1、 Union internationale des tlcommunicationsUIT-T X.1250SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (09/2009) SRIE X: RSEAUX DE DONNES, COMMUNICATION ENTRE SYSTMES OUVERTS ET SCURIT Scurit du cyberespace Gestion des identits Capacits de base pour lamlioration de linteroprabilit globale da
2、ns la gestion didentit Recommandation UIT-T X.1250 RECOMMANDATIONS UIT-T DE LA SRIE X RSEAUX DE DONNES, COMMUNICATION ENTRE SYSTMES OUVERTS ET SCURIT RSEAUX PUBLICS DE DONNES X.1X.199 INTERCONNEXION DES SYSTMES OUVERTS X.200X.299 INTERFONCTIONNEMENT DES RSEAUX X.300X.399 SYSTMES DE MESSAGERIE X.400X
3、.499 ANNUAIRE X.500X.599 RSEAUTAGE OSI ET ASPECTS SYSTMES X.600X.699 GESTION OSI X.700X.799 SCURIT X.800X.849 APPLICATIONS OSI X.850X.899 TRAITEMENT RPARTI OUVERT X.900X.999 SCURIT DE LINFORMATION ET DES RSEAUX Aspects gnraux de la scurit X.1000X.1029 Scurit des rseaux X.1030X.1049 Gestion de la scu
4、rit X.1050X.1069 Tlbiomtrie X.1080X.1099 APPLICATIONS ET SERVICES SCURISS Scurit en multidiffusion X.1100X.1109 Scurit des rseaux domestiques X.1110X.1119 Scurit des tlcommunications mobiles X.1120X.1139 Scurit de la toile X.1140X.1149 Protocoles de scurit X.1150X.1159 Scurit dhomologue homologue X.
5、1160X.1169 Scurit des identificateurs en rseau X.1170X.1179 Scurit de la tlvision par rseau IP X.1180X.1199 SCURIT DU CYBERESPACE Cyberscurit X.1200X.1229 Lutte contre le pollupostage X.1230X.1249 Gestion des identits X.1250X.1279APPLICATIONS ET SERVICES SCURISS Communications durgence X.1300X.1309
6、Scurit des rseaux de capteurs ubiquitaires X.1310X.1339 ECHANGE DINFORMATIONS SUR LA CYBERSCURIT Echange concernant les vulnrabilits/les tats X.1520X.1539 Echange concernant les vnements/les incidents/lheuristique X.1540X.1549 Echange de politiques X.1550X.1559 Heuristique et demande dinformations X
7、.1560X.1569 Identification et dcouverte X.1570X.1579 Echange garanti X.1580X.1589 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T X.1250 (09/2009) i Recommandation UIT-T X.1250 Capacits de base pour lamlioration de linteroprabilit globale dans la gestion didentit Rsum La
8、 Recommandation UIT-T X.1250 dcrit les capacits de base pour linteroprabilit globale dans la gestion didentit (IdM) (cest-dire les capacits permettant damliorer lchange et la confiance concernant les identificateurs utiliss par les entits dans les rseaux et services de tlcommunication/informatiques)
9、. Les dfinitions et les besoins concernant la gestion didentit dpendent fortement du contexte et font souvent lobjet de politiques et de pratiques trs diffrentes dun pays lautre. Les capacits comprennent la protection et la gestion des informations didentification personnelle (PII). Historique Editi
10、on Recommandation Approbation Commission dtudes 1.0 ITU-T X.1250 2009-09-25 17 ii Rec. UIT-T X.1250 (09/2009) AVANT-PROPOS LUnion internationale des tlcommunications (UIT) est une institution spcialise des Nations Unies dans le domaine des tlcommunications et des technologies de linformation et de l
11、a communication (ICT). Le Secteur de la normalisation des tlcommunications (UIT-T) est un organe permanent de lUIT. Il est charg de ltude des questions techniques, dexploitation et de tarification, et met ce sujet des Recommandations en vue de la normalisation des tlcommunications lchelle mondiale.
12、LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes. Lapprobation des Recommandations par les Membres de lUIT-T seffec
13、tue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CEI. NOTE Dans la prsente Recommandation, lexpression “Administrati
14、on“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recommandation se fait titre volontaire. Cependant, il se peut que la Recommandation contienne certaines dispositions obligatoires (pour assurer, par exemple,
15、 linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation et les autres moyens dexpression de lobligation comme le verbe “devoir“ ainsi que leurs formes ngatives servent noncer des prescriptions. Lutilisation
16、 de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donner lieu lutilisation dun droit de proprit intellectuelle. LUIT ne
17、prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un membre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandations. A la date dapprobation de la prsente Recommandation, lUIT av
18、ait/navait pas t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas de renseignements les plus rcents, il est vivement recommand aux dveloppeurs de consulter la base de donnes des bre
19、vets du TSB sous http:/www.itu.int/ITU-T/ipr/. UIT 2010 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd que ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T X.1250 (09/2009) iii TABLE DES MATIRES Page 1 Domaine dapplication 1 2 Rfrences. 1 3 Df
20、initions 1 3.1 Termes dfinis ailleurs . 1 3.2 Termes dfinis dans la prsente Recommandation 2 4 Abrviations 3 5 Conventions 4 6 Gnralits 4 7 Capacits pour linteroprabilit globale dans la gestion didentit 5 7.1 Exemples de modles possibles de transactions en gestion didentit 5 7.2 Ensemble interoprabl
21、e de capacits de gestion didentit (IdM) 9 7.3 Quatre lments didentit de base . 9 7.4 Dcouverte des capacits didentit 12 7.5 Interoprabilit et relais 13 7.6 Scurit IdM . 14 7.7 Protection, gestion et utilisation des informations didentification personnelle 15 7.8 Audit et conformit . 17 7.9 Performan
22、ce, fiabilit et disponibilit 17 7.10 Internationalisation . 18 Bibliographie 19 Rec. UIT-T X.1250 (09/2009) 1 Recommandation UIT-T X.1250 Capacits de base pour lamlioration de linteroprabilit globale dans la gestion didentit 1 Domaine dapplication La prsente Recommandation dcrit les capacits de base
23、 qui sont destines amliorer linteroprabilit globale dans la gestion didentit (IdM) dans les rseaux et services publics de tlcommunication. Ces capacits de base sont regroupes en domaines fonctionnels, comme suit: Modles communs, structurs, de gestion didentit. Fourniture dattributs (identificateurs
24、compris), de justificatifs didentit et de capacits. Dcouverte des ressources, capacits et fdrations des fournisseurs de service didentit. Interoprabilit entre plates-formes de gestion, fournisseurs de service didentit et fdrations de fournisseurs, y compris les fournisseurs relais de service didenti
25、t. Mesures de scurit et autres mesures destines rduire les menaces et risques sur les identits, en particulier protection des ressources didentit, des informations didentification personnelle et de la confidentialit. Audit et conformit des informations didentification personnelle, en particulier mis
26、e en uvre des politiques et protection. Performance, fiabilit et disponibilit des capacits de gestion didentit. Les rseaux et services de tlcommunication/informatiques daujourdhui sont trs divers, hautement rpartis, hautement interconnects, mais pour lessentiel autonomes pour ce qui est de la gestio
27、n didentit (IdM). Si ces rseaux et leurs capacits voluent, leur taille et leur complexit peuvent empcher linteroprabilit des capacits IdM. Cest pourquoi, les capacits IdM voques dans la prsente Recommandation sont pour lessentiel tributaires des capacits et des modles gnraux des rseaux existants, y
28、compris des pratiques qui sont effectivement “les meilleures“. Toutefois, pour parvenir linteroprabilit globale dans la gestion didentit, la prsente Recommandation dcrit un trajet dvolution et indique comment tirer parti des capacits existantes, le cas chant. Elle dfinit en outre une capacit de rela
29、is didentit qui peut tre utilise dans de nombreux systmes IdM ou architectures auxiliaires pour intgrer les capacits IdM existantes. Limplmentation de capacits IdM dans certains pays est assujettie des impratifs propres la juridiction nationale. NOTE Le terme “identit“ employ dans la prsente Recomma
30、ndation en relation avec la gestion didentit nest pas utilis dans son acception absolue. En particulier, il ne renvoie pas la validation positive dune personne. 2 Rfrences Nant. 3 Dfinitions 3.1 Termes dfinis ailleurs La prsente Recommandation utilise les termes suivants dfinis ailleurs: 3.1.1 dclar
31、ant b-UIT-T Y.2720 et b-UIT-T X.811: entit qui est ou reprsente une entit principale des fins dauthentification. Un dclarant comporte les fonctions ncessaires pour engager des changes pour authentification au nom dune entit principale. 2 Rec. UIT-T X.1250 (09/2009) 3.1.2 informations didentification
32、 personnelle (PII) b-UIT-T Y.2720: informations relatives une personne physique, permettant de lidentifier (y compris les informations permettant didentifier une personne lorsquelles sont combines avec dautres informations, mme si elles nidentifient pas clairement la personne). 3.1.3 partie utilisat
33、rice (relying party) b-UIT-T Y.2720: entit qui est tributaire dune reprsentation ou dune dclaration didentit soumise par une entit requrante/assertante dans un contexte de demande donn. 3.2 Termes dfinis dans la prsente Recommandation Les termes suivants sont dfinis dans la prsente Recommandation: 3
34、.2.1 agent: entit qui agit au nom dune autre entit. 3.2.2 anonymat: proprit dune entit qui ne peut pas tre identifie parmi un ensemble dentits. NOTE Lanonymat permet dempcher le traage dentits ou de leur comportement (emplacement de lutilisateur, frquence dutilisation dun service, etc.). 3.2.3 attri
35、but: informations lies une entit qui en spcifient une caractristique. 3.2.4 authentification: voir authentification dentit. 3.2.5 garantie dauthentification: confiance obtenue dans le processus dauthentification, dans le fait que le partenaire de communication est lentit quil dclare tre ou quil est
36、cens tre. 3.2.6 rattachement: association, rapport ou lien explicite tabli. 3.2.7 dclaration: assertion faite par un dclarant relative la valeur ou aux valeurs dun ou de plusieurs attributs didentit dun sujet numrique, gnralement une assertion qui est conteste ou mise en doute. 3.2.8 entit: tout lme
37、nt qui a une existence spare et distincte et peut tre identifi dans un contexte. NOTE Une entit peut tre une personne physique, un animal, une personne morale, une organisation, une chose active ou passive, un dispositif, une application logicielle, un service, etc., ou un groupe de ces lments. Dans
38、 le contexte des tlcommunications, il peut sagir de points daccs, dabonns, dutilisateurs, dlments de rseau, de rseaux, dapplications logicielles, de services et de dispositifs, dinterfaces, etc. 3.2.9 authentification dentit: processus permettant dobtenir une confiance suffisante dans le lien entre
39、lentit et lidentit prsente. 3.2.10 fdration: association dutilisateurs, de fournisseurs de services et de fournisseurs didentit. 3.2.11 identificateur: un ou plusieurs attributs utiliss pour identifier une entit dans un contexte. 3.2.12 identit: reprsentation dune entit sous la forme dun ou de plusi
40、eurs lments dinformation qui sont suffisants pour pouvoir distinguer les entits dans un contexte. Aux fins de lIdM, le terme identit dsigne lidentit contextuelle (sous-ensemble dattributs), cest-dire que la diversit des attributs est limite par un cadre avec des frontires dfinies (le contexte) dans
41、lequel lentit existe et interagit. NOTE Chaque entit est reprsente par une identit holistique, qui comprend tous les lments dinformation possibles caractrisant cette entit (les attributs). Toutefois, lidentit holistique est thorique et chappe toute description et utilisation pratique, car le nombre
42、de tous les attributs possibles est indfini. 3.2.13 fournisseur relais de service didentit: fournisseur de service didentit faisant office dintermdiaire entre dautres fournisseurs de service didentit. Rec. UIT-T X.1250 (09/2009) 3 3.2.14 gestion didentit: ensemble de fonctions et de capacits (par ex
43、emple, ladministration, la gestion et la tenue jour, la dcouverte, les changes de communication, la corrlation et les liens, lapplication des politiques, lauthentification et les assertions) utilises pour: garantir les informations didentit (par exemple, les identificateurs, les justificatifs dident
44、it, les attributs); garantir lidentit dune entit (par exemple les utilisateurs/abonns, les groupes, les dispositifs dutilisateur, les organisations, les fournisseurs de rseau et de service, les lments et objets de rseau et les objets virtuels); et permettre des applications commerciales et lies la s
45、curit. 3.2.15 fournisseur de service didentit: entit qui vrifie, maintient, gre et peut crer et attribuer des informations didentit pour dautres entits. 3.2.16 profil didentit: expression structure dattributs dune entit (par exemple le comportement dune entit) qui pourrait tre utilise dans certains
46、processus didentification. 3.2.17 manifestation: reprsentation observe ou dcouverte (cest-dire non auto asserte) dune entit. (Comparer avec assertion.) 3.2.18 pseudonyme: identificateur dont le lien avec une entit est inconnu ou nest connu que dans une certaine mesure, dans le contexte dans lequel i
47、l est utilis. 3.2.19 entit requrante: entit soumettant une reprsentation ou une dclaration didentit une partie utilisatrice dans un contexte de demande donn. 3.2.20 objet terminal: objet (comme une carte SIM) qui peut avoir une relation un dispositif terminal de rseau (comme par exemple un tlphone mobile). 3.2.21 confiance: conviction que des informations sont fi