1、UNION INTERNATIONALE DES TLCOMMUNICATIONSUIT-T X.274SECTEUR DE LA NORMALISATION (07/94)DES TLCOMMUNICATIONSDE LUITRSEAUX DE COMMUNICATION DE DONNES ETCOMMUNICATION ENTRE SYSTMES OUVERTSINTERCONNEXION DES SYSTMES OUVERTS PROTOCOLES DE SCURITTECHNOLOGIES DE LINFORMATION TLCOMMUNICATION ET CHANGEDINFOR
2、MATIONS ENTRE SYSTMES PROTOCOLE DE SCURITDE LA COUCHE TRANSPORTRecommandation UIT-T X.274(Antrieurement Recommandation du CCITT)AVANT-PROPOSLUIT (Union internationale des tlcommunications) est une institution spcialise des Nations Unies dans le domainedes tlcommunications. LUIT-T (Secteur de la norm
3、alisation des tlcommunications) est un organe permanent delUIT. Au sein de lUIT-T, qui est lentit qui tablit les normes mondiales (Recommandations) sur les tlcom-munications, participent quelque 179 pays membres, 84 exploitations de tlcommunications reconnues, 145 organi-sations scientifiques et ind
4、ustrielles et 38 organisations internationales.Lapprobation des Recommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans laRsolution no1 de la Confrence mondiale de normalisation des tlcommunications (CMNT), (Helsinki, 1993). Deplus, la CMNT, qui se runit tous les quatre ans
5、, approuve les Recommandations qui lui sont soumises et tablit leprogramme dtudes pour la priode suivante.Dans certains secteurs de la technologie de linformation qui correspondent la sphre de comptence de lUIT-T, lesnormes ncessaires se prparent en collaboration avec lISO et la CEI. Le texte de la
6、Rec. X.274 de lUIT-T a tapprouv le 1erjuillet 1994. Son texte est publi, sous forme identique, comme Norme internationale ISO/CEI 10736-4._NOTEDans la prsente Recommandation, lexpression Administration est utilise pour dsigner de faon abrge aussi bienune administration de tlcommunications quune expl
7、oitation reconnue. UIT 1995Droits de reproduction rservs. Aucune partie de cette publication ne peut tre reproduite ni utilise sous quelque formeque ce soit et par aucun procd, lectronique ou mcanique, y compris la photocopie et les microfilms, sans laccordcrit de lUIT.RECOMMANDATIONS UIT-T DE LA SR
8、IE XRSEAUX POUR DONNES ET INTERCONNEXIONDES SYSTMES OUVERTS(Fvrier 1994)ORGANISATION DES RECOMMANDATIONS DE LA SRIE XDomaine RecommandationsRSEAUX PUBLICS POUR DONNESServices et services complmentaires X.1-X.19Interfaces X.20-X.49Transmission, signalisation et commutation X.50-X.89Aspects rseau X.90
9、-X.149Maintenance X.150-X.179Dispositions administratives X.180-X.199INTERCONNEXION DES SYSTMES OUVERTSModle et notation X.200-X.209Dfinition des services X.210-X.219Spcifications des protocoles en mode connexion X.220-X.229Spcifications des protocoles en mode sans connexion X.230-X.239Formulaires P
10、ICS X.240-X.259Identification des protocoles X.260-X.269Protocoles de scurit X.270-X.279Objets grs de couche X.280-X.289Test de conformit X.290-X.299INTERFONCTIONNEMENT DES RSEAUXConsidrations gnrales X.300-X.349Systme mobiles de transmission de donnes X.350-X.369Gestion X.370-X.399SYSTMES DE MESSAG
11、ERIE X.400-X.499ANNUAIRE X.500-X.599RSEAUTAGE OSI ET ASPECTS DES SYSTMESRseautage X.600-X.649Dnomination, adressage et enregistrement X.650-X.679Notation de syntaxe abstraite numro un (ASN.1) X.680-X.699GESTION OSI X.700-X.799SCURIT X.800-X.849APPLICATIONS OSIEngagement, concomitance et rtablissemen
12、t X.850-X.859Traitement des transactions X.860-X.879Oprations distantes X.880-X.899TRAITEMENT OUVERT RPARTI X.900-X.999TABLE DES MATIRESPageRsum ivIntroduction . v1 Domaine dapplication 12 Rfrences normatives . 22.1 Recommandations | Normes internationales identiques 22.2 Paires de Recommandations |
13、 Normes internationales quivalentes par leur contenu technique . 22.3 Rfrences additionnelles . 23 Dfinitions 33.1 Dfinitions reprises du modle de rfrence de base 33.2 Dfinitions complmentaires 34 Symboles et abrviations 45 Vue densemble du protocole . 55.1 Introduction 55.2 Associations et attribut
14、s de scurit 65.2.1 Services de scurit pour le protocole de transport en mode connexion 95.2.2 Services de scurit pour le protocole de transport en mode sans connexion. 105.3 Services assurs par la couche rseau. 105.4 Spcifications de gestion de scurit 105.5 Spcifications minimales des algorithmes 10
15、5.6 Fonction dencapsulation de scurit 105.6.1 Fonction de codage des donnes. 115.6.2 Fonction dintgrit . 115.6.3 Fonction dtiquetage de scurit 115.6.4 Fonction de remplissage de scurit . 115.6.5 Fonction dauthentification dentit homologue 115.6.6 Fonction SA utilisant le protocole SA-P dans la bande
16、 126 Elments de procdure . 126.1 Concatnation et sparation 136.2 Confidentialit 136.2.1 Objet 136.2.2 TPDU et paramtres utiliss 136.2.3 Procdure 136.3 Procdure dintgrit . 146.3.1 Traitement de la valeur de contrle dintgrit (ICV) . 146.3.1.1 Objet 146.3.1.2 TPDU et paramtres utiliss 146.3.1.3 Procdur
17、e 146.3.2 Traitement de lindicateur de direction 166.3.2.1 Objet 166.3.2.2 TPDU et paramtres utiliss 166.3.2.3 Procdure 166.3.3 Traitement du numro de squence dintgrit de connexion . 176.3.3.1 Numros de squence uniques 176.3.3.2 Objet 176.3.3.3 Procdure 176.4 Traitement de la vrification dadresse dh
18、omologue 176.4.1 Objet 176.4.2 Procdure 17Rec. UIT-T X.274 (1994 F) i Page6.5 Etiquettes de scurit des associations de scurit 186.5.1 Objet 186.5.2 TPDU et paramtres utiliss 186.5.3 Procdure 186.6 Libration de la connexion . 186.7 Remplacement de cl 186.8 TPDU non protges. 196.9 Identification du pr
19、otocole 196.10 Protocole dassociation de scurit . 197 Utilisation des lments de procdure 208 Structure et codage des TPDU . 208.1 Structure de la TPDU 208.2 Unit dencapsulation de scurit TPDU 208.2.1 En-tte en clair 218.2.1.1 Longueur de len-tte en clair de la PDU 218.2.1.2 Type de PDU. 218.2.1.3 Id
20、entificateur SA-ID . 218.2.2 Synchronisation cryptographique . 218.2.3 Contenu protg 218.2.3.1 Structure des champs du contenu protg. 228.2.3.2 Champ de longueur du contenu 228.2.3.3 Champ Flags (fanions) 228.2.3.4 Champ Label (tiquette) 238.2.3.5 Champ des donnes protges 238.2.3.6 Remplissage dintg
21、rit . 238.2.4 ICV 248.2.5 Remplissage de codage . 248.3 PDU dassociation de scurit. 248.3.1 LI. 248.3.2 Type de PDU. 248.3.3 SA-ID 248.3.4 Type de SA-P 248.3.5 Contenu de SA PDU . 259 Conformit . 259.1 Considrations gnrales 259.2 Spcifications communes de conformit statique. 259.3 Spcifications de c
22、onformit statique du protocole TLSP avec le protocole de laRec. UIT-T X.234 | ISO 8602. 259.4 Spcifications de conformit statique du protocole TLSP avec le protocole de laRec. UIT-T X.224 | ISO/CEI 8073 . 259.5 Spcifications communes de conformit dynamique 259.6 Spcifications de conformit dynamique
23、du protocole TLSP avec le protocole de laRec. UIT-T X.234 | ISO 8602. 259.7 Spcifications de conformit dynamique du protocole TLSP avec le protocole de laRec. UIT-T X.224 | ISO/CEI 8073 . 2610 Dclaration de conformit dune instance de protocole (PICS) 26Annexe A Formulaire PICS 27A.1 Introduction 27A
24、.1.1 Background. 27A.1.2 Approach. 27A.2 Implementation identification. 28A.3 General statement of conformance . 28A.4 Protocol implementation. 28A.5 Security services supported 28A.6 Supported functions 30A.7 Supported Protocol Data Units (PDUs) 33ii Rec. UIT-T X.274 (1994 F) PageA.7.1 Supported Tr
25、ansport PDUs (TPDUs) . 33A.7.2 Supported parameters of issued TPDUs . 33A.7.3 Supported parameters of received TPDUs 33A.7.4 Allowed values of issued TPDU parameters 34A.8 Service, function, and protocol relationships 35A.8.1 Relationship between services and functions 35A.8.2 Relationship between s
26、ervices and protocol . 35A.9 Supported algorithms 36A.10 Error handling. 36A.10.1 Security errors. 36A.10.2 Protocol errors. 36A.11 Security Association . 36A.11.1 SA Generic Fields . 36A.11.2 Content Fields Specific to Key Exchange SA-P . 38Annexe B Protocole dassociation de scurit utilisant des mc
27、anismes dchange de jetons de cl et designatures numriques 39B.1 Vue densemble. 39B.2 Echange de jetons de cl (KTE) . 40B.3 Authentification de protocole SA . 40B.4 Ngociation dattributs SA 41B.4.1 Ngociation des services.41B.4.2 Ngociation de lensemble dtiquettes 41B.4.3 Slection de cls et de numros
28、 ISN. 41B.4.4 Ngociation de divers attributs SA . 42B.4.5 Vue densemble de la modification de cls . 42B.4.6 Vue densemble de la procdure dabandon/de libration dune association SA . 42B.5 Mise en correspondance des fonctions de protocole SA avec les changes de donnes deprotocole . 43B.5.1 (Premier) E
29、change de jetons de cl (KTE) . 43B.5.1.1 Demande dinitialisation dun protocole SA 43B.5.1.2 Rception de la PDU du premier change par lentit destinataire . 43B.5.2 (Deuxime) Echange de ngociation de lauthentification et de la scurit 44B.5.2.1 Rception de la PDU du premier change par lentit initiatric
30、e 44B.5.2.2 Rception de la PDU du deuxime change par lentit destinataire 44B.5.3 Procdure de modification de cls 45B.5.4 Echange pour la libration/labandon de lassociation SA. 46B.5.4.1 Demande dinitialisation de la libration/de labandon de lassociation SA 46B.5.4.2 Rception dune demande dabandon/de
31、 libration SA . 46B.6 SA PDU Contenu SA. 47B.6.1 ID dchange . 47B.6.2 Longueur de contenu. 47B.6.3 Champs de contenu . 47B.6.3.1 My_SA-ID 48B.6.3.2 Old Your-SA-ID . 48B.6.3.3 Key Token 1 et Key Token 2, Key Token 3 et Key Token 4 . 48B.6.3.4 Signature numrique dauthentification, Certificat 48B.6.3.5
32、 Slection de services . 48B.6.3.6 Raison du rejet SA 48B.6.3.7 Raison de labandon/la libration SA 49B.6.3.8 Label . 49B.6.3.9 Slection de cls 49B.6.3.10 Marqueurs SA . 50B.6.3.11 ASSR 50Annexe C Exemple densemble agr de rgles de scurit (ASSR) 51Annexe D Vue densemble de lalgorithme EKE 52Rec. UIT-T
33、X.274 (1994 F) iii RsumLa prsente Recommandation | Norme internationale spcifie le protocole pouvant prendre en charge les servicesdintgrit, de confidentialit, dauthentification et de contrle daccs identifis dans le modle de scurit OSI commerelevant de la couche transport. Le protocole prend en char
34、ge ces services au moyen de mcanismes cryptographiques,dtiquetages de scurit et dattributs (cls de chiffrement par exemple) prtablis par la gestion de scurit.iv Rec. UIT-T X.274 (1994 F) IntroductionLe protocole de transport spcifi dans la Rec. UIT-T X.224 | ISO/CEI 8073 assure le service de transpo
35、rt en modeconnexion dcrit dans la Rec. UIT-T X.214 | ISO/CEI 8072. Le protocole de transport spcifi dans laRec. UIT-T X.234 | ISO 8602 assure le service de transport en mode sans connexion dcrit dans ISO 8072/AD1. Laprsente Recommandation | Norme internationale spcifie des fonctions optionnelles com
36、plmentaires pour lesprotocoles de la Rec. UIT-T X.224 | ISO/CEI 8073 et de la Rec. UIT-T X.234 | ISO 8602 permettant dutiliser lestechniques cryptographiques et dassurer ainsi la protection des donnes lors de la transmission des units de donnes deprotocole de transport (TPDU) en mode connexion ou en
37、 mode sans connexion.Les Annexes A et B font partie intgrante de la prsente Recommandation | Norme internationale. Les Annexes C et Dsont donnes uniquement titre informatif.Rec. UIT-T X.274 (1994 F) v ISO/CEI 10736-4 : 1995 (F)NORME INTERNATIONALEISO/CEI 10736-4 : 1995 (F)Rec. UIT-T X.274 (1994 F)RE
38、COMMANDATION UIT-TTECHNOLOGIES DE LINFORMATION TLCOMMUNICATION ET CHANGE DINFORMATIONS ENTRE SYSTMES PROTOCOLE DE SCURIT DE LA COUCHE TRANSPORT1 Domaine dapplicationLes procdures spcifies dans la prsente Recommandation | Norme internationale reprsentent des extensions desprocdures dfinies par la Rec
39、. UIT-T X.224 | ISO/CEI 8073 et la Rec. UIT-T X.234 | ISO 8602; elles ninterdisent enrien la communication dinformations non protges entre des entits de transport mettant en oeuvre les dispositions de laRec. UIT-T X.224 | ISO/CEI 8073 ou de la Rec. UIT-T X.234 | ISO 8602.La protection assure par le
40、protocole de scurit dfini dans la prsente Recommandation | Norme internationale dpenddu bon fonctionnement de la gestion de la scurit, y compris de la gestion des cls de chiffrement. Toutefois, la prsenteRecommandation | Norme internationale ne spcifie pas les fonctions et protocoles de gestion nces
41、saires pour prendreen charge ce protocole de scurit.Ce protocole peut prendre en charge tous les services dintgrit, de confidentialit, dauthentification et de contrledaccs identifis dans la Rec. X.800 du CCITT / ISO 7498-2 en ce qui concerne la couche transport. Le protocole prenden charge ces servi
42、ces au moyen de mcanismes cryptographiques, dtiquettes et dattributs de scurit, cls dechiffrement et identits authentifies par exemple, prtablis par la gestion de la scurit ou tablis laide du protocoledassociation de scurit (SA-P).La protection ne peut tre assure que dans le cadre dune politique de
43、scurit.Ce protocole prend en charge lauthentification des entits homologues au moment de ltablissement de la connexion.En outre, la modification des cls de chiffrement est assure, dans ce protocole, par le protocole SA-P ou par dautresmoyens qui sortent du cadre de ce protocole.Les associations de s
44、curit ne peuvent tre tablies que dans le cadre dune politique de scurit. Il incombe auxutilisateurs dtablir leur propre politique de scurit laquelle certaines contraintes peuvent tre imposes par lesprocdures spcifies dans la prsente Recommandation | Norme internationale.Les lments suivants pourraien
45、t tre inclus dans une politique de scurit:a) mthode dtablissement/de libration de lassociation SA, dure de lassociation SA;b) mcanismes dauthentification/de contrle daccs;c) mcanisme dtiquetage;d) procdure de rception dune TPDU non valide au cours de la procdure dtablissement dune associationSA ou d
46、e transmission dune PDU protge;e) dure des cls;f) intervalle de la procdure de modification des cls pour la mise jour de la procdure dchange de cls etdinformations de commande de scurit (SCI);g) temporisation de la procdure dchange dinformations SCI et de modification des cls;h) nombre de nouvelles tentatives dchange dinformations SCI et de modification des cls.La prsente Recommandation | Norme internationale dfinit un protocole qui peut tre mis en oeuvre pour ltablissementdune association de scurit. Les entits qui