1、 Union internationale des tlcommunicationsUIT-T H.235.2SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (09/2005) SRIE H: SYSTMES AUDIOVISUELS ET MULTIMDIAS Infrastructure des services audiovisuels Aspects systme Cadre de scurit H.323: profil de scurit avec signature Recommandation UIT-T H.2
2、35.2 RECOMMANDATIONS UIT-T DE LA SRIE H SYSTMES AUDIOVISUELS ET MULTIMDIAS CARACTRISTIQUES DES SYSTMES VISIOPHONIQUES H.100H.199 INFRASTRUCTURE DES SERVICES AUDIOVISUELS Gnralits H.200H.219 Multiplexage et synchronisation en transmission H.220H.229 Aspects systme H.230H.239 Procdures de communicatio
3、n H.240H.259 Codage des images vido animes H.260H.279 Aspects lis aux systmes H.280H.299 Systmes et quipements terminaux pour les services audiovisuels H.300H.349 Architecture des services dannuaire pour les services audiovisuels et multimdias H.350H.359 Architecture de la qualit de service pour les
4、 services audiovisuels et multimdias H.360H.369 Services complmentaires en multimdia H.450H.499 PROCDURES DE MOBILIT ET DE COLLABORATION Aperu gnral de la mobilit et de la collaboration, dfinitions, protocoles et procdures H.500H.509 Mobilit pour les systmes et services multimdias de la srie H H.510
5、H.519 Applications et services de collaboration multimdia mobile H.520H.529 Scurit pour les systmes et services multimdias mobiles H.530H.539 Scurit pour les applications et services de collaboration multimdia mobile H.540H.549 Procdures dinterfonctionnement de la mobilit H.550H.559 Procdures dinter
6、fonctionnement de collaboration multimdia mobile H.560H.569 SERVICES LARGE BANDE ET MULTIMDIAS TRI-SERVICES Services multimdias large bande sur VDSL H.610H.619 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T H.235.2 (09/2005) i Recommandation UIT-T H.235.2 Cadre de scuri
7、t H.323: profil de scurit avec signature Rsum La prsente Recommandation dcrit un profil de scurit facultatif visant utiliser des signatures numriques pour scuriser la signalisation H.225.0. Dans les anciennes versions de la sous-srie H.235, ce profil tait dfini dans lAnnexe E/H.235. Les Appendices I
8、V, V et VI/H.235.0 donnent le mappage entre tous les paragraphes, toutes les figures et tous les tableaux de la version 3 et tous ceux de la version 4 de la Rec. UIT-T H.235. Source La Recommandation UIT-T H.235.2 a t approuve le 13 septembre 2005 par la Commission dtudes 16 (2005-2008) de lUIT-T se
9、lon la procdure dfinie dans la Recommandation UIT-T A.8. Mots cls Authentification, certificat, chiffrement, gestion de cls, intgrit, profil de scurit, scurit multimdia, signature numrique. ii Rec. UIT-T H.235.2 (09/2005) AVANT-PROPOS LUIT (Union internationale des tlcommunications) est une institut
10、ion spcialise des Nations Unies dans le domaine des tlcommunications. LUIT-T (Secteur de la normalisation des tlcommunications) est un organe permanent de lUIT. Il est charg de ltude des questions techniques, dexploitation et de tarification, et met ce sujet des Recommandations en vue de la normalis
11、ation des tlcommunications lchelle mondiale. LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes. Lapprobation des Rec
12、ommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CEI. NOTE Dans la prse
13、nte Recommandation, lexpression “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recommandation se fait titre volontaire. Cependant, il se peut que la Recommandation contienne certaines disposit
14、ions obligatoires (pour assurer, par exemple, linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation et les autres moyens dexpression de lobligation comme le verbe “devoir“ ainsi que leurs formes ngatives s
15、ervent noncer des prescriptions. Lutilisation de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donner lieu lutilisation
16、dun droit de proprit intellectuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un Membre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandations. A la date dappr
17、obation de la prsente Recommandation, lUIT navait pas t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas de renseignements les plus rcents, il est vivement recommand aux responsable
18、s de la mise en uvre de consulter la base de donnes des brevets du TSB. UIT 2006 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd que ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T H.235.2 (09/2005) iii TABLE DES MATIRES Page 1 Domaine dapplic
19、ation 1 2 Rfrences. 1 2.1 Rfrences normatives 1 2.2 Rfrences informatives . 2 3 Termes et dfinitions 2 4 Symboles et abrviations 3 5 Conventions 4 6 Aperu gnral 5 6.1 Prescriptions H.323 8 7 Signatures numriques avec paires de cls publiques/prives (procdure II) 8 8 Procdures de confrence multipoint
20、10 9 Authentification de bout en bout (procdure III) 10 10 Authentification seulement. 12 11 Authentification et intgrit 13 12 Calcul de la signature numrique . 14 13 Vrification de la signature numrique. 14 14 Traitement des certificats 14 15 Exemple dutilisation de la procdure II. 16 15.1 Authenti
21、fication, intgrit et non-rpudiation des messages RAS. 17 15.2 Authentification seulement des messages RAS . 18 15.3 Authentification, intgrit et non-rpudiation des messages H.225.0 19 15.4 Authentification et intgrit des messages H.245 19 16 Compatibilit avec le contexte H.235 version 1. 20 17 Compo
22、rtement pour les messages multidestinatires. 20 18 Liste des messages de signalisation scuriss 20 18.1 Messages RAS H.225.0 20 18.2 Messages de signalisation dappel H.225.0 20 19 Utilisation des identificateurs sendersID et generalID . 21 20 Liste des identificateurs dobjet 21 Rec. UIT-T H.235.2 (09
23、/2005) 1Recommandation UIT-T H.235.2 Cadre de scurit H.323: profil de scurit avec signature 1 Domaine dapplication La prsente Recommandation dcrit un profil de scurit facultatif visant utiliser des signatures numriques pour scuriser la signalisation H.225.0. 2 Rfrences 2.1 Rfrences normatives La prs
24、ente Recommandation se rfre certaines dispositions des Recommandations UIT-T et textes suivants qui, de ce fait, en sont partie intgrante. Les versions indiques taient en vigueur au moment de la publication de la prsente Recommandation. Toute Recommandation ou tout texte tant sujet rvision, les util
25、isateurs de la prsente Recommandation sont invits se reporter, si possible, aux versions les plus rcentes des rfrences normatives suivantes. La liste des Recommandations de lUIT-T en vigueur est rgulirement publie. La rfrence un document figurant dans la prsente Recommandation ne donne pas ce docume
26、nt, en tant que tel, le statut dune Recommandation. Recommandation UIT-T H.225.0 (2003), Protocoles de signalisation dappel et paqutisation des flux monomdias pour les systmes de communication multimdias en mode paquet. Recommandation UIT-T H.235 (1998), Scurit et cryptage des terminaux multimdias d
27、e la srie H (terminaux H.323 et autres terminaux de type H.245). Recommandation UIT-T H.235.0 (2005), Cadre de scurit H.323: cadre de scurit pour les systmes multimdias de la srie H (systmes H.323 et autres systmes de type H.245). Recommandation UIT-T H.235.1 (2005), Cadre de scurit H.323: profil de
28、 scurit de base. Recommandation UIT-T H.235.6 (2005), Cadre de scurit H.323: profil pour le chiffrement vocal avec gestion de cls H.235/H.245 native. Recommandation UIT-T H.245 (2005), Protocole de commande pour communications multimdias. Recommandation UIT-T H.323 (2003), Systmes de communication m
29、ultimdia en mode paquet. Recommandation UIT-T Q.931 (1998), Spcification de la couche 3 de linterface utilisateur-rseau RNIS pour la commande de lappel de base. Recommandation UIT-T X.509 (2005) | ISO/CEI 9594-8:2005, Technologies de linformation Interconnexion des systmes ouverts Lannuaire: cadre g
30、nral des certificats de cl publique et dattribut. Recommandation UIT-T X.800 (1991), Architecture de scurit pour linterconnexion en systmes ouverts dapplications du CCITT. Recommandation UIT-T X.803 (1994) | ISO/CEI 10745:1995, Technologies de linformation Interconnexion des systmes ouverts Modle de
31、 scurit pour les couches suprieures. Rec. UIT-T H.235.2 (09/2005) 2 Recommandation UIT-T X.810 (1995) | ISO/CEI 10181-1:1996, Technologies de linformation Interconnexion des systmes ouverts Cadres de scurit pour les systmes ouverts: aperu gnral. Recommandation UIT-T X.811 (1995) | ISO/CEI 10181-2:19
32、96, Technologies de linformation Interconnexion des systmes ouverts Cadres de scurit pour les systmes ouverts: cadre dauthentification. ISO/CEI 7498-2:1989, Systmes de traitement de linformation Interconnexion de systmes ouverts Modle de rfrence de base Partie 2: Architecture de scurit. ISO/CEI 9798
33、-3:1998, Technologies de linformation Techniques de scurit Authentification dentit Partie 3: Mcanismes utilisant des techniques de signature numriques. IETF RFC 3280 (2002), Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. 2.2 Rfrences informatives
34、ISO/CEI 14888-3 ISO/CEI 14888-3:1998, Technologies de linformation Techniques de scurit Signatures digitales avec appendice Partie 3: Mcanismes fonds sur certificat. PKCS PKCS #1 v2.0: RSA Cryptography Standard; RSA Laboratories; 1eroctobre 1998; http:/ PKCS PKCS #7: Cryptographic Message Syntax Sta
35、ndard, An RSA Laboratories Technical Note, version 1.5, Revised 1ernovembre 1993; http:/ RFC1321 IETF RFC 1321 (1992), The MD5 Message-Digest Algorithm. RFC3447 IETF RFC 3447 (2003), Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1. 3 Termes et dfinitions Dans
36、 la prsente Recommandation, les dfinitions figurant au 3/H.323, au 3/H.225.0 et au 3/H.245 sappliquent, en plus de celles du prsent paragraphe. Certains des termes suivants sont utiliss selon la dfinition donne dans les Recommandations UIT-T X.800 | ISO 7498-2, X.803 | ISO/CEI 10745, X.810 | ISO/CEI
37、 10181-1 et X.811 | ISO/CEI 10181-2. 3.1 autorit de certification: utilise dans un contexte de signature lectronique, une Autorit de certification (CA) certifie les cls de vrification publique en mettant des “certificats“. 3.2 registre de certificats: un dpt de certificat (par exemple un annuaire X.
38、500) contient des certificats dutilisateur et des listes de rvocation de certificats (CRL). Il est fiable pour ce qui est de donner accs ces informations mais il nest responsable ni du contenu ni de lexactitude des informations quil reoit des entits CA et RA. 3.3 signature numrique: transformation c
39、ryptographique (au moyen dune technique cryptographique asymtrique) de la reprsentation numrique dun message de donnes, telle que toute personne ayant le message sign et la cl publique approprie peut dterminer: i) si la transformation a t faite au moyen de la cl prive correspondant la cl publique en
40、 question; ii) si le message sign na pas t altr depuis la transformation cryptographique. Rec. UIT-T H.235.2 (09/2005) 33.4 fournisseur de statut de certificat en ligne: le protocole de statut de certificat en ligne (OCSP) permet des applications de dterminer ltat de rvocation dun certificat identif
41、i. Le protocole OCSP peut tre utilis pour satisfaire certaines conditions oprationnelles visant fournir les informations de rvocation plus rapidement que cela nest possible avec les listes CRL. On peut considrer les fournisseurs de statut de certificat en ligne comme une alternative lemploi des list
42、es CRL hors ligne. 3.5 proxy: le proxy est une entit H.323 intermdiaire analogue un portier. Il peut tre un nud de rseau spar ou peut tre situ au mme endroit que la fonctionnalit dune entit H.323, par exemple celle dun portier. Le proxy peut effectuer des tches de scurit telles que la vrification de
43、 signatures et de certificats ainsi que le contrle daccs. 3.6 autorit denregistrement: les autorits denregistrement agissent comme des intermdiaires entre les utilisateurs et les autorits de certification. Elles reoivent des demandes manant des utilisateurs et les transmettent aux autorits de certif
44、ication sous une forme approprie. 3.7 autorit dhorodatage: les autorits dhorodatage sont obligatoires pour la non-rpudiation en cas de perte ou de corruption de cl. Dans la pratique, elles fournissent quiconque une contre-signature, avec une heure fiable, en plus dune valeur de hachage et dun identi
45、ficateur de hachage. 3.8 fournisseur de services de confiance: entit qui peut tre utilise par dautres entits comme un intermdiaire de confiance dans un processus de communication ou de vrification, ou comme un fournisseur de services dinformation de confiance. La prsente Recommandation utilise les t
46、ermes suivants dans le contexte de la fourniture des services de scurit. 3.9 authentification seulement: ce service de scurit du profil de scurit avec signature prend en charge lauthentification de lutilisateur lorsque celui-ci sauthentifie par la signature numrique correcte de donnes au moyen de la
47、 cl prive. On notera que ce service de scurit noffre pas de contre-mesures en cas dopration “couper il nest donc pas possible dassurer lintgrit de bout en bout. Nanmoins, lauthentification seulement peut galement tre applique bond par bond. La procdure III dfinit ce service de scurit dans le cas de bout en bout alors que la procdure II le dfinit dans le cas bond par bond. 3.10 authentification et intgrit: double servi
