1、UNION INTERNATIONALE DES TLCOMMUNICATIONS5)4 4 8 SECTEUR DE LA NORMALISATION (04/95)DES TLCOMMUNICATIONSDE LUIT2 3%!58 $% #/-5.)#!4)/. $% $/ %3%4 #/-5.)#!4)/. %.42% 3934 -%3 /56%2433 #52)4 4%#(./,/)%3 $% , ).b) les bases des interactions relatives la scurit entre les protocoles des couches infrieure
2、s;c) les bases de toute interaction relative la scurit entre couches infrieures et couches suprieures delOSI;d) le positionnement des protocoles de scurit par rapport aux autres protocoles des couches infrieures, etle rle relatif de tels positionnements.Il ne doit pas y avoir de conflit entre les pr
3、otocoles de scurit des couches infrieures et le modle dcrit dans laprsente Recommandation | Rapport technique.La Rec. X.500 du CCITT | ISO/CEI 9594-1 identifie les services de scurit qui relvent de chacune des couchesinfrieures du Modle de rfrence OSI.2 Rfrences normativesLes Recommandations et les
4、Normes internationales suivantes contiennent des dispositions qui, par suite de la rfrencequi y est faite, constituent des dispositions valables pour la prsente Recommandation | Rapport technique. Au momentde la publication, les ditions indiques taient en vigueur. Toutes Recommandations et Normes so
5、nt sujettes rvisionet les parties prenantes aux accords fonds sur la prsente Recommandation | Rapport technique sont invites rechercher la possibilit dappliquer les ditions les plus rcentes des Recommandations et Normes indiques ci-aprs.Les membres de la CEI et de lISO possdent le registre des Norme
6、s internationales en vigueur. Le Bureau de lanormalisation des tlcommunications de lUIT tient jour une liste des Recommandations de lUIT-T en vigueur.2.1 Recommandations | Normes internationales identiques Recommandation UIT-T X.200 (1994) | ISO/CEI 7498-1:1994, Technologie de linformation Interconn
7、exion de systmes ouverts Modle de rfrence: Le modle de rfrence de base. Recommandation UIT-T X.233 (1993) | ISO/CEI 8473-1:1994, Technologie de linformation Protocoleassurant le service rseau en mode sans connexion de linterconnexion de systmes ouverts: Spcificationdu protocole. Recommandation UIT-T
8、 X.234 (1994) | ISO/CEI 8602:1995, Technologies de linformation Protocoleassurant le service de transport en mode sans connexion de linterconnexion des systmes ouverts (OSI). Recommandation UIT-T X.273 (1994) | ISO/CEI 11577:1995, Technologies de linformation Interconnexion des systmes ouverts Proto
9、cole de scurit de la couche rseau. Recommandation UIT-T X.274 (1994) | ISO/CEI 10736:1995, Technologie de linformation Tlcommunication et change dinformations entre systmes Protocole de scurit de la couchetransport.ISO/CEI TR 13594 : 1995 (F)2 Rec. UIT-T X.802 (1995 F) Recommandation UIT-T X.803 (19
10、94) | ISO/CEI 10745:1995, Technologie de linformation Interconnexion de systmes ouverts Modle de scurit pour les couches suprieures. Recommandation UIT-T X.8101)| ISO/CEI 10181-1.1), Technologies de linformation Interconnexiondes systmes ouverts Cadre gnral de la scurit dans les systmes ouverts: Ape
11、ru gnral. Recommandation UIT-T X.8121)| ISO/CEI 10181-3.1), Technologies de linformation Interconnexiondes systmes ouverts Cadre gnral de la scurit dans les systmes ouverts: Contrle daccs.2.2 Paires de Recommandations | Normes internationales quivalentes par leur contenu technique Recommandation X.8
12、00 du CCITT (1991), Architecture de scurit pour linterconnexion en systmesouverts dapplications du CCITT.ISO 7498-2:1989, Systmes de traitement de linformation Interconnexion de systmes ouverts Modlede rfrence de base. Partie 2 Architecture de scurit. Recommandation UIT-T X.224 (1993), Protocole pou
13、r assurer le service de couche transport en modeconnexion pour linterconnexion de systmes ouverts.ISO/CEI 8073:1992, Technologies de linformation Tlcommunications et changes dinformationsentre systmes Interconnexion de systmes ouverts (OSI) Protocole pour fourniture du service detransport en mode co
14、nnexion. Recommandation X.208 du CCITT (1988), Spcification de la syntaxe abstraite numro un (ASN.1).ISO/CEI 8824:1990, Technologies de linformation Interconnexion de systmes ouverts (OSI) Spcification de la notation de syntaxe abstraite numro 1 (ASN.1). Recommandation X.209 du CCITT (1988), Spcific
15、ation des rgles de codage de base pour la notationde syntaxe abstraite numro un (ASN.1).ISO/CEI 8825:1990, Technologies de linformation Interconnexion de systmes ouverts Spcificationde rgles de base pour coder la notation de syntaxe abstraite numro 1 (ASN.1).2.3 Autres rfrences ISO/CEI 8208:1995, Te
16、chnologies de linformation Communications de donnes Protocole X.25 decouche paquet pour terminal de donnes. Recommandation UIT-T X.25 (1993), Interface entre quipement terminal de traitement de donnes etquipement de terminaison du circuit de donnes pour terminaux fonctionnant en mode paquet etraccor
17、ds par circuit spcialis des rseaux publics pour donnes. ISO 8648:1988, Systmes de traitement de linformation Interconnexion de systmes ouverts Organisation interne de la couche Rseau. ISO 9542:19882), Systmes de traitement de linformation Tlinformatique Protocole de routage dunsystme dextrmit un sys
18、tme intermdiaire utiliser conjointement avec le protocole fournissant leservice de rseau en mode sans connexion (ISO 8473). ISO/CEI 10589:1992, Technologies de linformation Communication de donnes et changedinformations entre systmes Protocole intra-domaine de routage dun systme intermdiaire unsystm
19、e intermdiaire utiliser conjointement avec le protocole fournissant le service de rseau en modesans connexion (ISO 8473). ISO/CEI 10747:1994, Technologies de linformation Tlcommunication et change dinformationsentre systmes Protocole pour change dinformations inter-domaine de routage parmi les systm
20、esintermdiaires supportant la transmission de PDU de lISO 8473._1)Actuellement ltat de projet.2)Actuellement en rvision.ISO/CEI TR 13594 : 1995 (F)Rec. UIT-T X.802 (1995 F) 33 Dfinitions3.1 Dfinitions du modle de rfrence OSILa prsente Recommandation | Rapport technique utilise les termes suivants df
21、inis dans la Rec. UIT-T X.200 |ISO/CEI 7498-1: qualit de service3.2 Dfinitions du cadre gnral de la scurit dans les systmes ouvertsLa prsente Recommandation | Rapport technique utilise les termes suivants dfinis dans la Rec. UIT-T X.810 |ISO/CEI 10181-1: domaine de scurit3.3 Dfinitions de lorganisat
22、ion interne de la couche rseauLa prsente Recommandation | Rapport technique utilise les termes suivants dfinis dans ISO 8648:a) protocole daccs de sous-rseau;b) systme dextrmit;c) systme intermdiaire.3.4 Dfinitions supplmentairesPour les besoins de la prsente Recommandation | Rapport technique les d
23、finitions suivantes sappliquent:3.4.1 protection de rflexion: Mcanisme de protection qui dtecte le renvoi dune unit de donne protocolairevers son expditeur.3.4.2 attributs dassociation de scurit: Collection des informations requises pour rgir la scurit descommunications entre une entit et son entit
24、homologue.3.4.3 association de scurit: Relation tablie entre des entits communicantes de couches infrieures pour laquellesont dfinis les attributs dassociation de scurit correspondants.3.4.4 rgles de scurit: Information locale qui, pour les services de scurit choisis, spcifie les mcanismes descurit
25、sous-jacents utiliser, y compris lensemble des paramtres ncessaires au fonctionnement de ces mcanismes.NOTE Les rgles de scurit sont une forme de rgles dinteraction sres telles que celles-ci sont dfinies dans le Modlede scurit pour les couches suprieures (Rec. UIT-T X.803 | ISO/CEI 10745).4 Abrviati
26、onsISN Numro de squence dintgrit (integrity sequence number)SSAA Ensemble dattributs dassociation de scurit (set of SA-attributes)NLSP Protocole de scurit de couche rseau (network layer security protocol)NLSP-CO Protocole NLSP en mode connexion (NLSP connection mode)NLSP-CL Protocole NLSP en mode sa
27、ns connexion (NLSP connectionless mode)QOS Qualit de service (quality of service) (conformment la dfinition de la Rec. X.200 duCCITT | ISO/CEI 7498-1)SA Association de scurit (security association)SA-ID Identificateur dassociation de scurit (security association identifier)SNAcP Protocole daccs de s
28、ous-rseau (subnetwork access protocol) (conformment la dfinition deISO 8648)SNISP Protocole indpendant de scurit de sous-rseau (subnetwork independent security protocol)TLSP Protocole de scurit de couche transport (transport layer security protocol)ISO/CEI TR 13594 : 1995 (F)4 Rec. UIT-T X.802 (1995
29、 F)5 Associations de scurit5.1 Vue densemble5.1.1 Chaque protocole de scurit utilise un certain nombre de mcanismes de scurit pour fournir des services descurit la couche immdiatement suprieure. Les services de scurit ncessaires aux couches suprieures peuventtre indiqus aux couches infrieures au moy
30、en de fonctions locales de supervision de la scurit. Pour tablir descommunications scurises, le protocole de scurit et tous les mcanismes de scurit ncessitent un supplmentdinformation par rapport ce qui est cod dans les PDU. Il sagira par exemple de la spcification des mcanismes utiliser par le prot
31、ocole et, pour chaque mcanisme, dinformations spcifiques comme les cls ncessaires au mcanismede chiffrement. Chaque lment dinformation additionnelle est connu sous le nom dattribut dassociation de scurit.5.1.2 Les attributs dassociation de scurit peuvent tre placs dans une entit de protocole au moye
32、n dun certainnombre de mcanismes de positionnement. Il sagira par exemple des mcanismes suivants:a) positionnement pendant la fabrication dun dispositif;b) positionnement pendant linitialisation dun dispositif;c) positionnement via une interface manuelle, par exemple par les commandes des panneaux d
33、e face avant;d) positionnement par la gestion de scurit des systmes OSI;e) positionnement par la gestion de scurit de couche OSI;f) positionnement par la gestion de scurit des oprations OSI.5.1.3 Les attributs dassociation de scurit (SA) peuvent tre positionns nimporte quel moment avant lacommunicat
34、ion laquelle ils se rapportent. Quand des ensembles compatibles dattributs dassociations de scurit(SSAA) sont positionns dans chaque entit de protocole, on dit quune association de scurit existe entre ces entits.5.1.4 Des ensembles SSAA (et des associations de scurit) peuvent exister avec diffrents
35、niveaux de granularit.Parfois il est utile de pouvoir se rfrer des ensembles SSAA de granularit diffrente. Par exemple, lensemble SSAAdfini par un ensemble convenu de rgles de scurit (ASSR) pourrait tre appel SSAA ASSR. Ou une clef appariepourrait tre tablie entre deux entits de protocole pour tre e
36、mploye sur un certain nombre dinstances de couplesdadresses ayant des sources et destinations communes. De faon similaire le SSAA pour une instance de communicationpourrait tre dnomm instance de communication SSAA. De mme lensemble SSAA pour une PDU orienteconnexion pourrait tre appele SSAA CO PDU.5
37、.1.5 En rgle gnrale, les attributs dassociations SA doivent tre placs dans lentit de protocole par un moyenscuris afin den prserver la scurit. Ceci implique que les attributs dassociations de scurit soient positionns par unmoyen physique scuris ou laide dune association de scurit existante qui aura
38、pralablement t positionne cettefin.5.1.6 Les ensembles dattributs SSAA qui font partie dune association de scurit sont souvent dsigns par unidentificateur dnomm SA-ID ayant une signification locale. A un instant donn, certains lments de lensembledattributs dassociation de scurit peuvent tre indfinis
39、. Au moment de linitialisation dune communication scurise,lensemble des attributs SSAA ne sera gnralement pas compltement valu, et les changes initiaux seront utiliss pourcomplter la valuation des attributs SSAA avant lchange des donnes utilisateur.5.1.7 Afin de fournir une protection de rptition, i
40、l faut appliquer des contraintes lusage didentificateurs SA-ID,leurs ensembles SSAA de rfrence et les attributs dassociation SA.a) Les identificateurs SA-ID ne peuvent pas tre rutiliss avec la mme cl de chiffrement.b) Aprs quun quelconque attribut SA a t valu dans un ensemble SSAA identifi par un id
41、entificateurSA-ID, cet attribut ne pourra jamais tre chang, moins que le protocole de scurit ne possde unmoyen de signaler le changement aux entits en communication. Ceci implique que, pour autoriser unbasculement de cl, un nouvel identificateur de SA-ID doit tre utilis avec des copies des anciensat
42、tributs SA et une nouvelle cl, moins que le protocole de scurit ne dispose dun autre moyende signaler le changement de cl (fonction assure par exemple par lunit de donnes protocolairesNLSP-CO CSC).5.1.8 Le retrait de lun quelconque des attributs de scurit SSAA a pour effet de clturer lassociation de
43、 scurit.5.1.9 Certains attributs dassociation de scurit ont une signification pour une instance de communication (une PDUsans connexion ou une connexion). Dautres attributs dassociation de scurit ont une signification pour une seule PDUsur une connexion. Comme exemple de tels attributs, on citera le
44、s numros de squence dintgrit (ISN) et les tiquettesde scurit. Il peut sembler que la modification de ces attributs viole les contraintes cites au point b) du 5.1.7.Cependant, lassociation de scurit comprenant ces attributs SA nest logiquement valide que pour la dure de vie duneISO/CEI TR 13594 : 199
45、5 (F)Rec. UIT-T X.802 (1995 F) 5seule PDU. Le numro ISN joue le rle dune extension logique de lidentificateur SA-ID, et modifie par consquentlidentificateur SA-ID en vigueur. Ltiquette de scurit nest alors valide que pour cette instance didentificateur SA-IDtendu. Ainsi les contraintes sont-elles re
46、spectes. De tels attributs sont parfois qualifis de dynamiques.5.1.10 Une part de la politique de scurit va imposer des contraintes aux oprations de lentit protocolaire. Cettepartie de la politique de scurit est appele ensemble de rgles de scurit pour lentit protocolaire. Cet ensemble dergles peut i
47、mposer des contraintes des composants tels que le mcanisme de scurit utiliser ainsi que les valeurs etle mcanisme de positionnement des attributs dassociation de scurit. Lensemble des rgles de scurit dfinira aussi lemappage des services de scurit slectionns sur les mcanisme utiliss par le protocole de scurit. Lensemble dergles de scurit est une forme de rgles dinteraction scurise.5.1.11 Lorsquun tel ensemble est utilis
