1、RAPPORT TECHNIQUE ISO/CEI TR 13594 Premire dition 1995-l 2-15 Technologies de linformation - Modle de scurit des couches infrieures Information technology - Lower layers security la Numro de rfrence ISO/CEI TR 13594:1995(F) ISOKEI TR 13594: 1995(F) Sommaire 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Domain
2、e dapplication Rfrences normatives . 21 2:2 Recommandations I Normes internationales identiques Paires de Recommandations I Normes internationales quivalentes par leur contenu technique . 2.3 Autres rfrences Dfinitions 3.1 Dfinitions du modele de rference OS1 . 3.2 Dfinitions du cadre gnral de la sc
3、urit dans les systmes ouverts . 33 Dfinitions de lorganisation interne de la couche reseau 314 Dfinitions supplmentaires . Abreviations . Associations de scurit . 51 5:2 Vue densemble . Etablissement dassociations de scurit pour les couches infrieures 5.3 Clture dassociation de securite . 54 . Modif
4、ication des attributs dans une connexion . Influence sur les protocoles existants . 61 612 Principe gnral Taille dune SDU sans connexion . 6.3 Concatnation de PDU 64 . Indpendance des algorithmes et des mcanismes Structure commune de scurite des PDU . Dtermination des services et mcanismes de scurit
5、 Qualit de service de protection . Rgles de scurit . Positionnement des protocoles de scurit dans les couches infrieures . Utilisation des couches (N-l) pour renforcer la scurit de la couche (N) Etiquetage de scurit . Domaines de scurit . Scurite du routage . 0 ISOKEI 1995 Droits de reproduction rse
6、rvs. Sauf prescription diffrente, aucune partie de cette publi- cation ne peut tre reproduite ni utilise sous quelque forme que ce soit et par aucun pro- cd, lectronique ou mcanique, y compris la photocopie et les microfilms, sans laccord crit de lditeur. Page 1 1 1 2 2 3 3 3 3 3 3 4 4 5 6 6 7 7 7 7
7、 7 7 8 8 8 8 14 15 15 15 ISOKEI Copyright Office l Case postale 56 l CH-121 1 Genve 20 l Suisse Version franaise tire en 1996 Imprim en Suisse ii 0 ISOKEI ISOKEI TR 13594: 1995(F) 16 17 18 Gestion de la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16.1 Politique de skurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16.2 Gestion des associations se scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16.3 Gestion des cls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11、. . . . . . . . . . 16.4 Vrifications de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Confidentialit d
12、u flux de trafic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Directives pour la dfinition des attributs dassoc
13、iation de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Traitement derreurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Annexe A - Exemple densemble convenu de rgles de scurit .
14、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 16 16 16 16 16 16 17 18 . . . 111 ISOKEI TR 13594: 1995(F) 0 ISO/CEI Avant-propos LIS0 (Organisation internationale de normalisation) et la CE1 (Co
15、mmission lectrotechnique internationale) forment le systme spcialis de normalisation mondiale. Les organismes nationaux membres de 1ISO ou de la CE1 participent au dveloppement de Normes internationales par lintermdiaire des comits techniques crs par lorganisation concerne afin de soccuper des diffr
16、ents domaines particuliers de lactivit technique. Les comits techniques de lIS0 et de la CE1 collaborent dans des domaines dintrt commun. Dautres organisa- tions internationales, gouvernementales ou non gouvernementales, en liaison avec IISO et la CE1 participent galement aux travaux. Dans le domain
17、e des technologies de linformation, 1ISO et la CE1 ont cr un comit technique mixte, 1ISOKEI JTC 1. La tche principale des comits techniques est dlaborer les Normes interna- tionales. Exceptionnellement, un comit technique peut proposer la publication dun rapport technique de lun des types suivants:
18、- type 1, lorsque, en dpit de maints efforts, laccord requis ralis en faveur de la publication dune Norme internationale; ne peut tre - type 2, lorsque le sujet en question est encore en cours de dveloppement technique ou lorsque, pour toute autre raison, la possibilit dun accord pour la publication
19、 dune Norme internationale peut tre envisage pour lavenir mais pas dans limmdiat; - type 3, lorsquun comit technique a runi des donnes de nature diffrente de celles qui sont normalement publies comme Normes internationales (ceci pouvant comprendre des informations sur ltat de la technique, par exemp
20、le). Les rapports techniques des types 1 et 2 font lobjet dun nouvel examen trois ans au plus tard aprs leur publication afin de dcider ventuellement de leur transfor- mation en Normes internationales. Les rapports techniques du type 3 ne doivent pas ncessairement tre rviss avant que les donnes four
21、nies ne soient plus juges valables ou utiles. LISOKEI TR 13594, rapport technique du type 3, a t labor par le comit technique mixte ISOKEI JTC 1, Technologies de Zinformation, en collabora- tion avec IUIT-T. Le texte identique est publi en tant que Recommandation UIT-T X.802. 0 ISOKEI ISOKEI TR 1359
22、4: 1995(F) Introduction La prsente Recommandation I Rapport technique dcrit les aspects inter-couches de la fourniture des services de scurit dans les couches inferieures du Modele de rfrence OS1 (couches transport, reseau, liaison de donnes et physique). Elle dcrit les concepts architecturaux commu
23、ns ces couches, la base des interactions entre couches relatives la scurit, et le positionnement des protocoles de scurit dans les couches infrieures. Page blanche ISOKEI TR 13594 : 1995 (F) RAPPORT TECHNIQUE RECOMMANDATION UIT-T TECHNOLOGIES DE LINFORMATION - MODLE DE SCURIT DES COUCHES INFRIEURES
24、1 Domaine dapplication La prsente Recommandation I Rapport technique dcrit les aspects inter-couches de la fourniture de services de scurite dans les couches infrieures du Modle de rference OS1 (couches transport, rseau, liaison de donnes et physique). La prsente Recommandation I Rapport technique d
25、crit: a) les concepts architecturaux communs aux couches infrieures sur la base des lments dfinis dans la Rec. X.800 du CCITT I ISO 7498-2; b) les bases des interactions relatives la scurit entre les protocoles des couches infrieures; c) les bases de toute interaction relative la scurit entre couche
26、s infrieures et couches suprieures de IOSI; d) le positionnement des protocoles de securit par le rle relatif de tels positionnements. rapport Il ne doit pas y avoir de conflit entre les protocoles de prsente Recommandation I Rapport technique. scurit des couches inferieures et le modle dcrit dans l
27、a aux protocoles des infrieures La Rec. X.500 du CCITT I ISOKEI 9594-l identifie les services de scurit qui relvent de chacune des couches infrieures du Modle de rfrence OSI. 2 Rfrences normatives Les Recommandations et les Normes internationales suivantes contiennent des dispositions qui, par suite
28、 de la refrence qui y est faite, constituent des dispositions valables pour la prsente Recommandation I Rapport technique. Au moment de la publication, les ditions indiques taient en vigueur. Toutes Recommandations et Normes sont sujettes rvision et les parties prenantes aux accords fondes sur la pr
29、sente Recommandation I Rapport technique sont invites rechercher la possibilit dappliquer les ditions les plus rcentes des Recommandations et Normes indiques ci-aprs. Les membres de la CE1 et de IISO possdent le registre des Normes internationales en vigueur. Le Bureau de la normalisation des tlcomm
30、unications de IUIT tient jour une liste des Recommandations de IUIT-T en vigueur. 21 . Recommandations I Normes internationales identiques - Recommandation UIT-T X.200 (1994) I ISOKEI 749% 1: 1994, Technologies de Zinformation - Interconnexion de systmes ouverts -Modle de rfrence: Le modle de rfrenc
31、e de base. - Recommandation UIT-T X.233 (1993) l ISOKEI 8473-l : 1994, Technologies de linformation - Protocole assurant le service rseau en mode sans connexion de linterconnexion de systmes ouverts: Spcifcation du protocole. - Recommandation UIT-T X.234 (1994) I ISOKEI 8602:1995, Technologies de I?
32、nformation - Protocole assurant le service de transport en mode sans connexion de linterconnexion des systmes ouverts (OU). - Recommandation UIT-T X.273 (1994) I ISOKEI 11577:1995, Technologies de Zinformation - Interconnexion de systmes ouverts - Protocole de scurit de la couche rseau. - Recommanda
33、tion UIT-T X.274 (1994) 1 ISOKEI 10736:1995, Technologies de Zinformation - Tlcommunications et change dinformations entre systmes - Protocole de scurit de la couche transport. Rec. UIT-T X.802 (1995 F) 1 ISOKEI TR 13594 : 1995 (F) - Recommandation UIT-T X.803 (1994) I ISOKEI 10745:1994, Technologie
34、s de linformation - Interconnexion de systmes ouverts - Modle de scurit pour les couches suprieures. - Recommandation UIT-T X.810) I ISOKEI 10181-l. l), Technologies de 1 information - Interconnexion de systmes ouverts - Cadre gnral de la scurit dans les systmes ouverts: Aperu gnral. - Recommandatio
35、n UIT-T X.812l) I ISOKEI 10181-3. , l) Technologies de linformation - Interconnexion de systmes ouverts - Cadre gnral de la scurit dans les systmes ouverts: Contrle daccs. v 22 0 Paires de Recommandations I Normes internationales quivalentes par leur contenu technique - Recommandation X.800 du CCITT
36、 (1991), Architecture de scurit pour Zinterconnexion en systmes ouverts dapplications du CCITT. ISO 7498-2: 1989, Systmes de traitement de linformation - Interconnexion de systmes ouverts - Modle de rfrence de base. Partie 2 - Architecture de scurit. - Recommandation UIT-T X.224 (1993), Protocole po
37、ur assurer le service de couche transport en mode connexion pour 1 interconnexion de systmes ouverts. ISOKEI 8073: 1992, Technologies de 1 information - Tlcommunications et changes dinformations entre systmes - Interconnexion de systmes ouverts (OSI) - Protocole pour fourniture du service de transpo
38、rt en mode connexion. - Recommandation X.208 du CCITT (1988), Spcijkation de la syntaxe abstraite numro un (ASN. I). ISOKEI 8824: 1990, Technologies de 1 information - Interconnexion de systmes ouverts (OSI) - Spcification de la notation de syntaxe abstraite numro 1 (ASN. I). - Recommandation X.209
39、du CCITT (1988), Spcifkation des rgles de codage de base pour la notation de syntaxe abstraite numro un (ASN. 1). ISOKEI 8825: 1990, Technologies de 1 information - Interconnexion de systmes ouverts - Spcification de rgles de base pour coder la notation de syntaxe abstraite numro I (ASN. 1). 23 0 Au
40、tres rfrences - ISOKEI 8208: 1995, Technologies de linformation - Communications de donnes - Protocole X.25 de couche paquet pour terminal de donnes. - Recommandation UIT-T X.25 (1993), Inteeace entre quipement terminal de traitement de donnes et quipement de terminaison du circuit de donnes pour te
41、rminaux fonctionnant en mode paquet et raccords par circuit spcialis des rseaux publics pour donnes. - ISO 8648:1988, Systmes de traitement de linformation - Interconnexion de systmes ouverts - Organisation interne de la couche Rseau. - ISO 9542:198g2), Systmes de traitement de linformation - Tlinfo
42、rmatique - Protocole de routage dun systme dextrmit un systme intermdiaire utiliser conjointement avec le protocole fournissant le service de rseau en mode sans connexion (ISO 8473). - ISOKEI 10589: 1992, Technologies de 1 information - Communication de donnes et change dinformations entre systmes -
43、 Protocole intra-domaine de routage dun systme intermdiaire un systme intermdiaire utiliser conjointement avec le protocole fournissant le service de rseau en mode sans connexion (ISO 8473). - ISOKEI 10747: 1994, Technologies de 1 information - Tlcommunications et change dinformations entre systmes
44、- Protocole pour change dinformations inter-domaine de routage parmi les systmes intermdiaires supportant la transmission de PDU de IISO 8473. 0 Actuellement ltat de projet. 2, Actuellement en rvision. 2 Rec. UIT-T X.802 (1995 F) ISOKEI TR 13594 : 1995 (F) 3 Dfinitions 31 0 Dfinitions du modle de rf
45、rence OS1 La prsente Recommandation l Rapport technique utilise les termes suivants dfinis dans la Rec. UIT-T X.200 I ISOKEI 749% 1: - qualit de service 32 . Dfinitions du cadre gnral de la scurit dans les systmes ouverts La prsente Recommandation I Rapport technique utilise les termes suivants dfin
46、is dans la Rec. UIT-T X.810 I ISOKEI 10181-l: - domaine de scurit 33 . Dfinitions de lorganisation interne de la couche rseau La prsente Recommandation l Rapport technique utilise les termes suivants dfinis dans ISO 8648: a) protocole daccs de sous-rseau; b) systme dextrmit; Cl systme intermdiaire.
47、34 . Dfinitions supplmentaires Pour les besoins de la prsente Recommandation I Rapport technique les dfinitions suivantes sappliquent: 3.4.1 protection de rflexion: Mcanisme de protection qui dtecte le renvoi dune unit de donne protocolaire vers son expditeur. 3.4.2 attributs dassociation de scurit:
48、 Collection des informations requises pour rgir la scurit des communications entre une entit et son entit homologue. 3.4.3 association de scurit: Relation tablie entre des entits communicantes de couches infrieures pour laquelle sont dfinis les attributs dassociation de scurit correspondants. 3.4.4 rgles de scurit: Information locale qui, pour les services de scurit choisis, spcifie les mcanis
