ISO/IEC 10736:1995
(Main)Information technology — Telecommunications and information exchange between systems — Transport layer security protocol
Information technology — Telecommunications and information exchange between systems — Transport layer security protocol
Defines the transport layer security protocol. Does not specify the management functions and protocols needed to support this security protocol. Defines a protocol which may be used for Security Association establishment. Specifies one algorithm for authentification and key distribution which is based on public key crypto systems.
Technologies de l'information — Télécommunications et échange d'information entre systèmes — Protocole de sécurité de la couche transport
Les procédures spécifiées dans la présente Recommandation | Norme internationale représentent des extensions des procédures définies par la Rec. UIT-T X.224 | ISO/CEI 8073 et la Rec. UIT-T X.234 |ISO 8602; elles n'interdisent en rien la communication d'informations non protégées entre des entités de transport mettant en oeuvre les dispositions de la Rec. UIT-T X.224 | ISO/CEI 8073 ou de la Rec. UIT-T X.234 |ISO 8602. La protection assurée par le protocole de sécurité défini dans la présente Recommandation | Norme internationale dépend du bon fonctionnement de la gestion de la sécurité, y compris de la gestion des clés de chiffrement. Toutefois, la présente Recommandation | Norme internationale ne spécifie pas les fonctions et protocoles de gestion nécessaires pour prendre en charge ce protocole de sécurité. Ce protocole peut prendre en charge tous les services d'intégrité, de confidentialité, d'authentification et de contrôle d'accès identifiés dans la Rec. X.800 du CCITT/ISO 7498-2 en ce qui concerne la couche transport. Le protocole prend en charge ces services au moyen de mécanismes cryptographiques, d'étiquettes et d'attributs de sécurité, clés de chiffrement et identités authentifiées par exemple, préétablis par la gestion de la sécurité ou établis à l'aide du protocole d'association de sécurité (SA-P). La protection ne peut être assurée que dans le cadre d'une politique de sécurité. Ce protocole prend en charge l'authentification d 1786es entités homologues au moment de l'établissement de la connexion. En outre, la modification des clés de chiffrement est assurée, dans ce protocole, par le protocole SA-P ou par d'autres moyens qui sortent du cadre de ce protocole. Les associations de sécurité ne peuvent être établies que dans le cadre d'une politique de sécurité. Il incombe aux utilisateurs d'établir leur propre politique de sécurité à laquelle certaines contraintes peuvent être imposées par
General Information
Buy Standard
Standards Content (Sample)
INTERNATIONAL lSO/IEC
STANDARD 10736
First edition
1995-04-15
Information technology -
Telecommunications and information
exchange between Systems - Transport
layer security protocol
- Tkkcommunica tions et 6change
Technologies de I ’information
Protocole de sburitb de Ia couche
d ‘in forma tion en tre systemes -
transport
---------------------- Page: 1 ----------------------
ISO/IEC10736:1995(E)
Contents
Page
1
Scope . . . . . . . .*.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Normative references
. . . . . . . . . . . . . . . . . . . . . . . . . . . .~.
2.1 Identical Recommendations I International Standards
. . . . . . . . . . . . . . . . . . . . . . . . . .
2.2 Paired Recommendations I International Standards equivalent in technical content
Additional references . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.
2.3
Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1 Security reference model definitions
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2 Additional definitions
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~. 3
Symbols and abbreviations
5
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Overview of the Protocol
5
5.1 Introduction .
6
5.2 Security Associations and attributes .
.......................................... 9
5.2.1 Security Services for connection-oriented Transport protocol
9
Security Service for connectionless Transport protocol .
5.2.2
9
..............................................................................................
5.3 Service assumed of the Network Layer
.................................................................................................... 9
5.4 Security management requirements
10
5.5 Minimum algorithm characteristics .
10
5.6 Security encapsulation function .
10
..............................................................................................
5.6.1 Data encipherment function
10
..............................................................................................................
5.6.2 Integrity function
10
Security label function .
5.6.3
................................................................................................. 11
5.6.4 Security padding function
11
..................................................................................
5.6.5 Peer Entity Authentication function
11
SA Function using in band SA-P .
5.6.6
11
6 Elements of procedure .
12
6.1 Concatenation and Separation .
12
6.2 Confidentiality .
12
............................................................................................................................
6.2.1 Purpose
12
TPDUs and Parameters used .
6.2.2
12
Procedure .
6.2.3
13
.............................................................................................................................
6.3 Integrity processing
.......................................................................... 13
Integrity Check Value (ICV) processing
6.3.1
13
6.3.1.1 Purpose .
13
TPDUs and Parameters used .
6.3.1.2
13
Procedure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.
6.3.1.3
15
6.3.2 Direction indicator processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
6.3.2.1 Purpose .
15
TPDUs and Parameters used .
6.3.2.2
15
Procedure .
6.3.2.3
16
...........................................................
Connection integrity sequence number processing
6.3.3
16
..............................................................................
6.3.3.1 Unique sequence numbers
0 ISO/IEC 1995
All rights reserved. Unless otherwise specified, no part of this publication may be
reproduced or utilized in any form or by any means, electronie or mechanical, including
photocopying and microfilm, without Permission in writing from the publisher.
ISO/IEC Copyright Office l Case postale 56 l CH-121 1 Geneve 20 l Switzerland
Printe8 in Switzerland
ii
---------------------- Page: 2 ----------------------
o ISO/IEC ISO/IEC 10736:1995(E)
Page
.......................................................................................................
6.3.3.2 Purpose 16
....................................................................................................... 16
6.3.3.3 Procedure
16
64 . Peer address check processing .
16
6.4.1 Purpose .
.......................................................................................................................... 16
6.4.2 Procedure
............................................................................................ 17
65 . Security labels for Security Associations
Purpose . 17
6.5.1
TPDUs and Parameters used . 17
6.5.2
17
6.5.3 Procedure .
6.6 Connection release . 17
67 Key replacement . 17
6:8 Unprotected TPDUs . 17
Protocol identification . 18
69 .
............................................................................................................. 18
6.10 Security Association-Protocol
19
7 Use of elements of procedure .
................................................................................................................. 19
8 Structure and encoding of TPDUs
19
8.1 Structure of TPDU .
19
8.2 Security encapsulation TPDU .
20
8.2.1 Clear header .
8.2.1.1 PDU clear header length . 20
8.2.1.2 PDU type . 20
20
8.2.1.3 SA-ID .
20
8.2.2 Crypto sync .
Protected contents . 20
8.2.3
21
8.2.3.1 Structure of protected contents field .
21
8.2.3.2 Content length .
....................................................................................................... 21
8.2.3.3 Flags
8.2.3.4 Label . 22
8.2.3.5 Protected data . 22
22
8.2.3.6 Integrity PAD .
22
8.2.4 ICV .
23
Encipherment PAD .
8.2.5
Security Association PDU . 23
8.3
23
8.3.1 LI .
23
8.3.2 PDU Type .
SA-ID . 23
8.3.3
SA-P Type . 23
8.3.4
23
8.3.5 SA PDU Contents .
23
..................................................................................................................................................
9 Conformance
23
................................................................................................................................................
9.1 General
......................................................................................... 23
9.2 Common static conformance requirements
..................................... 24
9.3 TLSP with ITU-T Rec. X.234 I ISO 8602 static conformance requirements
.............................. 24
. TLSP with ITU-T Rec. X.224 I ISO/IEC 8073 static conformance requirements
94
24
Common dynamic conformance requirements .
95 .
................................ 24
96 . TLSP with ITU-T Rec. X.234 I ISO 8602 dynamic conformance requirements
....................... 24
TLSP with ITU-T Rec. X.224 I ISO/IEC 8073 dynamic conformance requirements.
9.7
24
..............................................................................
10 Protocol implementation conformance Statement (PICS)
25
........................................................................................................................................
Annex A - PICS proforma
25
Introduction .
A. 1
25
.......................................................................................................................
Al.1 Background
25
...........................................................................................................................
AS.2 Approach
26
.............................................................................................................
A.2 Implementation identification
...................................................................................................... 26
A.3 General Statement of conformance
26
A.4 Protocol implementation .
. . .
111
---------------------- Page: 3 ----------------------
ISO/IECl0736:1995(E) o ISO/IEC
Page
27
A.5 Security Services supported .
28
A.6 Supported functions .
31
Supported Protocol Data Units (PDUs) .
A.7
............................................................................... 31
A.7.1 Supported Transport PDUs (TPDUs)
........................................................................... 31
A.7.2 Supported Parameters of issued TPDUs
31
Supported Parameters of received TPDUs .
A.7.3
32
A.7.4 Allowed values of issued TPDU Parameters .
33
A.8 Service, function, and protocol relationships .
33
A.8.1 Relationship between Services and functions .
..................................................................... 33
A.8.2 Relationship between Services and protocol
34
A.9 Supported algorithms .
34
A. 10 Error handling .
A. 10.1 Security errors . 34
A. 10.2 Protocol errors . 35
A. 11 Security Association . 35
A. 11.1 SA Generic Fields . 35
36
A. 11.2 Content Fields Specific to Key Exchange SA-P .
37
Annex B - Security Association Protocol Using Key Token Exchange and Digital Signatures .
37
B.l Overview .
B.2 Key Token Exchange (KTE) . 38
................................................................................................................ 38
B .3 SA-Protocol Authentication
39
B .4 SA Attribute Negotiation .
B.4.1 Service Negotiation . 39
39
B.4.2 Label Set Negotiation .
39
B.4.3 Key and ISN Selection .
Miscellaneous SA Attribute Negotiation . 40
B .4.4
40
B.4.5 Re-keying Overview .
............................................................................................. 40
B.4.6 SA AborVRelease Overview
40
B.5 Mapping of SA-Protocol Functions to Protocol Exchanges .
40
B.5.1 KTE (First) Exchange .
Request to Initiate the SA-Protocol . 40
B.5.1.1
41
B.5.1.2 Receipt of the First Exchange PDU by Recipient .
.......................................... 41
B.5.2 Authentication and Security Negotiation (Second) Exchange
................................................... 41
B.5.2.1 Receipt of First Exchange PDU by Initiator
42
Receipt of the Second Exchange PDU by Recipient .
B.5.2.2
42
B.5.3 Rekey Procedure .
43
B.5.4 SA Release / Abort Exchange .
Request to Initiate SA Release / Abort . 43
B.5.4.1
43
B.5.4.2 Receipt of SA Abort/Release Requests .
44
......................................................................................................................
B.6 SA PDU - SA Contents
44
Exchange ID .
B.6.1
44
B.6.2 Content Length .
44
B.6.3 Content Fields .
45
My SA-ID .
B.6.3.1
45
B.6.3.2 Old Your SA-ID .
........................ 45
B.6.3.3 Key Token 1, Key Token 2, Key Token 3, and Key Token 4
.................................................. 45
B.6.3.4 Authentication Digital Signature, Certificate
Service Selection . 45
B.6.3.5
45
B.6.3.6 SA Rejection Reason .
46
B.6.3.7 SA AbortfRelease Reason .
46
B.6.3.8 Label .
46
Key Selection .
B.6.3.9
47
B.6.3.10 SA Flags .
47
B.6.3.11 ASSR .
........................................................................... 48
Annex C - An example of an agreed set of security rules (ASSR)
49
..................................................................................................................
Annex D - Overview of EKE Algorithm
iv
---------------------- Page: 4 ----------------------
0 ISO/IEC
ISO/IEC10736:1995(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the Inter-
national Electrotechnical Commission) form the specialized System for worldwide
standardization. National bodies that are members of ISO or IEC participate in the
development of International Standards through technical committees established
by the respective organization to deal with particular fields of technical activity.
ISO and IEC technical committees collaborate in fields of mutual interest. Other
international organizations, governmental and non-governmental, in liaison with
ISO and IEC, also take part in the work.
In the field of information technology, ISO and IEC have established a joint
technical committee, ISO/IEC JTC 1. Draft International Standards adopted by the
joint technical committee are circulated to national bodies for voting. Publication
as an International Standard requires approval by at least 75 % of the national
bodies casting a vote.
International Standard ISO/IEC 10736 was prepared by Joint Technical Com-
mittee ISO/IEC JTC 1, Znformation technology, Subcommittee SC 6, Tele-
communications and information exchange between Systems, in collaboration with
ITU-T. The identical text is published as ITU-T Recommendation X.274.
Annexes A and B form an integral part of this International Standard. Annexes C
and D are for information only.
---------------------- Page: 5 ----------------------
ISO/IEC 10736:1995(E)
0 ISO/IEC
Introduction
The transport protocol specified in ITU-T Rec. X.224 I ISO/IFC 8073 provides the
connection oriented transport Service described in ITU-T Rec. 234 I ISOAEC 8072.
The transport protocol specified in ITU-T Rec. 234 I ISOAEC 8602 provides the
connectionless-mode transport Service described in ISOAEC 8072. This Recommen-
dation I International Standard specifies optional additional functions to ITU-T Rec.
X.224 I ISO/IEC 8073 and ITU-T Rec. X.234 I ISO/IEC 8602 permitting the use of
cryptographic techniques to provide data protection for transport connections or for
connectionless-mode TPDU transmission.
vi
---------------------- Page: 6 ----------------------
ISO/IEC 10736:1995(E)
INTERNATIONAL STANDARD
ITU-T RECOMMENDATION
INFORMATION TECHNOLOGY - TELECOMMUNICATIONS
AND INFORMATION EXCHANGE BETWEEN SYSTEMS -
TRANSPORT LAYER SECURITY PROTOCOL
1 Scope
The procedures specified in this Recommendation I International Standard operate as extensions to those defined in ITU-T Rec.
X.224 I ISO/IEC 8073 and ITU-T Rec. X.234 I ISO/IEC 8602 and do not preclude unprotected communication between
transport entities implementing ITU-T Rec. X.224 I ISO/.IEC 8073 or ITU-T Rec. X.234 I ISO 8602.
The protection achieved by the security protocol defined in this Recommendation I International Standard depends on
the proper Operation of security management including key management. However, this Recommendation I International
Standard does not specify the management functions and protocols needed to support this security protocol.
This protocol tan support all the integrity, confidentiality, authentication and access control Services identified in CCITT
Rec. X.800 I ISO 7498-2 as relevant to the transport layer. The protocol supports these Services through use of
cryptographic mechanisms, security labelling and attributes, such as keys and authenticated identities, pre-established by
security management or established through the use of the Security Association - Protocol (SA-P).
Protection tan be provided only within the context of a security policy.
This protocol supports peer-entity authentication at the time of connection establishment. In addition, rekeying is
supported within the protocol through the use of SA-P or through means outside the protocol.
Security associations tan only be established within the context of a security policy. It is a matter for the users to
establish their own security policy, which may be constrained by the procedures specified in this Recommendation I
International Standard.
The following items could be included in a Security Policy:
a) the method of SA establishmentirelease, the lifetime of SA;
Authentication/Access Control mechanisms;
W
Label mechanism;
Cl
d) the procedure of the receiving an invalid TPDU during SA establishment procedure or transmission of
protected PDU;
the lifetime of Key;
e)
f) the interval of the rekey procedure in Order to update key and security control information (SCI) exchange
procedure;
the time out of SC1 exchange and rekey procedure;
g)
the number of retries of sei exchange and rekey procedure.
h)
This Recommendation I International Standard defines a protocol which may be used for Security Association
establishment. Entities wishing to establish an SA must share common mechanisms for authentication and key
distribution. This Recommendation I International Standard specifies one algorithm for authentication and key
distribution which is based on public key crypto Systems. The implementation of this algorithm is not mandatory;
however, when an alternative mechanism is used, it shall satisfy the following conditions:
a) All SA attributes defined in 5.2 are derived.
Derived keys are authenticated.
W
ITU-T Rec. X.274 (1994 E) 1
---------------------- Page: 7 ----------------------
ISO/IEC 10736:1995(E)
2 Normative references
The following Recommendations and International Standards contain provisions which, through reference in this text,
constitute provisions of this Recommendation I International Standard. At the time of publication, the editions indicated
were valid. All Standards are subject to revision, and Parties to agreements based on this Recommendation I International
Standard are encouraged to investigate the possibility of applying the most recent editions of the Standards listed below.
Members of IEC and ISO maintain registers of currently valid International Standards. The Telecommunication
Standardization Bureau of the ITU maintains a list of currently valid ITU-T Recommendations.
21 . Identical Recommendations I International Standards
-
ITU-T Recommendation X.214 (1993) I ISO 8072:1994, Information technology - Open Systems
- Transport Service definition.
Interconnection
-
ITU-T Recommendation X.234 (1993) I ISO/IEC 8602:1995, Information technology - Protocol
for providing the OSI connectionless-mode transport Service.
22 . Paired Recommendations I International Standards equivalent in technical content
-
CCITT Recommendation X.200 (1988), Reference Model of Open Systems Interconnection for CCITT
applications.
Open Systems Interconnection - Basic Reference
ISO/IEC 7498- 1: 1994, Information technology -
Model - Part 1: The Basic Model.
-
CCI ’IT Recommendation X.800 (199 1), Security architecture for Open Systems Interconnection for
KITT applications.
ISO 7498-2: 1989, Information processing Systems - Open Systems Interconnection - Basic Reference
Model - Part 2: Security Architecture.
-
ITU-T Recommendation X.224 (1993), Protocol for providing the OSI connection-mode transport
Service.
ISOAEC 8073: 1992, Information technology - Telecommunications and information exchange between
Systems - Open Systems Interconnection - Protocol for providing the connection-mode transport Service.
-
CCITT Recommenda
...
NORME lSO/CEI
INTERNATIONALE 10736
Première édition
1995-04-15
Technologies de l’information -
Télécommunications et échange
d’information entre systèmes - Protocole
de sécurité de la couche transport
Information technology - Telecommunications and information exchange
between systems - Transport la yer security protocol
Numéro de référence
ISO/CEI 10736:1995(F)
---------------------- Page: 1 ----------------------
ISOKEI 10736: 1995(F)
Sommaire
Page
1
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1 Domaine d’application
Références normatives .
2
...................................................................
2.1 Recommandations I Normes internationales identiques
...
2.2 Paires de Recommandations I Normes internationales équivalentes par leur contenu technique.
2.3 Références additionnelles .
......................................................................................................................................................
3 Définitions
........................................................................
3.1 Définitions reprises du modèle de référence de base
3.2 Définitions complémentaires .
4
4 Symboles et abréviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.
5
.........................................................................................................................
5 Vue d’ensemble du protocole
5
5.1 Introduction .
6
..................................................................................................
5.2 Associations et attributs de sécurité
.......................... 9
52.1 Services de sécurité pour le protocole de transport en mode connexion
................. 10
Services de sécurité pour le protocole de transport en mode sans connexion.
52.2
10
5.3 Services assures par la couche réseau .
10
5.4 Spécifications de gestion de sécurité .
10
........................................................................................
5.5 Spécifications minimales des algorithmes
10
................................................................................................
5.6 Fonction d’encapsulation de sécurité
11
.......................................................................................
5.6.1 Fonction de codage des données
11
5.6.2 Fonction d’intégrité .
11
......................................................................................
5.6.3 Fonction d’étiquetage de sécurité
11
.................................................................................
5.6.4 Fonction de remplissage de sécurité
................................................................ 11
5.6.5 Fonction d’authentification d’entité homologue
12
....................................................
5.6.6 Fonction SA utilisant le protocole SA-P dans la bande
12
...................................................................................................................................
6 Eléments de procédure
13
..............................................................................................................
61 Concaténation et séparation
13
6:2 Confidentialité .
13
Objet
6.2.1 .
13
.............................................................................................
6.2.2 TPDU et paramètres utilisés
13
6.2.3 Procédure .
0 ISOKEI 1995
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publi-
cation ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun pro-
cédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord
écrit de l’éditeur.
ISO/CEI Copyright Office l Case postale 56 l CH-121 1 Genève 20 l Suisse
Version française tirée en 1996
Imprimé en Suisse
ii
---------------------- Page: 2 ----------------------
ISOKEI 10736: 1995(F)
0 ISOKEI
14
.........................................................................................................................
63 . Procédure d’intégrité
14
.......................................................
6.3.1 Traitement de la valeur de contrôle d’intégrité (ICV)
14
6.3.1.1 Objet .
........................................................................... 14
6.3.1.2 TPDU et paramètres utilisés
14
Procédure .
6.3.1.3
16
..............................................................................
6.3.2 Traitement de l’indicateur de direction
16
6.3.2.1 Objet .
16
TPDU et paramètres utilisés .
6.3.2.2
16
6.3.2.3 Procédure .
........................................... 17
6.3.3 Traitement du numéro de séquence d’intégrité de connexion
17
Numéros de séquence uniques .
6.3.3.1
17
6.3.3.2 Objet .
17
6.3.3.3 Procédure .
17
Traitement de la vérification d’adresse d’homologue .
64 .
17
6.4.1 Objet .
17
6.4.2 Procédure .
18
Etiquettes de sécurité des associations de sécurité .
65 .
18
6.5.1 Objet .
18
6.5.2 TPDU et paramètres utilisés .
18
6.5.3 Procédure .
18
...............................................................................................................
66 . Libération de la connexion
18
. Remplacement de clé .
67
19
.........................................................................................................................
68 . TPDU non protégées
l9
................................................................................................................
69 Identification du protocole
19
...................................................................................................
6’10 . Protocole d’association de sécurité
20
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
7 Utilisation des éléments de procédure
20
.......................................................................................................................
8 Structure et codage des TPDU
20
81 Structure de la TPDU .
20
..........................................................................................
8:2 Unité d’encapsulation de sécurité TPDU
21
8.2.1 En-tête en clair .
21
........................................................
8.2.1.1 Longueur de l’en-tête en clair de la PDU
21
8.2.1.2 Type de PDU .
21
.......................................................................................
8.2.1.3 Identificateur SA-ID
21
.....................................................................................
8.2.2 Synchronisation cryptographique
21
8.2.3 Contenu protégé .
22
.......................................................
8.2.3.1 Structure des champs du contenu protégé
22
......................................................................
8.2.3.2 Champ de longueur du contenu
22
....................................................................................
8.2.3.3 Champ Flags (fanions)
23
8.2.3.4 Champ Label (étiquette) .
23
8.2.3.5 Champ des données protégées .
23
8.2.3.6 Remplissage d’intégrité .
24
8.2.4 ICV .
24
8.2.5 Remplissage de codage .
24
...........................................................................................................
PDU d’association de sécurité
24
8.3.1 LI .
24
8.3.2 Type de PDU .
24
8.3.3 SA-ID .
24
8.3.4 Type de SA-P .
25
8.3.5 Contenu de SA PDU .
25
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9 Conformité
25
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.1 Considérations générales
25
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
92 . Spécifications communes de conformité statique
93 . Spécifications de conformité statique du protocole TLSP avec le protocole de la
25
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Rec. UIT-T X.234 I ISO 8602
9.4 Spécifications de conformité statique du protocole TLSP avec le protocole de la
25
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Rec. UIT-T X.224 I ISOKEI 8073
. . .
111
---------------------- Page: 3 ----------------------
@ ISOKEI
ISOKEI 10736:1995(F)
.
9.5 Spécifications communes de conformité dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
9.6 Spécifications de conformité dynamique du protocole TLSP avec le protocole de la
Rec. UIT-T X.234 I ISO 8602 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
9.7 Spécifications de conformité dynamique du protocole TLSP avec le protocole de la
Rec. UIT-T X.224 I ISOKEI 8073 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
10 Déclaration de conformité d’une instance de protocole (PICS)
27
Annexe A - Formulaire PICS . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.
A.1 Introduction . 27
27
A.l.l Background .
27
A.1.2 Approach .
A.2 Implementation identification . 28
A.3 General statement of conformance . 28
28
A.4 Protocol implementation .
A.5 Security services supported . 28
A.6 Supported functions . 30
A.7 Supported Protocol Data Units (PDUs) . 33
.
33
A.7.1 Supported Transport PDUs (TPDUs) .
A.7.2 Supported parameters of issued TPDUs . 33
........................................................................ 33
A.7.3 Supported parameters of received TPDUs
34
A.7.4 Allowed values of issued TPDU parameters .
.................................................................................... 35
A.8 Service, function, and protocol relationships
35
A.8.1 Relationship between services and functions .
35
A.8.2 Relationship between services and protocol .
36
A.9 Supported algorithms .
36
A.10 Error handling .
36
A. 10.1 Security errors .
A. 10.2 Protocol errors . 36
36
A.11 Security Association .
36
A. 11.1 SA Generic Fields .
Content Fields Specific to Key Exchange SA-P . 38
A. 11.2
Annexe B - Protocole d’association de sécurité utilisant des mécanismes d’échange de jetons de clé et de
.
39
signatures numériques .
Vue d’ensemble . 39
B.l
40
B.2 Echange de jetons de clé (KTE) .
40
B.3 Authentification de protocole SA .
................................................................................................................ 41
B.4 Négociation d’attributs SA
41
B.4.1 Négociation des services .
41
B.4.2 Négociation de l’ensemble d’étiquettes .
41
.................................................................................
B.4.3 Sélection de clés et de numéros ISN
42
B.4.4 Négociation de divers attributs SA .
42
B.4.5 Vue d’ensemble de la modification de clés .
............... 42
B.4.6 Vue d’ensemble de la procédure d’abandon/de libération d’une association SA
B.5 Mise en correspondance des fonctions de protocole SA avec les échanges de données de
43
protocole .
B.5.1 . 43
(Premier) Echange de jetons de clé (KTE)
.................................................... 43
B.5.1.1 Demande d’initialisation d’un protocole SA
43
B.5.1.2 Réception de la PDU du premier échange par l’entité destinataire .
B.5.2 (Deuxième) Echange de négociation de l’authentification et de la sécurité . 44
.................... 44
B.5.2.1 Réception de la PDU du premier échange par l’entité initiatrice
44
B.5.2.2 Réception de la PDU du deuxième échange par l’entité destinataire .
45
B.5.3 Procédure de modification de clés .
................................................. 46
B.5.4 Echange pour la 1ibérationKabandon de l’association SA
.... 46 ’
B.5.4.1 Demande d’initialisation de la libération/de l’abandon de l’association SA
................................... 46
B.5.4.2 Réception d’une demande d’abandon/de libération SA
IV
---------------------- Page: 4 ----------------------
ISOKEI 10736: 1995(F)
@ ISOKEI
47
.....................................................................................................................
B.6 SA PDU - Contenu SA
47
B.6.1 ID d’échange .
47
Longueur de contenu .
B.6.2
47
Champs de contenu .
B.6.3
48
My-SA-ID .
B.6.3.1
48
B.6.3.2 Old Your-SA-ID .
......................... 48
B.6.3.3 Key Token 1 et Key Token 2, Key Token 3 et Key Token 4
48
Signature numérique d’authentification, Certificat .
B.6.3.4
....................................................................................... 48
B.6.3.5 Sélection de services
48
B.6.3.6 Raison du rejet SA .
Raison de l’abandon/la libération SA . 49
B.6.3.7
49
B.6.3.8 Label .
49
B.6.3.9 Sélection de clés .
50
B.6.3.10 Marqueurs SA .
50
..............................................................................................................
B.6.3.11 ASSR
51
Exemple d’ensemble agréé de règles de sécurité (ASSR) .
Annexe C -
52
Annexe D - Vue d’ensemble de l’algorithme EKE .
---------------------- Page: 5 ----------------------
0 ISO/CEI
ISOKEI 10736: 1995(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un système consacré à la nor-
malisation internationale considérée comme un tout. Les organismes nationaux
membres de I’ISO ou de la CE1 participent au développement de Normes inter-
nationales par l’intermédiaire des comités techniques créés par l’organisation
concernée afin de s’occuper des différents domaines particuliers de l’activité tech-
nique. Les comités techniques de 1’ISO et de la CE1 collaborent dans des
domaines d’intérêt commun. D’autres organisations internationales, gouverne-
mentales ou non gouvernementales, en liaison avec I’ISO et la CE1 participent
également aux travaux.
Dans le domaine des technologies de l’information, 1’ISO et la CE1 ont créé un
comité technique mixte, l’ISO/CEI JTC 1. Les projets de Normes internationales
adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
approbation, avant leur acceptation comme Normes internationales. Les Normes
internationales sont approuvées conformément aux procédures qui requièrent
l’approbation de 75 % au moins des organismes nationaux votants.
La Norme internationale ISOKEI 10736 a été élaborée par le comité technique
mixte ISOKEI JTC 1, Technologies de Z’infomation, sous-comité SC 6, Télé-
informatique, en collaboration avec l’IUT-T. Le texte identique est publié en tant
que Recommandation IUT-T X.274.
Les annexes A et B font partie intégrante de la présente Norme internationale. Les
annexes C et D sont données uniquement à titre d’information.
Vl
---------------------- Page: 6 ----------------------
@ ISOKEI ISOKEI 10736: 1995(F)
Introduction
Le protocole de transport spécifié dans la Rec. UIT-T X.224 I ISOKEI 8073 assure le service de transport en mode
connexion décrit dans la Rec. UIT-T X.214 I ISOKEI 8072. Le protocole de transport spécifié dans la
Rec. UIT-T X.234 I ISO 8602 assure le service de transport en mode sans connexion décrit dans ISO 8072/ADl. La
présente Recommandation I Norme internationale spécifie des fonctions optionnelles complémentaires pour les
protocoles de la Rec. UIT-T X.224 I ISOKEI 8073 et de la Rec. UIT-T X.234 I ISO 8602 permettant d’utiliser les
techniques cryptographiques et d’assurer ainsi la protection des données lors de la transmission des unites de données de
protocole de transport (TPDU) en mode connexion ou en mode sans connexion.
Annexes A et B font partie
Les intégrante de la présente Recommandation Norme internationale. Les Annexes C et D
sont données uniquement à titre informatif.
Vil
---------------------- Page: 7 ----------------------
Page blanche
---------------------- Page: 8 ----------------------
ISOICEI 10736: 1995(F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
TECHNOLOGIE~DE L'INFORMATION-TÉLÉC~~~~~UNICATI~NSETÉCHANGE
D'INFORMATIONENTRESYSTÈMES-PROTOCOLEDESÉCURITÉ
DELACOUCHETRANSPORT
1 Domaine d’application
Les procédures specifiées dans la présente Recommandation I Norme internationale représentent des extensions des
procédures definies par la Rec. UIT-T X.224 I ISOKEI 8073 et la Rec. UIT-T X.234 I ISO 8602; elles n’interdisent en
rien la communication d’informations non protégees entre des entités de transport mettant en œuvre les dispositions de la
Rec. UIT-T X.224 I ISOKEI 8073 ou de la Rec. UIT-T X.234 I ISO 8602.
La protection assurée par le protocole de sécurité défini dans la présente Recommandation I Norme internationale
dépend du bon fonctionnement de la gestion de la sécurité, y compris de la gestion des clés de chiffrement. Toutefois, la
présente Recommandation I Norme internationale ne spécifie pas les fonctions et protocoles de gestion nécessaires pour
prendre en charge ce protocole de sécurité.
Ce protocole peut prendre en charge tous les services d’intégrité, de confidentialité, d’authentification et de contrôle
d’accès identifiés dans la Rec. X.800 du CCITT / ISO 7498-2 en ce qui concerne la couche transport. Le protocole prend
en charge ces services au moyen de mécanismes cryptographiques, d’étiquettes et d’attributs de sécurité, clés de
chiffrement et identités authentifiées par exemple, préétablis par la gestion de la sécurité ou établis à l’aide du protocole
d’association de sécurité (SA-P).
La protection ne peut être assurée que dans le cadre d’une politique de sécurité.
Ce protocole prend en charge l’authentification des entités homologues au moment de l’établissement de la connexion.
En outre, la modification des clés de chiffrement est assurée, dans ce protocole, par le protocole SA-P ou par d’autres
moyens qui sortent du cadre de ce protocole.
Les associations de sécurité ne peuvent être établies que dans le cadre d’une politique de sécurité. Il incombe aux
utilisateurs d’établir leur propre politique de sécurité à laquelle certaines contraintes peuvent être imposées par les
procédures spécifiées dans la présente Recommandation I Norme internationale.
Les éléments suivants pourraient être inclus dans une politique de sécurité:
méthode d’établissementide libération de l’association SA, durée de l’association SA;
a>
mécanismes d’authentification/de contrôle d’accès;
W
mécanisme d’étiquetage;
C>
d) procédure de réception d’une TPDU non valide au cours de la procédure d’établissement d’une association
SA ou de transmission d’une PDU protégée;
durée des clés;
e)
intervalle de la procédure de modification des clés pour la mise à jour de la procédure d’échange de clés et
0
d’informations de commande de sécurité (SCI);
g)
temporisation de la procédure d’échange d’informations SC1 et de modification des clés;
nombre de nouvelles tentatives d’échange d’informations SC1 et de modification des clés.
l-0
La présente Recommandation I Norme internationale définit un protocole qui peut être mis en œuvre pour l’établissement
d’une association de sécurité. Les entités qui désirent établir une association SA doivent utiliser des mécanismes
communs d’authentification et de répartition de clés. La présente Recommandation I Norme internationale spécifie un
algorithme, fondé sur des systèmes cryptographiques de clés publiques, pour l’authentification et la répartition de clés.
La mise en œuvre de cet algorithme n’est pas obligatoire mais, lorsqu’un autre mécanisme est utilisé, il doit répondre aux
conditions suivantes:
tous les attributs SA définis au 5.2 sont calculés;
a)
les clés calculées sont authentifiées.
b)
Rec. UIT-T X.274 (1994 F) 1
---------------------- Page: 9 ----------------------
ISOKEI 10736: 1995(F)
Références normatives
2
L
...
ISO/CEI
NORME
10736
I NTE R NAT1 ON ALE
Premiere édition
1995-04-1 5
Technologies de l'information -
Télécommunications et échange
d'information entre systèmes - Protocole
de sécurité de la couche transport
Information technology - Telecommunications and information exchange
between systems - Transport layer security protocol
Numéro de référence
ISO/CEI 10736:1995(F)
---------------------- Page: 1 ----------------------
ISOKEI 10736: 1995(F)
Sommaire
Page
1 Domaine d'application . .
1
2 RCfCrences normatives .
2
2.1 Recommandations I Normes internationales identiques .
2
2.2 Paires de Recommandations I Normes internationales Cquivalentes par leur contenu technique .
2
2.3 RCfCrences additionnelles .
2
3 DCfinitions .
3
3.1 Definitions reprises du modble de rCfCrence de base . 3
3.2 DCfinitions complCmentaires .
3
4 Symboles et abréviations .
4
5 Vue d'ensemble du protocole . 5
5.1 Introduction .
5
5.2 Associations et attributs de sCcuritC .
6
5.2.1 Services de sCcuritC pour le protocole de transport en mode connexion .
9
5.2.2 Services de sCcuritC pour le protocole de transport en mode sans connexion . 10
5.3 Services assurCs par la couche rCseau . 10
5.4 SpCcifications de gestion de sCcuritC .
10
5.5 SpCcifications minimales des algorithmes .
10
5.6 Fonction d'encapsulation de sCcuritC . 10
5.6.1 Fonction de codage des donnCes .
11
5.6.2 Fonction dintCgritC .
11
5.6.3 Fonction d'ktiquetage de stcuritC . 11
5.6.4 Fonction de remplissage de sCcuritC . 11
5.6.5 Fonction d'authentification d'entitC homologue .
11
5.6.6 Fonction SA utilisant le protocole SA-P dans la bande . 12
6 ElCments de proCCdure . 12
6.1 ConcatCnation et separation .
13
6.2 ConfidentialitC .
13
6.2.1 Objet . 13
6.2.2 TPDU et parambtres utilisCs . 13
6.2.3 ProcCdure .
13
O ISOICEI 1995
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publi-
cation ne peut &re reproduite ni utilisée sous quelque forme que ce soit et par aucun pro-
cédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord
écrit de l'éditeur.
ISO/CEI Copyright Office Case postale 56 CH-121 1 Gentve 20 Suisse
Version française tirée en 1996
Imprimé en Suisse
11
---------------------- Page: 2 ----------------------
O ISO/CEI ISO/CEI 10736: 1995(F)
6.3 ProCCdure d'inttgritk .
14
6.3.1 Traitement de la valeur de contrôle d'intkgritt (ICV) . 14
6.3.1.1 Objet . 14
6.3.1.2 TPDU et parambtres utilisCs .
14
6.3.1.3 ProCCdure .
14
6.3.2 Traitement de l'indicateur de direction . 16
6.3.2.1 Objet .
16
6.3.2.2 TPDU et parambtres utilisCs .
16
6.3.2.3 ProCCdure . 16
6.3.3 Traitement du numCro de sCquence d'intCgritC de connexion .
17
6.3.3.1 NumCros de sCquence uniques . 17
6.3.3.2 Objet . 17
6.3.3.3 ProCCdure . 17
6.4 Traitement de la vkrification d'adresse d'homologue . 17
6.4.1 Objet .
17
6.4.2 Procédure . 17
6.5 Etiquettes de sCcuritC des associations de sCcuritC . 18
6.5.1 Objet . 18
6.5.2 TPDU et parambtres utilisCs . 18
6.5.3 ProCCdure . 18
6.6 Libtration de la connexion . 18
6.7 Remplacement de clt . 18
6.8 TPDU non prot6gCes . 19
6.9 Identification du protocole .
19
6.10 Protocole d'association de sCcuritC .
19
7 Utilisation des Cltments de proCCdure . 20
8 Structure et codage des TPDU . 20
8.1 Structure de la TPDU .
20
8.2 Unit6 d'encapsulation de sCcuritC TPDU . 20
8.2.1 En-tête en clair . 21
8.2.1.1 Longueur de l'en-tête en clair de la PDU . 21
8.2.1.2 Type de PDU . 21
8.2.1.3 Identificateur SA-ID . 21
8.2.2 Synchronisation cryptographique . 21
8.2.3 Contenu protCgC . 21
8.2.3.1 Structure des champs du contenu protCgt . 22
8.2.3.2 Champ de longueur du contenu . 22
8.2.3.3 Champ Flags (fanions) . 22
8.2.3.4 Champ Label (Ctiquette) .
23
8.2.3.5 Champ des donntes protCgtes .
23
8.2.3.6 Remplissage d'intCgritC . 23
8.2.4 ICV . 24
8.2.5 Remplissage de codage . 24
8.3
PDU d'association de sCcuritC . 24
8.3.1 LI . 24
8.3.2 Type de PDU . 24
8.3.3 SA-ID . 24
8.3.4 Type de SA-P . 24
8.3.5 Contenu de SA PDU . 25
9 ConformitC . 25
9.1 Considtrations gCnCrales . 25
9.2 SpCcifications communes de conformitC statique . 25
9.3 Spkcifications de conformit6 statique du protocole TLSP avec le protocole de la
. UIT-T X.234 I IS0 8602 .
Rec 25
9.4 SpCcifications de conformitt statique du protocole TLSP avec le protocole de la
Rec . UIT-T X.224 I ISO/CEI 8073 .
25
...
111
---------------------- Page: 3 ----------------------
ISO/CEI 10736: 1995(F) 0 ISO/CEI
9.5 SpCcifications communes de conformitt? dynamique . 25
9.6 SpCcifications de conformitt dynamique du protocole TLSP avec le protocole de la
Rec . UIT-T X.234 I IS0 8602 . 25
9.7 SpCcifications de conformit6 dynamique du protocole TLSP avec le protocole de la
Rec . UIT-T X.224 I ISO/CEI 8073 . 26
10 Declaration de conformit6 d'une instance de protocole (PICS) . 26
Annexe A . Formulaire PICS . 27
A.l Introduction . 27
A.1.1 Background . 27
A.1.2 Approach . 27
A.2 Implementation identification . 28
A.3 General statement of conformance . 28
A.4 Protocol implementation .
28
AS Security services supported . 28
A.6 Supported functions . 30
A.7 Supported Protocol Data Units (PDUs) .
33
33
A.7.1 Supported Transport PDUs (TPDUs) .
A.7.2 Supported parameters of issued TPDUs . 33
A.7.3 Supported parameters of received TPDUs . 33
34
A.7.4 Allowed values of issued TPDU parameters .
A.8 Service. function. and protocol relationships . 35
35
A.8.1 Relationship between services and functions .
A.8.2 Relationship between services and protocol . 35
36
A.9 Supported algorithms .
Error handling . 36
A.10
36
A . 10.1 Security errors .
A.10.2 Protocol errors . 36
36
A . 1 Security Association .
A . 1 1.1 SA Generic Fields . 36
A.l 1.2 Content Fields Specific to Key Exchange SA-P . 38
-
Annexe B Protocole d'association de sCcuritC utilisant des mdcanismes d'6change de jetons de clC et de
signatures numCriques . 39
B.l Vue densemble . 39
40
B . 2 Echange de jetons de clC (KTE) .
B.3 Authentification de protocole SA . 40
B . 4 Ndgociation d'attributs SA . 41
B.4.1 NCgociation des services . 41
B.4.2 Ntgociation de l'ensemble d'dtiquettes . 41
B.4.3 SClection de c16s et de numCros ISN . 41
B.4.4 NCgociation de divers attributs SA . 42
B.4.5 Vue d'ensemble de la modification de clts . 42
B.4.6 Vue d'ensemble de la proCCdure dabandodde liberation d'une association SA . 42
B . 5 Mise en correspondance des fonctions de protocole SA avec les Cchanges de donndes de
protocole . 43
43
B.5.1 (Premier) Echange de jetons de clC (KTE) .
B.5.1.1 Demande d'initialisation d'un protocole SA . 43
B.5.1.2 RCception de la PDU du premier Cchange par 1'entitC destinataire . 43
(Deuxi2me) Echange de nkgociation de l'authentification et de la sCcuritC . 44
B.5.2
44
B.5.2.1 RCception de la PDU du premier Cchange par 1'entitC initiatrice .
B.5.2.2 RCception de la PDU du deuxikme Cchange par 1'entitC destinataire . 44
Procedure de modification de clCs . 45
B.5.3
46
B.5.4 Echange pour la 1ibCrationA'abandon de l'association SA .
B.5.4.1 Demande dinitialisation de la liberationlde l'abandon de l'association SA . 46
B.5.4.2 RCception dune demande dabandonlde libdration SA . 46
iv
---------------------- Page: 4 ----------------------
O ISO/CEI ISO/CEI 10736: 1995(F)
B.6 SA PDU . Contenu SA .
47
B.6.1 ID d'kchange . 47
B.6.2 Longueur de contenu . 47
B.6.3 Champs de contenu . 47
B.6.3.1 My-SA-ID .
48
B.6.3.2 Old Your-SA-ID .
48
B.6.3.3 Key Token 1 et Key Token 2. Key Token 3 et Key Token 4 . 48
B.6.3.4 Signature numerique d'authentification. Certificat . 48
B.6.3.5 Selection de services .
48
B.6.3.6 Raison du rejet SA . 48
B.6.3.7 Raison de I'abandonAa libCration SA .
49
B.6.3.8 Label .
49
B.6.3.9 SClection de clCs . 49
B.6.3.10 Marqueurs SA . 50
B.6.3.11 ASSR . 50
Annexe C - Exemple d'ensemble agrCC de rbgles de stcurit6 (ASSR) .
51
Annexe D - Vue d'ensemble de l'algorithme EKE .
52
V
---------------------- Page: 5 ----------------------
ISOKEI 10736:1995(F) O ISO/CEI
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un systbme consacré à la nor-
malisation internationale considérée comme un tout. Les organismes nationaux
membres de I’ISO ou de la CE1 participent au développement de Normes inter-
nationales par l’intermédiaire des comités techniques créés par l’organisation
concernée afin de s’occuper des différents domaines particuliers de l’activité tech-
nique. Les comités techniques de I’ISO et de la CE1 collaborent dans des
domaines d’intérêt commun. D’autres organisations internationales, gouverne-
mentales ou non gouvernementales, en liaison avec I’ISO et la CE1 participent
également aux travaux.
Dans le domaine des technologies de l’information, I’ISO et la CE1 ont créé un
comité technique mixte, l’ISO/CEI JTC 1. Les projets de Normes internationales
adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
approbation, avant leur acceptation comme Normes internationales. Les Normes
internationales sont approuvées conformément aux procédures qui requièrent
l’approbation de 75 % au moins des organismes nationaux votants.
La Norme internationale ISO/CEI 10736 a été élaborée par le comité technique
mixte ISO/CEI JTC 1, Technologies de l’information, sous-comité SC 6, Télé-
informatique, en collaboration avec l’IUT-T. Le texte identique est publié en tant
que Recommandation IUT-T X.274.
Les annexes A et B font partie inttgrante de la présente Norme internationale. Les
annexes C et D sont données uniquement àtitre d’information.
vi
---------------------- Page: 6 ----------------------
E
ISO/CEI 10736: 1995(F)
0 ISO/CEI
Introduction
Le protocole de transport spkcifik dans la Rec. UIT-T X.224 I ISO/CEI 8073 assure le service de transport en mode
connexion dkcrit dans la Rec. UIT-T X.214 I ISO/CEI 8072. Le protocole de transport sptcifik dans la
Rec. UIT-T X.234 I IS0 8602 assure le service de transport en mode sans connexion dtcrit dans IS0 8072/AD1. La
prksente Recommandation I Norme internationale spkcifie des fonctions optionnelles complkmentaires pour les
protocoles de la Rec. UIT-T X.224 I ISO/CEI 8073 et de la Rec. UIT-T X.234 I IS0 8602 permettant d'utiliser les
techniques cryptographiques et d'assurer ainsi la protection des donntes lors de la transmission des unitCs de donnkes de
protocole de transport (TPDU) en mode connexion ou en mode sans connexion.
Les Annexes A et B font partie intkgrante de la prksente Recommandation I Norme internationale. Les Annexes C et D
sont donntes uniquement B titre informatif.
vii
---------------------- Page: 7 ----------------------
ISOKEI 10736: 1995(F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
TECHNOLOGIES DE L'INFORMATION - TÉLÉCOMMUNICATIONS ET ÉCHANGE
D'INFORMATION ENTRE SYSTÈMES - PROTOCOLE DE SÉCURITÉ
DE LA COUCHE TRANSPORT
1 Domaine d'application
Les procédures spécifiées dans la présente Recommandation I Norme internationale représentent des extensions des
I ISO/CEI 8073 et la Rec. UIT-T X.234 I IS0 8602; elles n'interdisent en
procédures définies par la Rec. UIT-T X.224
rien la communication d'informations non protégées entre des entités de transport mettant en Oeuvre les dispositions de la
Rec. UIT-T X.224 I ISO/CEI 8073 ou de la Rec. UIT-T X.234 I IS0 8602.
La protection assurée par le protocole de sécurité défini dans la présente Recommandation I Norme internationale
dépend du bon fonctionnement de la gestion de la sécurité, y compris de la gestion des clés de chiffrement. Toutefois, la
I Norme internationale ne spécifie pas les fonctions et protocoles de gestion nécessaires pour
présente Recommandation
prendre en charge ce protocole de sécurité.
Ce protocole peut prendre en charge tous les services d'intégrité, de confidentialité, d'authentification et de contrôle
d'accbs identifiés dans la Rec. X.800 du CCITT / IS0 7498-2 en ce qui concerne la couche transport. Le protocole prend
en charge ces services au moyen de mécanismes cryptographiques, d'étiquettes et d'attributs de sécurité, clés de
chiffrement et identités authentifiées par exemple, préétablis par la gestion de la sécurité ou établis à l'aide du protocole
d'association de sécurité (SA-P).
La protection ne peut être assurée que dans le cadre d'une politique de sécurité.
Ce protocole prend en charge l'authentification des entités homologues au moment de l'établissement de la connexion.
En outre, la modification des clés de chiffrement est assurée, dans ce protocole, par le protocole SA-P ou par d'autres
moyens qui sortent du cadre de ce protocole.
Les associations de sécurité ne peuvent être établies que dans le cadre d'une politique de sécurité. I1 incombe aux
utilisateurs d'établir leur propre politique de sécurité à laquelle certaines contraintes peuvent être imposées par les
procédures spécifiées dans la présente Recommandation I Norme internationale.
Les Cléments suivants pourraient être inclus dans une politique de sécurité:
méthode d'établissementlde libération de l'association SA, durée de l'association SA;
a)
b) mécanismes d'authentification/de contrôle d'accbs;
c) mécanisme d'étiquetage;
procédure de réception d'une TPDU non valide au cours de la procédure d'établissement d'une association
d)
SA ou de transmission d'une PDU protégée;
e) durée des clés;
intervalle de la procédure de modification des clés pour la mise àjour de la procédure d'échange de clés et
f)
d'informations de commande de sécurité (SCI);
temporisation de la procédure d'échange d'informations SCI et de modification des clés;
g)
nombre de nouvelles tentatives d'échange d'informations SCI et de modification des clés.
h)
La présente Recommandation I Norme internationale définit un protocole qui peut être mis en Oeuvre pour l'établissement
d'une association de sécurité. Les entités qui désirent établir une association SA doivent utiliser des mécanismes
communs d'authentification et de répartition de clés. La présente Recommandation I Norme internationale spécifie un
algorithme, fondé sur des syst2mes cryptographiques de clés publiques, pour l'authentification et la répartition de clés.
La mise en œuvre de cet algorithme n'est pas obligatoire mais, lorsqu'un autre mécanisme est utilisé, il doit répondre aux
conditions suivantes:
tous les attributs SA définis au 5.2 sont calculés;
a)
les clés calculées sont authentifiées.
b)
Rec. UIT-T X.274 (1994 F)
---------------------- Page: 8 ----------------------
ISO/CEI 10736: 1995(F)
2 Références normatives
Les Recommandations et Normes internationales suivantes contiennent des dispositions qui, par suite de la r6fCrence qui
y est faite, constituent des dispositions valables pour la prtsente Recommandation I Norme internationale. Au moment
de la publication, les Cditions indiquCes Ctaient en vigueur. Toutes les Recommandations et Normes sont sujettes B
rCvision et les parties prenantes aux accords fondCs sur la prCsente Recommandation I Norme internationale sont invitées
B ttudier la possibilitk d'appliquer les éditions les plus rCcentes des Recommandations et des Normes indiquees ci-aprbs.
Les Membres de la CE1 et de I'ISO posskdent le registre des Normes internationales en vigueur. Lx Bureau de
normalisation des tClCcommunications de I'UIT tient B jour une liste des Recommandations de I'UIT-T actuellement en
vigueur.
2.1 Recommandations I Normes internationales identiques
-
Recommandation UIT-T X.214 (1993) I IS0 8072:1994, Technologie de l'information - Interconnexion
des systèmes ouverts -Définition du service de transport.
-
Recommandation UIT-T X.234 (1993) I IS0 8602:1995, Technologie de l'information - Protocole pour
assurer le service de transport en mode sans connexion.
2.2 Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
-
Recommandation X.200
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.