1、UNION INTERNATIONALE DES TLCOMMUNICATIONSUIT-T X.811SECTEUR DE LA NORMALISATION (04/95)DES TLCOMMUNICATIONSDE LUITRSEAUX DE COMMUNICATION DE DONNES ETCOMMUNICATION ENTRE SYSTMES OUVERTSSCURITTECHNOLOGIES DE LINFORMATION INTERCONNEXION DES SYSTMES OUVERTSCADRES DE SCURIT POUR SYSTMESOUVERTS: CADRE DA
2、UTHENTIFICATIONRecommandation UIT-T X.811(Antrieurement Recommandation du CCITT)AVANT-PROPOSLUIT (Union internationale des tlcommunications) est une institution spcialise des Nations Unies dans le domainedes tlcommunications. LUIT-T (Secteur de la normalisation des tlcommunications) est un organe pe
3、rmanent delUIT. Au sein de lUIT-T, qui est lentit qui tablit les normes mondiales (Recommandations) sur les tlcom-munications, participent quelque 179 pays membres, 84 exploitations de tlcommunications reconnues, 145 organi-sations scientifiques et industrielles et 38 organisations internationales.L
4、approbation des Recommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolutionno1 de la Confrence mondiale de normalisation des tlcommunications (CMNT), (Helsinki, 1993). De plus, la CMNT,qui se runit tous les quatre ans, approuve les Recommandations qui lui sont soum
5、ises et tablit le programme dtudespour la priode suivante.Dans certains secteurs de la technologie de linformation qui correspondent la sphre de comptence de lUIT-T, lesnormes ncessaires se prparent en collaboration avec lISO et la CEI. Le texte de la Recommandation X.811 de lUIT-Ta t approuv le 10
6、avril 1995. Son texte est publi, sous forme identique, comme Norme interna-tionale ISO/CEI 10181-2._NOTEDans la prsente Recommandation, lexpression Administration est utilise pour dsigner de faon abrge aussi bienune administration de tlcommunications quune exploitation reconnue. UIT 1996Droits de re
7、production rservs. Aucune partie de cette publication ne peut tre reproduite ni utilise sous quelque formeque ce soit et par aucun procd, lectronique ou mcanique, y compris la photocopie et les microfilms, sans laccordcrit de lUIT.RECOMMANDATIONS UIT-T DE LA SRIE XRSEAUX DE COMMUNICATION DE DONNES E
8、T COMMUNICATIONENTRE SYSTMES OUVERTS(Fvrier 1994)ORGANISATION DES RECOMMANDATIONS DE LA SRIE XDomaine RecommandationsRSEAUX PUBLICS POUR DONNESServices et services complmentaires X.1-X.19Interfaces X.20-X.49Transmission, signalisation et commutation X.50-X.89Aspects rseau X.90-X.149Maintenance X.150
9、-X.179Dispositions administratives X.180-X.199INTERCONNEXION DES SYSTMES OUVERTSModle et notation X.200-X.209Dfinition des services X.210-X.219Spcifications des protocoles en mode connexion X.220-X.229Spcifications des protocoles en mode sans connexion X.230-X.239Formulaires PICS X.240-X.259Identifi
10、cation des protocoles X.260-X.269Protocoles de scurit X.270-X.279Objets grs de couche X.280-X.289Test de conformit X.290-X.299INTERFONCTIONNEMENT DES RSEAUXConsidrations gnrales X.300-X.349Systmes mobiles de transmission de donnes X.350-X.369Gestion X.370-X.399SYSTMES DE MESSAGERIE X.400-X.499ANNUAI
11、RE X.500-X.599RSEAUTAGE OSI ET ASPECTS DES SYSTMESRseautage X.600-X.649Dnomination, adressage et enregistrement X.650-X.679Notation de syntaxe abstraite numro un (ASN.1) X.680-X.699GESTION OSI X.700-X.799SCURIT X.800-X.849APPLICATIONS OSIEngagement, concomitance et rtablissement X.850-X.859Traitemen
12、t des transactions X.860-X.879Oprations distantes X.880-X.899TRAITEMENT OUVERT RPARTI X.900-X.999TABLE DES MATIRESRec. UIT-T X.811 (1995 F)Page1 Domaine dapplication 12 Rfrences normatives . 22.1 Recommandations | Normes internationales identiques 22.2 Paires de Recommandations | Normes internationa
13、les quivalentes par leur contenu technique . 22.3 Autres rfrences 23 Dfinitions 24 Abrviations . 45 Prsentation gnrale de lauthentification. 45.1 Concepts de base relatifs lauthentification 45.2 Aspects des services dauthentification . 75.3 Principes dauthentification. 95.4 Phases dauthentification.
14、 95.5 Participation de tiers caution. 105.6 Types dentits principales 135.7 Authentification dusagers. 145.8 Types dattaque visant lauthentification . 146 Informations et services dauthentification. 166.1 Informations dauthentification . 166.2 Fonctionnalits 197 Caractristiques des mcanismes dauthen
15、tification. 237.1 Symtrie/Asymtrie. 237.2 Utilisation de techniques cryptographiques et non cryptographiques. 247.3 Types dauthentification 248 Mcanismes dauthentification . 258.1 Classification par vulnrabilit . 258.2 Lancement du transfert 318.3 Utilisation de certificats dauthentification 318.4 A
16、uthentification mutuelle . 318.5 Rsum des classes de caractristiques. 328.6 Classification par configuration 329 Interactions avec dautres services et mcanismes de scurit . 359.1 Contrle daccs 359.2 Intgrit des donnes. 359.3 Confidentialit des donnes 359.4 Non-rpudiation 359.5 Audit . 35Annexe A Aut
17、hentification dusagers . 36Annexe B Authentification dans le modle OSI. 38Annexe C Utilisation de numros uniques ou dpreuves pour lutter contre la rexcution 40Annexe D Protection contre certaines formes de piratage sur lauthentification 41Annexe E Bibliographie . 45Annexe F Exemples particuliers de
18、mcanismes dauthentification. 46Annexe G Synoptique des fonctions dauthentification 49Rec. UIT-T X.811 (1995 F) i IntroductionUn grand nombre dapplications ont besoin de se scuriser contre les menaces pesant sur la communication desinformations. La Rec. X.800 du CCITT | ISO 7498-2 dcrit les risques l
19、es plus courants ainsi que les services et lesmcanismes qui peuvent tre utiliss pour assurer une protection contre ces risques.Les besoins en scurit de nombreuses applications des systmes ouverts sont lis une identification correcte desentits principales impliques. Ces besoins peuvent inclure la pro
20、tection des biens et des ressources contre un accs nonautoris; dans ce cas, un mcanisme de contrle daccs fond sur lidentit pourrait tre utilis. Il peut sagir aussi de lamise en vigueur de responsabilits par la tenue de journaux daudit o sont consigns des vnements appropris aussibien que des informat
21、ions comptables ou de taxation.Le processus de confirmation didentit est appel authentification (ou lgitimation). La prsente Recommandation |Norme internationale dfinit un cadre gnral pour la fourniture de services dauthentification.ii Rec. UIT-T X.811 (1995 F) ISO/CEI 10181-2 : 1996 (F)NORME INTERN
22、ATIONALEISO/CEI 10181-2 : 1996 (F)Rec. UIT-T X.811 (1995 F)RECOMMANDATION UIT-TTECHNOLOGIES DE LINFORMATION INTERCONNEXION DES SYSTMESOUVERTS CADRES DE SCURITE POUR SYSTMES OUVERTS:CADRE DAUTHENTIFICATION1 Domaine dapplicationLa srie de Recommandations | Normes internationales sur les cadres de scur
23、it pour systmes ouverts concernelapplication de services de scurit dans un environnement de systmes ouverts. Dans ce contexte, le terme systmesouverts recouvre les domaines tels que bases de donnes, applications rparties, traitement rparti ouvert et OSI. Lescadres de scurit pour systmes ouverts dfin
24、issent les moyens de protection applicables aux systmes et aux objetsquils contiennent. Ils traitent galement des interactions entre les systmes. Ils ne traitent pas de la mthode relative lacration de systmes ou de mcanismes.Les cadres de scurit traitent la fois des lments de donnes et des squences
25、doprations ( lexception des lmentsde protocoles) utiliss pour obtenir des services de scurit spcifiques. Ces services de scurit peuvent sappliquer auxentits de communication des systmes et aux donnes changes entre les systmes ou gres par eux.La prsente Recommandation | Norme internationale: dfinit l
26、es concepts de base relatifs lauthentification; identifie les diffrentes classes de mcanismes dauthentification; dfinit les services correspondant ces classes; identifie les spcifications fonctionnelles des protocoles supportant ces mcanismes; prcise les spcifications gnrales de gestion pour les ser
27、vices dauthentification.Diffrents types de normes peuvent utiliser ce cadre, par exemple:1) les normes reprenant le concept dauthentification;2) les normes relatives la fourniture dun service dauthentification;3) les normes relatives linvocation dun service dauthentification;4) les normes spcifiant
28、le moyen dassurer lauthentification dans le cadre dune architecture de systmeouvert; et5) les normes spcifiant des mcanismes dauthentification.A noter que les services mentionns aux points 2), 3) et 4) peuvent comporter une authentification mais avoir un autreobjet principal.Ces normes peuvent utili
29、ser le prsent Cadre comme suit: les normes des types 1), 2), 3), 4) et 5) peuvent utiliser la terminologie du prsent Cadre; les normes des types 2), 3), 4) et 5) peuvent utiliser les services dfinis larticle 7 du prsent Cadre; les normes du type 5) peuvent tre fondes sur les mcanismes dfinis larticl
30、e 8 du prsent Cadre.A linstar dautres services de scurit, lauthentification ne peut tre assure que dans le contexte dune politique descurit dfinie pour une application donne. La dfinition des politiques de scurit ne relve pas du domainedapplication de la prsente Recommandation | Norme internationale
31、.De mme, la spcification dtaille des changes protocolaires ncessaires lauthentification ne fait pas partie dudomaine de la prsente Recommandation | Norme internationale.Rec. UIT-T X.811 (1995 F) 1 ISO/CEI 10181-2 : 1996 (F)La prsente Recommandation | Norme internationale ne spcifie pas de mcanismes
32、particuliers pour assurer desservices dauthentification. Dautres normes (telle que lISO/CEI 9798) traitent plus en dtail de mthodesdauthentification spcifiques et certaines dentre elles (telle que la Rec. UIT-T X.509 | ISO/CEI 9594-8) exposent desexemples de mthodes se rapportant des besoins dauthen
33、tification particuliers.Certaines des procdures dcrites ci-aprs ralisent la scurit en appliquant des techniques cryptographiques. Toutefois,le prsent Cadre ne repose pas sur lutilisation dun algorithme cryptographique donn ou dune autre nature, bien quecertaines classes de mcanismes dauthentificatio
34、n puissent dpendre de proprits algorithmiques particulires, parexemple des proprits asymtriques.NOTE LISO, bien que ne normalisant pas les algorithmes cryptographiques, normalise en fait les procdures utilisespour les faire enregistrer dans lISO/CEI 9979.2 Rfrences normativesLes Recommandations et N
35、ormes internationales suivantes contiennent des dispositions qui, par suite de la rfrence quiy est faite, constituent des dispositions valables pour la prsente Recommandation | Norme internationale. Au moment dela publication, les ditions indiques taient en vigueur. Toute Recommandation et Norme son
36、t sujettes rvision et lesparties prenantes aux accords fonds sur la prsente Recommandation | Norme internationale sont invites rechercherla possibilit dappliquer les ditions les plus rcentes des Recommandations et Normes indiques ci-aprs. Les membresde la CEI et de lISO possdent le registre des Norm
37、es internationales en vigueur. Le Bureau de la normalisation destlcommunications de lUIT tient jour une liste des Recommandations de lUIT-T en vigueur.2.1 Recommandations | Normes internationales identiques Recommandation X.8101)| ISO/CEI 10181-1:.1), Technologies de linformation Cadres de scuritpou
38、r les systmes ouverts Aperu gnral.2.2 Paires de Recommandations | Normes internationales quivalentes par leur contenu technique Recommandation X.800 du CCITT: (1991), Architecture de scurit pour linterconnexion en systmesouverts dapplications du CCITT.ISO 7498-2:1989, Systmes de traitement de linfor
39、mation Interconnexion des systmes ouverts Modle de rfrence de base Partie 2: Architecture de scurit.2.3 Autres rfrences ISO/CEI 9979:1991, Techniques cryptographiques Procdures pour lenregistrement des algorithmescryptographiques. ISO/CEI 10116:1991, Technologies de linformation Modes opratoires dun
40、 algorithme de chiffrementpar blocs de n-bits.3 DfinitionsLa prsente Recommandation | Norme internationale utilise les termes gnraux suivants relatifs la scurit dfinisdans la Rec. X.800 du CCITT | ISO 7498-2: audit; enregistrement daudit; informations dauthentification; confidentialit; cryptographie
41、; valeur de contrle cryptographique; authentification de lorigine des donnes;_1)Actuellement ltat de projet.2 Rec. UIT-T X.811 (1995 F) ISO/CEI 10181-2 : 1996 (F) intgrit des donnes; dchiffrement; signature numrique; chiffrement; cl; gestion de cls; usurpation didentit; mot de passe; authentificatio
42、n de lentit homologue; politique de scurit.La prsente Recommandation | Norme internationale utilise le terme suivant, dfini dans lISO/CEI 10116: chanage de blocs.La prsente Recommandation | Norme internationale utilise les termes suivants dfinis dans la Rec. UIT-T X.810 |ISO/CEI 10181-1: empreinte n
43、umrique; fonction de hachage; fonction unidirectionnelle; cl prive; cl publique; scell; cl secrte; autorit de scurit; certificat de scurit; domaine de scurit; jeton de scurit; confiance; tierce partie de confiance.Pour les besoins de la prsente Recommandation | Norme internationale, les dfinitions s
44、uivantes sappliquent:3.1 mthode dauthentification asymtrique: mthode dauthentification dans laquelle toutes les informationsdauthentification ne sont pas partages par les deux entits.3.2 identit authentifie: identificateur distinctif dentit principale qui a t attest par une authentification.3.3 auth
45、entification: attestation de lidentit revendique par une entit.3.4 certificat dauthentification: certificat de scurit qui est garanti par une autorit dauthentification et qui peuttre utilis pour attester lidentit dune entit.3.5 change pour authentification: squence dun ou de plusieurs transferts din
46、formations dauthentification (AI)pour change, en vue de raliser une authentification.3.6 informations dauthentification (authentication information): renseignements utiliss aux fins delauthentification.3.7 initiateur dauthentification: entit qui commence lchange pour authentification.3.8 preuve: paramtre variable dans le temps produit par un vrificateur.3.9 informations dauthentification pour dclaration (informations AI pour dclaration): informationsutilises par un dclarant pour prod