1 (1998), Scurit et cryptage des terminaux multimdias de la srie H (terminaux H.323 et autres terminaux de type H.245). Recommandation UIT-T H.235 version 2 (2000), Scurit et cryptage des terminaux multimdias de la srie H (terminaux H.323 et autres terminaux de type H.245). Recommandation UIT-T

32、 H.235.0 (2005), Cadre de scurit H.323: cadre de scurit pour les systmes multimdias de la srie H (systmes H.323 et autres systmes de type H.245). Recommandation UIT-T H.235.2 (2005), Cadre de scurit H.323: profil de scurit avec signature. Recommandation UIT-T H.235.4 (2005), Cadre de scurit H.323: s

33、curit des appels routage direct et des appels routage slectif. Recommandation UIT-T H.235.6 (2005), Cadre de scurit H.323: profil pour le chiffrement vocal avec gestion de cls H.235/H.245 native. Recommandation UIT-T H.245 version 10 (2003), Protocole de commande pour communications multimdias. Reco

34、mmandation UIT-T H.323 (2003), Systmes de communication multimdia en mode paquet. Recommandation UIT-T H.323 Annexe F (1999), Dispositifs dextrmit simples. 2 Rec. UIT-T H.235.1 (09/2005) Recommandation UIT-T Q.931 (1998), Spcification de la couche 3 de linterface utilisateur-rseau RNIS pour la comma

35、nde de lappel de base. Recommandation UIT-T X.800 (1991), Architecture de scurit pour linterconnexion en systmes ouverts dapplications du CCITT. ISO/CEI 7498-2:1989, Systmes de traitement de linformation Interconnexion de systmes ouverts Modle de rfrence de base Partie 2: Architecture de scurit. Rec

36、ommandation UIT-T X.803 (1994) | ISO/CEI 10745:1995, Technologies de linformation Interconnexion des systmes ouverts Modle de scurit pour les couches suprieures. Recommandation UIT-T X.810 (1995) | ISO/CEI 10181-1:1996, Technologies de linformation Interconnexion des systmes ouverts Cadres de scurit

37、 pour les systmes ouverts: aperu gnral. Recommandation UIT-T X.811 (1995) | ISO/CEI 10181-2:1996, Technologies de linformation Interconnexion des systmes ouverts Cadres de scurit pour les systmes ouverts: cadre dauthentification. ISO/CEI 10118-3:2004, Technologies de linformation Techniques de scuri

38、t Fonctions de brouillage Partie 3: Fonctions de brouillage ddies. 2.2 Rfrences informatives FIPSPUB180-2 Federal Information Processing Standard FIPS PUB 180-2, Secure Hash Standard, U. S. Department of Commerce, Technology Administration, National Institute of Standards and Technology, 1 August 20

39、02. OIW Stable Implementation Agreements for Open Systems Interconnection Protocols: Part 12 OS Security; Output from the December 1994 Open Systems Environment Implementors Workshop (OIW); http:/nemo.ncsl.nist.gov/oiw/agreements/stable/OSI/12s_9412.txt. RFC2104 IETF RFC 2104 (1997), HMAC: Keyed-Has

40、hing for Message Authentication. WEBOIDs http:/www.alvestrand.no/objectid/top.html. 3 Termes et dfinitions Dans la prsente Recommandation, les dfinitions figurant au 3/H.323, au 3/H.225.0 et au 3/H.245 sappliquent, en plus de celles du prsent paragraphe. Certains des termes suivants sont utiliss sel

41、on la dfinition donne dans les Recommandations UIT-T X.800 | ISO/CEI 7498-2, UIT-T X.803 | ISO/CEI 10745, X.810 | ISO/CEI 10181-1 et X.811 | ISO/CEI 10181-2. La prsente Recommandation utilise les termes suivants dans le contexte des services de scurit: 3.1 authentification et intgrit: double service

42、 de scurit faisant partie du profil de base, assurant aussi bien lintgrit des messages que lauthentification des utilisateurs. Pour sauthentifier, un utilisateur peut appliquer correctement une procdure cl secrte partage. Les deux services de scurit sont assurs par le mme mcanisme de scurit. 3.2 aut

43、hentification seulement: service de scurit offert en option par le profil de scurit de base, assurant lauthentification seulement de certains champs mais pas lintgrit totale des messages. Le profil de scurit par authentification seulement sapplique aux messages de signalisation franchissant des disp

44、ositifs NAT/pare-feu. Pour sauthentifier, un utilisateur peut appliquer correctement une procdure cl secrte partage. Lorsquon utilise des techniques cl symtrique, les services de scurit dauthentification/intgrit sappliquent uniquement bond par bond. Rec. UIT-T H.235.1 (09/2005) 3 4 Symboles et abrvi

45、ations La prsente Recommandation utilise les abrviations suivantes: ASN.1 notation de syntaxe abstraite numro un (abstract syntax notation one) EP point dextrmit (endpoint) EPID identificateur de point dextrmit (endpoint identifier) GK portier (gatekeeper) GKID identificateur de portier (gatekeeper

46、identifier) GRQ demande de portier (gatekeeper request) HMAC code dauthentification de message hach (hash message authentication code) ICV valeur de contrle dintgrit (integrity check value) LRQ demande de localisation (location request) MAC code dauthentification de message (message authentication c

47、ode) NAT traduction dadresse de rseau (network address translation) OID identificateur dobjet (object identifier) RAS enregistrement, admission et statut (registration, admission and status) RTP protocole de transport en temps rel (real-time protocol) SHA algorithme de hachage scuris (secure hash algorithm) TCP protocole de commande de transmission (transmission control protocol) UIT Union internationale des tlcommunications UTC horloge universelle (universal time clock) VoIP tlphonie utilisant le protocole Internet (v