1、 Union internationale des tlcommunicationsUIT-T H.235.4SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (09/2005) SRIE H: SYSTMES AUDIOVISUELS ET MULTIMDIAS Infrastructure des services audiovisuels Aspects systme Cadre de scurit H.323: scurit des appels routage direct et des appels routage s
2、lectif Recommandation UIT-T H.235.4 RECOMMANDATIONS UIT-T DE LA SRIE H SYSTMES AUDIOVISUELS ET MULTIMDIAS CARACTRISTIQUES DES SYSTMES VISIOPHONIQUES H.100H.199 INFRASTRUCTURE DES SERVICES AUDIOVISUELS Gnralits H.200H.219 Multiplexage et synchronisation en transmission H.220H.229 Aspects systme H.230
3、H.239 Procdures de communication H.240H.259 Codage des images vido animes H.260H.279 Aspects lis aux systmes H.280H.299 Systmes et quipements terminaux pour les services audiovisuels H.300H.349 Architecture des services dannuaire pour les services audiovisuels et multimdias H.350H.359 Architecture d
4、e la qualit de service pour les services audiovisuels et multimdias H.360H.369 Services complmentaires en multimdia H.450H.499 PROCDURES DE MOBILIT ET DE COLLABORATION Aperu gnral de la mobilit et de la collaboration, dfinitions, protocoles et procdures H.500H.509 Mobilit pour les systmes et service
5、s multimdias de la srie H H.510H.519 Applications et services de collaboration multimdia mobile H.520H.529 Scurit pour les systmes et services multimdias mobiles H.530H.539 Scurit pour les applications et services de collaboration multimdia mobile H.540H.549 Procdures dinterfonctionnement de la mobi
6、lit H.550H.559 Procdures dinterfonctionnement de collaboration multimdia mobile H.560H.569 SERVICES LARGE BANDE ET MULTIMDIAS TRI-SERVICES Services multimdias large bande sur VDSL H.610H.619 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T H.235.4 (09/2005) i Recommandati
7、on UIT-T H.235.4 Cadre de scurit H.323: scurit des appels routage direct et des appels routage slectif Rsum Lobjet de la prsente Recommandation est de recommander des procdures de scurit pour lutilisation de la signalisation des appels routage direct en association avec les profils de scurit H.235.1
8、 et H.235.3. Ce profil de scurit est propos en option et peut venir complter les profils de scurit des Recommandations UIT-T H.235.1 et H.235.3. En outre, la prsente Recommandation donne des dtails sur limplmentation du 8.4/H.235.0 avec des techniques de gestion de cls symtriques. Dans les anciennes
9、 versions de la sous-srie H.235, ce profil tait dfini dans lAnnexe I/H.235. Les Appendices IV, V et VI/H.235.0 donnent le mappage entre tous les paragraphes, toutes les figures et tous les tableaux de la version 3 et tous ceux de la version 4 de la Rec. UIT-T H.235. Source La Recommandation UIT-T H.
10、235.4 a t approuve le 13 septembre 2005 par la Commission dtudes 16 (2005-2008) de lUIT-T selon la procdure dfinie dans la Recommandation UIT-T A.8. Mots cls Authentification, chiffrement, gestion de cls, intgrit, profil de scurit, scurit multimedia, scurit des appels routage direct, scurit des appe
11、ls routage slectif. ii Rec. UIT-T H.235.4 (09/2005) AVANT-PROPOS LUIT (Union internationale des tlcommunications) est une institution spcialise des Nations Unies dans le domaine des tlcommunications. LUIT-T (Secteur de la normalisation des tlcommunications) est un organe permanent de lUIT. Il est ch
12、arg de ltude des questions techniques, dexploitation et de tarification, et met ce sujet des Recommandations en vue de la normalisation des tlcommunications lchelle mondiale. LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude t
13、raiter par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes. Lapprobation des Recommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui corres
14、pondent la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CEI. NOTE Dans la prsente Recommandation, lexpression “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le
15、respect de cette Recommandation se fait titre volontaire. Cependant, il se peut que la Recommandation contienne certaines dispositions obligatoires (pour assurer, par exemple, linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observ
16、es. Le futur dobligation et les autres moyens dexpression de lobligation comme le verbe “devoir“ ainsi que leurs formes ngatives servent noncer des prescriptions. Lutilisation de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT att
17、ire lattention sur la possibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donner lieu lutilisation dun droit de proprit intellectuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soi
18、ent revendiqus par un Membre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandations. A la date dapprobation de la prsente Recommandation, lUIT navait pas t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Reco
19、mmandation. Toutefois, comme il ne sagit peut-tre pas de renseignements les plus rcents, il est vivement recommand aux responsables de la mise en uvre de consulter la base de donnes des brevets du TSB. UIT 2006 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelqu
20、e procd que ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T H.235.4 (09/2005) iii TABLE DES MATIRES Page 1 Domaine dapplication 1 2 Rfrences. 1 2.1 Rfrences normatives 1 2.2 Rfrences informatives . 2 3 Termes et dfinitions 2 4 Symboles et abrviations 2 5 Conventions 2 6 Introduction 3 7 Aper
21、u gnral 3 8 Limitations 4 9 Procdure DRC1 (environnement dentreprise) 4 9.1 Phase GRQ/RRQ 5 9.2 Phase ARQ . 5 9.3 Phase LRQ 5 9.4 Phase LCF 5 9.5 Phase ACF 6 9.6 Phase SETUP 8 10 Procdure DRC2 (environnement interdomaines) 9 10.1 Phase GRQ/RRQ 10 10.2 Phase ARQ . 10 10.3 Phase LRQ 10 10.4 Phase LCF
22、10 10.5 Phase ACF 11 10.6 Phase SETUP 13 11 Procdure DRC3 (environnement interdomaines) 16 11.1 Phase GRQ/RRQ 16 11.2 Phase ARQ . 16 11.3 Phase LRQ 16 11.4 Phase LCF 16 11.5 Phase ACF 17 11.6 Phase SETUP 18 12 Procdure de calcul de la cl au moyen de la fonction PRF. 20 13 Procdure de calcul de la cl
23、 fonde sur la Norme FIPS-140 21 14 Liste des identificateurs dobjet 22 Rec. UIT-T H.235.4 (09/2005) 1 Recommandation UIT-T H.235.4 Cadre de scurit H.323: scurit des appels routage direct et des appels routage slectif 1 Domaine dapplication Lobjet de la prsente Recommandation est de recommander des p
24、rocdures de scurit pour lutilisation de la signalisation des appels routage direct en association avec les profils de scurit H.235.1 et H.235.3. Ce profil de scurit est propos en option et peut venir complter les profils de scurit H.235.1 et H.235.3. En outre, la prsente Recommandation donne des dta
25、ils sur limplmentation du 8.4/H.235.0 avec des techniques de gestion de cls symtriques. 2 Rfrences 2.1 Rfrences normatives La prsente Recommandation se rfre certaines dispositions des Recommandations UIT-T et textes suivants qui, de ce fait, en sont partie intgrante. Les versions indiques taient en
26、vigueur au moment de la publication de la prsente Recommandation. Toute Recommandation ou tout texte tant sujet rvision, les utilisateurs de la prsente Recommandation sont invits se reporter, si possible, aux versions les plus rcentes des rfrences normatives suivantes. La liste des Recommandations d
27、e lUIT-T en vigueur est rgulirement publie. La rfrence un document figurant dans la prsente Recommandation ne donne pas ce document, en tant que tel, le statut dune Recommandation. Recommandation UIT-T H.225.0 (2003), Protocoles de signalisation dappel et paqutisation des flux monomdias pour les sys
28、tmes de communication multimdias en mode paquet. Recommandation UIT-T H.235 (2003), Scurit et chiffrement pour les terminaux multimdias de la srie H (terminaux H.323 et autres terminaux de type H.245), Corrigendum 1 (2005), plus Erratum 1 (2005). Recommandation UIT-T H.235.0 (2005), Cadre de scurit
29、H.323: cadre de scurit pour les systmes multimdias de la srie H (systmes H.323 et autres systmes de type H.245). Recommandation UIT-T H.235.1 (2005), Cadre de scurit H.323: profil de scurit de base. Recommandation UIT-T H.235.3 (2005), Cadre de scurit H.323: profil de scurit hybride. Recommandation
30、UIT-T H.235.6 (2005), Cadre de scurit H.323: profil pour le chiffrement vocal avec gestion de cls H.235/H.245 native. Recommandation UIT-T H.323 (2003), Systmes de communication multimdia en mode paquet. Recommandation UIT-T X.800 (1991), Architecture de scurit pour linterconnexion en systmes ouvert
31、s dapplications du CCITT. ISO/CEI 7498-2:1989, Systmes de traitement de linformation Interconnexion des systmes ouverts Modle de rfrence de base Partie 2: Architecture de scurit. 2 Rec. UIT-T H.235.4 (09/2005) ISO/CEI 10118-3:2004, Technologies de linformation Techniques de scurit Fonctions de broui
32、llage Partie 3: Fonctions de brouillage ddies. 2.2 Rfrences informatives Recommandation UIT-T H.235.2 (2005), Cadre de scurit H.323: profil de scurit avec signature. IETF RFC 4120 (2005), The Kerberos Network Authentication Service (V5). 3 Termes et dfinitions Dans la prsente Recommandation, les dfi
33、nitions figurant au 3 des Recommandations UIT-T H.323, H.225.0, H.235.0 et X.800 | ISO/CEI 7498-2 sappliquent, en plus de celles du prsent paragraphe. 4 Symboles et abrviations La prsente Recommandation utilise les abrviations suivantes: CT ClearToken DH Diffie-Hellman DRC appel routage direct (dire
34、ct-routed call) EKAGcl de chiffrement partage entre le point dextrmit A et le portier G EKBHcl de chiffrement partage entre le point dextrmit B et le portier H EKGHcl de chiffrement partage entre le portier G et le portier H ENCK; S, IV(M) chiffrement EOFB de M au moyen de la cl secrte K, de la cl d
35、e salage secrte S et du vecteur initial IV EPID identificateur de point dextrmit (endpoint identifier) GK portier (gatekeeper) GKID identificateur de portier (gatekeeper identifier) gx, gydemi-cl Diffie-Hellman du portier G, du portier H KABcl de chiffrement partage entre le point dextrmit A et le p
36、oint dextrmit B KAGsecret partag (H.235.1, H.235.3) entre le point dextrmit A et le portier G KBHsecret partag (H.235.1, H.235.3) entre le point dextrmit B et le portier H KGHsecret partag (H.235.1, H.235.3) entre le portier G et le portier H KSAGcl de salage partage secrte entre le point dextrmit A
37、 et le portier G KSBHcl de salage partage secrte entre le point dextrmit B et le portier H KSGHcl de salage partage secrte entre le portier G et le portier H PRF fonction pseudo-alatoire (pseudo-random function) 5 Conventions Dans la prsente Recommandation, les conventions suivantes sappliquent: la
38、forme “doit/doivent“ indique une disposition obligatoire; Rec. UIT-T H.235.4 (09/2005) 3 la forme “devrait/devraient“ indique une mesure suggre mais facultative; la forme “peut/peuvent“ indique une action possible plutt quune action recommande. Les identificateurs dobjet sont indiqus par un symbole
39、dans le texte (par exemple “I11“); le 14 donne la liste des valeurs numriques relles correspondant aux symboles didentificateur dobjet (voir galement le 5/H.235.0). 6 Introduction Pour la mise en uvre de la Rec. UIT-T H.323, on utilise souvent le modle de routage par portier (par exemple, pour tirer
40、 parti de meilleures fonctionnalits de facturation). La large utilisation des modles dappel routage par portier est aussi la raison pour laquelle diffrents profils de scurit reposant prcisment sur ce type de modle dappel sont dfinis dans la Rec. UIT-T H.235.0 (tels que les profils H.235.1, H.235.2,
41、H.235.3). Toutefois, tant donn la ncessit de prendre en charge un nombre croissant de canaux parallles, le modle dappel routage direct avec un portier peut conduire de meilleures performances et de meilleures proprits dvolutivit. Lavantage de ce modle tient ce quun portier est utilis pour lenregistr
42、ement, ladmission, la rsolution des adresses et la commande de largeur de bande mais que les appels sont tablis directement entre les points dextrmit de bout en bout. La prsente Recommandation dcrit les amliorations apporter au profil de scurit de base H.235.1 et au profil de scurit hybride H.235.3
43、afin de pouvoir prendre en charge des appels routage direct avec portier(s). 7 Aperu gnral Le profil de scurit de base H.235.1 ainsi que le profil de scurit hybride H.235.3 appliquent un secret partag (aprs la premire prise de contact) pour assurer lauthentification et/ou la protection de lintgrit d
44、es messages bond par bond, le portier tant utilis comme hte intermdiaire de confiance. Si on utilise le modle dappel routage direct, on ne peut pas supposer quil existe un secret partag entre deux points dextrmit. En outre, il nest pas commode dutiliser un secret partag prtabli pour scuriser la comm
45、unication car dans ce cas, il faudrait que tous les points dextrmit sachent lavance quel autre point dextrmit sera appel. La prsente Recommandation traite du scnario reprsent sur la Figure 1, dans lequel les points dextrmit sont rattachs un portier et utilisent une signalisation dappel routage direc
46、t. Dans ce scnario, on considre un rseau IP non scuris dans la zone du portier. On suppose que chaque point dextrmit a une relation de communication et une association de scurit avec son portier et que chaque point dextrmit sest enregistr de manire scurise auprs du portier en utilisant le profil de
47、scurit de base ou le profil de scurit hybride. Ainsi, le portier du point dextrmit dorigine (DRC1) ou le portier du point dextrmit de destination (DRC2) est en mesure doffrir un secret partag pour des points dextrmit en communication directe en utilisant une approche de type Kerberos (voir RFC 4120). 4 Rec. UIT-T H.235.4 (09/2005) Figure 1/H.235.4 Scnario dun appel routage direct La prsente Recommandation dcrit deux procdures, DRC1 et DRC2, pour des
