1、UNION INTERNATIONALE DES TLCOMMUNICATIONS5)4 4 8 SECTEUR DE LA NORMALISATION (04/95)DES TLCOMMUNICATIONSDE LUIT2 3%!58 $% #/-5.)#!4)/. $% $/ %3 %4#/-5.)#!4)/. %.42% 3934 -%3 /56%2433%#52)4 4%#(./,/)%3 $% , ).b) une dfinition du service, la spcification du protocole et le formulaire PICS pour llment
2、du serviceApplication (ASE) qui contribueront assurer les services de scurit dans la couche Application;c) une spcification et un formulaire PICS pour une syntaxe de transfert de scurit, associs la couchePrsentation, pour les services de scurit dans la couche Application.1.2 La prsente Recommandatio
3、n | Norme internationale spcifie le protocole fourni par llment de servicedchange de scurit (SESE). Celui-ci est un lment ASE qui permet la communication dinformations de scurit pourassurer des services de scurit dans la couche Application.2 Rfrences normativesLes Recommandations et Normes internati
4、onales suivantes contiennent des dispositions qui, par suite de la rfrence quiy est faite, constituent des dispositions valables pour la prsente Recommandation | Norme internationale. Au moment dela publication, les ditions indiques taient en vigueur. Toute Recommandation et Norme sont sujettes rvis
5、ion, et lesparties prenantes aux accords fonds sur la prsente Recommandation | Norme internationale sont invites rechercher lapossibilit dappliquer les ditions les plus rcentes des Recommandations et Normes indiques ci-aprs. Les membresde la CEI et de lISO possdent le registre des Normes internation
6、ales en vigueur. Le Bureau de la normalisation destlcommunications de lUIT tient jour une liste des Recommandations de lUIT-T en vigueur.2.1 Recommandations | Normes internationales identiques Recommandation UIT-T X.207 (1993) | ISO/CEI 9545:1994, Technologies de linformation Interconnexion des syst
7、mes ouverts Structure de la Couche Application. Recommandation UIT-T X.216 (1994) | ISO/CEI 8822:1994, Technologies de linformation Interconnexion des systmes ouverts Dfinition du service de Prsentation. Recommandation UIT-T X.217 (1995) | ISO/CEI 8649:.1), Technologies de linformation Interconnexio
8、n des systmes ouverts Dfinition de service applicable llment de service de contrledassociation. Recommandation UIT-T X.226 (1994) | ISO/CEI 8823-1:1994, Technologies de linformation Interconnexion des systmes ouverts Protocole de prsentation en mode connexion: Spcification duprotocole. Recommandatio
9、n UIT-T X.227 (1995) | ISO/CEI 8650-1:.1), Technologies de linformation Interconnexion des systmes ouverts Protocole en mode connexion applicable llment de service decontrle dassociation: Spcification du protocole._1)A publier.ISO/CEI 11586-3 : 1996 (F)2 Rec. UIT-T X.832 (1995 F) Recommandation UIT-
10、T X.680 (1994) | ISO/CEI 8824-1:1995, Technologies de linformation Notationde syntaxe abstraite numro un: Spcification de la notation de base. Recommandation UIT-T X.681 (1994) | ISO/CEI 8824-2:1995, Technologies de linformation Notationde syntaxe abstraite numro un: Spcification des objets informat
11、ionnels. Recommandation UIT-T X.682 (1994) | ISO/CEI 8824-3:1995, Technologies de linformation Notationde syntaxe abstraite numro un: Spcification des contraintes. Recommandation UIT-T X.683 (1994) | ISO/CEI 8824-4:1995, Technologies de linformation Notationde syntaxe abstraite numro un: Paramtrage
12、des spcifications de la notation de syntaxe abstraitenumro un. Recommandation UIT-T X.690 (1994) | ISO/CEI 8825-1:1995, Technologies de linformation Rgles decodage de la notation de syntaxe abstraite numro un: Spcification des rgles de codage de base, desrgles de codage canoniques et des rgles de co
13、dage distinctives. Recommandation UIT-T X.803 (1994) | ISO/CEI 10745:1995, Technologies de linformation Interconnexion de systmes ouverts Modle de scurit pour les couches suprieures.3 DfinitionsLa prsente Recommandation | Norme internationale utilise les termes suivants dfinis dans la Rec. UIT-T X.8
14、03 |ISO/CEI 10745: change de scurit; item dchange de scurit.4 AbrviationsACSE Elment de service de contrle dassociation (association control service element)APDU Unit de donnes de protocole dapplication (application-protocol-data-unit)ASE Elment de service dapplication (application-service-element)A
15、SO Objet de service dapplications (application-service-object)OSI Interconnexion des systmes ouverts (open systems interconnection)PICS Dclaration de conformit dune instance de protocole (protocol implementation conformancestatement)SEPM Machine protocolaire dchange de scurit (security exchange prot
16、ocol machine)SEI Item dchange de scurit (security exchange item)SESE Elment de service dchange de scurit (security exchange service element)5 Aperu du protocole5.1 Fourniture du serviceLe protocole spcifi dans la prsente Spcification fournit les services dfinis dans la Rec. UIT-T X.831 |ISO/CEI 1158
17、6-2. Ces services sont les suivants:SE-TRANSFER Non confirm (transfert)SE-U-ABORT Non confirm (abandon par lutilisateur)SE-P-ABORT Lanc par le fournisseur (abandon par le fournisseur)5.2 Utilisation des services sous-jacentsCe protocole dlment SESE dfinit une srie dunits APDU dont chacune a la capac
18、it dtre individuellement projetesur un service de couche Prsentation acheminant des donnes dutilisateur, dtre intgre dans une autre unit PDUdapplication ou dtre concatne celle-ci conformment aux rgles du contexte ASO ou du contexte dapplication envigueur.Larticle 8 dfinit quelques projections utiles
19、 sur le service de prsentation et llment ACSE.ISO/CEI 11586-3 : 1996 (F)Rec. UIT-T X.832 (1995 F) 36 Elments de procdure6.1 Units APDU utilisesLe protocole SESE spcifie les units APDU suivantes:SE-TRANSFER (SETR)SE-U-ABORT (SEAB)SE-P-ABORT (SEPA)6.2 Procdure de transfertCette procdure est utilise pa
20、r une machine SEPM demanderesse pour lancer un change de scurit ncessitant letransfert dun ou de plusieurs items dchange de scurit. Elle est galement utilise soit par une machine SEPMappelante soit par une machine SEPM appele pour transfrer dautres items dchange de scurit lancs par la machineSEPM ap
21、pelante.A la rception dune primitive de demande SE-TRANSFER, la machine SEPM conserve lidentificateur dchange descurit et produit une unit APDU SE-TRANSFER (SETR).A la rception dune unit APDU SE-TRANSFER (SETR), la machine SEPM conserve lidentificateur dchange descurit et met une primitive dindicati
22、on SE-TRANSFER.Si lchange de scurit relve de la classe lalternat et que lchange ne se droule pas selon la squence attendue, laSEPM gnre une APDU SE-P-ABORT (SEPA) et met une indication SE-P-ABORT.6.3 Procdure dabandon lance par lutilisateurCette procdure est utilise par un utilisateur de llment SESE
23、 pour indiquer lutilisateur de SESE homologue et lamachine SEPM quune erreur sest produite et quil y a lieu de terminer anormalement lchange de scurit en cours. Deplus, elle peut facultativement entraner la libration anormale de lassociation ASO, avec la perte ventuelledinformations en transit. Elle
24、 est lance par une primitive de demande SE-U-ABORT.A la rception dune primitive de demande SE-U-ABORT, la machine SEPM produit une unit APDU SE-ABORT(SEAB).A la rception dune unit APDU SE-ABORT (SEAB), la machine SEPM met une primitive dindicationSE-U-ABORT.6.4 Procdure dabandon lance par le fournis
25、seurCette procdure est utilise par la machine SEPM pour indiquer aux utilisateurs de llment SESE quune erreur sestproduite et quil y a lieu de terminer anormalement lchange de scurit en cours. De plus, elle peut facultativemententraner la libration anormale de lassociation ASO, avec la perte ventuel
26、le dinformations en transit.A la dtection dune erreur, la machine SEPM met une primitive dindication SE-P-ABORT et produit une unitAPDU SE-P-ABORT (SEPA). Si, en raison de la gravit de lerreur, il est ncessaire de mettre fin lassociation ASO,lunit APDU SEPA est projete sur un service dabandon Associ
27、ation ASO. A la rception de lindication dabandonAssociation ASO avec lunit APDU SEPA, la machine SEPM met une indication SE-P-ABORT dont lindicateur deblocage est 1.Une situation derreur entranant la production dune SE-P-ABORT a un code de problme pouvant tre signal aux deuxextrmits. Les difficults
28、ainsi signales peuvent tre:a) un problme dordre gnral: ne se rapporte pas un type dunit APDU particulier;b) un problme de transfert: difficult rsultant de la rception dune unit APDU SE-TRANSFER;c) un problme dabandon: difficult rsultant de la rception dune unit APDU SE-U-ABORT.Les situations derreur
29、 particulires, ainsi que les codes de problmes correspondants, sont dcrits ci-aprs.6.4.1 Problme dordre gnral APDU non valide: la structure et/ou le codage de lAPDU nest pas conforme aux APDU SETR, SEAB ouSEPA.ISO/CEI 11586-3 : 1996 (F)4 Rec. UIT-T X.832 (1995 F)6.4.2 Problme de transferta) identifi
30、cateur dinvocation double: le mme identificateur dinvocation est utilis pour une autreinvocation dchange de scurit actif;b) change de scurit non reconnu: lchange de scurit identifi nest pas valable dans le contexte ASO enquestion;c) item de type erron: le type ditem SEI nest pas conforme celui de la
31、 dfinition de classe dobjet;d) identificateur dinvocation inappropri: lidentificateur dinvocation ne fait pas partie de lensemblespcifi pour le contexte ASO en question;e) erreur denchanement lalternat: la SETR reue nest pas conforme lenchanement dvnements de laclasse lalternat de lchange de scurit.
32、6.4.3 Problme dabandona) identificateur dinvocation non reconnu: lidentificateur dinvocation ne reconnat pas un transfertdchange de scurit actif ou venant de se terminer;b) abandon imprvu: lchange de scurit identifi ne donne pas lieu un abandon pour llment dchangede scurit en question;c) erreur non
33、reconnue: lchange de scurit identifi ne produit pas cette erreur;d) erreur imprvue: lchange de scurit identifi ne produit pas cette erreur pour llment dchange descurit en question;e) paramtre derreur de type erron: le type de paramtre derreur nest pas conforme celui de ladfinition de lerreur.7 Struc
34、ture et codage des units APDU SESELe type de donnes paramtr des APDU SESE gnriques est spcifi au 7.1 en ASN.1 (Rec. UIT-T X.683 |ISO/CEI 8824-4). La mthode de construction dune syntaxe abstraite SESE de prise en charge dun ensemble particulierdchanges de scurit est dcrite au 7.2.7.1 Spcifications gn
35、riques de lunit APDULa spcification suivante de lunit APDU paramtre est compatible avec la dfinition des syntaxes abstraites dlmentsSESE adapts, prenant en charge tout type dchange de scurit dfini dans le cadre de spcification de la Partie 1 de laprsente Recommandation | Norme internationale. Dans c
36、e qui suit, le paramtre ValidSE identifie lensemble de securityexchange pris en charge. Le paramtre InvocationIdSet dfinit les valeurs disponibles pour identifier les invocationsdchange de scurit distinctes qui peuvent tre simultanment actives, et pouvant tre utilises dans des rponsesultrieures pour
37、 mettre en corrlation les indications derreur avec les invocations dchange de scurit actives. Si unetelle corrlation nest pas requise dans certaines ralisations (les diffrentes invocations dchange de scurit ne sechevauchent jamais, par exemple), il y a lieu de mettre InvocationIdSet la valeur NoInvo
38、cationId.SeseAPDUs joint-iso-ccitt genericULS(20) modules(1) seseAPDUs(6) DEFINITIONS AUTOMATIC TAGS:=BEGIN- EXPORTE TOUT -IMPORTSnotationFROM ObjectIdentifiers joint-iso-ccitt genericULS (20)modules (1) objectIdentifiers (0) dirAuthenticationTwoWayFROM GulsSecurityExchanges joint-iso-ccitt genericU
39、LS (20)modules (1) gulsSecurityExchanges (2) SECURITY-EXCHANGE , SE-ERROR FROM NOTATION notation;ISO/CEI 11586-3 : 1996 (F)Rec. UIT-T X.832 (1995 F) 5SESEapdus SECURITY-EXCHANGE:ValidSEs, InvocationId:InvocationIdSet :=CHOICE se-transfer SETransfer ValidSEs,InvocationIdSet,se-u-abort SEUAbort ValidS
40、Es,InvocationIdSet,se-p-abort SEPAbort ValidSEs,InvocationIdSetSETransfer SECURITY-EXCHANGE:ValidSEs, InvocationId:InvocationIdSet :=SEQUENCE seIdentifier SECURITY-EXCHANGE.b) pour chaque change de scurit qui est prvu, si le systme a la capacit de lancer un change de scuritet/ou de rpondre un change
41、 de scurit lanc par lautre extrmit;c) la gamme des identificateurs dinvocation pouvant tre simultanment produits ou actifs;d) si le systme peut prendre en charge la classe dchanges de scurit lalternat et/ou la classe libre.9.2 Conformit statiqueLe systme:a) doit agir en tant quappelant et/ou appel p
42、our un ou plusieurs changes de scurit;b) doit prendre en charge (au minimum) le codage qui rsulte de lapplication des rgles de codage ASN.1 debase lASN.1 spcifie dans larticle 7 pour les besoins dchange dunits SESE APDU.9.3 Conformit dynamiqueLe systme suivra toutes les procdures spcifies larticle 6
43、.ISO/CEI 11586-3 : 1996 (F)8 Rec. UIT-T X.832 (1995 F)Annexe ATableaux des tats de la machine SEPM(Cette annexe fait partie intgrante de la prsente Recommandation | Norme internationale)A.1 Considrations gnralesLa prsente annexe dfinit la machine protocole dchange de scurit (SEPM) en termes dun tabl
44、eau des tats. Celui-cifait apparatre une relation interne entre ltat dune machine SEPM, les vnements entrants qui surviennent dans leprotocole, les actions entreprises et ltat rsultant de la machine SEPM.Ce tableau des tats ne constitue pas une dfinition formelle de la machine en question. Il a t aj
45、out dans le but dedonner une spcification plus prcise des lments de procdure dfinis larticle 6. Comme la prsente annexe etlarticle 6 ont la mme prsance, toute contradiction entre les deux doit tre traite comme une erreur de la spcification.La prsente annexe contient les tableaux suivants:1) le Table
46、au 1 spcifie le nom abrg, lorigine et le nom de chaque vnement entrant. Les origines sont:a) lutilisateur du service SEPM (utilisateur SE);b) la machine SEPM homologue (homologue SE),2) le Tableau 2 spcifie le nom abrg, lobjectif et le nom de chaque vnement sortant. Les objectifs sont:a) lutilisateu
47、r du service SEPM (utilisateur SE);b) la machine SEPM homologue (homologue SE),3) le Tableau 3 contient les prdicats utiliser,4) le Tableau 4 contient le nom abrg et la description de chaque tat,5) le Tableau 5 est le tableau des tats SEPM tabli avec les abrviations des tableaux qui prcdent.A.2 ConventionsLintersection dun vnement entrant (une range du tableau des tats) et dun tat (
