1、 Union internationale des tlcommunicationsUIT-T Y.2703SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (01/2009) SRIE Y: INFRASTRUCTURE MONDIALE DE LINFORMATION, PROTOCOLE INTERNET ET RSEAUX DE PROCHAINE GNRATION Rseaux de prochaine gnration Scurit Application du service dauthentification, d
2、autorisation et de comptabilit dans les rseaux de prochaine gnration Recommandation UIT-T Y.2703 RECOMMANDATIONS UIT-T DE LA SRIE Y INFRASTRUCTURE MONDIALE DE LINFORMATION, PROTOCOLE INTERNET ET RSEAUX DE PROCHAINE GNRATION INFRASTRUCTURE MONDIALE DE LINFORMATION Gnralits Y.100Y.199 Services, applic
3、ations et intergiciels Y.200Y.299 Aspects rseau Y.300Y.399 Interfaces et protocoles Y.400Y.499 Numrotage, adressage et dnomination Y.500Y.599 Gestion, exploitation et maintenance Y.600Y.699 Scurit Y.700Y.799 Performances Y.800Y.899 ASPECTS RELATIFS AU PROTOCOLE INTERNET Gnralits Y.1000Y.1099 Service
4、s et applications Y.1100Y.1199 Architecture, accs, capacits de rseau et gestion des ressources Y.1200Y.1299 Transport Y.1300Y.1399 Interfonctionnement Y.1400Y.14Qualit de service et performances de rseau Y.1500Y.1599 Signalisation Y.1600Y.1699 Gestion, exploitation et maintenance Y.1700Y.1799 Taxati
5、on Y.1800Y.1899 Tlvision IP sur rseaux de prochaine gnration Y.1900Y.1999 RSEAUX DE PROCHAINE GNRATION Cadre gnral et modles architecturaux fonctionnels Y.2000Y.2099 Qualit de service et performances Y.2100Y.2199 Aspects relatifs aux services: capacits et architecture des services Y.2200Y.2249 Aspec
6、ts relatifs aux services: interoprabilit des services et rseaux dans les rseaux de prochaine gnration Y.2250Y.2299 Numrotage, nommage et adressage Y.2300Y.2399 Gestion de rseau Y.2400Y.2499 Architectures et protocoles de commande de rseau Y.2500Y.2599 Rseaux futurs Y.2600Y.2699 Scurit Y.2700Y.2799Mo
7、bilit gnralise Y.2800Y.2899 Environnement ouvert de qualit oprateur Y.2900Y.2999 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T Y.2703 (01/2009) i Recommandation UIT-T Y.2703 Application du service dauthentification, dautorisation et de comptabilit dans les rseaux de pr
8、ochaine gnration Rsum La Recommandation UIT-T Y.2703 dcrit une application de lauthentification, de lautorisation et de la comptabilit (AAA, authentication, authorization and accounting) pour les rseaux de prochaine gnration (NGN, next generation network) de version 1. Historique Edition Recommandat
9、ion Approbation Commission dtudes 1.0 ITU-T Y.2703 2009-01-23 13 ii Rec. UIT-T Y.2703 (01/2009) AVANT-PROPOS LUnion internationale des tlcommunications (UIT) est une institution spcialise des Nations Unies dans le domaine des tlcommunications et des technologies de linformation et de la communicatio
10、n (ICT). Le Secteur de la normalisation des tlcommunications (UIT-T) est un organe permanent de lUIT. Il est charg de ltude des questions techniques, dexploitation et de tarification, et met ce sujet des Recommandations en vue de la normalisation des tlcommunications lchelle mondiale. LAssemble mond
11、iale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes. Lapprobation des Recommandations par les Membres de lUIT-T seffectue selon la p
12、rocdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CEI. NOTE Dans la prsente Recommandation, lexpression “Administration“ est utilis
13、e pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recommandation se fait titre volontaire. Cependant, il se peut que la Recommandation contienne certaines dispositions obligatoires (pour assurer, par exemple, linteroprabil
14、it et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation et les autres moyens dexpression de lobligation comme le verbe “devoir“ ainsi que leurs formes ngatives servent noncer des prescriptions. Lutilisation de ces formes
15、 ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donner lieu lutilisation dun droit de proprit intellectuelle. LUIT ne prend pas posi
16、tion en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un membre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandations. A la date dapprobation de la prsente Recommandation, lUIT navait pas t avi
17、se de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas de renseignements les plus rcents, il est vivement recommand aux dveloppeurs de consulter la base de donnes des brevets du TSB sous htt
18、p:/www.itu.int/ITU-T/ipr/. UIT 2010 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd que ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T Y.2703 (01/2009) iii TABLE DES MATIRES Page 1 Domaine dapplication 1 2 Rfrences. 1 3 Dfinitions 1 3.1 Terme
19、s dfinis ailleurs . 1 3.2 Termes dfinis dans la prsente Recommandation 2 4 Abrviations et acronymes . 2 5 Conventions 2 6 Concepts gnraux relatifs au service AAA . 2 6.1 Aperu 2 6.2 Processus AAA . 3 6.3 Procdure AAA 3 7 Modle dapplication pour lauthentification et lautorisation dans les NGN . 3 8 A
20、rchitecture AAA dans les NGN . 5 8.1 Accs de lutilisateur au rseau . 6 8.2 Rattachement dun utilisateur un service de rseau . 7 8.3 Authentification et autorisation dun utilisateur pour laccs un service de tiers 7 9 Inscription . 8 10 Authentification 8 10.1 Entits dauthentification 8 10.2 Procdure
21、dauthentification . 8 11 Autorisation 10 11.1 Aspects relatifs lautorisation dans un NGN 10 11.2 Entits dautorisation 10 11.3 Procdure dautorisation . 11 12 Comptabilit . 11 12.1 Comptabilit de la scurit . 11 12.2 Fonctions de la comptabilit de la scurit . 12 Appendice I Protocole dauthentification
22、pour le service AAA dans les NGN 13 I.1 Protocole EAP pour le service AAA dans les NGN . 13 I.2 Protocoles AAA 14 Appendice II Certificats numriques X.509 en tant que justificatifs didentit 15 Appendice III Authentification et autorisation: cas dutilisation 16 III.1 Authentification et autorisation
23、dutilisateur pour laccs au rseau . 16 III.2 Authentification et autorisation dun utilisateur par un fournisseur de service NGN pour laccs un service/ une application . 18 III.3 Authentification et autorisation dun fournisseur NGN par un utilisateur 20 iv Rec. UIT-T Y.2703 (01/2009) Page III.4 Authen
24、tification et autorisation dun fournisseur de service/application tiers par un fournisseur NGN . 21 III.5 Utilisation dun service dauthentification et dautorisation de tiers . 22 Bibliographie 24 Rec. UIT-T Y.2703 (01/2009) 1 Recommandation UIT-T Y.2703 Application du service dauthentification, daut
25、orisation et de comptabilit dans les rseaux de prochaine gnration 1 Domaine dapplication La prsente Recommandation dcrit une application de lauthentification, de lautorisation et de la comptabilit (AAA) dans les rseaux de prochaine gnration (NGN), compte tenu de b-UIT-T Y.2201 (Spcifications des rse
26、aux de prochaine gnration de version 1), b-UIT-T Y.2012 (Prescriptions fonctionnelles et architecture du rseau de prochaine gnration version 1), b-UIT-T Y.2701 (Prescriptions de scurit des rseaux de prochaine gnration de version 1) et b-UIT-T Y.2702 (Spcifications dauthentification et dautorisation
27、dans les rseaux de prochaine gnration de version 1). La prsente Recommandation porte sur le processus dauthentification, dautorisation et de comptabilit lors de laccs un NGN au moyen dun client AAA et dun serveur AAA. Toutefois, la prsente Recommandation nexamine la fonction de comptabilit que du po
28、int de vue de sa contribution la comptabilit de la scurit. Le domaine dapplication de la prsente Recommandation est le suivant: 1) Processus dinscription 2) Fonctions et procdures dauthentification 3) Fonctions et procdures dautorisation 4) Fonctions et procdures de comptabilit de la scurit 2 Rfrenc
29、es Aucune. 3 Dfinitions 3.1 Termes dfinis ailleurs La prsente Recommandation utilise les termes suivants dfinis ailleurs: 3.1.1 authentification b-UIT-T X.811: attestation de lidentit revendique par une entit. 3.1.2 certificat dauthentification b-UIT-T X.811: certificat de scurit qui est garanti par
30、 une autorit dauthentification et qui peut tre utilis pour attester lidentit dune entit. 3.1.3 informations dauthentification (AI, authentication information) b-UIT-T X.811: renseignements utiliss aux fins de lauthentification. 3.1.4 autorisation b-UIT-T X.800: attribution de droits, comprenant la p
31、ermission daccs sur la base de droits daccs. 3.1.5 dclarant b-UIT-T X.811: entit qui est ou qui reprsente une entit principale des fins dauthentification. Un dclarant comporte les fonctions ncessaires pour engager des changes pour authentification au nom dune entit principale. 3.1.6 journal daudit d
32、e scurit b-UIT-T X.800: donnes collectes et pouvant ventuellement tre utilises pour permettre un audit de scurit. 2 Rec. UIT-T Y.2703 (01/2009) 3.2 Termes dfinis dans la prsente Recommandation La prsente Recommandation dfinit le terme suivant: 3.2.1 comptabilit de la scurit: rle consistant suivre le
33、s actions ou vnements lis la scurit qui peuvent tre inclus comme ressources dans la fonction daudit de scurit. 4 Abrviations et acronymes La prsente Recommandation utilise les abrviations et acronymes suivants: AAA authentification, autorisation et comptabilit (authentication, authorization and acco
34、unting) AM-FE entit fonctionnelle de gestion daccs (access management functional entity) ANI interface application-rseau (application-to-network interface) EAP protocole dauthentification extensible (extensible authentification protocol) ID identit telle quelle est dfinie par le rseau, le service ou
35、 lentit faisant lobjet dun accs NAS serveur daccs au rseau (network access server) NGN rseau de prochaine gnration (next generation network) NNI interface rseau-rseau (network-to-network interface) NP fournisseur de rseau (network provider) OAMP exploitation, administration, maintenance et fournitur
36、e (operations, administration, maintenance and provision) RACF fonction de contrle daccs aux ressources (resource access control function) SCTP protocole de transport de contrle de flux (stream control transport protocol) SR ressource de service (service resource) TAA-FE entit fonctionnelle dauthent
37、ification et dautorisation pour le transport (transport authentication and authorization functional entity) TE quipement terminal (terminal equipment) TUP-FE entit fonctionnelle de profil dutilisateur pour le transport (transport user profile functional entity) UNI interface utilisateur-rseau (user-
38、to-network interface) 5 Conventions Aucune. 6 Concepts gnraux relatifs au service AAA Le prsent paragraphe porte sur les concepts gnraux relatifs au service AAA. 6.1 Aperu Le service dauthentification, dautorisation et de comptabilit fournit les fonctions permettant de vrifier lidentit dun utilisate
39、ur (authentification), de lui donner un accs aux services (autorisation) et fournit un moyen permettant de mesurer la consommation des ressources (comptabilit). Rec. UIT-T Y.2703 (01/2009) 3 6.2 Processus AAA Les diffrents processus inclus dans le cadre AAA sont les suivants: Lauthentification valid
40、e lidentit de lutilisateur final avant dautoriser laccs au rseau. Lutilisateur final prsente un ensemble de justificatifs didentit, par exemple une combinaison nom dutilisateur/mot de passe, une cl de scurit, un certificat ou des donnes biomtriques (par exemple, empreintes digitales). Ces justificat
41、ifs didentit sont normalement convenus pendant le processus dinscription. La vrification des justificatifs didentit conduit au processus dautorisation. Lautorisation dfinit les privilges et services autoriss pour lutilisateur final une fois que laccs au rseau a t accord. Pour cela, une adresse IP pe
42、ut devoir tre fournie ou un filtre peut devoir tre invoqu pour dterminer quelles applications ou quels protocoles sont pris en charge. Lauthentification et lautorisation sont ralises ensemble dans le contexte dune gestion AAA. La comptabilit donne la mthodologie de collecte des informations sur la c
43、onsommation des ressources par lutilisateur final, informations qui peuvent ensuite tre traites des fins de facturation, daudit et de planification de capacit. Certaines donnes comptables sont utiles pour laborer un journal daudit de scurit. Ces trois processus sont centraliss dans un ensemble de fo
44、nctions qui, ensemble, constituent le contrle daccs. 6.3 Procdure AAA Le systme de service AAA est compos dun serveur AAA et dun client AAA. Le serveur AAA a accs une base de donnes de profils dutilisateur et des donnes de configuration. Il communique avec des clients AAA qui rsident dans des lments
45、 de rseau comme le serveur daccs au rseau (NAS) et les routeurs, pour assurer des services AAA rpartis. Les grandes tapes des scnarios de service AAA sont les suivantes: Lutilisateur final se raccorde au dispositif de point dentre et demande laccs au rseau. Le client AAA retransmet les justificatifs
46、 didentit/dauthentification de lutilisateur final au serveur AAA. Le serveur AAA authentifie lutilisateur sur la base de ces justificatifs. Si lauthentification aboutit, le serveur dtermine alors quel(s) service(s) est (sont) autoriss et retourne une rponse dacceptation ou de rejet et dautres donnes
47、 utiles au client AAA. Le client AAA indique lutilisateur final que laccs aux ressources spcifies a t accord ou refus. Le client AAA envoie un message de comptabilit au serveur AAA pendant ltablissement et la terminaison de la connexion en vue de la collecte et du stockage des relevs. 7 Modle dapplication pour lauthentification et lautorisation dans les NGN La prsente Recommandation est base sur les exigences de scurit pour les NGN nonces dans b-UIT-T Y.2701 et le modle de rfre
