1、UNION INTERNATIONALE DES TLCOMMUNICATIONS5)4 4 8 SECTEUR DE LA NORMALISATION (07/94)DES TLCOMMUNICATIONSDE LUIT2 3%!58 $% #/-5.)#!4)/. $% $/ %3%4 #/-5.)#!4)/. %.42% 3934 -%3 /56%2433 #52)4 4%#(./,/)%3 $% , ). etb) lutilisation de ces services et protocoles de manire satisfaire aux conditions de scur
2、it dune largegamme dapplications afin que les lments ASE spcifiques lapplication contiennent le minimum deservices de scurit.1.2 La prsente Recommandation | Norme internationale spcifie en particulier:a) les aspects de scurit de la communication dans les couches suprieures OSI;b) la prise en charge,
3、 dans les couches suprieures, des services de scurit dfinis dans larchitecture descurit OSI et dans les Cadres de scurit pour les systmes ouverts;c) linsertion des services et mcanismes de scurit et leurs relations dans les couches suprieures,conformment la Rec. X.800 du CCITT | ISO 7498-2 et la Rec
4、. UIT-T X.207 | ISO/CEI 9545;d) les interactions entre couches suprieures ainsi que les interactions entre couches suprieures et couchesinfrieures lors de la fourniture et de lutilisation des services de scurit;e) les conditions de gestion des informations de scurit dans les couches suprieures.1.3 E
5、n ce qui concerne le contrle daccs, le domaine dapplication de la prsente Recommandation | Normeinternationale comprend les services et mcanismes permettant de contrler laccs aux ressources OSI et aux ressourcesaccessibles par lintermdiaire de lOSI.1.4 La prsente Recommandation | Norme international
6、e ne couvre pas:a) la dfinition de services OSI ni la spcification de protocoles OSI;b) la spcification de techniques et de mcanismes de scurit, leur fonctionnement ou leur utilisation dansdes protocoles;c) les aspects de la scurit non relatifs aux communications OSI.1.5 La prsente Recommandation |
7、Norme internationale ne constitue ni une spcification de mise en oeuvre desystmes, ni une base dvaluation de la conformit.NOTE Le domaine dapplication de la prsente Recommandation | Norme internationale stend la scurit desapplications en mode sans connexion et celle des applications rparties (applic
8、ations en mode asynchrone, applications chanes etapplications agissant pour dautres applications).2 Rfrences normativesLes Recommandations et les Normes internationales suivantes contiennent des dispositions qui, par suite de la rfrencequi y est faite, constituent des dispositions valables pour la p
9、rsente Recommandation | Norme internationale. Aumoment de la publication, les ditions indiques taient en vigueur. Toute Recommandation ou Norme internationale estsujette rvision et les parties prenantes aux accords fonds sur la prsente Recommandation | Norme internationalesontISO/CEI 10745 : 1995 (F
10、)2 Rec. UIT-T X.803 (1994 F)invites rechercher la possibilit dappliquer les ditions les plus rcentes des Recommandations et Normesinternationales indiques ci-aprs. Les membres de la CEI et de lISO possdent le registre des Normes internationalesen vigueur. Le Bureau de la normalisation des tlcommunic
11、ations de lUIT-T tient jour une liste desRecommandations UIT-T en vigueur.2.1 Recommandations | Normes internationales identiques Recommandation UIT-T X.207 (1993) | ISO/CEI 9545:1993, Technologie de linformation Interconnexion de systmes ouverts Structure de la couche application. Recommandation UI
12、T-T X.8111)| ISO/CEI 10181-2.1), Technologies de linformation Interconnexiondes systmes ouverts Cadres de scurit pour systmes ouverts Cadre dauthentification. Recommandation UIT-T X.8121) | ISO/CEI 10181-3.1), Technologie de linformation Interconnexiondes systmes ouverts Cadres de scurit pour les sy
13、stmes ouverts Cadre de contrle daccs.2.2 Paires de Recommandations | Normes internationales quivalentes par leur contenu technique Recommandation X.200 du CCITT (1988), Modle de rfrence pour linterconnexion des systmesouverts pour les applications du CCITT.ISO 7498:1984/Cor.1:1988, Systmes de traite
14、ment de linformation Interconnexion des systmesouverts Modle de rfrence de base. Recommandation X.216 du CCITT (1988), Dfinition du service de prsentation de lOSI(Interconnexion des systmes ouverts) pour les applications du CCITT.ISO 8822:1987, Systmes de traitement de linformation Interconnexion de
15、s systmes ouverts Dfinition du service de prsentation en mode connexion. Recommandation X.217 du CCITT (1988), Dfinition du service de contrle dassociation pourlinterconnexion des systmes ouverts pour les applications du CCITT.ISO 8649:1987, Systmes de traitement de linformation Interconnexion de sy
16、stmes ouverts Dfinition du service pour llment de service de contrle dassociation. Recommandation X.700 du CCITT (1992), Cadre de gestion pour linterconnexion des systmes ouvertspour les applications du CCITT.ISO/CEI 7498-4:1989, Systmes de traitement de linformation Interconnexion de systmes ouvert
17、s Modle de rfrence de base. Partie 4: Cadre gnral de gestion. Recommandation X.800 du CCITT (1991), Architecture de scurit pour linterconnexion en systmesouverts dapplications du CCITT.ISO 7498-2:1988, Systmes de traitement de linformation Interconnexion de systmes ouverts Modle de rfrence de base P
18、artie 2: Architecture de scurit.3 Dfinitions3.1 Les termes suivants, dfinis dans la Rec. X.200 du CCITT | ISO 7498, sont utiliss:a) syntaxe abstraite;b) entit dapplication;c) processus dapplication;d) invocation de processus dapplication;e) informations de contrle de protocole dapplication;f) unit d
19、e donnes de protocole dapplication;g) environnement de systme local;h) fonction (N);_1)Actuellement ltat de projet.ISO/CEI 10745 : 1995 (F)Rec. UIT-T X.803 (1994 F) 3i) relais (N);j) systme ouvert;k) contexte de prsentation;l) entit de prsentation;m) systme ouvert rel;n) gestion-systme;o) syntaxe de
20、 transfert.3.2 Les termes suivants dfinis dans la Rec. X.800 du CCITT | ISO 7498-2 sont utiliss:a) contrle daccs;b) authentification;c) confidentialit;d) intgrit des donnes;e) authentification de lorigine des donnes;f) dchiffrement;g) chiffrement;h) cl;i) non-rpudiation;j) notarisation;k) authentifi
21、cation de lentit homologue;l) vrification de scurit;m) base dinformations sur la gestion de la scurit;n) politique de scurit;o) protection slective des champs;p) signature;q) confidentialit des flux de trafic;r) fonctionnalit de confiance.3.3 Les termes suivants dfinis dans la Rec. X.700 du CCITT |
22、ISO/CEI 7498-4 sont utiliss:a) informations de gestion;b) gestion OSI.3.4 Les termes suivants dfinis dans la Rec. UIT-T X.207 | ISO/CEI 9545 sont utiliss:a) association dapplications;b) contexte dapplication;c) invocation dentit dapplication (AEI);d) lment de service dapplication (ASE);e) type dlmen
23、t ASE;f) objet de service dapplication (ASO);g) association dobjets ASO;h) contexte dobjet ASO;i) invocation dobjet ASO;j) type dobjet ASO;k) fonction de contrle (CF).3.5 Le terme suivant dfini dans la Rec. X.216 du CCITT | ISO 8822 est utilis: valeur de donnes de prsentation.ISO/CEI 10745 : 1995 (F
24、)4 Rec. UIT-T X.803 (1994 F)3.6 Les termes suivants dfinis dans la Rec. UIT-T X.811 | ISO/CEI 10181-2 sont utiliss:a) change pour authentification;b) informations dauthentification pour dclaration;c) dclarant;d) informations dauthentification pour change;e) authentification dentit;f) entit principal
25、e,g) information dauthentification pour vrification;h) vrificateur.3.7 Les termes suivants dfinis dans la Rec. UIT-T X.812 | ISO/CEI 10181-3 sont utiliss:a) certificat de contrle daccs;b) informations de contrle daccs.3.8 Pour les besoins de la prsente Recommandation | Norme internationale, les dfin
26、itions suivantes sappliquent:tat de scurit par association: Etat de scurit li une association de scurit.contexte de protection de la prsentation: Contexte de prsentation associant une syntaxe de protection du transfert une syntaxe abstraite.syntaxe de protection du transfert: Syntaxe de transfert fo
27、nde sur des processus de codage/dcodage qui font appel une transformation pour la scurit.sceau: Valeur de contrle cryptographique supportant lintgrit mais noffrant pas de protection contre une falsificationde la part du destinataire (cest-dire, ne supportant pas la non-rpudiation).association de scu
28、rit: Relation entre deux ou plus de deux entits pour lesquelles il existe des attributs (rgles etinformations dtat) rgissant la fourniture des services de scurit qui intressent les entits en question.fonction de communication de scurit: Fonction supportant le transfert, entre systmes ouverts, dinfor
29、mations lies la scurit.domaine de scurit: Combinaison dun ensemble dlments, dune politique de scurit, dune autorit charge de lascurit et dun ensemble dactivits relatives la scurit dont lensemble dlments est rgi par la politique de scurit,sous la responsabilit de lautorit sur la scurit, pour les acti
30、vits spcifies.change pour la scurit: Transfert ou squence de transferts dinformations de contrle de protocole dapplicationentre systmes ouverts, faisant partie intgrante dun ou de plusieurs mcanismes de scurit.item dchange pour la scurit: Elment dinformation distinct logiquement et correspondant un
31、transfert unique(dune squence de transferts) dans le cadre dun change pour la scurit.fonction dchange pour la scurit: Fonction de communication de scurit, situe dans la couche application, quipermet dassurer la transmission dinformations relatives la scurit entre entits dapplication invoques.rgles d
32、interaction scurises: Aspects communs des rgles qui rgissent les interactions entre les domaines descurit.tat de scurit: Informations dtat conserves dans un systme ouvert et ncessaires la fourniture des services descurit.fonction de scurit (de) systme: Capacit dun systme ouvert excuter un traitement
33、 li la scurit.objet de scurit (de) systme: Objet reprsentant un ensemble de fonctions lies la scurit de systme.transformation pour la scurit: Ensemble de fonctions (fonctions de scurit de systme et fonctions decommunication de scurit) qui agissent en combinaison sur les lments de donnes dusager pour
34、 en assurer laprotection dans des conditions spcifiques pendant la communication ou le stockage.NOTE La spcification des fonctions et objets de scurit-systme ne fait pas partie intgrante des dfinitions de servicede couche OSI ou des spcifications de protocole OSI.ISO/CEI 10745 : 1995 (F)Rec. UIT-T X
35、.803 (1994 F) 54 AbrviationsPour les besoins de la prsente Recommandation | Norme internationale, les abrviations suivantes sappliquent:ACSE Elment de service de contrle dassociation (association control service element)AE Entit dapplication (application-entity)AEI Invocation dentit dapplication (ap
36、plication-entity-invocation)ASE Elment de service dapplications (application-service-element)ASN.1 Notation de syntaxe abstraite numro un (abstract syntax notation one)ASO Objet de service dapplication (application-service-object)CF Fonction de contrle (control function)FTAM Transfert, accs et gesti
37、on de fichiers (file transfer, access and management)OSI Interconnexion des systmes ouverts (open systems interconnection)PDV Valeur de donnes de prsentation (presentation data value)PE Entit de prsentation (presentation-entity)PEI Invocation dentit de prsentation (presentation-entity-invocation)SEI
38、 Item dchange pour la scurit (security exchange item)SSO Objet de scurit de systme (system security object)5 ConceptsLe prsent Modle de scurit dcrit la fourniture des services de scurit qui permettent de contrer les menaces relativesaux couches suprieures OSI, dont certains exemples sont prsents dan
39、s lAnnexe A de la Rec. X.800 du CCITT |ISO 7498-2. Ce modle englobe la protection des informations qui passent par des systmes de relais dapplication.5.1 Politique de scuritPour que deux ou plus de deux systmes ouverts rels puissent communiquer en toute scurit, ils doivent tre rgis parles politiques
40、 de scurit en vigueur dans leurs domaines de scurit respectifs, ainsi que par une politique dinteractionscurise, si la communication est tablie entre diffrents domaines de scurit. Une politique dinteraction scurisecouvre les aspects des politiques de scurit qui sont communs diffrentes domaines de sc
41、urit et dtermine lesconditions dans lesquelles la communication peut tre tablie entre ces domaines.Les dispositions dune politique dinteraction scurise peuvent tre dcrites par un ensemble de rgles qui rgissent,entre autres, la slection des contextes dobjet ASO (y compris celle des contextes dapplica
42、tion) utiliser dans des casprcis de communication.5.2 Associations de scuritUne association de scurit est une relation entre deux ou plus de deux entits pour lesquelles il existe des attributs(rgles et informations dtats) rgissant la fourniture des services de scurit qui intressent les entits en que
43、stion. Uneassociation de scurit implique lexistence dune politique dinteraction scurise et le maintien dun tat de scuritcohrent dans chacun des deux systmes.Du point de vue des couches suprieures OSI, une association de scurit est applique sur une association dobjetsASO. En voici deux cas particulie
44、rs: association de scurit de type association dapplications Association de scurit entre deux systmes,supportant une communication en mode protg par lintermdiaire dune association dapplications; association de scurit par relais Association de scurit entre deux systmes, supportant unecommunication en
45、mode protg par lintermdiaire dun relais dapplication (par exemple, dans desapplications en mode asynchrone ou chanes);ISO/CEI 10745 : 1995 (F)6 Rec. UIT-T X.803 (1994 F)Il existe dautres exemples de types dassociations de scurit, savoir: association de scurit entre deux systmes qui communiquent dire
46、ctement entre eux par lintermdiairedassociations dapplications multiples et/ou par transmission de plusieurs units de donnes en mode sansconnexion; association de scurit entre une entit inscrivant des informations en mode protg dans une mmoire-donnes (par exemple mmoire-fichier ou rpertoire) et des
47、entits lisant ces informations; association de scurit entre deux entits homologues de protocole de scurit de couche infrieure.Dans un processus dapplication, une association de scurit peut dpendre du maintien dune autre association descurit avec un autre systme, tel quun serveur dauthentification ou un autre type de tiers habilit.5.3 Etat de scuritUn tat de scurit est une information dtat dtenue dans un systme ouvert rel et ncessaire
