1、 UNION INTERNATIONALE DES TLCOMMUNICATIONS UIT-T X.1122SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (04/2004) SRIE X: RSEAUX DE DONNES ET COMMUNICATION ENTRE SYSTMES OUVERTS Scurit des tlcommunications Lignes directrices pour la ralisation de systmes mobiles scuriss bass sur linfrastruct
2、ure de cls publiques (PKI) Recommandation UIT-T X.1122 RECOMMANDATIONS UIT-T DE LA SRIE X RSEAUX DE DONNES ET COMMUNICATION ENTRE SYSTMES OUVERTS RSEAUX PUBLICS DE DONNES Services et fonctionnalits X.1X.19 Interfaces X.20X.49 Transmission, signalisation et commutation X.50X.89 Aspects rseau X.90X.14
3、9 Maintenance X.150X.179 Dispositions administratives X.180X.199 INTERCONNEXION DES SYSTMES OUVERTS Modle et notation X.200X.209 Dfinitions des services X.210X.219 Spcifications des protocoles en mode connexion X.220X.229 Spcifications des protocoles en mode sans connexion X.230X.239 Formulaires PIC
4、S X.240X.259 Identification des protocoles X.260X.269 Protocoles de scurit X.270X.279 Objets grs des couches X.280X.289 Tests de conformit X.290X.299 INTERFONCTIONNEMENT DES RSEAUX Gnralits X.300X.349 Systmes de transmission de donnes par satellite X.350X.369 Rseaux protocole Internet X.370X.399 SYS
5、TMES DE MESSAGERIE X.400X.499 ANNUAIRE X.500X.599 RSEAUTAGE OSI ET ASPECTS SYSTMES Rseautage X.600X.629 Efficacit X.630X.639 Qualit de service X.640X.649 Dnomination, adressage et enregistrement X.650X.679 Notation de syntaxe abstraite numro un (ASN.1) X.680X.699 GESTION OSI Cadre gnral et architect
6、ure de la gestion-systmes X.700X.709 Service et protocole de communication de gestion X.710X.719 Structure de linformation de gestion X.720X.729 Fonctions de gestion et fonctions ODMA X.730X.799 SCURIT X.800X.849 APPLICATIONS OSI Engagement, concomitance et rtablissement X.850X.859 Traitement transa
7、ctionnel X.860X.879 Oprations distantes X.880X.899 TRAITEMENT RPARTI OUVERT X.900X.999 SCURIT DES TLCOMMUNICATIONS X.1000 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T X.1122 (04/2004) i Recommandation UIT-T X.1122 Lignes directrices pour la ralisation de systmes mobil
8、es scuriss bass sur linfrastructure de cls publiques (PKI) Rsum Bien quelles constituent des technologies propres mettre en uvre de nombreuses fonctions de scurit (chiffrement, signature numrique, intgrit des donnes, etc.) dans le cadre des communications mobiles de donnes de bout en bout, les techn
9、ologies infrastructure de cls publiques (PKI) doivent tre adaptes ce type dutilisation. Toutefois, la mthode permettant de construire et de grer des systmes mobiles scuriss fonds sur les technologies PKI na pas encore t dfinie. La prsente Recommandation dcrit le cadre gnral pour ltablissement des sy
10、stmes de ce type. Source La Recommandation UIT-T X.1122 a t approuve le 29 avril 2004 par la Commission dtudes 17 (2001-2004) de lUIT-T selon la procdure dfinie dans la Recommandation UIT-T A.8. ii Rec. UIT-T X.1122 (04/2004) AVANT-PROPOS LUIT (Union internationale des tlcommunications) est une inst
11、itution spcialise des Nations Unies dans le domaine des tlcommunications. LUIT-T (Secteur de la normalisation des tlcommunications) est un organe permanent de lUIT. Il est charg de ltude des questions techniques, dexploitation et de tarification, et met ce sujet des Recommandations en vue de la norm
12、alisation des tlcommunications lchelle mondiale. LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes. Lapprobation des
13、 Recommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CEI. NOTE Dans la
14、prsente Recommandation, lexpression “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recommandation se fait titre volontaire. Cependant, il se peut que la Recommandation contienne certaines disp
15、ositions obligatoires (pour assurer, par exemple, linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation et les autres moyens dexpression de lobligation comme le verbe “devoir“ ainsi que leurs formes ngativ
16、es servent noncer des prescriptions. Lutilisation de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donner lieu lutilisat
17、ion dun droit de proprit intellectuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un Membre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandations. A la date d
18、approbation de la prsente Recommandation, lUIT navait pas t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas de renseignements les plus rcents, il est vivement recommand aux respons
19、ables de la mise en uvre de consulter la base de donnes des brevets du TSB. UIT 2004 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd que ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T X.1122 (04/2004) iii TABLE DES MATIRES Page 1 Domaine dapp
20、lication 1 2 Rfrences normatives 1 3 Termes et dfinitions 2 3.1 Dfinitions relatives au cadre gnral des cls publiques et des certificats dattribut 2 3.2 Dfinitions relatives larchitecture de scurit du modle de rfrence OSI 2 3.3 Lignes directrices concernant lutilisation et la gestion des dfinitions
21、de services tiers de confiance 2 3.4 Caractristiques des services et dispositions applicables lexploitation figurant dans les dfinitions IMT-2000 2 3.5 Dfinitions supplmentaires . 2 4 Abrviations 3 5 Classification des technologies PKI . 3 6 Modles de systmes mobiles scuriss bass sur les technologie
22、s PKI 4 6.1 Modle gnral de systmes mobiles scuriss bass sur les technologies PKI 4 6.2 Modle passerelle de systmes mobiles scuriss bass sur les technologies PKI 6 7 Oprations PKI pour communications mobiles de donnes de bout en bout . 6 7.1 Oprations PKI lies au cycle de vie du certificat 6 8 Modle
23、dutilisation dans les services de tlcommunication 9 8.1 Fonction assurer dans le modle dutilisation par la couche Session. 9 8.2 Modle dutilisation au niveau application. 13 9 Exemples de configuration de systme. 14 9.1 Exemples de configuration de systme de gestion de certificat. 14 9.2 Exemple de
24、modle dauthentification bas sur le certificat 17 10 Infrastructure de cls publiques pour communications mobiles de donnes de bout en bout 20 10.1 Interoprabilit avec le systme existant 20 10.2 Utilisation de linfrastructure de cls publiques dans le service mobile. 21 10.3 Gnralits concernant linfras
25、tructure de cls publiques 23 Appendice I Exemples de modles de service 24 I.1 Modles de service de gestion de certificat 24 Rec. UIT-T X.1122 (04/2004) 1 Recommandation UIT-T X.1122 Lignes directrices pour la ralisation de systmes mobiles scuriss bass sur linfrastructure de cls publiques (PKI) 1 Dom
26、aine dapplication La prsente Recommandation indique le cadre gnral pour ltablissement de systmes mobiles scuriss fonds sur les technologies PKI. La prsente Recommandation couvre les applications suivantes: le contrle des certificats utiliss gnralement dans les systmes de communication; toutefois, la
27、 dfinition dune mthode dtablissement de communication mobile en tant que modle dtablissement doit tre exclue du domaine dapplication de la prsente Recommandation. 2 Rfrences normatives La prsente Recommandation se rfre certaines dispositions des Recommandations UIT-T et textes suivants qui, de ce fa
28、it, en sont partie intgrante. Les versions indiques taient en vigueur au moment de la publication de la prsente Recommandation. Toute Recommandation ou tout texte tant sujet rvision, les utilisateurs de la prsente Recommandation sont invits se reporter, si possible, aux versions les plus rcentes des
29、 rfrences normatives suivantes. La liste des Recommandations de lUIT-T en vigueur est rgulirement publie. La rfrence un document figurant dans la prsente Recommandation ne donne pas ce document, en tant que tel, le statut dune Recommandation. Recommandation UIT-T F.116 (2000), Fonctionnalits de serv
30、ice et dispositions dexploitation des tlcommunications IMT-2000. Recommandation UIT-T Q.814 (2000), Spcification dun agent interactif dchange informatis de donnes. Recommandation UIT-T Q.1701 (1999), Cadre gnral des rseaux IMT-2000. Recommandation UIT-T Q.1711 (1999), Modle fonctionnel rseau pour le
31、s IMT-2000. Recommandation UIT-T Q.1761 (2004), Convergence des systmes fixes et des systmes IMT-2000 existants: principes et prescriptions. Recommandation UIT-T X.509 (2000) | ISO/CEI 9594-8:2001, Technologies de linformation Interconnexion des systmes ouverts Lannuaire: cadre gnral des certificats
32、 de cl publique et dattribut. Recommandation UIT-T X.800 (1991), Architecture de scurit pour linterconnexion en systmes ouverts dapplications du CCITT. Recommandation UIT-T X.842 (2000) | ISO/CEI TR 14516:2002, Technologies de linformation Techniques de scurit Lignes directrices pour lutilisation et
33、 la gestion des services de tiers de confiance. Recommandation UIT-T X.1121 (2004), Cadre gnral des technologies de la scurit pour les communications mobiles de donnes de bout en bout. 2 Rec. UIT-T X.1122 (04/2004) 3 Termes et dfinitions 3.1 Dfinitions relatives au cadre gnral des cls publiques et d
34、es certificats dattribut Les termes suivants sont dfinis dans la Rec. UIT-T X.509 | ISO/CEI 9594-8: a) autorit dattribut; b) certificat dattribut; c) autorit de certification (CA, certification authority); d) liste de rvocation de certificat (CRL, certificate revocation list); e) cl publique; f) cer
35、tificat de cl publique (certificat); g) infrastructure de cls publiques (PKI, public key infrastructure). 3.2 Dfinitions relatives larchitecture de scurit du modle de rfrence OSI Les termes suivants sont dfinis dans la Rec. UIT-T X.800 | ISO/CEI 7498-2: a) information dauthentification; b) confident
36、ialit; c) cryptographie; d) cl; e) mot de passe. 3.3 Lignes directrices concernant lutilisation et la gestion des dfinitions de services tiers de confiance Les termes suivants sont dfinis dans la Rec. UIT-T X.842 | ISO/CEI TR 14516: a) autorit denregistrement. 3.4 Caractristiques des services et dis
37、positions applicables lexploitation figurant dans les dfinitions IMT-2000 Les termes suivants sont dfinis dans la Rec. UIT-T F.116: a) module didentit utilisateur. 3.5 Dfinitions supplmentaires La prsente Recommandation dfinit les termes suivants: 3.5.1 systme mobile scuris: un systme permettant de
38、raliser des communications mobiles de donnes de bout en bout entre un utilisateur mobile et un fournisseur de services dapplication ou entre utilisateurs mobiles. 3.5.2 rfrentiel des certificats: base de donnes dans laquelle certificats, listes de rvocation de certificats et diffrentes informations
39、lies linfrastructure de cls publiques sont enregistrs et accessibles en ligne. 3.5.3 autorit de validation: autorit assurant un service en ligne de vrification de la validit dun certificat. Elle tablit un trajet de certificat des fins de vrification, depuis un signataire vers un utilisateur dsireux
40、de confirmer la validit de la signature du signataire et confirme le fait que tous les certificats figurant sur le trajet de vrification des certificats sont fiables ou ne sont pas annuls. Elle vrifie en outre si un certificat a ou non t annul. Rec. UIT-T X.1122 (04/2004) 3 4 Abrviations La prsente
41、Recommandation utilise les abrviations suivantes: AA autorit dattribut (attribute authority) ASP fournisseur de services dapplication (application service provider) CA autorit de certification (certification authority) CMC gestion des certificats sur CMS (certificate management over CMS) CMP protoco
42、le de gestion de certificat (certificate management protocol) CRL liste de rvocation de certificat (certificate revocation list) ID identificateur PIN numro didentification personnel (personal identification number) PKI infrastructure de cls publiques (public-key infrastructure) POP preuve de dtenti
43、on (proof of possession) RA autorit denregistrement (registration authority) RSA algorithme de cl publique RSA (RSA public key algorithm) TLS scurit de couche Transport (transport layer security) UIM module didentit dutilisateur (user identity module) VA autorit de validation (validation authority)
44、5 Classification des technologies PKI Les technologies de scurit fondes sur linfrastructure de cls publiques sont appliques la relation entre terminaux mobiles et serveurs dapplication dans le modle gnral des systmes mobiles de communication de donnes de bout en bout entre utilisateurs mobiles et fo
45、urnisseurs de services dapplication ou la relation entre terminaux mobiles et passerelle de scurit mobile dune part et entre passerelle de scurit mobile et serveur dans le modle passerelle de communications mobiles de donnes de bout en bout entre utilisateurs mobiles et fournisseurs de services dapp
46、lication. Les technologies de scurisation PKI servent mettre en uvre les fonctions suivantes de scurit: 1) chiffrement; 2) change de cls; 3) signature numrique; 4) contrle daccs; 5) intgrit des donnes; 6) change dauthentification; 7) notarisation. 4 Rec. UIT-T X.1122 (04/2004) Tableau 1/X.1122 Fonct
47、ions et points dapplication des technologies PKI Points dapplicationdestechnologies Fonctions assures par les technologies Terminal mobile Serveur dapplication/ passerelle de scurit mobile Relation entre utilisateur mobile et terminal mobile Relation entre terminal mobile et serveur dapplication ou autres relations Chiffrement X Echange de cl X Signature numrique X Contrle daccs X Intgrit des donnes X Echange dauthentification X Notarisation X Bien que les technologies PKI soient frquemment mises en u