1、UNION INTERNATIONALE DES TLCOMMUNICATIONS5)4 4 8 SECTEUR DE LA NORMALISATION (04/95)DES TLCOMMUNICATIONSDE LUIT2 3%!58 $% #/-5.)#!4)/. $% $/ %3 %4#/-5.)#!4)/. %.42% 3934 -%3 /56%2433 #52)4 4%#(./,/)%3 $% , ).b) une dfinition du service, la spcification du protocole et le formulaire PICS pour llment
2、de servicedapplication (ASE) qui contribueront assurer les services de scurit dans la couche Application;c) une spcification et un formulaire PICS pour une syntaxe de transfert de scurit, associs la couchePrsentation, pour les services de scurit dans la couche Application.1.2 La prsente Recommandati
3、on | Norme internationale spcifie le service fourni par llment de servicedchange de scurit (SESE). Celui-ci est un lment ASE qui permet la communication dinformation de scurit pourassurer des services de scurit dans la couche Application.2 Rfrences normativesLes Recommandations et Normes internation
4、ales suivantes contiennent des dispositions qui, par suite de la rfrence quiy est faite, constituent des dispositions valables pour la prsente Recommandation | Norme internationale. Au moment dela publication, les ditions indiques taient en vigueur. Toute Recommandation et Norme sont sujettes rvisio
5、n et lesparties prenantes aux accords fonds sur la prsente Recommandation | Norme internationale sont invites rechercherla possibilit dappliquer les ditions les plus rcentes des Recommandations et Normes indiques ci-aprs. Les membresde la CEI et de lISO possdent le registre des Normes internationale
6、s en vigueur. Le Bureau de la normalisation destlcommunications de lUIT tient jour une liste des Recommandations de lUIT-T en vigueur.2.1 Recommandations | Normes internationales identiques Recommandation UIT-T X.200 (1994) | ISO/CEI 7498-1:1994, Technologies de linformation Interconnexion des systm
7、es ouverts Modle de rfrence de base: Le modle de rfrence de base. Recommandation UIT-T X.803 (1994) | ISO/CEI 10745:1995, Technologies de linformation Interconnexion des systmes ouverts Modle de scurit pour les couches suprieures.3 DfinitionsLes termes suivants sont utiliss tels quils sont dfinis da
8、ns la Rec. UIT-T X.803 | ISO/CEI 10745: change de scurit; item dchange de scurit.ISO/CEI 11586-2 : 1996 (F)2 Rec. UIT-T X.831 (1995 F)4 AbrviationsPour les besoins de la prsente Recommandation | Norme internationale, les abrviations suivantes sont utilises:ASE Elment de service dapplication (applica
9、tion service element)OSI Interconnexion des systmes ouverts (open systems interconnexion)PICS Dclaration de conformit dune instance de protocole (protocol implementation conformancestatement)SEI Item dchange de scurit (security exchange item)5 ConventionsLarticle 7 prsente sous forme de tableau les
10、paramtres et les primitives du service SESE. Chaque paramtre est rsumau moyen de la notation suivante:M la prsence du paramtre est obligatoireO la prsence du paramtre est une option de la machine protocole SESEU la prsence du paramtre est une option de lutilisateur du service SESEC la prsence du par
11、amtre est conditionnelle(=) la valeur de ce paramtre est identique la valeur du paramtre correspondant de la primitive deservice SESE prcdente6 Aperu gnral du serviceLlment de service dchange de scurit pourvoit la communication dinformations associes un change descurit, comme indiqu dans la Partie 1
12、. Ce service est gnralement utilis pour transfrer des informations relatives lauthentification, au contrle daccs, la non-rpudiation et la gestion de la scurit.6.1 Services spcifiquesLes services suivants ont t dfinis:a) SE-TRANSFER;b) SE-U-ABORT;c) SE-P-ABORT.Le service SE-TRANSFER est utilis pour l
13、ancer un change de scurit dun type donn, pour transfrer le premier itemdchange de scurit (SEI) et pour transfrer dautres items SEI de lchange de scurit. Cest le seul service requis pourraliser un change de scurit.Le service SE-U-ABORT est utilis par lutilisateur du service SESE pour indiquer quune e
14、rreur sest produite. Ceservice est utilis pour terminer anormalement un change de scurit en cours. Facultativement, ce service peutgalement terminer anormalement une association ASO.Le service SE-P-ABORT est utilis par le fournisseur du service SESE pour indiquer quune erreur sest produite. Il estut
15、ilis pour terminer anormalement un change de scurit en cours. Facultativement, ce service peut aussi termineranormalement une association ASO.6.2 Modle de procdure du service SE-TRANSFERLa Partie 1 de la prsente Recommandation | Norme internationale dfinit le modle de procdure suivant des changesde
16、scurit:Un item dchange de scurit (SEI) est transfr de A B. Il est suivi, facultativement, dun ou de plusieurs autrestransferts ditems SEI entre A et B selon lchange de scurit spcifique identifi par le service SE-TRANSFER. Lasquence peut se terminer la rception de nimporte quel item SEI ou par la pro
17、duction dune indication derreur, soitpar lutilisateur du service, soit par le fournisseur.Le chronogramme suivant illustre le cas particulier dune squence de transfert ditem SEI dans les deux sens pour unchange de scurit n transferts. (Cet exemple relve de la classe lalternat dfini au 6.1 de la Rec.
18、 UIT-T X.830 |ISO/CEI 11586-1.)ISO/CEI 11586-2 : 1996 (F)Rec. UIT-T X.831 (1995 F) 3demande SE-TRANSFER-indication SE-TRANSFERdemande SE-TRANSFERindication SE-TRANSFER7 Dfinition du serviceLes primitives du service SESE sont des types suivants:SE-TRANSFER Non confirmSE-U-ABORT Non confirmSE-P-ABORT
19、Lanc par le fournisseur7.1 Paramtres des primitives du serviceLes paramtres des primitives du service sont dcrits ci-aprs.7.1.1 Identificateur dchange de scuritCe paramtre identifie le type particulier dchange de scurit dont le lancement est en cours. Quand lchange descurit est dfini, lidentificateu
20、r est tabli au moyen de la classe dobjet dinformation SECURITY-EXCHANGEdfinie la Partie 1.7.1.2 Identificateur dinvocationCe paramtre identifie une invocation particulire dchange de scurit. Il est utilis pour se rfrer ultrieurement cette invocation pour des besoins de corrlation, dans une primitive
21、SE-TRANSFER, SE-U-ABORT ou SE-P-ABORT.Les identificateurs dinvocation sont particulirement utiles pour traiter des invocations dchange de scurit multiplesdans le contexte, par exemple, dune association dapplication.Les identificateurs dinvocation sont fournis par les utilisateurs de services qui lan
22、cent des changes de scurit; de telsutilisateurs sont chargs dassurer que cet identificateur ne prsente aucune ambigut dans le cadre de toutes lesinvocations dchange de scurit actives.7.1.3 Item dchange de scuritLitem quil y a lieu dacheminer, comme cela est sous-entendu par lidentificateur dchange d
23、e scurit.7.1.4 Identificateur ditemDans une primitive SE-TRANSFER, ce paramtre indique lequel des items de lchange de scurit est achemin parcette primitive. Dans une primitive SE-U-ABORT ou SE-P-ABORT, ce paramtre indique celui des items dun changede scurit sur lequel a t dtecte une situation derreu
24、r.La spcification dun change de scurit peut imposer des contraintes spcifiques sur lutilisation de lidentificateurditem. Cest lutilisateur SESE qui est charg de veiller ce que ces contraintes soient respectes.7.1.5 Fanion de dbutDans une primitive SE-TRANSFER, ce paramtre sert indiquer le transfert
25、du premier item dun change de scurit.7.1.6 Fanion de finDans une primitive SE-TRANSFER, ce paramtre sert indiquer que litem dchange de scurit en questioncorrespond au dernier change de scurit requis pour satisfaire le mcanisme de scurit. Il est ncessaire pour prendreen charge les mcanismes ncessitan
26、t n change, quand n nest pas connu lavance.ISO/CEI 11586-2 : 1996 (F)4 Rec. UIT-T X.831 (1995 F)7.1.7 Liste derreursCe paramtre comprend une ou plusieurs listes de codes derreurs, comportant des paramtres derreur optionnels. Uncode derreur indique la cause de labandon SE-U-ABORT en cours. Des codes
27、derreur sont tablis, lors de la dfinitiondun change de scurit, au moyen de la classe dobjets informationnels SE-ERROR, dfinie dans la Partie 1. Lesparamtres derreur optionnels fournissent des informations additionnelles, dcrivant la cause de labandon.7.1.8 Code de problmeCe paramtre indique la cause
28、 de lmission de la primitive SE-P-ABORT. Lensemble des valeurs possibles est spcifi larticle 6 de la Partie 3.7.1.9 Indicateur de blocageDans une primitive de demande SE-U-ABORT, ce paramtre est utilis pour indiquer au fournisseur du service SESE sildoit tre mis fin lassociation ASO (par exemple, as
29、sociation dapplication).Dans une primitive dindication SE-U-ABORT ou dindication SE-P-ABORT, ce paramtre est utilis pour indiquer lutilisateur du service SESE sil doit tre mis fin lassociation ASO (par exemple, association dapplication).7.2 Primitives de serviceLes paramtres des primitives de servic
30、e SESE sont donns ci-dessous (voir le 6.1 qui donne la dfinition des servicesSESE et le 7.1 qui contient une description des paramtres spcifiques).7.2.1 Service SE-TRANSFERLes paramtres du service SE-TRANSFER se prsentent comme suit:Nom du paramtre Dem IndIdentificateur dchange de scurit M M(=)Ident
31、ificateur dinvocation U C(=)Item dchange de scurit M M(=)Identificateur ditem U C(=)Drapeau de dbut U C(=)Drapeau de fin U C(=)7.2.2 Service SE-U-ABORTLes paramtres du service SE-U-ABORT se prsentent comme suit:Nom du paramtre Dem IndIdentificateur dinvocation U C(=)Identificateur ditem U C(=)Liste
32、derreurs U C(=)Indicateur de blocage U C(=)7.2.3 Service SE-P-ABORTLes paramtres du service SE-P-ABORT se prsentent comme suit:Nom du paramtre IndIdentificateur dinvocation OIdentificateur ditem OCode de problme MIndicateur de blocage O8 Information de mise en squenceLa seule contrainte de mise en squence stipule dans cette Dfinition de service est que linvocation des primitivesSE-TRANFER ayant le mme identificateur dinvocation doit tre conforme aux dispositions du 7.1.2.
