1、 Union internationale des tlcommunicationsUIT-T Y.2701SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (04/2007) SRIE Y: INFRASTRUCTURE MONDIALE DE LINFORMATION, PROTOCOLE INTERNET ET RSEAUX DE PROCHAINE GNRATION Rseaux de prochaine gnration Scurit Prescriptions de scurit des rseaux de proch
2、aine gnration de version 1 Recommandation UIT-T Y.2701 RECOMMANDATIONS UIT-T DE LA SRIE Y INFRASTRUCTURE MONDIALE DE LINFORMATION, PROTOCOLE INTERNET ET RSEAUX DE PROCHAINE GNRATION DISPONIBLE Y.1Y.99 INFRASTRUCTURE MONDIALE DE LINFORMATION Gnralits Y.100Y.199 Services, applications et intergiciels
3、Y.200Y.299 Aspects rseau Y.300Y.399 Interfaces et protocoles Y.400Y.499 Numrotage, adressage et dnomination Y.500Y.599 Gestion, exploitation et maintenance Y.600Y.699 Scurit Y.700Y.799 Performances Y.800Y.899 Disponible Y.900Y.999 ASPECTS RELATIFS AU PROTOCOLE INTERNET Gnralits Y.1000Y.1099 Services
4、 et applications Y.1100Y.1199 Architecture, accs, capacits de rseau et gestion des ressources Y.1200Y.1299 Transport Y.1300Y.1399 Interfonctionnement Y.1400Y.1499Qualit de service et performances de rseau Y.1500Y.1599 Signalisation Y.1600Y.1699 Gestion, exploitation et maintenance Y.1700Y.1799 Taxat
5、ion Y.1800Y.1899 Disponible Y.1900Y.1999 RSEAUX DE PROCHAINE GNRATION Cadre gnral et modles architecturaux fonctionnels Y.2000Y.2099 Qualit de service et performances Y.2100Y.2199 Aspects relatifs aux services: capacits et architecture des services Y.2200Y.2249 Aspects relatifs aux services: interop
6、rabilit des services et rseaux dans les rseaux de prochaine gnration Y.2250Y.2299 Numrotage, nommage et adressage Y.2300Y.2399 Gestion de rseau Y.2400Y.2499 Architectures et protocoles de commande de rseau Y.2500Y.2599 Disponible Y.2600Y.2699 Scurit Y.2700Y.2799 Mobilit gnralise Y.2800Y.2899 Disponi
7、ble Y.2900Y.2999 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T Y.2701 (04/2007) i Recommandation UIT-T Y.2701 Prescriptions de scurit des rseaux de prochaine gnration de version 1 Rsum La Recommandation UIT-T Y.2701 nonce les prescriptions de scurit pour les rseaux de
8、prochaine gnration (NGN, next generation network) et ses interfaces (par exemple UNI, NNI et ANI). Pour ce faire, la Recommandation UIT-T X.805, Architecture de scurit pour les systmes assurant des communications de bout en bout est applique aux Recommandations UIT-T Y.2201, Spcifications des rseaux
9、 de prochaine gnration de version 1 et Y.2012, Prescriptions fonctionnelles et architecture du rseau de prochaine gnration version 1. Lobjectif est dassurer, par le biais du rseau, la scurit des communications des utilisateurs finals travers plusieurs domaines administratifs de rseau. La prsente Rec
10、ommandation ne traite pas de la scurit des actifs des abonns et des informations les concernant dans le domaine des abonns (par exemple rseau dutilisateur); elle ne traite pas non plus de lutilisation des capacits dapplication dhomologue homologue au niveau des quipements dabonn. La prsente Recomman
11、dation repose sur un modle de confiance fond sur des lments de rseau (botes physiques). Les fournisseurs NGN mettront en place des lments de rseau comportant les entits fonctionnelles dfinies dans la Recommandation UIT-T Y.2012. Le groupement de ces entits fonctionnelles dans un lment de rseau donn
12、variera en fonction du fabricant. La prsente Recommandation na donc pas pour but de reprsenter un groupement strict et fixe des entits fonctionnelles logiques dans les lments de rseau physiques. Les exigences nonces dans la prsente Recommandation devraient tre considres comme constituant un ensemble
13、 minimal dexigences de scurit; les fournisseurs NGN sont encourags prendre des mesures additionnelles celles qui sont prvues dans les Recommandations relatives la scurit des NGN. Source La Recommandation UIT-T Y.2701 a t approuve le 27 avril 2007 par la Commission dtudes 13 (2005-2008) de lUIT-T sel
14、on la procdure dfinie dans la Rsolution 1 de lAMNT. ii Rec. UIT-T Y.2701 (04/2007) AVANT-PROPOS LUnion internationale des tlcommunications (UIT) est une institution spcialise des Nations Unies dans le domaine des tlcommunications et des technologies de linformation et de la communication (ICT). Le S
15、ecteur de la normalisation des tlcommunications (UIT-T) est un organe permanent de lUIT. Il est charg de ltude des questions techniques, dexploitation et de tarification, et met ce sujet des Recommandations en vue de la normalisation des tlcommunications lchelle mondiale. LAssemble mondiale de norma
16、lisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes. Lapprobation des Recommandations par les Membres de lUIT-T seffectue selon la procdure dfini
17、e dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CEI. NOTE Dans la prsente Recommandation, lexpression “Administration“ est utilise pour dsigne
18、r de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recommandation se fait titre volontaire. Cependant, il se peut que la Recommandation contienne certaines dispositions obligatoires (pour assurer, par exemple, linteroprabilit et lapplic
19、abilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation et les autres moyens dexpression de lobligation comme le verbe “devoir“ ainsi que leurs formes ngatives servent noncer des prescriptions. Lutilisation de ces formes ne signifie
20、pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donner lieu lutilisation dun droit de proprit intellectuelle. LUIT ne prend pas position en ce qu
21、i concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un membre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandations. A la date dapprobation de la prsente Recommandation, lUIT navait pas t avise de lexiste
22、nce dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas de renseignements les plus rcents, il est vivement recommand aux dveloppeurs de consulter la base de donnes des brevets du TSB sous http:/www.itu.in
23、t/ITU-T/ipr/. UIT 2008 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd que ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T Y.2701 (04/2007) iii TABLE DES MATIRES Page 1 Domaine dapplication 1 1.1 Principes noncs dans la Recommandation X.805. 2
24、 1.2 Hypothses . 2 1.3 Aperu gnral 3 2 Rfrences. 4 3 Dfinitions et abrviations 4 3.1 Termes dfinis ailleurs . 4 3.2 Termes dfinis dans la prsente Recommandation 4 3.3 Abrviations et acronymes . 5 4 Menaces et risques de scurit 7 5 Modle de confiance pour la scurit . 8 5.1 Modle de confiance pour un
25、seul rseau. 9 5.2 Modle de confiance pour linterconnexion de rseaux . 11 6 Architecture de scurit 11 6.1 Architecture fonctionnelle de rfrence des NGN . 11 6.2 Projection sur larchitecture fonctionnelle des NGN 13 6.3 Identification des ressources de NGN protger sur le plan de la scurit . 15 7 Objec
26、tifs et exigences. 19 7.1 Objectifs gnraux de scurit 19 7.2 Objectifs de scurit travers plusieurs domaines de fournisseur de rseau 19 7.3 Exigences propres aux dimensions de scurit 20 8 Exigences de scurit spcifiques. 22 8.1 Exigences de scurit communes pour les lments de rseau NGN 22 8.2 Exigences
27、pour les lments de rseau NGN situs dans la zone de confiance. 26 8.3 Exigences pour les lments en limite de rseau NGN situs dans le domaine “de confiance mais vulnrable“ . 26 8.4 Exigences pour les lments en limite dquipements TE situs dans le domaine “non fiable“ 27 8.5 Recommandations en matire de
28、 scurit pour les quipements terminaux situ dans le domaine “non fiable“ . 28 Appendice I Objectifs de scurit et lignes directrices pour linterconnexion des services de tlcommunication durgence. 29 I.1 Contexte 29 I.2 Porte/objet. 29 I.3 Objectifs gnraux 29 I.4 Capacits de scurit gnrales 31 I.5 Authe
29、ntification, autorisation et contrle daccs. 31 iv Rec. UIT-T Y.2701 (04/2007) Page I.6 Confidentialit et respect de la vie prive 31 I.7 Intgrit des donnes 32 I.8 Communication 32 I.9 Disponibilit . 32 Bibliographie 33 Rec. UIT-T Y.2701 (04/2007) 1 Recommandation UIT-T Y.2701 Prescriptions de scurit
30、des rseaux de prochaine gnration de version 1 1 Domaine dapplication La prsente Recommandation nonce les prescriptions de scurit pour les rseaux de prochaine gnration (NGN, next generation network) afin de contrer les menaces qui psent sur leur scurit. Pour ce faire, les principes de UIT-T X.805, Ar
31、chitecture de scurit pour les systmes assurant des communications de bout en bout sont appliqus UIT-T Y.2201, Spcifications des rseaux de prochaine gnration de version 1 et UIT-T Y.2012, Prescriptions fonctionnelles et architecture du rseau de prochaine gnration version 1. Les prescriptions visent p
32、rotger ce qui suit dans un environnement multirseaux: Linfrastructure des fournisseurs de rseau et de service ainsi que les actifs (par exemple, les actifs et ressources des NGN comme les lments de rseau, les systmes, les composants, les interfaces ainsi que les donnes et les informations), les ress
33、ources, les communications ( savoir le trafic de signalisation, de gestion et de donnes/support) et les services associs. Les services et capacits des NGN (par exemple, les services vocaux, vido et de donnes). Les communications des utilisateurs finals et les informations les concernant (par exemple
34、, les informations prives). Lobjectif est dassurer, par le biais du rseau, la scurit des communications des utilisateurs finals travers plusieurs domaines administratifs de rseau. La prsente Recommandation ne traite pas de la scurit des actifs des abonns et des informations les concernant dans le do
35、maine des abonns (par exemple, rseau dutilisateur); elle ne traite pas non plus de lutilisation des capacits dapplication dhomologue homologue au niveau des quipements dabonn. Les prescriptions nonces dans la prsente Recommandation sappliquent un NGN, y compris les interfaces utilisateur-rseau (UNI,
36、 user-to-network interface), les interfaces rseau-rseau (NNI, network-to-network interface) et les interfaces application-rseau (ANI, application-to-network interface) dans un environnement multirseaux. Les fournisseurs de service NGN mettront en place des “lments de rseau“ comportant les entits fon
37、ctionnelles dfinies dans UIT-T Y.2012. Le groupement de ces entits fonctionnelles dans un lment de rseau donn variera en fonction du fabricant. La prsente Recommandation na donc pas pour but de reprsenter un groupement strict et fixe des entits fonctionnelles logiques dans les lments de rseau physiq
38、ues. Les prescriptions nonces dans la prsente Recommandation devraient tre considres comme constituant un ensemble minimal dexigences pour la scurit des NGN et non comme un ensemble exhaustif. Par consquent, un fournisseur NGN sera peut-tre amen prendre des mesures additionnelles celles qui sont prv
39、ues dans les Recommandations relatives la scurit des NGN. En outre, les prescriptions nonces dans la prsente Recommandation englobent certains aspects techniques de ce quon appelle gnralement la gestion didentit (IdM, identity management). Dans la pratique, la gestion didentit dsigne la “gestion par
40、 les fournisseurs NGN dattributs fiables dune entit telle quun abonn, un dispositif ou un fournisseur“. Elle nest pas destine indiquer la validation positive dune personne. Les administrations pourront exiger que les fournisseurs NGN tiennent compte de la rglementation nationale et des orientations
41、gnrales nationales lors de limplmentation de la prsente Recommandation. 2 Rec. UIT-T Y.2701 (04/2007) 1.1 Principes noncs dans la Recommandation UIT-T X.805 UIT-T X.805 dfinit les dimensions de scurit suivantes: contrle daccs; authentification; non-rpudiation; confidentialit des donnes; scurit de la
42、 communication; intgrit des donnes; disponibilit; respect de la vie prive. Par ailleurs, elle identifie les menaces de scurit suivantes. Figure 1 Architecture de scurit dfinie dans la Recommandation UIT-T X.805 (Figure 3/X.805) On considre que la prsente Recommandation sappuie sur ces dimensions de
43、scurit et menaces de scurit indiques ci-dessus. La prsente Recommandation ne contient pas plus de dtails sur la dfinition ou la distinction de lutilisation des couches de scurit X.805 (applications, services et infrastructure) et une telle distinction nest pas ncessaire pour la conformit la prsente
44、norme. Dans la prsente Recommandation, on fait rfrence une distinction du trafic dans les plans de gestion, de commande et de lutilisateur mais le lecteur est averti que lutilisation de cette classification dpend de la couche considre dans une pile de protocoles. Il faudra donc faire rfrence dautres
45、 normes pour dterminer la conformit ces distinctions. La prsente norme nonce des recommandations concernant lapplication des dimensions de scurit, mais ces recommandations ne sont pas censes tre exhaustives concernant lvaluation de la scurit des NGN. 1.2 Hypothses La prsente Recommandation repose su
46、r les hypothses suivantes: 1) Le groupement des entits fonctionnelles, dfinies dans UIT-T Y.2012, dans un lment de rseau donn variera en fonction du fabricant. Rec. UIT-T Y.2701 (04/2007) 3 2) Chaque fournisseur NGN a des responsabilits particulires dans son domaine en ce qui concerne la scurit, par
47、 exemple implmenter les services et pratiques de scurit applicables pour: a) se protger; b) garantir que la scurit de bout en bout nest pas compromise dans son rseau; et c) garantir une forte disponibilit des communications dans les NGN. 3) Dans chaque domaine de rseau, des politiques seront tablies et appliques concernant les accords sur le niveau de service (SLA, service level agreement) afin de garantir la scurit du domaine considr et la scurit des interconnexions de r
