1、 Union internationale des tlcommunicationsUIT-T Y.2702SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (09/2008) SRIE Y: INFRASTRUCTURE MONDIALE DE LINFORMATION, PROTOCOLE INTERNET ET RSEAUX DE PROCHAINE GNRATION Rseaux de prochaine gnration Scurit Spcifications dauthentification et dautoris
2、ation dans les rseaux de prochaine gnration de version 1 Recommandation UIT-T Y.2702 RECOMMANDATIONS UIT-T DE LA SRIE Y INFRASTRUCTURE MONDIALE DE LINFORMATION, PROTOCOLE INTERNET ET RSEAUX DE PROCHAINE GNRATION INFRASTRUCTURE MONDIALE DE LINFORMATION Gnralits Y.100Y.199 Services, applications et in
3、tergiciels Y.200Y.299 Aspects rseau Y.300Y.399 Interfaces et protocoles Y.400Y.499 Numrotage, adressage et dnomination Y.500Y.599 Gestion, exploitation et maintenance Y.600Y.699 Scurit Y.700Y.799 Performances Y.800Y.899 ASPECTS RELATIFS AU PROTOCOLE INTERNET Gnralits Y.1000Y.1099 Services et applica
4、tions Y.1100Y.1199 Architecture, accs, capacits de rseau et gestion des ressources Y.1200Y.1299 Transport Y.1300Y.1399 Interfonctionnement Y.1400Y.1499Qualit de service et performances de rseau Y.1500Y.1599 Signalisation Y.1600Y.1699 Gestion, exploitation et maintenance Y.1700Y.1799 Taxation Y.1800Y
5、.1899 Tlvision IP sur rseaux de prochaine gnration Y.1900Y.1999 RSEAUX DE PROCHAINE GNRATION Cadre gnral et modles architecturaux fonctionnels Y.2000Y.2099 Qualit de service et performances Y.2100Y.2199 Aspects relatifs aux services: capacits et architecture des services Y.2200Y.2249 Aspects relatif
6、s aux services: interoprabilit des services et rseaux dans les rseaux de prochaine gnration Y.2250Y.2299 Numrotage, nommage et adressage Y.2300Y.2399 Gestion de rseau Y.2400Y.2499 Architectures et protocoles de commande de rseau Y.2500Y.2599 Rseaux futurs Y.2600Y.2699 Scurit Y.2700Y.2799 Mobilit gnr
7、alise Y.2800Y.2899 Environnement ouvert de qualit oprateur Y.2900Y.2999 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T Y.2702 (09/2008) i Recommandation UIT-T Y.2702 Spcifications dauthentification et dautorisation dans les rseaux de prochaine gnration de version 1 Rsum
8、 La Recommandation UIT-T Y.2702 contient les spcifications dauthentification et dautorisation dans les rseaux de prochaine gnration (NGN). Source La Recommandation UIT-T Y.2702 a t approuve le 12 septembre 2008 par la Commission dtudes 13 (2005-2008) de lUIT-T selon la procdure dfinie dans la Rsolut
9、ion 1 de lAMNT. Mots cls Attributs, authentification, autorisation, identificateurs, gestion didentit (IdM), rseau de prochaine gnration (NGN), privilges et scurit. ii Rec. UIT-T Y.2702 (09/2008) AVANT-PROPOS LUnion internationale des tlcommunications (UIT) est une institution spcialise des Nations
10、Unies dans le domaine des tlcommunications et des technologies de linformation et de la communication (ICT). Le Secteur de la normalisation des tlcommunications (UIT-T) est un organe permanent de lUIT. Il est charg de ltude des questions techniques, dexploitation et de tarification, et met ce sujet
11、des Recommandations en vue de la normalisation des tlcommunications lchelle mondiale. LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommanda
12、tions sur ces thmes. Lapprobation des Recommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaborati
13、on avec lISO et la CEI. NOTE Dans la prsente Recommandation, lexpression “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recommandation se fait titre volontaire. Cependant, il se peut que la Re
14、commandation contienne certaines dispositions obligatoires (pour assurer, par exemple, linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation et les autres moyens dexpression de lobligation comme le verbe “
15、devoir“ ainsi que leurs formes ngatives servent noncer des prescriptions. Lutilisation de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mise en uvre de la prsente Recomm
16、andation puisse donner lieu lutilisation dun droit de proprit intellectuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un membre de lUIT ou par une tierce partie trangre la procdure dlabora
17、tion des Recommandations. A la date dapprobation de la prsente Recommandation, lUIT navait pas t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas de renseignements les plus rcents,
18、il est vivement recommand aux dveloppeurs de consulter la base de donnes des brevets du TSB sous http:/www.itu.int/ITU-T/ipr/. UIT 2009 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd que ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T Y.2702
19、(09/2008) iii TABLE DES MATIRES Page 1 Domaine dapplication 1 2 Rfrences. 2 3 Dfinitions 2 3.1 Dfinitions provenant de UIT-T X.800 . 2 3.2 Dfinitions provenant de UIT-T X.810 . 2 3.3 Dfinitions provenant de UIT-T X.811 . 3 3.4 Dfinitions provenant de UIT-T Y.2701 . 3 3.5 Termes dfinis dans la prsent
20、e Recommandation 4 4 Abrviations et acronymes . 4 5 Modles de rfrence 6 5.1 Cadre dauthentification UIT-T X.811 . 6 5.2 Menaces sur lauthentification 11 5.3 Garantie dauthentification 13 5.4 Gestion des autorisations et des privilges. 14 5.5 Modle architectural de rfrence de bout en bout 15 5.6 Rela
21、tion avec larchitecture du NGN spcifie dans UIT-T Y.2012 . 16 6 Spcifications gnrales 19 7 Authentification et autorisation de lutilisateur pour laccs au rseau. 19 7.1 Description . 19 7.2 Modle de rfrence gnral 19 7.3 Spcifications . 23 8 Authentification et autorisation dun utilisateur par un four
22、nisseur NGN de service pour laccs un service/ une application. 26 8.1 Description . 26 8.2 Spcifications . 27 9 Authentification et autorisation des fournisseurs NGN par un utilisateur 30 9.1 Description . 30 9.2 Objectifs et spcifications. 31 10 Authentification et autorisation entre utilisateurs h
23、omologues prises en charge par le fournisseur NGN. 31 11 Authentification et autorisation bilatrales entre rseaux. 32 11.1 Description . 32 11.2 Spcifications concernant lauthentification bilatrale entre rseaux. 33 12 Authentification et autorisation dun fournisseur de service/application tiers par
24、un fournisseur NGN. 34 12.1 Description . 34 12.2 Spcifications . 34 iv Rec. UIT-T Y.2702 (09/2008) Page 13 Utilisation dun fournisseur de service dauthentification et dautorisation tiers 35 13.1 Description . 35 13.2 Spcifications . 35 14 Authentification et autorisation dobjets. 36 14.1 Descriptio
25、n . 36 14.2 Spcifications . 36 Appendice I Utilisations du langage SAML. 37 I.1 Utilisation de b-UIT-T X.1141, Langage de balisage dassertion de scurit (SAML 2.0). 37 I.2 Procdures dauthentification pour les services/applications . 37 I.3 Authentification pour les services/applications Exemples de d
26、roulement de lappel 37 I.4 Scurit des procdures et mcanismes dauthentification pour les services/applications. 39 Appendice II Authentification et autorisation pour le service ETS 40 II.1 Prsentation 40 II.2 Authentification et autorisation des utilisateurs ETS . 40 II.3 Authentification et autorisa
27、tion des fournisseurs NGN pour le service ETS. 41 II.4 Exemples de scnarios dauthentification et dautorisation pour le service ETS. 41 Appendice III Architecture damorage gnrique 3GPP. 47 Appendice IV Exemples de droulement dappel pour la gestion didentit (IdM) 49 IV.1 Prsentation 49 IV.2 Exemples d
28、e droulement dappel 49 Bibliographie 62 Rec. UIT-T Y.2702 (09/2008) 1 Recommandation UIT-T Y.2702 Spcifications dauthentification et dautorisation dans les rseaux de prochaine gnration de version 1 1 Domaine dapplication La prsente Recommandation contient les spcifications dauthentification et dauto
29、risation dans les rseaux de prochaine gnration (NGN), compte tenu de UIT-T Y.2012. Ces spcifications concernent lauthentification et lautorisation linterface utilisateur-rseau (UNI), linterface rseau-rseau (NNI) et linterface application-rseau (ANI) ainsi que toute entit interne un rseau susceptible
30、 de ncessiter une authentification et une autorisation. La prsente Recommandation porte sur: 1) lauthentification et lautorisation dun utilisateur pour laccs au rseau (par exemple lauthentification et lautorisation dun dispositif dutilisateur final, dune passerelle de rseau domestique, ou dune passe
31、relle dentreprise pour obtenir laccs ou le rattachement au rseau); 2) lauthentification et lautorisation dun utilisateur par un fournisseur de service pour laccs un service ou une application (par exemple lauthentification et lautorisation dun utilisateur, dun dispositif ou dune combinaison utilisat
32、eur et dispositif pour laccs un service ou une application de NGN); 3) lauthentification et lautorisation du rseau par un utilisateur (par exemple lauthentification par un utilisateur de lidentit du NGN connect ou du fournisseur de service); 4) lauthentification et lautorisation entre utilisateurs h
33、omologues (par exemple lauthentification et lautorisation de lutilisateur appel (ou de lentit de destination), lauthentification et lautorisation de lentit dorigine, ou lauthentification de lorigine des donnes en tant que fonctions du rseau); 5) lauthentification et lautorisation bilatrales entre rs
34、eaux (par exemple lauthentification et lautorisation linterface NNI au niveau transport ou au niveau service/application); 6) lauthentification et lautorisation dun fournisseur de service/application; 7) lutilisation dun fournisseur de service dauthentification et dautorisation tiers. 8) lauthentifi
35、cation dobjets (par exemple un processus dapplication, le contenu dun message et les identificateurs dun contenu de donnes). Les points ci-dessus incluent lauthentification des flux de trafic de signalisation, support et de gestion sil y a lieu. La prsente Recommandation contient en outre des modles
36、 de rfrence concernant lauthentification et lautorisation dans les NGN. NOTE 1 Lauthentification et lautorisation dans les NGN sont considres comme faisant partie du domaine plus large de la gestion didentit (IdM) dans les NGN. Plus prcisment, les fonctions et capacits dauthentification et dautorisa
37、tion dcrites dans la prsente Recommandation devraient servir de base aux capacits dattestation didentit pour la gestion didentit dans les NGN. NOTE 2 Dans la prsente Recommandation, le terme “utilisateur“ nest pas employ uniquement pour dsigner une personne, mais peut dsigner aussi des groupes, des
38、entreprises ou des entits juridiques. NOTE 3 Lauthentification dune entit nest pas destine indiquer la validation positive dune personne. 2 Rec. UIT-T Y.2702 (09/2008) 2 Rfrences Les Recommandations UIT-T et autres rfrences suivantes contiennent des dispositions qui, par suite de la rfrence qui y es
39、t faite, constituent des dispositions de la prsente Recommandation. Au moment de la publication, les ditions indiques taient en vigueur. Les Recommandations et autres rfrences tant sujettes rvision, les utilisateurs de la prsente Recommandation sont invits rechercher la possibilit dappliquer les dit
40、ions les plus rcentes des Recommandations et autres rfrences numres ci-dessous. Une liste des Recommandations UIT-T en vigueur est publie priodiquement. La rfrence un document figurant dans la prsente Recommandation ne donne pas ce document en tant que tel le statut de Recommandation. UIT-T X.800 Re
41、commandation UIT-T X.800 (1991), Architecture de scurit pour linterconnexion en systmes ouverts dapplications du CCITT. UIT-T X.805 Recommandation UIT-T X.805 (2003), Architecture de scurit pour les systmes assurant des communications de bout en bout. UIT-T X.810 Recommandation UIT-T X.810 (1995) |
42、ISO/CEI 10181-1:1996, Technologies de linformation Interconnexion des systmes ouverts Cadres de scurit pour les systmes ouverts: aperu gnral. UIT-T X.811 Recommandation UIT-T X.811 (1995) | ISO/CEI 10181-2:1996, Technologies de linformation Interconnexion des systmes ouverts Cadres de scurit pour le
43、s systmes ouverts: cadre dauthentification. UIT-T Y.2012 Recommandation UIT-T Y.2012 (2006), Prescriptions fonctionnelles et architecture des rseaux de prochaine gnration de version 1. UIT-T Y.2201 Recommandation UIT-T Y.2201 (2007), Spcifications des rseaux de prochaine gnration de version 1 UIT-T
44、Y.2701 Recommandation UIT-T Y.2701 (2007), Prescriptions de scurit des rseaux de prochaine gnration de version 1. 3 Dfinitions 3.1 Dfinitions provenant de UIT-T X.800 La prsente Recommandation utilise les termes suivants dfinis dans UIT-T X.800: 3.1.1 information dauthentification: information utili
45、se pour tablir la validit dune identit dclare. 3.1.2 autorisation: attribution de droits, comprenant la permission daccs sur la base de droits daccs. 3.1.3 justificatif didentit: donnes transfres pour tablir lidentit dclare dune entit. 3.1.4 authentification de lorigine des donnes: confirmation que
46、la source des donnes reues est telle que dclare. 3.1.5 authentification de lentit homologue: confirmation quune entit homologue dune association est bien lentit dclare. 3.2 Dfinitions provenant de UIT-T X.810 La prsente Recommandation utilise les termes suivants dfinis dans UIT-T X.810: 3.2.1 confia
47、nce: on dit que lentit X fait confiance lentit Y pour un ensemble dactivits si et seulement si lentit X suppose que lentit Y se comportera dune certaine faon par rapport aux activits. Rec. UIT-T Y.2702 (09/2008) 3 3.2.2 tierce partie de confiance, tiers de confiance: autorit de scurit ou son agent auquel il est fait confiance au regard de certaines activits lies la scurit (dans le contexte dune politique de scurit). 3.3 Dfinitions provenant de UIT-T
