1、Norme nationale du Canada CAN/CSA-ISO/CEI 11 577-97 La norme internationale ISO/CEI 1157E1995 remihe 6dition, 1995-05-15) adoptee sans modifications porte la designation CAN/CSA-ISO/CEI 11577-97. EIle a 6te approuv6 comme Norme nationale du Canada par le Conseil canadien des normes. ISSN 031 7-8935
2、Juin 1999 Technologies de Iinformation - lnterconnexion de systemes ouverts (OS) - Protocole de securite de la couche reseau Information technology - Open Systems Interconnection - Network layer security protocol Numero de reference. ISO/CEl 1 1577 1995iF1 TheCanadianStandarcbAssociation ,which opem
3、tes UndertheMmeCSA I- * (CSA), under whose auspices this National Standard has been produced, was chartered in 191 9 and accredited by the Standards Council of Canada to the National Standards system in 1973. It is a not-for-profit, nonstatutory, voluntary membership association engaged in standards
4、 development and certification activities. CSA standards reflect a national consensus of producers and users - including manufacturers, consumers, retailers, unions and professional organizations, and governmental agencies. The standards are used widely by industry and commerce and often adopted by
5、municipal, provincial, and federal governments in their regulations, particularly in the fields of health, safety, building and construction, and the environment supporting the Associations objeaives through sustaining memberships. The more than 7000 committee volunteers and the 2000 sustaining memb
6、erships together form CSAS total membership from which its Directors are chosen. Sustaining memberships represent a major source of income for CSAs standards development activities. The Association offers certification and testing sewices in support of and as an extension to its standards developmen
7、t activities. To ensure the integrity of its certification process, the Association regularly and continually audits and inspects products that bear the CSA Mark. In addition to its head office and laboratory complex in Etobicoke, CSA has regional branch offices in major centres across Canada and in
8、spection and testing agencies in eight countries. Since 191 9, the Association has developed the necessary expertise to meet its corporate mksion: CSA is an independent service organmtion whose mksion is to provide an open and effective forum for activities facilitating the exchange of goods and ser
9、vices through the use of standards, certification and related services to meet national and international needs. Individuals, companies, and associations across Canada indicate their support for CSAs standards development by volunteering their time and skills to CSA Committee work and LAssociation c
10、adine de nomdsatum , maintenant connue sout le nom CSA International (a), sous les auspices de laquelle cette Norme nationale a et6 pr6pa thii remains the continuing responsibility of the accredited standardsdevelopment organization. Those who have a need to apply standards are encouraged to use Nat
11、ional Standards of Canada whenever practicable. These standards are subject to periodic review; therefore, users are cautioned to obtain the latest edition from the organization preparing the standard. Le Conseil di des nonnes est Iorganisme de coordination du Systeme de noma nationales, une federat
12、ion dorganismes independants et autonomes qui travaillent au developpement et a Iamelioration de la normalition volontaire dam Iinteet national. Les principaux buts du Conseil sont dencourager et de promowoir la normalisation volontaire comme moyen darneliorer I6conomie nationale, darneliorer la san
13、te, la skurite et le bien4tre du public, daider et de protkger le consommateur, de faciliter le commerce national et international et de favoriser la cooperation internationale dans le domaine de la normaliiation. Une Norme nationale du Canada est une norme, approwee par le Conseil canadien des norm
14、es, qui reRete une entente raisonnable parmi les points de we dun certain nombre de personnes comp6tentes dont les inteets cet aspect demeure la responsabilite de Iorganisme rtdacteur de normes accr6dit6. II est recommand6 aux personnes qui ont besoin de normes de se sewir des Normes nationales du C
15、anada lorsque la chose est possible. Ces norma font Iobjet dexamens p6riodiques ; cest pourquoi il est recomrnande aux utiliiateurs de se pnxurer Idition la plus r6cente de la norme aupk de Iorganisme qui Ia pr6par6e. The responsibility for approving National Standards of Canada rests with the La re
16、sponsabilite dapprower les Normes nationales du Canada incombe au Standards Council of Canada Conseil canadien des norma 45 OConnor Street, Suite 1200 45, rue OConnor, Bureau 1200 Ottawa, Ontario, K1 P 6N7 Canada National Standards of Canada are publiihed in Engliih and French. Les normes nationales
17、 du Canada sont publib en versions franwise et anqlaise. Although the intended primary application of this Standard is stated in its Scope, it is important to note that it remains the responsibility of the usen to judge its suitability for their particular purpose. Bien que le but premier vis6 pr ce
18、tte norme soit 6nonci sous sa rubrique Domaine dapplication, il est important de retenir quil incombe ir Iutilisateur de juger si la norme convient 21 ses besoins particulien. CAN/CSA-ISO/CEI 7 7 577-97 Technologies de Iin formation - lnterconnexion de systgmes ouverts (051) - Protocole de securite
19、de la couche reseau CAN/CSA-ISO/CEI 11 577-97 TechnoZogies de Zinfovmation - Interconnexion de systhes ouverts (OSI) - PvotocoZe de sknrrit6 de la couche r6seuu Pdfuce CSA Les normes du secteur de la technologie de Iinformation sont harmonisees avec les normes internationales. Au nom du Conseil cana
20、dien des normes (CCN), organisme membre de IISO et parrain du ComitC national canadien de la CEI, le ComitC technique CSA sur la technologie de Iinformation (CrrI) reprCsente le ComitC consultatif canadien (CCC) au sein du ComitC technique conjoint 1 ISO/CEI sur la technologie de Iinformation (JTCl
21、ISO/CEI). En outre, a titre de membre de IUnion internationale des tCICcommunications (UIT), le Canada fait partie du comitC consultatif international t6lCgraphique et tClCphonique (CCIlT). Cette norme internationale a CtC examinee puis acceptCe pour le Canada par le Crrl de la CSA, sous IautoritC d
22、u ComitC directeur de normalisation sur la technologie de Iinformation. (Une liste des membres du cornit6 peut etre obtenue sur demande aupres du coordonnateur du comitC CSA.) De temps a autre, IISO et la CEI publient des addenda, des modifications, etc. Le Crrl de la CSA examine ces derniers docume
23、nts aux fins dapprobation et de publication. Pour prendre connaissance de la liste de ces documents, veuillez consulter le catalogue des produits dinformation CSA ou la publication Info Update ou, encore, communiquer avec un representant des ventes CSA. De plus, cette norme a CtC officiellement appr
24、ouvCe, sans modifications, par ces comitCs et approuvCe comme Norme nationale du Canada par le Conseil canadien des normes. luin 7999 0 Association canadienne de normalisation - 7 999 Tous droits reserves. Aucune partie de cette publication ne peut tre reproduite daucune fapn, que ce soit, sans la p
25、ermission prealable de Iediteur. Limpression du document ISO/CEI a ete autorisee. Toute demande de renseignements sur cette Norme nationale du Canada devrait i.s. Saul prescription difftrente, aucune partie de ceue publication ne petit Ctre reproduite ni utilisie sous quelque forme que ce soit et pa
26、r aucun procide. ilectronique ou mkanique, y compris la photocopie et les microfilms. ban Iaccord Ccrit de Itditeur. ISO/CEI Copyright Office Case postale 56 CH-121 1 Geneve 20 Suisse Verbion franqaise tirte en 1996 Page I 1 2 3 3 3 3 4 4 4 4 4 4 5 5 5 5 5 5 6 6 7 7 8 Y !I 11 .l - 11 0 ISO/CEI ISOKE
27、I 11577:1995(F) 6 7 8 9 10 11 I? 13 Fonctions de protocole communes aux protocoles NLSP-CL et NLSP-CO . 6.1 Introduction . 6.2 Attributs SA comm . 6.3 6.4 6.5 . Fonctions communes lors dune demande dinstance de communication Fonctions de protocole de transfert de donnees sures Utilisation dun protoc
28、ole dassociation de securite Fonctions de protocole pour le protocole NLSP-CL Services assures par le protocole NLSP-CL . 7.2 Services implicites . 7.1 7.3 Attributs dassociation de s 7.4 Verifications 7.5 Etablissement dassociation SA dans la bande 7.6 Traitement dune demande NLSP-UNITDATA 7.7 Trai
29、tement de Iindication UN-UNITDATA . Fonctions de protocole pour le protocole NLSP-CO . 8.1 Services assures par le protocole NLSP-CO . 8.2 Services implicites . 8.3 Attributs dassociation de securite . 8.4 Verifications et autres fonctions communes . 8.5 Fonctions NLSP-CONNECT 8.6 Fonctions NLSP-DAT
30、A 8.7 Fonctions NLSP-EXPEDITED-DATA (donnees exprks NLSP) . 8.8 Fonctions RESET (reinitialisation) . 8.9 Fonctions NLSP-DATA-ACKNOWLEDGE . 8 .IO Primitive NLSP-DISCONNECT 8.11 Autres fonctions 8.12 Authentification de lentitk homologue . Vue densemble des mecanismes utilises 9.1 Services et mecanism
31、es de securite 9.2 Fonctions mises en euvre . Commande de securite de connexion (NLSP-CO seulementj . 10.1 Vue densemble . 10.2 Attributs SA 10.3 Procedures . 10.4 Champi de CSC PDU utilises . Fonction dencapsulation fondee sur la SDT PDU 11 . 1 Vue densemble . I I.? Attnbuts SA . 1 1.3 Procedures .
32、 11.3 Champs de PDU utilises . Fonction dencapsulation fondee sur Iattribut No-Header (NLSP-CO seulement) . 12.1 Vue densemble . 12.2 Attributs SA 12.3 Procedures . Structure et codape des PDU . 13.1 Introduction . 13.2 Format du ch u . 13.3 Donnees protegees 13.3 PDU dassociation de securite . 13.5
33、 PDU de commande de securite de connexion . 13 13 13 14 15 17 17 17 17 17 18 18 18 19 20 20 21 22 22 23 35 36 37 38 39 41 43 44 43 45 45 45 46 47 48 48 48 39 50 52 53 53 53 53 54 54 53 55 61 61 Ill ISOKEI 11577:1995(F) 0 ISOKEI 14 Conformite . Conditions de conformite statique Declaration de conform
34、ite dune instance de protocole . 14.1 14.2 14.3 Conditions requises pour la conformite dynamique Annexe A - Mise en correspondance des primitives UN avec la Rec . X.213 du CCITT I IS0 8348 Annexe B - Mise en correspondance des primitives UN avec la Rec . X.25 du CCITT I IS0 8208 . Annexe C - Protoco
35、le dassociation de skcuritt utilisant Iechange de jetons de cle et des signatures Annexe D - Formulaire PICS NLSP . numeriques . Annexe E - Expose de certains principes de base du NLSP Annexe F - Exemple densemble agree de regles de securite . Annexe G - Associations et attributs de skcurite . Annex
36、e H - Exemple dechange de jetons de clC - Algorithme EKE . . 63 63 65 66 67 68 69 80 93 109 111 113 0 ISOKEI ISOKEI 11577:1995(F) Avant-propos LISO (Organisation internationale de normalisation) et la CEI (Commission electrotechnique internationale) forment ensemble un systeme consacre i la normalis
37、ation internationale consideree comme un tout. Les organismes nationaux membres de IISO ou de la CEI participent au developpement de Normes inter- nationales par Iinterinediaire des comites techniques crees par Iorganisatioii concernee afin de soccuper des differents domaines particuliers de Iactivi
38、te technique. Les comites techniques de IISO et de la CEI collaborent dans des domaines dinteret commun. Dautres organisations internationales gouverne- mentales ou non gouvernementales, en liaison avec IISO et la CEI participent egalement aux travaux. Dans le domaine des technologies de linformatio
39、n. IISO et la CEI ont Cree un comite technique mixte, IISO/CEI JTC 1. Les projets de Normes internationales adoptes par le comite technique mixte sunt soumis aux organisiiies nationaux pour approbation, avant leur acceptation comme Normes internationales. Les Norines internationales sont approuvtes
40、conformement aux procedures qui requiirent Iapprobation de 75 % au rnoins des organismes nationaux votants. La Norme internationale ISOKEI 11577 a ete elaborke par le comite technique mixte ISOKEI JTC 1, Technologies de linfnmirriion. sous-comite SC 6. TelCinformnriyue, en collaboration avec IIUT-T.
41、 Le texte identique est publie en tant que Recommandation IUT-T X.273. NOTE - Les date5 de publication de IISO/CEI 7498-1. IISO/CEI 961h-1. IISOKEI 9646-2. IISOKEI 10731. IISO!CEI 10745 et IISOiCEI TR 13594. auxquclles il est fait reference dans la presente Norme internationale. diffcrent de celles
42、auxquellcs il est fait reference dans la Recommandation IUT-T X.273. du tat de la publication dc nouvelles editions pendant la preparation finale de la presentc Nnrmc intcriiati(rn;ilc Les annexes A a D font partie integrante de la presente Norme interiiJtioiicile Le innexes E a H wnt donnees unique
43、ment a titre dinforrnitioii ISO/CEI 11577:1995(F) o ISO/CEI Introduction Le protocole defini par la presente Recommandation de IUIT-T I Norme internationale est utilise pour assurer des services de securitk servant de support it une instance de communication entre des entites de couche inferieure. C
44、e protocole se caracterise, relativement aux autres normes, par la structure en couches definie dans la Rec. X.200 du CCITT I IS0 7498 ainsi que par Iorganisation de la couche reseau definie dans IS0 8648 et etendue par la Rec. X.802 de IUIT-T I TR 13595 (modde de securite de couche infkrieure). I1
45、permet la mise en ceuvre de services de securite servant de support ?I des services de reseau en mode connexion et sans connexion. Sa particularite est d b) c) contrble dacces: d) e) f) g) h) Les caracteristiques fonctionnelles requises pour les applications declarees conformes B la presente Recomma
46、ndation de IUIT-T I Norme internationale. authentification de Iorigine des donnees; confidentialite des donnees en mode connexion; confidentialite des donnees en mode sans connexion; confidentialite du flux de trafic; integrite en mode connexion sans reprise (y compris integrite des unites de donnee
47、s, dans laquelle Iintegrite de chaque SDU est protegee au cours dune connexion); integrite en mode sans connexion 2) Les procedures du present protocole sont dkfinies en termes de: a) conditions requises pour les techniques cryptographiques qui peuvent conditions requises pour les informations achem
48、inees dans Iassociation de securite utilisee dans une instance de communication. b) Bien que le degre de protection offert par certains mecanismes de securite depende de Iutilisation de certaines techniques cryptographiques, la mise en euvre correcte du present protocole ne depend pas du choix dun a
49、lporithme de codage ou de decodage particulier. Ce choix doit faire Iobjet dune decision locale au niveau des systemes de communication. En outre, ni le choix ni lapplication dune politique de securite particuliere nentrent dans le cadre de la presente Recommandation de IUIT-T I Norme internationale. II incombe aux autorites locales de choisir une politique de securite particuliere. donc le degre de protection qui sera assure. panni les systemes qui utili
