1、 Union internationale des tlcommunicationsUIT-T H.235.3SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (09/2005) SRIE H: SYSTMES AUDIOVISUELS ET MULTIMDIAS Infrastructure des services audiovisuels Aspects systme Cadre de scurit H.323: profil de scurit hybride Recommandation UIT-T H.235.3 RE
2、COMMANDATIONS UIT-T DE LA SRIE H SYSTMES AUDIOVISUELS ET MULTIMDIAS CARACTRISTIQUES DES SYSTMES VISIOPHONIQUES H.100H.199 INFRASTRUCTURE DES SERVICES AUDIOVISUELS Gnralits H.200H.219 Multiplexage et synchronisation en transmission H.220H.229 Aspects systme H.230H.239 Procdures de communication H.240
3、H.259 Codage des images vido animes H.260H.279 Aspects lis aux systmes H.280H.299 Systmes et quipements terminaux pour les services audiovisuels H.300H.349 Architecture des services dannuaire pour les services audiovisuels et multimdias H.350H.359 Architecture de la qualit de service pour les servic
4、es audiovisuels et multimdias H.360H.369 Services complmentaires en multimdia H.450H.499 PROCDURES DE MOBILIT ET DE COLLABORATION Aperu gnral de la mobilit et de la collaboration, dfinitions, protocoles et procdures H.500H.509 Mobilit pour les systmes et services multimdias de la srie H H.510H.519 A
5、pplications et services de collaboration multimdia mobile H.520H.529 Scurit pour les systmes et services multimdias mobiles H.530H.539 Scurit pour les applications et services de collaboration multimdia mobile H.540H.549 Procdures dinterfonctionnement de la mobilit H.550H.559 Procdures dinterfonctio
6、nnement de collaboration multimdia mobile H.560H.569 SERVICES LARGE BANDE ET MULTIMDIAS TRI-SERVICES Services multimdias large bande sur VDSL H.610H.619 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T H.235.3 (09/2005) i Recommandation UIT-T H.235.3 Cadre de scurit H.323
7、: profil de scurit hybride Rsum La prsente Recommandation a pour objet de dcrire un profil de scurit hybride, efficace et adaptable, fond sur linfrastructure cl publique PKI, pour la version 2 de la Rec. UIT-T H.235.0 ou pour une version suprieure. Le profil prsent ici tire parti des profils de scur
8、it dcrits dans les Recommandations UIT-T H.235.1 et H.235.2 par la mise en uvre des signatures numriques H.235.2 et du profil de scurit de base de la Rec. UIT-T H.235.1. Dans les anciennes versions de la sous-srie H.235, ce profil tait dfini dans lAnnexe F/H.235. Les Appendices IV, V et VI/H.235.0 d
9、onnent le mappage entre tous les paragraphes, toutes les figures et tous les tableaux de la version 3 et tous ceux de la version 4 de la Rec. UIT-T H.235. Source La Recommandation UIT-T H.235.3 a t approuve le 13 septembre 2005 par la Commission dtudes 16 (2005-2008) de lUIT-T selon la procdure dfin
10、ie dans la Recommandation UIT-T A.8. Mots cls Authentification, certificat, chiffrement, gestion de cls, intgrit, profil de scurit, scurit multimdia, signature numrique. ii Rec. UIT-T H.235.3 (09/2005) AVANT-PROPOS LUIT (Union internationale des tlcommunications) est une institution spcialise des Na
11、tions Unies dans le domaine des tlcommunications. LUIT-T (Secteur de la normalisation des tlcommunications) est un organe permanent de lUIT. Il est charg de ltude des questions techniques, dexploitation et de tarification, et met ce sujet des Recommandations en vue de la normalisation des tlcommunic
12、ations lchelle mondiale. LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes. Lapprobation des Recommandations par les
13、 Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CEI. NOTE Dans la prsente Recommandation,
14、lexpression “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recommandation se fait titre volontaire. Cependant, il se peut que la Recommandation contienne certaines dispositions obligatoires (p
15、our assurer, par exemple, linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation et les autres moyens dexpression de lobligation comme le verbe “devoir“ ainsi que leurs formes ngatives servent noncer des pr
16、escriptions. Lutilisation de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donner lieu lutilisation dun droit de proprit
17、 intellectuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un Membre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandations. A la date dapprobation de la prsent
18、e Recommandation, lUIT avait t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas de renseignements les plus rcents, il est vivement recommand aux responsables de la mise en uvre de c
19、onsulter la base de donnes des brevets du TSB. UIT 2006 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd que ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T H.235.3 (09/2005) iii TABLE DES MATIRES Page 1 Domaine dapplication 1 2 Rfrences. 1 2.1
20、 Rfrences normatives 1 2.2 Rfrences informatives . 2 3 Termes et dfinitions 2 4 Symboles et abrviations 2 5 Conventions 3 6 Aperu gnral 4 6.1 Prescriptions H.323 7 6.2 Authentification et intgrit 7 7 Procdure IV. 8 8 Association de scurit pour appels simultans 9 9 Mise jour de la cl 10 10 Utilisatio
21、n de techniques courbe elliptique 11 11 Exemples dillustration . 11 12 Comportement pour les messages multidestinataires. 14 13 Liste des messages de signalisation scuriss 14 13.1 Messages RAS H.225.0 14 13.2 Messages de signalisation dappel H.225.0 (domaine administratif unique) 14 13.3 Messages de
22、 signalisation dappel H.225.0 (plusieurs domaines administratifs). 15 14 Liste des identificateurs dobjet 15 Appendice I Processeur de scurit de portier H.235.3 16 I.1 Dcouverte dun processeur de scurit de portier . 18 I.2 Oprations du processeur de scurit de portier. 19 I.3 Jeton de processeur. 21
23、I.4 Exemple dillustration dune entit GKSP 23 I.5 Liste des identificateurs dobjet 29 Rec. UIT-T H.235.3 (09/2005) 1 Recommandation UIT-T H.235.3 Cadre de scurit H.323: profil de scurit hybride 1 Domaine dapplication La prsente Recommandation a pour objet de dcrire un profil de scurit hybride, effica
24、ce et adaptable, fond sur linfrastructure cl publique PKI, pour la version 2 de la Rec. UIT-T H.235.0 ou pour une version suprieure. Le profil prsent ici tire parti des profils de scurit dcrits dans les Recommandations UIT-T H.235.1 et H.235.2 par la mise en uvre des signatures numriques H.235.2 et
25、du profil de scurit de base H.235.1. 2 Rfrences 2.1 Rfrences normatives La prsente Recommandation se rfre certaines dispositions des Recommandations UIT-T et textes suivants qui, de ce fait, en sont partie intgrante. Les versions indiques taient en vigueur au moment de la publication de la prsente R
26、ecommandation. Toute Recommandation ou tout texte tant sujet rvision, les utilisateurs de la prsente Recommandation sont invits se reporter, si possible, aux versions les plus rcentes des rfrences normatives suivantes. La liste des Recommandations de lUIT-T en vigueur est rgulirement publie. La rfre
27、nce un document figurant dans la prsente Recommandation ne donne pas ce document, en tant que tel, le statut dune Recommandation. Recommandation UIT-T H.225.0 (2003), Protocoles de signalisation dappel et paqutisation des flux monomdias pour les systmes de communication multimdias en mode paquet. Re
28、commandation UIT-T H.235, version 1 (1998), Scurit et cryptage des terminaux multimdias de la srie H (terminaux H.323 et autres terminaux de type H.245). Recommandation UIT-T H.235, version 2 (2000), Scurit et cryptage des terminaux multimdias de la srie H (terminaux H.323 et autres terminaux de typ
29、e H.245). Recommandation UIT-T H.235.0 (2005), Cadre de scurit H.323: cadre de scurit pour les systmes multimdias de la srie H (systmes H.323 et autres systmes de type H.245). Recommandation UIT-T H.235.1 (2005), Cadre de scurit H.323: profil de scurit de base. Recommandation UIT-T H.235.2 (2005), C
30、adre de scurit H.323: profil de scurit avec signature. Recommandation UIT-T H.235.6 (2005), Cadre de scurit H.323: profil pour le chiffrement vocal avec gestion de cls H.235/H.245 native. Recommandation UIT-T H.245 (2005), Protocole de commande pour communications multimdias. Recommandation UIT-T H.
31、323 (2003), Systmes de communication multimdia en mode paquet. Recommandation UIT-T Q.931 (1998), Spcification de la couche 3 de linterface utilisateur-rseau RNIS pour la commande de lappel de base. Recommandation UIT-T X.509 (2005) | ISO/CEI 9594-8:2005, Technologies de linformation Interconnexion
32、des systmes ouverts Lannuaire: cadre gnral des certificats de cl publique et dattribut. 2 Rec. UIT-T H.235.3 (09/2005) Recommandation UIT-T X.800 (1991), Architecture de scurit pour linterconnexion en systmes ouverts dapplications du CCITT. ISO 7498-2:1989, Systmes de traitement de linformation Inte
33、rconnexion de systmes ouverts Modle de rfrence de base Partie 2: Architecture de scurit. Recommandation UIT-T X.803 (1994) | ISO/CEI 10745:1995, Technologies de linformation Interconnexion des systmes ouverts Modle de scurit pour les couches suprieures. Recommandation UIT-T X.810 (1995) | ISO/CEI 10
34、181-1:1996, Technologies de linformation Interconnexion des systmes ouverts Cadres de scurit pour les systmes ouverts: aperu gnral. Recommandation UIT-T X.811 (1995) | ISO/CEI 10181-2:1996, Technologies de linformation Interconnexion des systmes ouverts Cadres de scurit pour les systmes ouverts: cad
35、re dauthentification. IETF RFC 3280 (2002), Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. 2.2 Rfrences informatives ISO | CEI 14888-3 ISO/CEI 14888-3:1998, Technologies de linformation Techniques de scurit Signatures digitales avec appendice Part
36、ie 3: Mcanismes fonds sur certificat. PKCS PKCS #1 v2.0: RSA Cryptography Standard; RSA Laboratories; 1eroctobre 1998; http:/ PKCS PKCS #7: Cryptographic Message Syntax Standard, An RSA Laboratories Technical Note, version 1.5, Revised 1ernovembre 1993; http:/ RFC1321 IETF RFC 1321 (1992), The MD5 M
37、essage-Digest Algorithm. 3 Termes et dfinitions Dans la prsente Recommandation, les dfinitions figurant au 3/H.323, au 3/H.225.0 et au 3/H.245 sappliquent, en plus de celles du prsent paragraphe. Certains des termes suivants sont utiliss selon la dfinition donne dans la Rec. UIT-T X.800 | ISO 7498-2
38、, X.803 | ISO/CEI 10745, X.810 | ISO/CEI 10181-1, X.811 | ISO/CEI 10181-2 et H.235.0. 4 Symboles et abrviations La prsente Recommandation utilise les abrviations suivantes: ALG passerelle au niveau application (application level gateway) ASN.1 notation de syntaxe abstraite numro un (abstract syntax
39、notation one) BRJ rejet de largeur de bande (bandwidth reject) BRQ demande de largeur de bande (bandwidth request) CA autorit de certification (certification authority) CRL liste de rvocation de certificats (certificate revocation list) DB base de donnes (database) DH Diffie-Hellman Rec. UIT-T H.235
40、.3 (09/2005) 3 DN nom distinctif (distinguished name) EP point dextrmit (endpoint) GCF confirmation de portier (gatekeeper confirm) GK portier (gatekeeper) GKID identificateur de portier (gatekeeper identifier) GKSP processeur de scurit de portier (gatekeeper security processor) GRJ rejet de portier
41、 (gatekeeper reject) GRQ demande de portier (gatekeeper request) HMAC code dauthentification de message “daprs les signaux parasites“ (hashed message authentication code) ICV valeur de contrle dintgrit (integrity check value) ID identificateur IP protocole Internet (Internet protocol) LDAP protocole
42、 rapide daccs lannuaire (lightweight directory access protocol) LRQ demande de localisation (location request) MCU unit de commande multidiffusion, pont de confrence (multipoint control unit) MD5 rsum de message numro 5 (message digest 5) NAT traduction dadresse de rseau (network address translation
43、) OID identificateur dobjet (object identifier) PDU unit de donnes protocolaire (protocol data unit) PKI infrastructure cl publique (public key infrastructure) RAS enregistrement, admission et statut (registration, admission and status) RCF confirmation denregistrement (registration confirm) RRJ rej
44、et denregistrement (registration reject) RRQ demande denregistrement (registration request) RSA algorithme cl publique de Rivest, Shamir et Adleman (Rivest, Shamir and Adleman encryption algorithm) RTP protocole de transport en temps rel (real-time transport protocol) SHA algorithme de hachage scuri
45、s (secure hash algorithm) UDP protocole datagramme dutilisateur (user datagram protocol) URQ demande de dsenregistrement (unregistration request) VoIP tlphonie utilisant le protocole Internet (voice over Internet protocol) 5 Conventions Dans la prsente Recommandation, les conventions suivantes sappl
46、iquent: la forme “doit/doivent“ indique une disposition obligatoire; la forme “devrait/devraient“ indique une mesure suggre mais facultative; la forme “peut/peuvent“ indique une action possible plutt quune action recommande. 4 Rec. UIT-T H.235.3 (09/2005) La description du profil de scurit hybride u
47、tilise les termes et dfinitions des Recommandations UIT-T H.235.1 et H.235.2. Si le service dintgrit des messages fournit toujours lauthentification des messages, linverse nest pas toujours vrai. En mode dauthentification seulement, lintgrit assure porte uniquement sur un sous-ensemble donn de champs de message. Cela sapplique aux services dintgrit assurs par des moyens asymtriques (par exemple des signatures numriques). Donc, en pratique, le double service da