1、UNION INTERNATIONALE DES TLCOMMUNICATIONSUIT-T X.273SECTEUR DE LA NORMALISATION (07/94)DES TLCOMMUNICATIONSDE LUITRSEAUX DE COMMUNICATION DE DONNES ETCOMMUNICATION ENTRE SYSTMES OUVERTSINTERCONNEXION DES SYSTMES OUVERTS PROTOCOLES DE SCURITTECHNOLOGIES DE LINFORMATION INTERCONNEXION DES SYSTMESOUVER
2、TS PROTOCOLE DE SCURITDE LA COUCHE RSEAURecommandation UIT-T X.273(Antrieurement Recommandation du CCITT)AVANT-PROPOSLUIT (Union internationale des tlcommunications) est une institution spcialise des Nations Unies dans le domainedes tlcommunications. LUIT-T (Secteur de la normalisation des tlcommuni
3、cations) est un organe permanent delUIT. Au sein de lUIT-T, qui est lentit qui tablit les normes mondiales (Recommandations) sur les tlcom-munications, participent quelque 179 pays membres, 84 exploitations de tlcommunications reconnues, 145 organi-sations scientifiques et industrielles et 38 organi
4、sations internationales.Lapprobation des Recommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans laRsolution no1 de la Confrence mondiale de normalisation des tlcommunications (CMNT), (Helsinki, 1993). Deplus, la CMNT, qui se runit tous les quatre ans, approuve les Recomman
5、dations qui lui sont soumises et tablit leprogramme dtudes pour la priode suivante.Dans certains secteurs de la technologie de linformation qui correspondent la sphre de comptence de lUIT-T, lesnormes ncessaires se prparent en collaboration avec lISO et la CEI. Le texte de la Recommandation X.273 de
6、 lUIT-Ta t approuv le 1erjuillet 1994. Son texte est publi, sous forme identique, comme Norme interna-tionale ISO/CEI 11577._NOTEDans la prsente Recommandation, lexpression Administration est utilise pour dsigner de faon abrge aussi bienune administration de tlcommunications quune exploitation recon
7、nue. UIT 1995Droits de reproduction rservs. Aucune partie de cette publication ne peut tre reproduite ni utilise sous quelque formeque ce soit et par aucun procd, lectronique ou mcanique, y compris la photocopie et les microfilms, sans laccordcrit de lUIT.RECOMMANDATIONS UIT-T DE LA SRIE XRSEAUX POU
8、R DONNES ET INTERCONNEXIONDES SYSTMES OUVERTS(Fvrier 1994)ORGANISATION DES RECOMMANDATIONS DE LA SRIE XDomaine RecommandationsRSEAUX PUBLICS POUR DONNESServices et services complmentaires X.1-X.19Interfaces X.20-X.49Transmission, signalisation et commutation X.50-X.89Aspects rseau X.90-X.149Maintena
9、nce X.150-X.179Dispositions administratives X.180-X.199INTERCONNEXION DES SYSTMES OUVERTSModle et notation X.200-X.209Dfinition des services X.210-X.219Spcifications des protocoles en mode connexion X.220-X.229Spcifications des protocoles en mode sans connexion X.230-X.239Formulaires PICS X.240-X.25
10、9Identification des protocoles X.260-X.269Protocoles de scurit X.270-X.279Objets grs de couche X.280-X.289Test de conformit X.290-X.299INTERFONCTIONNEMENT DES RSEAUXConsidrations gnrales X.300-X.349Systme mobiles de transmission de donnes X.350-X.369Gestion X.370-X.399SYSTMES DE MESSAGERIE X.400-X.4
11、99ANNUAIRE X.500-X.599RSEAUTAGE OSI ET ASPECTS DES SYSTMESRseautage X.600-X.649Dnomination, adressage et enregistrement X.650-X.679Notation de syntax abstraite numro un (ASN.1) X.680-X.699GESTION OSI X.700-X.799SCURIT X.800-X.849APPLICATIONS OSIEngagement, concomitance et rtablissement X.850-X.859Tr
12、aitement des transactions X.860-X.879Oprations distantes X.880-X.899TRAITEMENT OUVERT RPARTI X.900-X.999TABLE DES MATIRESPage1 Objet et domaine dapplication. 12 Rfrences normatives . 12.1 Recommandations | Normes internationales identiques 22.2 Paires de Recommandations | Normes internationales quiv
13、alentes par leur contenu technique . 22.3 Rfrences additionnelles . 33 Dfinitions 33.1 Dfinitions du modle de rfrence 33.2 Dfinitions de larchitecture de scurit 33.3 Dfinitions des conventions de service . 43.4 Dfinitions du service de rseau . 43.5 Dfinitions de lorganisation interne de la couche rs
14、eau . 43.6 Dfinitions du protocole de rseau en mode sans connexion . 43.7 Dfinitions du modle de scurit de couche suprieure 43.8 Dfinitions des tests de conformit. 43.9 Dfinitions additionnelles . 54 Abrviations . 54.1 Units de donnes . 54.2 Champs dunit de donnes de protocole 54.3 Paramtres. 54.4 D
15、ivers 55 Vue densemble du protocole . 65.1 Introduction. 65.2 Vue densemble des services assurs 75.3 Vue densemble des services implicites 75.4 Associations de scurit et rgles de scurit . 85.5 Vue densemble du protocole Fonctions de protocole 95.6 Vue densemble du protocole NLSP-CL 115.7 Vue densemb
16、le du protocole NLSP-CO . 116 Fonctions de protocole communes aux protocoles NLSP-CL et NLSP-CO 136.1 Introduction. 136.2 Attributs SA communs 136.3 Fonctions communes lors dune demande dinstance de communication 146.4 Fonctions de protocole de transfert de donnes sres .156.5 Utilisation dun protoco
17、le dassociation de scurit 177 Fonctions de protocole pour le protocole NLSP-CL 177.1 Services assurs par le protocole NLSP-CL . 177.2 Services implicites 177.3 Attributs dassociation de scurit. 177.4 Vrifications 187.5 Etablissement dassociation SA dans la bande 187.6 Traitement dune demande NLSP-UN
18、ITDATA 187.7 Traitement de lindication UN-UNITDATA.198 Fonctions de protocole pour le protocole NLSP-CO . 208.1 Services assurs par le protocole NLSP-CO. 208.2 Services implicites 21Rec. UIT-T X.273 (1994 F) i Page8.3 Attributs dassociation de scurit. 228.4 Vrifications et autres fonctions communes
19、. 228.5 Fonctions NLSP-CONNECT 238.6 Fonctions NLSP-DATA 358.7 Fonctions NLSP-EXPEDITED-DATA (donnes exprs NLSP) . 368.8 Fonctions RESET (rinitialisation). 378.9 Fonctions NLSP-DATA-ACKNOWLEDGE . 388.10 Primitive NLSP-DISCONNECT 398.11 Autres fonctions 418.12 Authentification de lentit homologue . 4
20、39 Vue densemble des mcanismes utiliss . 449.1 Services et mcanismes de scurit. 449.2 Fonctions mises en oeuvre. 4510 Commande de scurit de connexion (NLSP-CO seulement) 4510.1 Vue densemble . 4510.2 Attributs SA 4610.3 Procdures. 4710.4 Champs de CSC PDU utiliss. 4811 Fonction dencapsulation fonde
21、sur la SDT PDU. 4811.1 Vue densemble . 4811.2 Attributs SA 4911.3 Procdures. 5011.4 Champs de PDU utiliss . 5212 Fonction dencapsulation fonde sur lattribut No_Header (NLSP-CO seulement) . 5312.1 Vue densemble . 5312.2 Attributs SA 5312.3 Procdures. 5313 Structure et codage des PDU 5413.1 Introducti
22、on. 5413.2 Format du champ de contenu 5413.3 Donnes protges 5513.4 PDU dassociation de scurit. 6113.5 PDU de commande de scurit de connexion. 6114 Conformit . 6314.1 Conditions de conformit statique 6314.2 Conditions requises pour la conformit dynamique6514.3 Dclaration de conformit dune instance de
23、 protocole 66Annexe A Mise en correspondance des primitives UN avec la Rec. X.213 du CCITT | ISO 8348 . 67Annexe B Mise en correspondance des primitives UN avec la Rec. X.25 du CCITT | ISO 8208 . 68Annexe C Protocole dassociation de scurit utilisant lchange de jetons de cl et des signaturesnumriques
24、 69Annexe D Formulaire PICS NLSP. 80Annexe E Expos de certains principes de base du NLSP . 93Annexe F Exemple densemble agr de rgles de scurit 109Annexe G Associations et attributs de scurit 111Annexe H Exemple dchange de jetons de cl Algorithme EKE . 113ii Rec. UIT-T X.273 (1994 F) RsumLa prsente R
25、ecommandation | Norme internationale spcifie le protocole pouvant prendre en charge les servicesdintgrit, de confidentialit, dauthentification et de contrle daccs identifis dans le modle de scurit OSI commeapplicables aux protocoles de couche rseau en mode connexion et en mode sans connexion. Le pro
26、tocole prend encharge ces services au moyen de mcanismes cryptographiques, dtiquetages de scurit et dattributs (cls dechiffrement par exemple) prtablis par la gestion de scurit.Rec. UIT-T X.273 (1994 F) iii IntroductionLe protocole dfini par la prsente Recommandation de lUIT-T | Norme internationale
27、 est utilis pour assurer desservices de scurit servant de support une instance de communication entre des entits de couche infrieure. Ceprotocole se caractrise, relativement aux autres normes, par la structure en couches dfinie dans la Rec. X.200 duCCITT | ISO 7498 ainsi que par lorganisation de la
28、couche rseau dfinie dans ISO 8648 et tendue par la Rec. X.802de lUIT-T | TR 13595 (modle de scurit de couche infrieure). Il permet la mise en oeuvre de services de scuritservant de support des services de rseau en mode connexion et sans connexion. Sa particularit est dtre situ dans lacouche rseau et
29、 davoir des interfaces fonctionnelles ainsi que des interfaces de service nettement dfinies ses limitessuprieure et infrieure.Pour valuer la conformit dune application particulire, il est ncessaire davoir une dclaration prcisant quellescapacits et options ont t mises en oeuvre pour un protocole OSI
30、donn. Une telle dclaration est appele dclarationde conformit dune instance de protocole (PICS).iv Rec. UIT-T X.273 (1994 F) ISO/CEI 11577 : 1995 (F)NORME INTERNATIONALEISO/CEI 11577 : 1995 (F)Rec. UIT-T X.273 (1994 F)RECOMMANDATION UIT-TTECHNOLOGIES DE LINFORMATION INTERCONNEXION DES SYSTMESOUVERTS
31、PROTOCOLE DE SCURIT DE LA COUCHE RSEAU1 Objet et domaine dapplicationLa prsente Recommandation de lUIT-T | Norme internationale spcifie un protocole qui doit tre utilis par lessystmes dextrmit et les systmes intermdiaires pour assurer des services de scurit dans la couche rseau dfiniepar la Rec. X.2
32、13 du CCITT | ISO 8348 ainsi que par ISO 8348 AD2 et ISO 8648. Le protocole dfini dans la prsenteRecommandation de lUIT-T | Norme internationale est appel protocole de scurit de couche rseau (NLSP).La prsente Recommandation de lUIT-T | Norme internationale spcifie:1) La mise en oeuvre des services d
33、e scurit suivants dfinis dans la Rec. X.800 du CCITT | ISO 7498-2:a) authentification de lentit homologue;b) authentification de lorigine des donnes;c) contrle daccs;d) confidentialit des donnes en mode connexion;e) confidentialit des donnes en mode sans connexion;f) confidentialit du flux de trafic
34、;g) intgrit en mode connexion sans reprise (y compris intgrit des units de donnes, dans laquellelintgrit de chaque SDU est protge au cours dune connexion);h) intgrit en mode sans connexion.2) Les caractristiques fonctionnelles requises pour les applications dclares conformes la prsenteRecommandation
35、 de lUIT-T | Norme internationale.Les procdures du prsent protocole sont dfinies en termes de:a) conditions requises pour les techniques cryptographiques qui peuvent tre utilises dans une instance dece protocole;b) conditions requises pour les informations achemines dans lassociation de scurit utili
36、se dans uneinstance de communication.Bien que le degr de protection offert par certains mcanismes de scurit dpende de lutilisation de certainestechniques cryptographiques, la mise en oeuvre correcte du prsent protocole ne dpend pas du choix dun algorithme decodage ou de dcodage particulier. Ce choix
37、 doit faire lobjet dune dcision locale au niveau des systmes decommunication.En outre, ni le choix ni lapplication dune politique de scurit particulire nentrent dans le cadre de la prsenteRecommandation de lUIT-T | Norme internationale. Il incombe aux autorits locales de choisir une politique de scu
38、ritparticulire, donc le degr de protection qui sera assur, parmi les systmes qui utilisent une seule instance decommunication sre. La prsente Recommandation de lUIT-T | Norme internationale nimplique nullement que demultiples instances de communication sres faisant intervenir un seul systme ouvert d
39、oivent utiliser le mme protocolede scurit.LAnnexe D dcrit le formulaire PICS pour le protocole de scurit de couche rseau conformment aux directivespertinentes donnes dans ISO/CEI 9646-2.2 Rfrences normativesLes Recommandations et Normes internationales suivantes contiennent des dispositions qui, par
40、 suite de la rfrence quiy est faite, constituent des dispositions valables pour la prsente Recommandation de lUIT-T | Norme internationale. Aumoment de la publication, les ditions indiques taient en vigueur. Toutes les Recommandations et Normes sont sujettes rvision et les parties prenantes aux acco
41、rds fonds sur la prsente Recommandation de lUIT-T | Norme internationaleRec. UIT-T X.273 (1994 F) 1 ISO/CEI 11577 : 1995 (F)sont invites rechercher la possibilit dappliquer les ditions les plus rcentes des Recommandations et Normesindiques ci-aprs. Les membres de la CEI et de lISO possdent le regist
42、re des Normes internationales en vigueur. LeBureau de normalisation des tlcommunications de lUIT tient jour une liste des Recommandations de lUIT-Tactuellement en vigueur.2.1 Recommandations | Normes internationales identiques Recommandation X.213 du CCITT (1992) | ISO 8348:1993, Technologie de linf
43、ormation Dfinition duservice de rseau pour linterconnexion de systmes ouverts. Recommandation UIT-T X.233 (1993) | ISO/CEI 8473:1994, Technologie de linformation Protocoleassurant le service rseau en mode sans connexion de linterconnexion de systmes ouverts: Spcificationdu protocole. Recommandation
44、UIT-T X.802 (1994) | ISO/CEI TR 13594:1994, Technologie de linformation Interconnexion de systmes ouverts Modle de scurit des couches infrieures. Recommandation UIT-T X.803 (1994) | ISO/CEI TR 10745:1993, Technologie de linformation Interconnexion de systmes ouverts Modle de scurit des couches supri
45、eures.2.2 Paires de Recommandations | Normes internationales quivalentes par leur contenu technique Recommandation X.200 du CCITT (1988), Technologie de linformation Interconnexion de systmesouverts Mode de rfrence: Modle de rfrence de base.ISO 7498:1984, Systmes de traitement de linformation Interc
46、onnexion de systmes ouverts Modlede rfrence de base. Recommandation X.800 du CCITT (1991), Architecture de scurit pour linterconnexion en systmesouverts dapplications du CCITT.ISO 7498-2:1989, Systmes de traitement de linformation Interconnexion de systmes ouverts Modlede rfrence de base Partie 2: Architecture de scurit. Recommandation X.210 du CCITT (1988), Traitement de linformation Interconnexion de systmesouverts Conventions pour la dfinition de services OSI.ISO/TR
