ImageVerifierCode 换一换
格式:PDF , 页数:25 ,大小:151.52KB ,
资源ID:805744      下载积分:10000 积分
快捷下载
登录下载
邮箱/手机:
温馨提示:
如需开发票,请勿充值!快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝扫码支付 微信扫码支付   
注意:如需开发票,请勿充值!
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【http://www.mydoc123.com/d-805744.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(ITU-T X 802 FRENCH-1995 INFORMATION TECHNOLOGY - LOWER LAYERS SECURITY MODEL《信息技术 下层安全模型 数据网络和开放系统通信 安全 22pp》.pdf)为本站会员(刘芸)主动上传,麦多课文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知麦多课文库(发送邮件至master@mydoc123.com或直接QQ联系客服),我们立即给予删除!

ITU-T X 802 FRENCH-1995 INFORMATION TECHNOLOGY - LOWER LAYERS SECURITY MODEL《信息技术 下层安全模型 数据网络和开放系统通信 安全 22pp》.pdf

1、UNION INTERNATIONALE DES TLCOMMUNICATIONS5)4 4 8 SECTEUR DE LA NORMALISATION (04/95)DES TLCOMMUNICATIONSDE LUIT2 3%!58 $% #/-5.)#!4)/. $% $/ %3%4 #/-5.)#!4)/. %.42% 3934 -%3 /56%2433 #52)4 4%#(./,/)%3 $% , ).b) les bases des interactions relatives la scurit entre les protocoles des couches infrieure

2、s;c) les bases de toute interaction relative la scurit entre couches infrieures et couches suprieures delOSI;d) le positionnement des protocoles de scurit par rapport aux autres protocoles des couches infrieures, etle rle relatif de tels positionnements.Il ne doit pas y avoir de conflit entre les pr

3、otocoles de scurit des couches infrieures et le modle dcrit dans laprsente Recommandation | Rapport technique.La Rec. X.500 du CCITT | ISO/CEI 9594-1 identifie les services de scurit qui relvent de chacune des couchesinfrieures du Modle de rfrence OSI.2 Rfrences normativesLes Recommandations et les

4、Normes internationales suivantes contiennent des dispositions qui, par suite de la rfrencequi y est faite, constituent des dispositions valables pour la prsente Recommandation | Rapport technique. Au momentde la publication, les ditions indiques taient en vigueur. Toutes Recommandations et Normes so

5、nt sujettes rvisionet les parties prenantes aux accords fonds sur la prsente Recommandation | Rapport technique sont invites rechercher la possibilit dappliquer les ditions les plus rcentes des Recommandations et Normes indiques ci-aprs.Les membres de la CEI et de lISO possdent le registre des Norme

6、s internationales en vigueur. Le Bureau de lanormalisation des tlcommunications de lUIT tient jour une liste des Recommandations de lUIT-T en vigueur.2.1 Recommandations | Normes internationales identiques Recommandation UIT-T X.200 (1994) | ISO/CEI 7498-1:1994, Technologie de linformation Interconn

7、exion de systmes ouverts Modle de rfrence: Le modle de rfrence de base. Recommandation UIT-T X.233 (1993) | ISO/CEI 8473-1:1994, Technologie de linformation Protocoleassurant le service rseau en mode sans connexion de linterconnexion de systmes ouverts: Spcificationdu protocole. Recommandation UIT-T

8、 X.234 (1994) | ISO/CEI 8602:1995, Technologies de linformation Protocoleassurant le service de transport en mode sans connexion de linterconnexion des systmes ouverts (OSI). Recommandation UIT-T X.273 (1994) | ISO/CEI 11577:1995, Technologies de linformation Interconnexion des systmes ouverts Proto

9、cole de scurit de la couche rseau. Recommandation UIT-T X.274 (1994) | ISO/CEI 10736:1995, Technologie de linformation Tlcommunication et change dinformations entre systmes Protocole de scurit de la couchetransport.ISO/CEI TR 13594 : 1995 (F)2 Rec. UIT-T X.802 (1995 F) Recommandation UIT-T X.803 (19

10、94) | ISO/CEI 10745:1995, Technologie de linformation Interconnexion de systmes ouverts Modle de scurit pour les couches suprieures. Recommandation UIT-T X.8101)| ISO/CEI 10181-1.1), Technologies de linformation Interconnexiondes systmes ouverts Cadre gnral de la scurit dans les systmes ouverts: Ape

11、ru gnral. Recommandation UIT-T X.8121)| ISO/CEI 10181-3.1), Technologies de linformation Interconnexiondes systmes ouverts Cadre gnral de la scurit dans les systmes ouverts: Contrle daccs.2.2 Paires de Recommandations | Normes internationales quivalentes par leur contenu technique Recommandation X.8

12、00 du CCITT (1991), Architecture de scurit pour linterconnexion en systmesouverts dapplications du CCITT.ISO 7498-2:1989, Systmes de traitement de linformation Interconnexion de systmes ouverts Modlede rfrence de base. Partie 2 Architecture de scurit. Recommandation UIT-T X.224 (1993), Protocole pou

13、r assurer le service de couche transport en modeconnexion pour linterconnexion de systmes ouverts.ISO/CEI 8073:1992, Technologies de linformation Tlcommunications et changes dinformationsentre systmes Interconnexion de systmes ouverts (OSI) Protocole pour fourniture du service detransport en mode co

14、nnexion. Recommandation X.208 du CCITT (1988), Spcification de la syntaxe abstraite numro un (ASN.1).ISO/CEI 8824:1990, Technologies de linformation Interconnexion de systmes ouverts (OSI) Spcification de la notation de syntaxe abstraite numro 1 (ASN.1). Recommandation X.209 du CCITT (1988), Spcific

15、ation des rgles de codage de base pour la notationde syntaxe abstraite numro un (ASN.1).ISO/CEI 8825:1990, Technologies de linformation Interconnexion de systmes ouverts Spcificationde rgles de base pour coder la notation de syntaxe abstraite numro 1 (ASN.1).2.3 Autres rfrences ISO/CEI 8208:1995, Te

16、chnologies de linformation Communications de donnes Protocole X.25 decouche paquet pour terminal de donnes. Recommandation UIT-T X.25 (1993), Interface entre quipement terminal de traitement de donnes etquipement de terminaison du circuit de donnes pour terminaux fonctionnant en mode paquet etraccor

17、ds par circuit spcialis des rseaux publics pour donnes. ISO 8648:1988, Systmes de traitement de linformation Interconnexion de systmes ouverts Organisation interne de la couche Rseau. ISO 9542:19882), Systmes de traitement de linformation Tlinformatique Protocole de routage dunsystme dextrmit un sys

18、tme intermdiaire utiliser conjointement avec le protocole fournissant leservice de rseau en mode sans connexion (ISO 8473). ISO/CEI 10589:1992, Technologies de linformation Communication de donnes et changedinformations entre systmes Protocole intra-domaine de routage dun systme intermdiaire unsystm

19、e intermdiaire utiliser conjointement avec le protocole fournissant le service de rseau en modesans connexion (ISO 8473). ISO/CEI 10747:1994, Technologies de linformation Tlcommunication et change dinformationsentre systmes Protocole pour change dinformations inter-domaine de routage parmi les systm

20、esintermdiaires supportant la transmission de PDU de lISO 8473._1)Actuellement ltat de projet.2)Actuellement en rvision.ISO/CEI TR 13594 : 1995 (F)Rec. UIT-T X.802 (1995 F) 33 Dfinitions3.1 Dfinitions du modle de rfrence OSILa prsente Recommandation | Rapport technique utilise les termes suivants df

21、inis dans la Rec. UIT-T X.200 |ISO/CEI 7498-1: qualit de service3.2 Dfinitions du cadre gnral de la scurit dans les systmes ouvertsLa prsente Recommandation | Rapport technique utilise les termes suivants dfinis dans la Rec. UIT-T X.810 |ISO/CEI 10181-1: domaine de scurit3.3 Dfinitions de lorganisat

22、ion interne de la couche rseauLa prsente Recommandation | Rapport technique utilise les termes suivants dfinis dans ISO 8648:a) protocole daccs de sous-rseau;b) systme dextrmit;c) systme intermdiaire.3.4 Dfinitions supplmentairesPour les besoins de la prsente Recommandation | Rapport technique les d

23、finitions suivantes sappliquent:3.4.1 protection de rflexion: Mcanisme de protection qui dtecte le renvoi dune unit de donne protocolairevers son expditeur.3.4.2 attributs dassociation de scurit: Collection des informations requises pour rgir la scurit descommunications entre une entit et son entit

24、homologue.3.4.3 association de scurit: Relation tablie entre des entits communicantes de couches infrieures pour laquellesont dfinis les attributs dassociation de scurit correspondants.3.4.4 rgles de scurit: Information locale qui, pour les services de scurit choisis, spcifie les mcanismes descurit

25、sous-jacents utiliser, y compris lensemble des paramtres ncessaires au fonctionnement de ces mcanismes.NOTE Les rgles de scurit sont une forme de rgles dinteraction sres telles que celles-ci sont dfinies dans le Modlede scurit pour les couches suprieures (Rec. UIT-T X.803 | ISO/CEI 10745).4 Abrviati

26、onsISN Numro de squence dintgrit (integrity sequence number)SSAA Ensemble dattributs dassociation de scurit (set of SA-attributes)NLSP Protocole de scurit de couche rseau (network layer security protocol)NLSP-CO Protocole NLSP en mode connexion (NLSP connection mode)NLSP-CL Protocole NLSP en mode sa

27、ns connexion (NLSP connectionless mode)QOS Qualit de service (quality of service) (conformment la dfinition de la Rec. X.200 duCCITT | ISO/CEI 7498-1)SA Association de scurit (security association)SA-ID Identificateur dassociation de scurit (security association identifier)SNAcP Protocole daccs de s

28、ous-rseau (subnetwork access protocol) (conformment la dfinition deISO 8648)SNISP Protocole indpendant de scurit de sous-rseau (subnetwork independent security protocol)TLSP Protocole de scurit de couche transport (transport layer security protocol)ISO/CEI TR 13594 : 1995 (F)4 Rec. UIT-T X.802 (1995

29、 F)5 Associations de scurit5.1 Vue densemble5.1.1 Chaque protocole de scurit utilise un certain nombre de mcanismes de scurit pour fournir des services descurit la couche immdiatement suprieure. Les services de scurit ncessaires aux couches suprieures peuventtre indiqus aux couches infrieures au moy

30、en de fonctions locales de supervision de la scurit. Pour tablir descommunications scurises, le protocole de scurit et tous les mcanismes de scurit ncessitent un supplmentdinformation par rapport ce qui est cod dans les PDU. Il sagira par exemple de la spcification des mcanismes utiliser par le prot

31、ocole et, pour chaque mcanisme, dinformations spcifiques comme les cls ncessaires au mcanismede chiffrement. Chaque lment dinformation additionnelle est connu sous le nom dattribut dassociation de scurit.5.1.2 Les attributs dassociation de scurit peuvent tre placs dans une entit de protocole au moye

32、n dun certainnombre de mcanismes de positionnement. Il sagira par exemple des mcanismes suivants:a) positionnement pendant la fabrication dun dispositif;b) positionnement pendant linitialisation dun dispositif;c) positionnement via une interface manuelle, par exemple par les commandes des panneaux d

33、e face avant;d) positionnement par la gestion de scurit des systmes OSI;e) positionnement par la gestion de scurit de couche OSI;f) positionnement par la gestion de scurit des oprations OSI.5.1.3 Les attributs dassociation de scurit (SA) peuvent tre positionns nimporte quel moment avant lacommunicat

34、ion laquelle ils se rapportent. Quand des ensembles compatibles dattributs dassociations de scurit(SSAA) sont positionns dans chaque entit de protocole, on dit quune association de scurit existe entre ces entits.5.1.4 Des ensembles SSAA (et des associations de scurit) peuvent exister avec diffrents

35、niveaux de granularit.Parfois il est utile de pouvoir se rfrer des ensembles SSAA de granularit diffrente. Par exemple, lensemble SSAAdfini par un ensemble convenu de rgles de scurit (ASSR) pourrait tre appel SSAA ASSR. Ou une clef appariepourrait tre tablie entre deux entits de protocole pour tre e

36、mploye sur un certain nombre dinstances de couplesdadresses ayant des sources et destinations communes. De faon similaire le SSAA pour une instance de communicationpourrait tre dnomm instance de communication SSAA. De mme lensemble SSAA pour une PDU orienteconnexion pourrait tre appele SSAA CO PDU.5

37、.1.5 En rgle gnrale, les attributs dassociations SA doivent tre placs dans lentit de protocole par un moyenscuris afin den prserver la scurit. Ceci implique que les attributs dassociations de scurit soient positionns par unmoyen physique scuris ou laide dune association de scurit existante qui aura

38、pralablement t positionne cettefin.5.1.6 Les ensembles dattributs SSAA qui font partie dune association de scurit sont souvent dsigns par unidentificateur dnomm SA-ID ayant une signification locale. A un instant donn, certains lments de lensembledattributs dassociation de scurit peuvent tre indfinis

39、. Au moment de linitialisation dune communication scurise,lensemble des attributs SSAA ne sera gnralement pas compltement valu, et les changes initiaux seront utiliss pourcomplter la valuation des attributs SSAA avant lchange des donnes utilisateur.5.1.7 Afin de fournir une protection de rptition, i

40、l faut appliquer des contraintes lusage didentificateurs SA-ID,leurs ensembles SSAA de rfrence et les attributs dassociation SA.a) Les identificateurs SA-ID ne peuvent pas tre rutiliss avec la mme cl de chiffrement.b) Aprs quun quelconque attribut SA a t valu dans un ensemble SSAA identifi par un id

41、entificateurSA-ID, cet attribut ne pourra jamais tre chang, moins que le protocole de scurit ne possde unmoyen de signaler le changement aux entits en communication. Ceci implique que, pour autoriser unbasculement de cl, un nouvel identificateur de SA-ID doit tre utilis avec des copies des anciensat

42、tributs SA et une nouvelle cl, moins que le protocole de scurit ne dispose dun autre moyende signaler le changement de cl (fonction assure par exemple par lunit de donnes protocolairesNLSP-CO CSC).5.1.8 Le retrait de lun quelconque des attributs de scurit SSAA a pour effet de clturer lassociation de

43、 scurit.5.1.9 Certains attributs dassociation de scurit ont une signification pour une instance de communication (une PDUsans connexion ou une connexion). Dautres attributs dassociation de scurit ont une signification pour une seule PDUsur une connexion. Comme exemple de tels attributs, on citera le

44、s numros de squence dintgrit (ISN) et les tiquettesde scurit. Il peut sembler que la modification de ces attributs viole les contraintes cites au point b) du 5.1.7.Cependant, lassociation de scurit comprenant ces attributs SA nest logiquement valide que pour la dure de vie duneISO/CEI TR 13594 : 199

45、5 (F)Rec. UIT-T X.802 (1995 F) 5seule PDU. Le numro ISN joue le rle dune extension logique de lidentificateur SA-ID, et modifie par consquentlidentificateur SA-ID en vigueur. Ltiquette de scurit nest alors valide que pour cette instance didentificateur SA-IDtendu. Ainsi les contraintes sont-elles re

46、spectes. De tels attributs sont parfois qualifis de dynamiques.5.1.10 Une part de la politique de scurit va imposer des contraintes aux oprations de lentit protocolaire. Cettepartie de la politique de scurit est appele ensemble de rgles de scurit pour lentit protocolaire. Cet ensemble dergles peut i

47、mposer des contraintes des composants tels que le mcanisme de scurit utiliser ainsi que les valeurs etle mcanisme de positionnement des attributs dassociation de scurit. Lensemble des rgles de scurit dfinira aussi lemappage des services de scurit slectionns sur les mcanisme utiliss par le protocole de scurit. Lensemble dergles de scurit est une forme de rgles dinteraction scurise.5.1.11 Lorsquun tel ensemble est utilis

copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
备案/许可证编号:苏ICP备17064731号-1