1、UNION INTERNATIONALE DES TLCOMMUNICATIONSUIT-T X.812SECTEUR DE LA NORMALISATION (11/95)DES TLCOMMUNICATIONSDE LUITRSEAUX DE DONNES ET COMMUNICATIONENTRE SYSTMES OUVERTSSCURITTECHNOLOGIES DE LINFORMATION INTERCONNEXION DES SYSTMESOUVERTS CADRES DE SCURITPOUR LES SYSTMES OUVERTS:CADRE DE CONTRLE DACCS
2、Recommandation UIT-T X.812(Antrieurement Recommandation du CCITT)AVANT-PROPOSLUIT (Union internationale des tlcommunications) est une institution spcialise des Nations Unies dans le domainedes tlcommunications. LUIT-T (Secteur de la normalisation des tlcommunications) est un organe permanent delUIT.
3、 Au sein de lUIT-T, qui est lentit qui tablit les normes mondiales (Recommandations) sur les tlcom-munications, participent quelque 179 pays membres, 84 exploitations de tlcommunications reconnues, 145 organi-sations scientifiques et industrielles et 38 organisations internationales.Lapprobation des
4、 Recommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans laRsolution n 1 de la Confrence mondiale de normalisation des tlcommunications (CMNT), (Helsinki, 1993). Deplus, la CMNT, qui se runit tous les quatre ans, approuve les Recommandations qui lui sont soumises et tablit
5、leprogramme dtudes pour la priode suivante.Dans certains secteurs de la technologie de linformation qui correspondent la sphre de comptence de lUIT-T, lesnormes ncessaires se prparent en collaboration avec lISO et la CEI. Le texte de la Recommandation X.812 de lUIT-Ta t approuv le 21 novembre 1995.
6、Son texte est publi, sous forme identique, comme Norme interna-tionale ISO/CEI 10181-3._NOTEDans la prsente Recommandation, lexpression Administration est utilise pour dsigner de faon abrge aussi bienune administration de tlcommunications quune exploitation reconnue. UIT 1997Droits de reproduction r
7、servs. Aucune partie de cette publication ne peut tre reproduite ni utilise sous quelque formeque ce soit et par aucun procd, lectronique ou mcanique, y compris la photocopie et les microfilms, sans laccordcrit de lUIT.RECOMMANDATIONS UIT-T DE LA SRIE XRSEAUX DE DONNES ET COMMUNICATIONENTRE SYSTMES
8、OUVERTS(Fvrier 1994)ORGANISATION DES RECOMMANDATIONS DE LA SRIE XDomaine RecommandationsRSEAUX PUBLICS POUR DONNESServices et services complmentaires X.1-X.19Interfaces X.20-X.49Transmission, signalisation et commutation X.50-X.89Aspects rseau X.90-X.149Maintenance X.150-X.179Dispositions administra
9、tives X.180-X.199INTERCONNEXION DES SYSTMES OUVERTSModle et notation X.200-X.209Dfinition des services X.210-X.219Spcifications des protocoles en mode connexion X.220-X.229Spcifications des protocoles en mode sans connexion X.230-X.239Formulaires PICS X.240-X.259Identification des protocoles X.260-X
10、.269Protocoles de scurit X.270-X.279Objets grs de couche X.280-X.289Test de conformit X.290-X.299INTERFONCTIONNEMENT DES RSEAUXConsidrations gnrales X.300-X.349Systmes mobiles de transmission de donnes X.350-X.369Gestion X.370-X.399SYSTMES DE MESSAGERIE X.400-X.499ANNUAIRE X.500-X.599RSEAUTAGE OSI E
11、T ASPECTS DES SYSTMESRseautage X.600-X.649Dnomination, adressage et enregistrement X.650-X.679Notation de syntaxe abstraite numro un (ASN.1) X.680-X.699GESTION OSI X.700-X.799SCURIT X.800-X.849APPLICATIONS OSIEngagement, concomitance et rtablissement X.850-X.859Traitement des transactions X.860-X.87
12、9Oprations distantes X.880-X.899TRAITEMENT OUVERT RPARTI X.900-X.999Rec. UIT-T X.812 (1995 F) iTABLE DES MATIRESPage1 Domaine dapplication 12 Rfrences normatives . 22.1 Recommandations | Normes internationales identiques 22.2 Paires de Recommandations | Normes internationales 23 Dfinitions 24 Abrvia
13、tions . 45 Discussion gnrale sur le contrle daccs 45.1 But du contrle daccs . 45.2 Aspects lmentaires du contrle daccs . 55.2.1 Ralisation des fonctions de contrle daccs . 55.2.2 Autres activits de contrle daccs 75.2.3 Envoi de linformation ACI. 95.3 Distribution des composants de contrle daccs 105.
14、3.1 Contrle daccs entrant 105.3.2 Contrle daccs sortant 105.3.3 Contrle daccs interpos.115.4 Distribution des composants de contrle daccs travers des domaines de scurit multiples . 115.5 Menaces sur le contrle daccs 116 Politiques de contrle daccs. 126.1 Expression de la politique de contrle daccs 1
15、26.1.1 Catgories de politiques de contrle daccs. 126.1.2 Groupes et rles 126.1.3 Etiquettes de scurit 126.1.4 Politiques de contrle de scurit dinitiateurs multiples 136.2 Gestion de la politique 136.2.1 Politiques fixes 136.2.2 Politiques appliques administrativement. 136.2.3 Politiques slectionnes
16、par lutilisateur 136.3 Finesse et inclusion . 136.4 Rgles dhritage . 136.5 Priorits entre rgles de politique de contrle daccs 146.6 Rgles de politique de contrle de scurit par dfaut 146.7 Correspondance de politique par le biais de domaines de scurit cooprants. 147 Information de contrle daccs et fo
17、nctionnalits . 157.1 Information ACI 157.1.1 Information ACI dinitiateur 157.1.2 Information ACI de cible 157.1.3 Information ACI de demande daccs . 157.1.4 Oprande de linformation ACI. 157.1.5 Information de contexte 167.1.6 Information ACI attache linitiateur 167.1.7 Information ACI attache la cib
18、le 167.1.8 Information ACI attache la demande daccs . 167.2 Protection de linformation ACI 167.2.1 Certificats de contrle daccs. 167.2.2 Jetons de contrle daccs .177.3 Fonctionnalits de contrle daccs. 177.3.1 Fonctionnalits lies la gestion. 197.3.2 Fonctionnalits relatives lexploitation. 19ii Rec. U
19、IT-T X.812 (1995 F)Page8 Classification des mcanismes de contrle daccs 208.1 Introduction. 208.2 Structure de liste ACL. 218.2.1 Caractristiques lmentaires 218.2.2 Information ACI 228.2.3 Mcanismes de support. 228.2.4 Variantes de cette structure .228.3 Structure de capacit . 238.3.1 Caractristiques
20、 lmentaires 238.3.2 Information ACI 248.3.3 Mcanismes de support. 248.3.4 Variantes de cette structure Capacits sans oprations spcifiques . 248.4 Structure fonde sur ltiquette 258.4.1 Caractristiques lmentaires 258.4.2 Information ACI 258.4.3 Mcanismes de support. 258.4.4 Voies tiquetes comme cibles
21、 . 268.5 Structure fonde sur le contexte 268.5.1 Caractristiques lmentaires 268.5.2 Information ACI 278.5.3 Mcanismes de support. 278.5.4 Variantes de cette structure .279 Interaction avec dautres services et mcanismes de scurit. 279.1 Authentification 279.2 Intgrit des donnes. 279.3 Confidentialit
22、des donnes 289.4 Audit . 289.5 Autres services lis laccs . 28Annexe A Echange de certificats de contrle daccs entre composants 29A.1 Introduction. 29A.2 Envoi des certificats de contrle daccs. 29A.3 Envoi de multiples certificats de contrle daccs. 29A.3.1 Exemple 29A.3.2 Gnralisation . 30A.3.3 Simpl
23、ifications 30Annexe B Contrle daccs dans le modle de rfrence OSI 31B.1 Gnralits 31B.2 Utilisation du contrle daccs dans les couches OSI .31B.2.1 Utilisation du contrle daccs pour la couche rseau. 31B.2.2 Utilisation du contrle daccs pour la couche transport. 31B.2.3 Utilisation du contrle daccs pour
24、 la couche application . 31Annexe C Non-unicit des identits de contrle daccs 32Annexe D Distribution des composants de contrle daccs 33D.1 Aspects considrs 33D.2 Localisation des composants AEC et ADC 33D.3 Interactions entre composants de contrle daccs 34Annexe E Politiques fondes sur les rgles ver
25、sus politiques fondes sur lidentit 36Annexe F Un mcanisme pour mettre en uvre lenvoi de linformation ACI par le biais dun initiateur 37Annexe G Grandes lignes du service de scurit de contrle daccs 38Rec. UIT-T X.812 (1995 F) iiiRsumLa prsente Recommandation | Norme internationale dfinit un cadre gnr
26、al pour la fourniture du contrle daccs. Lebut essentiel du contrle daccs est de parer au risque doprations non autorises au moyen dun ordinateur ou dunsystme de communication; ces menaces sont frquemment subdivises en classes qui sont notamment les suivantes:utilisation non autorise, divulgation, mo
27、dification, destruction ou dni de service.ISO/CEI 10181-3 : 1996 (F)Rec. UIT-T X.812 (1995 F) 1NORME INTERNATIONALEISO/CEI 10181-3 : 1996 (F)Rec. UIT-T X.812 (1995 F)RECOMMANDATION UIT-TTECHNOLOGIES DE LINFORMATION INTERCONNEXION DESSYSTMES OUVERTS CADRES DE SCURIT POUR LESSYSTMES OUVERTS: CADRE DE
28、CONTRLE DACCS1 Domaine dapplicationLes cadres de scurit sont destins traiter lapplication des services de scurit dans lenvironnement des systmesouverts, o le terme systmes ouverts est utilis pour des domaines tels que les bases de donnes, les applicationsdistribues, le traitement ODP et linterconnex
29、ion OSI. Les cadres de scurit sont destins dfinir les moyens doffrirla protection des systmes et des objets au sein des systmes, ainsi que les interactions entre systmes. Les cadres netraitent pas de la mthodologie de construction des systmes ou des mcanismes.Les cadres couvrent la fois les lments d
30、e donnes et les squences doprations (mais pas les lments de protocole)utiliss pour obtenir des services spcifiques de scurit. Ces services de scurit peuvent sappliquer aux entitscommunicantes des systmes aussi bien quaux donnes changes entre systmes, et aux donnes gres par lessystmes.Dans le cas du
31、contrle daccs, les accs peuvent tre destins un systme (par exemple, vers une entit qui est lapartie communicante dun systme) ou prendre place au sein dun systme. Les lments de donnes qui doivent treprsents pour obtenir laccs, ainsi que la squence doprations de la demande et pour la notification des
32、rsultats delaccs, sont considrs comme faisant partie des cadres de scurit. Cependant, tout lment de donnes et touteopration qui dpend seulement dune application et qui est strictement concern par laccs local au sein dun systme nefait pas partie du domaine dapplication des cadres de scurit.Plusieurs
33、applications ont des besoins de scurit pour protger des menaces sur des ressources, y compris linformation,rsultant de linterconnexion des systmes ouverts. Certaines menaces communment connues, dans un environ-nement OSI, ainsi que les services et mcanismes de scurit pour sen protger, sont dcrits da
34、ns la Rec. X.800 duCCITT | ISO 7498-2.Le processus de dtermination des utilisations de ressources permises dans un environnement de systme ouvert et,lorsque cela est appropri, la prvention contre un accs non autoris est appel contrle daccs. La prsenteRecommandation | Norme internationale dfinit un c
35、adre gnral pour la fourniture des services de contrle daccs.Ce cadre de scurit:a) dfinit les concepts lmentaires du contrle daccs;b) dmontre la faon dont les concepts lmentaires du contrle daccs peuvent tre spcialiss pour mettreen uvre quelques services et mcanismes daccs communment reconnus;c) dfin
36、it ces services et mcanismes de contrle daccs correspondants;d) identifie les besoins fonctionnels des protocoles pour la mise en uvre de ces services et mcanismes decontrle daccs;e) identifie les besoins de gestion afin de mettre en uvre ces services et mcanismes de contrle daccs;f) couvre linterac
37、tion des services et mcanismes de contrle daccs avec dautres services et mcanismesde scurit.Comme pour les autres services de scurit, le contrle daccs peut tre fourni seulement dans le contexte dunepolitique de scurit dfinie pour une application particulire. La dfinition des politiques de contrle da
38、ccs ne fait paspartie du domaine dapplication de la prsente Recommandation | Norme internationale, cependant, certaines caract-ristiques des politiques de contrle daccs sont prsentes.Lobjet de la prsente Recommandation | Norme internationale nest pas de spcifier les dtails des changes deprotocoles q
39、ui peuvent savrer ncessaires pour fournir les services de contrle daccs.ISO/CEI 10181-3 : 1996 (F)2 Rec. UIT-T X.812 (1995 F)La prsente Recommandation | Norme internationale ne spcifie pas de mcanisme particulier pour mettre en uvre cesservices de contrle daccs ni les dtails des services et protocol
40、es de gestion de la scurit.Diffrents types de normes peuvent utiliser ce cadre y compris:a) les normes qui incorporent le concept du contrle daccs;b) les normes qui spcifient les services daccs incluant le contrle daccs;c) les normes qui spcifient les utilisations dun service de contrle daccs;d) les
41、 normes qui spcifient les moyens de fournir le contrle daccs au sein dun environnement de systmeouvert;e) les normes qui spcifient les mcanismes de contrle daccs.De telles normes peuvent utiliser ce cadre de la faon suivante: les normes de types a), b), c), d) et e) peuvent utiliser la terminologie
42、de ce cadre; les normes de types b), c), d) et e) peuvent utiliser les fonctionnalits dfinies dans larticle 7 de ce cadre; la norme de type e) peut tre fonde sur les classes de mcanismes dfinies dans larticle 8 de ce cadre.2 Rfrences normativesLes Recommandations et les Normes internationales suivan
43、tes contiennent des dispositions qui, par suite de la rfrencequi y est faite, constituent des dispositions valables pour la prsente Recommandation | Norme internationale. Aumoment de la publication, les ditions indiques taient en vigueur. Toutes Recommandations et Normes sont sujettes rvision, et le
44、s parties prenantes aux accords fonds sur la prsente Recommandation | Norme internationale sont invites rechercher la possibilit dappliquer les ditions les plus rcentes des Recommandations et Normes indiques ci-aprs.Les membres de la CEI et de lISO possdent le registre des Normes internationales en
45、vigueur. Le Bureau de lanormalisation des tlcommunications de lUIT tient jour une liste des Recommandations de lUIT-T en vigueur.2.1 Recommandations | Normes internationales identiques Recommandation UIT-T X.200 (1994) | ISO/CEI 7498-1:1994, Technologies de linformation Interconnexion des systmes ou
46、verts Modle de rfrence de base: le modle de rfrence de base. Recommandation UIT-T X.810 (1995) | ISO/CEI 10181-1:1996,Technologies de linformation Interconnexion des systmes ouverts Cadres de scurit pour les systmes ouverts: aperu gnral. Recommandation UIT-T X.811 (1995) | ISO/CEI 10181-2:1996, Tech
47、nologies de linformation Interconnexion des systmes ouverts Cadre de scurit pour systmes ouverts: cadre dauthentification. Recommandation UIT-T X.880 (1994) | ISO/CEI 13712-1:1995, Technologies de linformation Oprations distantes: concepts, modle et notation.2.2 Paires de Recommandations | Normes internationales quivalentes par leur contenu technique Recommandation X.800 du CCITT (1991), Architecture de scurit pour lintercon