1、UNION INTERNATIONALE DES TLCOMMUNICATIONS5)4 4 8 SECTEUR DE LA NORMALISATION (11/95)DES TLCOMMUNICATIONSDE LUIT2 3%!58 $% #/-5.)#!4)/. $% $/ %3 %4#/-5.)#!4)/. %.42% 3934 -%3 /56%2433 #52)4 4%#(./,/)%3 $% , ). dcrit les concepts de scurit qui sont requis dans plus dune partie des cadres de scurit; dc
2、rit la corrlation entre les services et mcanismes identifis dans les autres parties des cadres.2 Rfrences normativesLes Recommandations et Normes internationales suivantes contiennent des dispositions qui, par suite de la rfrence quiy est faite, constituent des dispositions valables pour la prsente
3、Recommandation | Norme internationale. Au moment dela publication, les ditions indiques taient en vigueur. Toutes Recommandations et Normes sont sujettes rvision, etles parties prenantes aux accords fonds sur la prsente Recommandation | Norme internationale sont invites rechercher la possibilit dapp
4、liquer les ditions les plus rcentes des Recommandations et Normes indiques ci-aprs.Les membres de la CEI et de lISO possdent le registre des Normes internationales en vigueur. Le Bureau de lanormalisation des tlcommunications de lUIT tient jour une liste des Recommandations de lUIT en vigueur.2.1 Re
5、commandations | Normes internationales identiques Recommandation UIT-T X.200 (1994) | ISO/CEI 7498-1:1994, Technologies de linformation Interconnexion des systmes ouverts Modle de rfrence de base: Le modle de rfrence de base.ISO/CEI 10181-1 : 1996 (F)2 Rec. UIT-T X.810 (1995 F)2.2 Paires de Recomman
6、dations | Normes internationales quivalentes par leur contenu technique Recommandation X.800 du CCITT (1991), Architecture de scurit pour linterconnexion en systmesouverts dapplications du CCITT.ISO 7498-2:1989, Systmes de traitement de linformation Interconnexion des systmes ouverts Modle de rfrenc
7、e de base Partie 2: Architecture de scurit.3 DfinitionsLes dfinitions suivantes sont utilises dans laperu gnral ou sont communes deux parties conscutives ou plus descadres de scurit.Pour les besoins de la prsente Recommandation | Norme internationale, les dfinitions suivantes sappliquent.3.1 Dfiniti
8、ons du modle de rfrence de baseLa prsente Recommandation | Norme internationale utilise les termes suivants dfinis dans la Rec. UIT-T X.200 |ISO/CEI 7498-1: couche (N); entit (N); unit de donnes de protocole (N); processus dapplication; systme rel ouvert; systme rel.3.2 Dfinitions de larchitecture d
9、e scuritLa prsente Recommandation | Norme internationale utilise les termes suivants dfinis dans la Rec. X.800 du CCITT |ISO 7498-2: contrle daccs; disponibilit; cryptogramme; valeur de contrle cryptographique; dchiffrement; dni de service; signature numrique; chiffrement; menace de lintrieur; cl; g
10、estion de cl; texte en clair; menace de lextrieur; audit de scurit; tiquette de scurit; politique de scurit; sensibilit; menace.3.3 Dfinitions additionnellesPour les besoins de la prsente Recommandation | Norme internationale, les dfinitions suivantes sappliquent.ISO/CEI 10181-1 : 1996 (F)Rec. UIT-T
11、 X.810 (1995 F) 33.3.1 algorithme asymtrique de cryptographie: algorithme pour raliser le chiffrement ou le dchiffrementcorrespondant dans lequel les cls utilises pour le chiffrement et le dchiffrement sont diffrentes.NOTE Avec certains algorithmes asymtriques de cryptographie, il faut utiliser plus
12、 dune cl prive pour dchiffrer uncryptogramme ou pour gnrer une signature numrique.3.3.2 autorit de certification: entit habilite laquelle il est fait confiance (dans le contexte dune politique descurit) pour crer des certificats de scurit contenant une ou plusieurs classes de donnes relatives la scu
13、rit.3.3.3 entit de confiance conditionnelle: entit laquelle il est fait confiance dans le contexte dune politique descurit, mais qui ne peut pas violer la politique de scurit sans tre dtecte.3.3.4 chanage cryptographique: mode dutilisation dun algorithme cryptographique dans lequel la transformation
14、effectue par lalgorithme dpend des valeurs des entres ou sorties prcdentes.3.3.5 empreinte numrique: caractristique dun lment de donnes, telle quune valeur de contrlecryptographique ou le rsultat de la ralisation dune fonction de hachage unidirectionnelle sur les donnes, qui estsuffisamment spcifiqu
15、e llment de donnes pour quil ne soit pas possible de trouver, de faon informatique, unautre lment de donnes ayant les mmes caractristiques.3.3.6 identificateur caractristique: donnes qui identifient de faon univoque une entit.3.3.7 fonction de hachage: fonction (mathmatique) qui fait correspondre le
16、s valeurs dun grand ensemble(potentiellement trs grand) de valeurs une gamme plus rduite de valeurs.3.3.8 fonction unidirectionnelle: fonction (mathmatique) quil est facile de calculer mais pour laquelle, lorsque lersultat est connu, il nest pas possible de trouver, de faon informatique, nimporte la
17、quelle des valeurs qui auraient putre fournies pour obtenir celui-ci.3.3.9 fonction de hachage unidirectionnelle: fonction (mathmatique) qui est la fois une fonctionunidirectionnelle et une fonction de hachage.3.3.10 cl prive: cl qui est utilise avec un algorithme asymtrique de cryptographie et dont
18、 la possession estlimite (habituellement une seule entit).3.3.11 cl publique: cl qui est utilise avec un algorithme asymtrique de cryptographie et qui peut tre renduepublique.3.3.12 certificat de rvocation: certificat de scurit mis par une autorit de scurit pour indiquer quun certificatde scurit par
19、ticulier a t rvoqu.3.3.13 certificat de rvocation de liste: certificat de scurit qui identifie une liste de certificats de scurit qui ontt rvoqus.3.3.14 scell: valeur de contrle cryptographique qui met en uvre lintgrit mais qui ne protge pas dunefalsification du rcepteur (cest-dire quil noffre pas l
20、a non-rpudiation). Lorsquun scell est associ un lment dedonnes, cet lment de donnes est dit scell.NOTE Bien quun scell noffre pas lui-mme la non-rpudiation, certains mcanismes de non-rpudiation font usage duservice dintgrit offert par les scells, par exemple, pour protger les communications avec des
21、 tierces parties de confiance.3.3.15 cl secrte: cl qui est utilise avec un algorithme symtrique de cryptographie. La possession de cette cl estlimite (habituellement deux entits).3.3.16 administrateur de scurit: personne qui est responsable de la dfinition ou de lapplication dune ou deplusieurs part
22、ies de la politique de scurit.3.3.17 autorit de scurit: entit qui est responsable de la dfinition, de la mise en uvre ou de lapplication de lapolitique de scurit.3.3.18 certificat de scurit: ensemble de donnes relatives la scurit mis par une autorit de scurit ou unetierce partie de confiance ainsi q
23、ue les informations de scurit qui sont utilises pour fournir des services dintgrit etdauthentification de lorigine des donnes.NOTE Tous les certificats sont rputs tre des certificats de scurit (voir les dfinitions applicables dans lISO 7498-2).Le terme certificat de scurit est adopt afin dviter des
24、conflits de terminologie avec la Rec. UIT-T X.509 | ISO/CEI 9594-8(cest-dire la norme dauthentification de lannuaire).3.3.19 chane de certificat de scurit: squence ordonne de certificats de scurit, dans laquelle le premiercertificat de scurit contient des informations relatives la scurit et les cert
25、ificats de scurit suivants contiennent desinformations de scurit qui peuvent tre utilises pour la vrification des certificats de scurit prcdents.ISO/CEI 10181-1 : 1996 (F)4 Rec. UIT-T X.810 (1995 F)3.3.20 domaine de scurit: ensemble dlments, politique de scurit, autorit de scurit et ensemble dactivi
26、tslies la scurit dans lesquels lensemble des lments est sujet la politique de scurit, pour les activits spcifies etla politique de scurit est administre par lautorit de scurit, pour le domaine de scurit.3.3.21 autorit du domaine de scurit: autorit de scurit qui est responsable de la mise en uvre dun
27、e politiquede scurit pour un domaine de scurit.3.3.22 information de scurit: information ncessaire pour mettre en uvre des services de scurit.3.3.23 rtablissement de la scurit: actions qui sont menes et procdures qui sont utilises lorsquune violation descurit est soit dtecte soit souponne davoir eu
28、lieu.3.3.24 rgles dinteraction scurise: rgles de politique de scurit qui rgissent des interactions entre domaines descurit.3.3.25 rgles de politique de scurit: reprsentation dune politique de scurit pour un domaine de scurit au seindun systme rel.3.3.26 jeton de scurit: ensemble de donnes protg par
29、un ou plusieurs services de scurit, ainsi que lesinformations de scurit utilises pour la fourniture de ces services de scurit, qui est transfr entre les entitscommunicantes.3.3.27 algorithme symtrique de cryptographie: algorithme pour raliser le chiffrement ou algorithme pour raliserle dchiffrement
30、correspondant dans lequel la mme cl est requise la fois pour le chiffrement et le dchiffrement.3.3.28 confiance: on dit que lentit X fait confiance lentit Y pour un ensemble dactivits si et seulement silentit X suppose que lentit Y se comportera dune certaine faon par rapport aux activits.3.3.29 ent
31、it de confiance: entit qui peut violer une politique de scurit, soit en ralisant des actions quelle nestpas cense accomplir, soit en ne russissant pas raliser des actions quelle est cense accomplir.3.3.30 tierce partie de confiance: autorit de scurit ou son agent auquel il est fait confiance au rega
32、rd de certainesactivits lies la scurit (dans le contexte dune politique de scurit).3.3.31 entit de confiance inconditionnelle: entit de confiance qui peut violer une politique de scurit sans tredtecte.4 AbrviationsPour les besoins de la prsente Recommandation | Norme internationale, les abrviations
33、suivantes sont utilises.ACI Information de contrle daccs (access control information)OSI Interconnexion des systmes ouverts (open systems interconnection)ODP Traitement rparti ouvert (open distributed processing)SI Information de scurit (security information)TTP Tierce partie de confiance (trusted t
34、hird party)5 NotationLa notation de couche utilise est la mme que celle qui est dfinie dans la Rec. UIT-T X.200 | ISO/CEI 7498-1.Sauf indication contraire, le terme service sert dsigner un service de scurit.Sauf indication contraire, le terme certificat sert dsigner un certificat de scurit.6 Organis
35、ationLe cadre de scurit fait partie dune Norme internationale multipartie (ISO/CEI 10181) et dune srie deRecommandations de lUIT. Les cadres de scurit sont dcrits ci-aprs. Des cadres de scurit additionnels pourronttre identifis lavenir. Le cadre de gestion des cls ne fait pas partie de lISO/CEI 1018
36、1, mais il a un domainedapplication similaire et sa description est incluse dans un souci dexhaustivit.ISO/CEI 10181-1 : 1996 (F)Rec. UIT-T X.810 (1995 F) 56.1 Partie 1 Aperu gnralVoir larticle 1.6.2 Partie 2 AuthentificationCe cadre dcrit tous les aspects dauthentification tels quils sappliquent au
37、x systmes ouverts, la relation delauthentification avec dautres fonctions de scurit comme le contrle daccs et les besoins de gestion pourlauthentification.Ce cadre:a) dfinit les concepts lmentaires de lauthentification;b) identifie les classes possibles pour les mcanismes dauthentification;c) dfinit
38、 les services pour ces classes de mcanismes dauthentification;d) identifie les besoins fonctionnels pour les protocoles afin de mettre en uvre ces classes de mcanismesdauthentification;e) identifie des besoins gnraux de gestion pour lauthentification.Le cadre dauthentification est situ au sommet de
39、la hirarchie des normes dauthentification qui fournissent les services,la nomenclature et la classification des mthodes dauthentification. Immdiatement en dessous de celui-ci, des normescomme lISO/CEI 9798 (mcanismes dauthentification dentit) fournissent plus en dtail un ensemble particulier de cesm
40、thodes. Finalement, au bas de la hirarchie, des normes comme la Rec. UIT-T X.509 | ISO/CEI 9594-8 (le cadredauthentification de lannuaire) utilisent ces concepts et ces mthodes dans le contexte dune application ou dun besoinspcifique.Le cadre dauthentification dcrit un modle dauthentification, un en
41、semble dtapes dans lesquelles les activitsdauthentification peuvent tre ranges par catgories, lutilisation dune tierce partie de confiance, lutilisation decertificats dauthentification pour changer des informations dauthentification, un service dauthentification gnriquebas sur ces tapes, et au moins
42、 cinq classes de mcanismes dauthentification qui fournissent le service gnriquedauthentification. Cela comprend des mcanismes protgeant contre la divulgation dinformations dauthentification, etcontre la divulgation et la rptition sur les mmes (et/ou diffrents) vrificateurs.6.3 Partie 3 Contrle daccs
43、Ce cadre dfinit tous les aspects du contrle daccs (cest-dire utilisateur processus, utilisateur donnes, processus processus, processus donnes) dans les systmes ouverts, les relations avec dautres fonctions de scurit, telles quelauthentification et laudit, et les besoins de gestion pour le contrle da
44、ccs.Ce cadre:a) dfinit les concepts de base pour le contrle daccs;b) dmontre la faon dont les concepts de base du contrle daccs peuvent tre spcialiss pour mettre enuvre quelques services et mcanismes de contrle daccs communment reconnus;c) dfinit ces services et les mcanismes de contrle daccs corres
45、pondants;d) identifie les besoins fonctionnels des protocoles pour mettre en uvre ces services et mcanismes decontrle daccs;e) identifie les besoins de gestion pour mettre en uvre ces services et mcanismes de contrle daccs;f) traite de linteraction des services et mcanismes de contrle daccs avec dau
46、tres services et mcanismesde scurit.Ce cadre de scurit dcrit un modle de contrle daccs, un certain nombre dtapes dans lesquelles les activits decontrle daccs peuvent tre ranges par catgories, un service gnrique de contrle daccs bas sur ces tapes, et aumoins trois classes de mcanismes de contrle dacc
47、s qui fournissent le service gnrique de contrle daccs. Celacomprend des listes de contrle daccs, des capacits et des tiquettes.6.4 Partie 4 Non-rpudiationCe cadre dtaille et tend les concepts des services de non-rpudiation dcrits dans la Rec. X.800 du CCITT |ISO 7498-2 et fournit un cadre pour le dveloppement et la fourniture de ces services.ISO/
