ISO/IEC 10745:1995
(Main)Information technology - Open Systems Interconnection - Upper layers security model
Information technology - Open Systems Interconnection - Upper layers security model
Defines a model for security in the upper layers of OSI that provides a basis for the development of application-independent services and protocols, in particular it specifies the security aspects of communication in the upper layers of OSI.
Technologies de l'information — Interconnexion de systèmes ouverts (OSI) — Modèle de sécurité pour les couches supérieures
General Information
- Status
- Published
- Publication Date
- 26-Jul-1995
- Technical Committee
- ISO/IEC JTC 1 - Information technology
- Drafting Committee
- ISO/IEC JTC 1 - Information technology
- Current Stage
- 9093 - International Standard confirmed
- Start Date
- 28-Jun-2001
- Completion Date
- 30-Oct-2025
Relations
- Consolidated By
ISO 9241-4:1998 - Ergonomic requirements for office work with visual display terminals (VDTs) - Part 4: Keyboard requirements - Effective Date
- 06-Jun-2022
Overview
ISO/IEC 10745:1995 - Information technology - Open Systems Interconnection - Upper layers security model - defines an architectural security model for the OSI upper layers (Application, Presentation, Session). It provides a basis for development of application‑independent services and protocols that implement security for upper‑layer communication, without prescribing specific algorithms or protocol encodings. The text is identical to ITU‑T Recommendation X.803.
Key topics and requirements
- Scope and intent
- Specifies security aspects of communication in the upper OSI layers and how those layers support OSI security services.
- Targets application‑independent solutions to minimize application‑specific security code.
- Core concepts
- Security policy, secure interaction rules, and security domains - rules that govern when and how different domains interoperate securely.
- Security associations and security state - relationships and state information maintained between peers (including application‑association and relay security associations).
- Security exchange and security exchange items - how security information is transferred between AE‑invocations.
- Architecture elements
- Positioning of security services and mechanisms within Application, Presentation, and Session layers.
- Definition of security exchange functions and security transformations (composition of system security functions used to protect data).
- Notions such as protecting presentation context and protecting transfer syntax.
- Services and mechanisms (logical areas - standard does not mandate techniques)
- Authentication, access control, non‑repudiation, integrity, confidentiality.
- Interaction patterns between Application ↔ Presentation ↔ Session layers and use of lower‑layer services.
- Management
- Requirement for management of security information (security management information) in upper layers.
- Limitations
- Not an implementation or conformance specification; it does not define OSI protocols or crypto techniques.
Practical applications and users
Who benefits from ISO/IEC 10745:
- Security architects and systems designers creating secure OSI‑based application protocols.
- Standards developers and protocol designers mapping security services into upper‑layer protocols.
- Product vendors building middleware, secure presentation/serialization, or application service elements (ASEs).
- Security auditors and compliance teams assessing architectural placement of security controls. Practical uses include designing secure application associations, defining presentation contexts with protecting transfer syntaxes, and specifying how authentication/access control/integrity/confidentiality are provided without embedding application‑specific mechanisms.
Related standards
- ISO 7498‑2 / ITU‑T X.800 (OSI Security Architecture)
- ITU‑T X.803 (identical text)
- ISO/IEC 9545 / ITU‑T X.207 (Application layer structure)
- ISO/IEC 10181‑2 / X.811 (Authentication framework)
- ISO/IEC 10181‑3 / X.812 (Access control framework)
Keywords: ISO/IEC 10745, upper layers security, OSI security model, security associations, application layer security, presentation layer protection, session layer security.
ISO/IEC 10745:1995 - Information technology -- Open Systems Interconnection -- Upper layers security model
ISO/IEC 10745:1995 - Technologies de l'information -- Interconnexion de systemes ouverts (OSI) -- Modele de sécurité pour les couches supérieures
ISO/IEC 10745:1995 - Technologies de l'information -- Interconnexion de systemes ouverts (OSI) -- Modele de sécurité pour les couches supérieures
Frequently Asked Questions
ISO/IEC 10745:1995 is a standard published by the International Organization for Standardization (ISO). Its full title is "Information technology - Open Systems Interconnection - Upper layers security model". This standard covers: Defines a model for security in the upper layers of OSI that provides a basis for the development of application-independent services and protocols, in particular it specifies the security aspects of communication in the upper layers of OSI.
Defines a model for security in the upper layers of OSI that provides a basis for the development of application-independent services and protocols, in particular it specifies the security aspects of communication in the upper layers of OSI.
ISO/IEC 10745:1995 is classified under the following ICS (International Classification for Standards) categories: 35.100.01 - Open systems interconnection in general. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO/IEC 10745:1995 has the following relationships with other standards: It is inter standard links to ISO 9241-4:1998. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO/IEC 10745:1995 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 10745
First edition
1995-08-15
Information technology - Open Systems
- Upper layers security
Interconnection
model
Technologies de I’informa tion - Interconnexion de systemes ouverts -
Modele de s6curit6 pour les couches hautes
Reference number
ISO/1 EC 10745: 1995(E)
ISO/IEC 10745: 1995(E)
CONTENTS
Page
Scope .
Normative references .
2.1 Identical Recommendations I International Standards .
Paired Recommendations I International Standards equivalent in technical content . 2
2.2
Defmitions .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
4 Abbreviations
5 Concepts .
5.1 Security policy .
5.2 Security associations .
5.3 Security state .
Application Layer requirements .
5.4
Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
...................................................................................................................................... 7
6.1 Overall model
........................................................................................................................... 8
6.2 Security associations
............................................................................................................... 10
6.3 Security exchange functions
6.4 Security transformations .
7 Services and mechanisms .
7.1 Authentication .
Access control .
7.2
..................................................................................................................................
7.3 Non-repudiation
...............................................................................................................................................
7.4 Integrity
7.5 Confidentiality .
8 Layer interactions .
................................................................ 17
8.1 Interactions between Application and Presentation Layers
8.2 Interactions between Presentation and Session Layers .
Use of lower layer Services .
8.3
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.
Annex A - Relationship to OS1 management
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.
Annex B - Bibliography
o ISO/IEC 1995
All rights reserved. Unless otherwise specified, no part of this publication may be
reproduced or utilized in any form or by any means, electronie or mechanical, including
photocopying and microfilm, without Permission in writing from the publisher.
ISO/IEC Copyright Office l Case postale 56 l CH- 1211 Geneve 20 l Switzerland
Printed in S wi tzerland
ii
0 ISO/IEC
Foreword
ISO (the International Organization for Standardization) and IEC (the
International Electrotechnical Commission) form the specialized System for
worldwide standardization. National bodies that are members of ISO or IEC
participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields
of technical activity. ISO and IEC technical committees collaborate in fields of
mutual interest. Other international organizations, governmental and non-
governmental, in liaison with ISO and IEC, also take part in the work.
In the field of information technology, ISO and IEC have established a joint
technical committee, ISO/IEC JTC 1. Draft International Standards adopted by the
joint technical committee are circulated to national bodies for voting. Publication
as an International Standard requires approval by at least 75 % of the national
bodies casting a vote.
International Standard ISO/IEC 10745 was prepared by Joint Technical
Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 21, Open
Systems interconnection, data management and open distributed processing, in
collaboration with ITU-T. The identical text is published as ITU-T
Recommendation X. 803.
Annexes A and B of this International Standard are for information only .
. .e
o ISO/IEC
Introduction
The OS1 Security Architecture (CCITT Rec. X.800 I ISO 7498-2) defines the security-related architectural elements
which are appropriate for application when security protection is required in an open Systems environment.
This Recommendation I International Standard describes the selection, placement, and use of security Services and
Reference Model.
mechanisms in the upper layers (Application, Presentation, and Session Layers) of the OS1
iv
ISO/IEC 10745 : 1995 (E)
INTERNATIONAL STANDARD
ITU-T RECOMMENDATION
INFORMATION TECHNOLOGY - OPEN SYSTEMS INTERCONNECTION -
UPPER LAYERS SECURITY MODEL
Scope
1.1 This Recommendation I International Standard defines an architectural model that provides a basis for:
the development of application-independent Services and protocols for security in the upper layers of OSI;
a>
and
b) the utilization of these Services and protocols to fulfil the security requirements of a wide variety of
applications, so that the need for application-specific ASEs to contain internal security Services is
minimized.
12 . In particular, this Recommendation I International Standard specifies:
a) the security aspects of communication in the upper layers of OSI;
b) the support in the upper layers of the security Services defined in the OS1 Security Architecture and the
Security Frameworks for Open Systems;
the positioning of, and relationships among, security Services and mechanisms in the upper layers,
C>
according to the guidelines of CCITT Rec. X.800 I ISO 7498-2 and ITU-T Rec. X.207 I ISO/IEC 9545.
d) the interactions among the upper layers, and interactions between the upper layers and the lower layers, in
providing and using security Services;
the requirement for management of security information in the upper layers.
e)
1.3 With respect to access control, the scope of this Recommendation I International Standard includes Services
and mechanisms for controlling access to OS1 resources and resources accessible via OSI.
1.4 This Recommendation I International Standard does not include:
a) definition of OS1 Services or specification of OS1 protocols;
b) specification of security techniques and mechanisms, their Operation, and their protocol requirements; or
aspects of providing security which are not concerned with OS1 communications.
C>
This Recommendation I International Standard is neither an implementation specification for Systems nor a
1.5
basis for appraising the conformance of implernentations.
NOTE - The scope of this Recommendation I International Standard includes security for connectionless applications and
for distributed applications (such as store-and-forward applications, chained applications, and applications acting on behalf of other
applications).
2 Normative references
The following Recommendations and International Standards contain provisions which, through reference in this text,
constitute provisions of this Recommendation I International Standard. At the time of publication, the editions indicated
were valid. All Recommendations and Standards are subject to revision, and entities to agreements based on this
Recommendation I International Standard are encouraged to investigate the possibility of applying the most recent
editions of the Recommendations and Standards listed below. Members of IEC and ISO maintain registers of currently
valid International Standards. The Telecommunication Standardization Bureau of the ITU maintains a list of currently
valid ITU-T Recommendations.
ITU-T Rec. X.803 (1994 E)
ISO/IEC 10745 : 1995 (E)
21 . Identical Recommendations I International Standards
-
ITU-T Recommendation X.207 (1993) I ISO/IEC 9545: 1994, Information technology - Open Systems
Interconnection - Application layer structure.
-
ITU-T Recommendation X.811*) (1993) I ISO/IEC 10181-2 . .‘). Information technology - Security
frameworks in Open Systems: Authentication framework.
-
ITU-T Recommendation X.8121) (1993) I ISO/IEC . . . . * ), Information technology - Security
10181-3
frameworks in Open Systems: Access control framework.
22 . Paired Recommendations I International Standards equivalent in technical content
-
CCITT Recommendation X.200 (1988), Basic reference model of open Systems interconnection for
CCITT applications.
ISO 7498: 1984lCorr. 1: 1988, Information processing Systems - Open Systems Interconnection - Basic
Reference Model.
-
CCITT Recommendation X.216 (1988), Presentation Service definition for open Systems interconnection
for CCITT applications.
ISO 8822: 1988, Information processing Systems - Open Systems Interconnection - Connection oriented
presentation Service definition.
-
CCITT Recommendation X.217 (1988), Association control Service definition for open Systems
interconnection for CCITT applications.
ISO 8649: 1988, Information processing Systems - Open Systems Interconnection - Service definition for
the Association Control Service Element.
-
CCITT Recommendation X.700 (1992), Management framework definition for Open Systems
Interconnection for CCITT applications.
ISO/IEC 7498-4: 1989, Information processing Systems - Open Systems Interconnection - Basic
Reference Model - Part 4: Management framework.
-
CCITT Recommendation X.800 (199 l), Security architecture for Open Systems Interconnection for
CCITT applications.
ISO 7498-2: 1989, Information processing Systems - Open Systems Interconnection - Basic Reference
Model - Part 2: Security architecture.
3 Definitions
3.1 The following terms are used as defined in CCITT Rec. X.200 I ISO 7498:
abstract Syntax;
a>
application-entity ;
b)
application-process;
C>
application-process-invocation;
d)
application-protocol-control-information;
e>
application-protocol-data-unit;
g) local System environment;
h) (N)-function;
i) (N)-relay;
.
open System;
J)
presentation context;
k)
presentation-entity ;
1)
0 Presently at Stage of draft.
2 ITU-T Rec. X.803 (1994 E)
ISOAEC 10745 : 1995 (E)
real open System;
m>
Systems-management;
n)
transfer Syntax.
0)
32 . The following terms are used as defined in CCITT Rec. X.800 I ISO 7498-2:
access control;
a)
authentication;
W
confidentiality ;
C>
data integrity;
d)
data origin authentication;
e)
decipherment;
f)
encipherment;
s)
l-0 key;
non-repudiation;
.
notarization;
J>
peer-entity authentication;
k)
security audit;
1)
Security Management Information Base;
m)
security policy;
n>
selective field protection;
0)
signature;
P)
traffit flow confidentiality;
s)
trusted functionality.
r>
3.3 The following terms are used as defined in CCITT Rec. X.700 I ISO/IEC 7498-4:
Management Information;
a>
OS1 Management.
b)
The following terms are used as defined in Rec. ITU-T Rec. X.207 I ISOLIEC 9545:
3.4
application-association;
a>
application-context;
b)
application-entity-invocation (AEI);
C>
application-service-element (ASE);
d)
ASE-type;
e>
application-service-object (ASO);
ASO-association;
s)
ASO-context;
l-0
ASO-invocation;
.
ASO-type;
J)
control function (CF).
k)
35 . The following term is used as defined in CCITT Rec. X.216 I ISO 8822:
-
presentation data value.
3.6 The following terms are used as defmed in ITU-T Rec. X.811 I ISO/IEC 10181-2:
authentication exchange;
a>
Claim authentication information;
b)
r\
claimant:
ITU-T Rec. X.803 (1994 E)
ISOLIEC 10745 : 1995 (E)
exchange authentication information;
entity authentication;
e>
f) principal;
verification authentication information;
g)
verifier .
fl
The following terms are used as defined in ITU-T Rec. X.812 I ISO/IEC 10181-3:
3.7
access control certificate;
access control information.
3.8 For the purposes of this Recommendation I International Standard, the following definitions apply:
association security state: Security state relating to a security association.
protecting presentation context: A presentation context that associates a protecting transfer Syntax with an abstract
Syntax.
protecting transfer Syntax: A transfer Syntax based on encoding/decoding processes that employ a security
transformation.
A cryptographic check value that supports integrity but does not protect against forgery by the recipient (i.e. it
Seal:
does not support non-repudiation).
association: A relation ship between two or more entities for whi ch there exist attributes (state information and
security
rules) to govern the Provision of security Services i nvolving those entities.
function: A function supporting the transfer of security-related information between open
security communication
Systems.
security domain: A set of elements, a security policy, a security authority and a set of security relevant activities in
which the set of elements are subject to the security policy, administered by the security authority, for the specified
activities.
of transfers of application-protocol- control-information between open
security exchange: A transfer or sequence
Operation of one or more security mechanisms.
Systems as part of th .e
security exchange item: A logically-distinct piece of information corresponding to a Single transfer (in a sequence of
transfers) in a security exchange.
located in the Application Layer, that provides the
security exchange function: A security communication function,
urity information between AE-invocati ons.
means for communi .cating sec
of the rules necessary Order for interactions to take place between
secure interaction rules: Common aspects
securi ty domains.
that is held in an open System and that is required for the Provision of securi ty
security State information
Services.
System security function: A capability of an open System to perform security-related processing.
System security Object: An Object that represents a set of related System security functions.
security transformation: A set of functions (System security functions and security communication functions) which,
in combination, operate upon user data items to protect those data items in a particular way during communication or
storage.
NOTE - Specifications of System security functions and System security Object are not part of OS1 layer Service definitions
or protocol specifications.
4 Abbreviations
For the purposes of this Recommendation I International Standard, the following abbreviations apply:
ACSE Association control Service element
AE Application-entity
AE1 Application-entity-invocation
4 ITU-T Rec. X.803 (1994 E)
ISO/IEC 10745 : 1995 (E)
ASE Application-service-element
ASN. 1 Abstract Syntax Notation One
Application-service-object
AS0
Control function
CF
FTAM File transfer, access and management
OS1 Open Systems Interconnection
PE Presentation-entity
Presentation-entity-invocation
PE1
PDV Presentation data value
SEI Security exchange item
SS0 System security Object
5 Concepts
This Security Model addresses the Provision of security Services to counter threats relating to the upper layers of OS1
such as those described in Annex A of CCITT Rec. X.800 I ISO 7498-2. It includes protection of information passing
through application-relay Systems.
. Security policy
If two or more real open Systems are to communicate securely, they must be subject to the security policies in effect in
their respective security domains, as weh as a secure interaction policy if communication is to take place between
different security domains. A secure interaction policy embodies the common aspects of security policies in different
security domains and determines the conditions under which communications between them tan take place.
The provisions of a secure interaction policy tan be described by a set of secure interaction rules. These rules govern,
amongst other things, the selection of ASO-contexts (including application-contexts) to be used for particular instances
of communication.
52 . Security associations
A security association is a relationship between two or more entities for which there exist attributes (state information
and rules) to govern the Provision of security Services involving those entities. A security association implies the
existente of secure interaction rules, and the maintenance of consistent security state in both Systems.
From the OS1 upper layers perspective, a security association maps to an ASO-association. Two special cases are:
-
application-association security association - A security association between two Systems to support
protected commmunication via an application-association;
-
relay security association - A security association between two Systems to support protected
commmunication via an application-relay (e.g. in store-and-forward or chaining applications);
Other examples of different types of security associations are:
-
a security association between two Systems which communicate directly with each other via multiple
application-associations and/or the the communication of multiple connectionless data units;
-
between an entity writing protected information to a data store (e.g. a file store or
a security association
and entities reading that information;
directory)
-
a security association between two peer lower layer security protocol entities.
Within an application-process, one security association may be dependent upon the maintenance of another security
association with another System, such as an authentication server or other type of trusted third Party.
53 . Security state
Security state is state information that is held in a real open System and that is required for the Provision of security
Services. Existente of a security association between application-processes implies the existente of shared security state.
ITU-T Rec. X.803 (1994 E) 5
ISO/IEC 10745 : 1995 (E)
Certain security state information may be required to be available to one or more application-processes Prior to
attempting to establish communications, maintained while these communications are active, and/or retained after the end
of communications. The exact nature of this state information depends upon the particular security mechanisms and
applications.
Two categories of security state are:
System security state - Security-related state information that is established and maintained in a real open
a>
System, regardless of the existente or state of any communication activities;
b) Association security state - Security state relating to a security association. In the OS1 upper layers, the
shared security state governs the (security properties of) ASO-contexts used between ASO-invocations
and/or the initial security state of newly established application-associations. Two special cases are:
-
when the security association maps to a Single application-association - The security state is denoted
application-association security state. It pertains to the control of communications security for that
application-association.
-
when the security association maps to an ASO-association which involves information transfer
between two end-user Systems via an application-relay System - The shared security state pertains to
the use of security mechanisms between the end-user Systems, independently of security mechanisms
relating to individual application-associations established with the application-relay System.
Examples of security state include:
state information associated with cryptographic chaining or integrity recovery;
a>
the set of security labels for information permitted to be exchanged;
b)
c) key(s) or key identifier(s) to be employed in the Provision of security Services in the upper layers. This
might include keys for known trusted certification authorities (see CCITT Rec. X.509 I ISO/IEC 9594-8
Directory Authentication Framework), or keys enabling communications with a key distribution centre;
previously authenticated identities;
d)
sequence numbers and cryptographic synchronization variables.
d)
Security state may be initialized in various ways, such as:
function, in which case the state information resides in the Security
using a security management
a>
Management Information Base;
as residual information from previous communication activities;
b)
means outside of OSI.
C>
Application Layer requirements
54 .
appropriate security
In Order for application-processes to engage in secure communications, they must have the
visions in the ASO-context (or application-context) in use.
Pro
An ASO-context definition may include:
the ASO-types and/or ASE-types required to support the security protocols;
a>
Appli cation and Presentation
rules for the negotiation and selection of security functions related to the
b)
Layers;
rules for the selection of underlying security Services;
C>
rules for applying particular security Services to particular categories of information to be exchanged;
d)
rules for re-authenticating relevant identities during the lifetime of an association;
e>
rules for changing keys throughout the lifetime of an ASO-association (if cryptographic-based
mechanisms are used);
g) rules to be followed in the event of communications failures or detected security violations.
NOTE - An ASO-context may be defined by reference to an ASO-type definition.
An application-context is the particular case of an ASO-context that describes the permissible collective communications
behaviour of two ASO-invocations that are Party to an application-association. The security aspects described in 5.4.1
apply to application-contexts.
6 ITU-T Rec. X.803 (1994 E)
ISO/IEC 10745 : 1995 (E)
6 Architecture
61 . Overall model
The provi sion of OS1 security Services inv01 ves the generation, exchange, of security information
and processing
according to the proced ures of specific security mechani sms. Two distinct types of function are nvolved:
a) System security function - A capability of a System to perform security-related processing, such as
encipherment/decipherment, digital signature, or the generation or processing of a security token or
certificate conveyed in an authentication exchange. The realization of such functions is not part of the
realization of OS1 layer Services or protocols.
b) Security communication function
- A function supporting the transfer of security-related information
between open Systems. Such functions are realized in OS1 application-entities or presentation-entities.
Examples of security communication functions are:
-
security exchange functions, as described in 6.3;
-
the encoding/decoding of Presentation Layer protocol elements designed to convey enciphered or
digitally signed information;
-
protocols for communicating with a security server, e.g. an authentication server or key distribution
centre.
The distinction between System security functions and security communication functions is significant in two respects.
Firstly, it delineates two different types of Standard. System security functions are specified in security mechanism or
security technique Standards. These Standards are usually designed to be general-purpose in nature and are not
necessarily linked to any particular communication protocol or layer. System security function Standards are possibly
useful for purposes other than communications security. Security communication functions, on the other hand, are part
of particular communications protocol specifications (e.g. OS1 upper layers) and are not necessarily linked to particular
security mechanisms or techniques.
The other significance of the distinction is that it models the Separation between security functionality and
communications functionality in an implementation. A collection of System security functions will typically be
implemented as a secure module, e.g. as a trusted Software Subsystem or a tarnper-proof hardware module, potentially
applicable in a variety of communications or other environments. Hence, the boundary between System security
functions and security communications functions may provide a valuable starting Point for the definition of standardized
implementation interfaces, e.g. a security application program interface (API).
(SSO) is introduced. An SS0 is an Object that
For architectural purposes, the concept of a System Object
represents a set of related sy stem security functions.
SSOs tan interact with security communication functions, through an abstract Service boundary (interface), to provide
the required security Service(s). SSOs generate and process security information exchanged using OS1 protocols in the
Application and Presentation Layers. The logical structure of exchanged security information tan be standardized in OS1
so it tan be represented in OS1 protocol exchanges.
an SSO-invocation may interact with an
An SSO-invocation is an i nstance of execution of an SSO. In a dynamic model,
OS1 entity invocation, e.g. an AE- invocation.
The Operation of an SS0 may include:
-
accepting information from and providing information to OS1 security communication functions, which
may send and./or receive information on behalf of the SSO;
-
causing an application-association to be established with another open System, e.g. a third Party
authentication server, and using that application-association in the Provision of the SSO’s System security
functions;
-
establishing a security association to be used subsequently in the Provision of a security Service.
NOTE 1 - The specification of particular System security functions, SSOs or abstract Service boundaries is beyond the
scope of this Security Model.
NOTE 2 - Realizations of SSOs may be used for purposes other than OS1 security, however any such use is outside the
scope of this Security Model.
Figure 1 Shows a basic model for security functions associated with the Application and Presentation Layers. Objects in
the model include application-entities (AEs), presentation-entities (PEs), SSOs, and supporting OS1 Services (in OS1
layers 1 through 5). Supporting OS1 Services provide the basic communications infrastructure for exchanging security-
related (as well as non-security-related) information.
ITU-T Rec. X.803 (1994 E) 7
ISO/IEC 10745 : 1995 (E)
sso-OS sso-OSI
Interface I nterf acc
OS upper layer OSI upper layer
System System
Security Object entities entities Security Object
I
I
I )
4 I
I
TE04 130-94/dO 1
System Security
“* -
Security Communication
Functions Functions
Figure 1 - Security functions associated with the OS1 upper layers
OS1 layer entities in the upper layers contribute to the Provision of security Services as follows:
-
In the Application Layer, AEs model the communications aspects of application-processes and tan be
refined in terms of ASEs, ASOs, and control functions as described in CCITT Rec. 207 I ISO/IEC 9545.
An AE may contain ASEs and/or ASOs dedicated to the Provision of security communication functions.
ASEs and/or ASOs may also arrange for information to be protected by the use of security
transformations (see 6.4), anflor by requesting an appropriate quality-of-Service from underlying layers.
-
In the Presentation Layer, security communication functions are provided by the presentation-entity.
These functions may work in conjunction with System security functions (e.g. encipherment) used in
mapping an abstract Syntax to a transfer Syntax (see 6.4).
-
In the Session Layer, no security Services are provided. However, 6.2.1 notes some aspects of Session
Layer Operation that may have an impact on security provisions within the OS1 environment.
The above basic model facilitates the generic definition of abstract Service boundaries between OS1 components and
SSOs, and allows various trust schemes to be accommodated (e.g. as specified in ITU-T Rec. X.811 I ISO/IEC 1018 l-2
Authentication Framework).
NOTE 3 - Interactions between an AE and PE as shown in Figure 1 are discussed in 6.4 and 8.1.
62 . Security associations
In the upper layers, a security association maps to an ASO-association. This Security Model does not stipulate specific
means for establishing or terminating security associations. In general, such establishmentitermination may be achieved
in conjunction with standardized ASO-association establishment processes or may be achieved by other means. Special
architectural considerations apply to the two special types of security association identified in 5.2.
6.2.1 Application-association security association
An application-association security association maps to one application-association. Security Services may be realized
through the use of:
security communication functions in the Application Layer, and associated System security functions;
a>
b) security communication functions in the Presentation Layer, and associated System security functions;
security Services provided by the Lower Layers.
C>
NOTE 1 - As indicated in CCITT Rec. X.800 I ISO 7498-2, there are no security mechanisms in the Session Layer.
However, two aspects of Session Layer Operation need to be taken into account in the design of upper layers security protocols: the
potential effect of using Session Services that may result in non-delivery of data (see 8.2), and the serial reuse of transport connections
to support several Session connections (see 8.3).
ITU-T Rec. X.803 (1994 E)
ISO/IEC 10745 : 1995 (E)
In some cases a combination of security communication functions in the Application and Presentation Layers, and
associated System security functions, may be required to provide a security Service.
The security Services and security mechanisms to be used on an application-association are specified by the application-
context. These security Services may be provided by the use of functions associated with one or more ASEs and/or
ASOs, either separately or in combination.
The security requirements for an application-association need to be taken into account during association establishment
in either or both of the following ways:
through the use of security Services to protect application-association establishment;
a>
b) through the selection of an application-context which includes appropriate security Services.
Services provided by ACSE are used to establish an application-association and to select a suitable application-context.
The rules of the selected application-context may include security-related rules. Such rules may require that other ASEs,
which may (among other things) provide security Services, operate in conjunction with ACSE during association
establishment.
NOTE 2 - Security communication functions in the Presentation Layer, and associated System security functions, may be
used as part of the application-association establishment procedure.
The initial association security state is determined by the application-association establishment procedure. It may depend
upon the System security state and/or the association security state of any encompassing security association. The rules
of the application-context may permit, or require, further protocol exchanges between ASEs to Change this association
security state. Such changes may take place both as part of initialization procedures following application-association
establishment and/or as an integral part of the normal Operation of cooperating AE-invocations.
The modification of some kinds of security state information may be permitted during the lifetime of a security
association (e.g. integrity sequence numbers). The modification of other kinds of security state information may not be
allowed (e.g. security labels).
Services provided by ACSE are used to terminate an application-association. The rules of the application-context of the
application-association may require that other ASEs, which may (among other things) provide security Services, operate
in conjunction with ACSE during application-association termination.
6.2.2 Relay security associations
A relay security association may arise in a distributed application such as a store-and-forward application or a chaining
application. A relay security association potentially occurs in conjunction with application-association security
associations as illustrated in Figure 2.
System B
(Application-relay) System C
System A
,
r-l
AEI
AEI AEI
I I + I
FL
PL
TISCM 140-94/dO2
4-b Application-association security association
Relay security association
SS0 System security Object invocation
Figure 2 - Application relay scenario
ITU-T Rec. X.803 (1994 E) 9
ISO/IEC 10745 : 1995 (E)
Protected relayed information is information conveyed between the Parties to the relay security association (System A
and System C in Figure 2). The protection is provided using System security functions in SSOs zl and 22. The protected
relayed information is embedded in PDVs conveyed in an application-association between Systems A and B, and is also
embedded in PDVs conveyed in an application-association between Systems B and C. When protected relayed
information is conveyed in an application-association, it may be subjected to further security protection, e.g. that using
security functions in SSOs xl and x2 when conveyed between Systems A and B. This occurs when the PDV conveying
protected relayed information is embedded in another PDV which is protected in accordance with an application-
association security association.
The application-relay System may not possess the necessary arguments (e.g. cryptographic keys) to enable the
presentation-entity(s) in that open System to decode/encode the presentation data values conveying the protected relayed
information. In an open System of this type, encoded presentation data values may be retained for later transmission. The
later transmission is restricted to a presentation context with the same abstract and transfer Syntax as that in which the
presentation data value was received. Hence, information identifying the abstract Syntax and transfer Syntax must be
preserved together with the encoding within the relay System.
A Variation of the above may arise when the relay System possesses the information necessary to decode the relayed
information. For example, it may possess a public key which it uses to verify a signature on that information (e.g. in
support of data origin authentication). However, it may be necessary to relay the signed information on to another
System, in which case the encoding needs to be preserved as described above.
63 l Security exchange functions
A security exchange function is a type of security communication function, located in the Application Layer, that
provides the means for communicating security information between AE-invocations. A security exchange function
generates and processes application-protocol-control-information to support communication of this information.
These functions are provided by ASOs or ASEs.
An example of such a function is the communications support for an authentication exchange as described in ITU-T
Rec. X.811 I ISOIIEC 1018 l-2, where an item of exchange authentication information generated at a claimant AE-
invocation is conveyed to a verifier AE-invocation.
6.3.1 Security exchanges
A security exchange models the transfer of application-protocol- control-information between open Systems as part of the
Operation of a security mechanism.
A security exchange may involve either of:
the transfer of a Single piece of information between one open System and another; for example:
a>
-
an access control certificate;
-
a public-key certificate; or
-
a security token.
b) a sequence of transfers of information between open Systems, with the entire sequence forming part of the
Operation of one security mechanism; for example:
-
transfers of information associated with a 2-way or 3-way authentication exchange; or
-
2-way Session-key negotiation [e.g. Diffie-Hellman exponential key exchange2)].
Different types of security exchange are assigned unique identifiers to allow their use to be indicated in protocol.
6.3.2 Security exchange information
Security exchange information is the information communicated between open Systems in a security exchange.
The logically-distinct piece of security exchange information corresponding to a Single transfer (possibly in a sequence
of transfers) is called a security exchange item (SEI). For data definition purposes, one SEI may be decomposable into
smaller elements.
2, DIFFIE (W.), HELLMAN (M.): New Directions in Cryptography, ZEEE Transattions on Information Theory, Vol. IT-22, No. 6,
pp. 644-654, 1976.
ITU-T Rec. X.803 (1994 E)
ISOLIEC 10745 : 1995 (E)
While no particular abstract Syntax notation is stipulated for defining security exchange information, the construction of
a complete abstract Syntax containing security exchange information will be facihtated if the same notation is used for
that information as for the rest of the abstract Syntax. ITU-T Rec. X.830 I ISOLIEC 11586 1 provides notational tools for
use with ASN.l notation.
6.3.3 Provision of security exchange functions
To provide support for a security exchange in any given ASO-context, it is necessary to incorporate the function of the
security exchange into some ASE and/or AS0 in that ASO-context. This involves:
incorporating the SEI type definitions into an abstract Syntax;
b) incorporating any procedural or other rules regarding Operation of the security exchange into an ASE-type
or ASO-type definition, or elsewhere in the ASO-context definition;
if necessary, incorporating the definition of Coordination rules related to the security exchange into the
C)
specification of a CF.
be incorporated into any ASE and/or ASO, and SEI defi
In general, security exchanges may nitions should be expressed
so as to facilitate their incorporation into as many different ASEs and/or ASOs as possible.
ITU-T Rec. X.83 1 I ISO/IEC 11586-2 and ITU-T Rec. X.832 I ISOKIEC 11586-3 define an ASE designed specifically for
conveying security exchanges.
64 . Security transformations
A security transformation is a set of functions (System security functions and security commu .nication functions) that, in
combination, operate upon user data items to protect those d ata items in a particular way during communication or
storage.
Security transformations involve security-related processing of user information conveyed by OS1 upper layers
protocols. They may constitute the primary means of providing a confidentiality, integrity, or data origin authentication
Service and/or may contribute to the Provision of other security Services including entity authentication, access control,
and non-repudiation.
Security transformations employ System security functions of various types, such as:
enciphermentidecipherment functions (e.g. for confidentiality Services);
a>
sealing or signing functions (e.g. for integrity or data origin authentication Services).
W
A security transformation may employ a Single System security function or multiple System security functions of
different types in combination. When System security functions are applied in combination, there is no architectural
restriction as to which type needs to be applied first.
Security transformations also employ security communication functions located within the upper layers.
NOTE 1 - The examples a) and b) above do not provide an exhaustive list of System security function types.
NOTE 2 - It is desirable to limit the number of System security function types defined, and apply them to a wide range of
securi ty needs.
NOTE 3 - Security communication functions forming part of security transformations deal with representations of
information, so are logically associated with the Presentation Layer. However, these functions are applied at a variety sf different
granularities. They are sometimes applied to complete presentation data values as recognized by the presentation protocol. They are
sometimes applied to selected fragments of Application Layer information. In the latter case, from an implementor’s perspective, it
may be more convenient to view these security communication functions as if they are within the Application Latyer.
Different types of security transformation are assigned unique identifiers to allow their use to be indicated in protocol.
A specification indicating use of security transformations may need to include:
on or the means by which the particular security
an indication of the particular securi ty tran sformati
a>
transformation w i 11 be determined;
specification of the information item(s) to which the security transformation is to apply;
W
if an information item to be protected is specified at an abstract Syntax level, it may be necessary to also
c>
transformation;
identify encoding/decoding rules to be applied prior/subsequent to applying a security
d) identification of algorithm(s) to be employed, and the sources of any required Parameters, e.g. keys.
NOTE 4 - Encodingldecoding rules used in generating/checking integrity check-values or digital signatures
must have the property that there is a one-to-one mapping between abstract information value and encoded value. The
ASN. 1 Disting
...
NORME
ISOICEI - -
INTERNATIONALE 10745
Première édition
1995-08-I 5
Technologies de l’information -
Interconnexion de systèmes ouverts
(OSI) - Modèle de sécurité pour les
couches supérieures
Information technolog y -
Open Systems Interconnection - Upper layers
security mode1
Numéro de référence
ISO/CEI 10745:1995(F)
ISO/CEI10745:1995(F)
Sommaire
Page
.................................................................................................................................... 1
Domaine d’application
Références normatives . 1
...................................................................... 2
2.1 Recommandations I Normes internationales identiques
Normes internationales équivalentes par leur contenu technique . . . . . . . 2
2.2 Paires de Recommandations
Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.............................................................................................................. 5
Abréviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
51 . Politique de scCurité
5.2 Associations de sécurite . 5
53 Etat de sécurité .
5:4 Exigences relatives a la couche application . 7
Architecture .
61 Modèle général . 7
612 Associations de sécurité . 9
.................................................................................................. 11
63 Fonctions d’échange pour la sécurite
......................................................................................................... 12
614 Transformations pour la sécurité
Services et mécanismes .
.................................................................................................................................. 14
71 Authentification
7:2 Contrôle d’accès .
.................................................................................................................................. 16
7.3 Non-répudiation
7.4 Intégrité . 17
7.5 Confidentialite .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Interactions entre couches
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
81 Interactions entre la couche application et la couche présentation
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
812 Interactions entre la couche présentation et la couche session
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
83 . Utilisation des services des couches inférieures
Annexe A - Relation avec la gestion OS1 .
.................................................................................. 20
A. 1 Gestion des services et mécanismes de sécurité
A.2 Objets, attributs et rapports d’événement pour la sécurité .
...................................................................................... 20
A.3 Fonctions spécifiques de gestion de sécurité
..............................................................................................
A.4 Autres aspects de la gestion de sécurite
Annexe B - Bibliographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
0 ISOKEI 1995
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publi-
cation ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun pro-
cédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord
écrit de l’éditeur.
ISOKEI Copyright Office l Case postale 56 l CH- 1211 Genève 20 l Suisse
Version française tirée en 1996
Imprimé en Suisse
@ ISOKEI ISOKEI 10745: 1995(F)
Avant-propos
LIS0 (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un système consacré à la
normalisation internationale considérée comme un tout. Les organismes nationaux
membres de I’ISO ou de la CE1 participent au développement de Normes
internationales par l’intermédiaire des comités techniques créés par l’organisation
concernée afin de s’occuper des différents domaines particuliers de l’activité
technique. Les comités techniques de I’ISO et de la CE1 collaborent dans des
d’intérêt commun.
domaines D’autres organisations internationales,
gouvernementales ou non gouvernementales, en liaison avec I’ISO et la CE1
participent également aux travaux.
Dans le domaine des technologies de l’information, 1’ISO et la CE1 ont créé un
comité technique mixte, l’ISO/CEI JTC 1. Les projets de Normes internationales
adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
approbation, avant leur acceptation comme Normes internationales. Les Normes
internationales sont approuvées conformément aux procédures qui requièrent
l’approbation de 75 % au moins des organismes nationaux votants.
La Norme internationale ISOKEI 10745 a été élaborée par le comité technique
mixte ISO/CEI JTC 1, Technologies de 1 ‘information, sous-comité SC 21,
Interconnexion des systèmes ouverts, gestion des données et traitement distribué
ouvert, en collaboration avec I’UIT-T. Le texte identique est publié en tant que
Recommandation UIT-T X.803.
Les annexes A et B de la présente Norme internationale sont données uniquement
à titre d’information
. . .
111 ’
ISOKEI 10745: 1995(F)
@ ISOKEI
Introduction
L’architecture de sécurite OS1 (Rec. X.800 du CCITT I ISO 7498-2) définit les éléments d’architecture relatifs à la
securite convenant à une application lorsqu’il faut assurer une protection de sécurité dans un environnement de systemes
ouverts.
La présente Recommandation I Norme internationale décrit la sélection, l’insertion et l’utilisati on des services et
mécanismes de sécurité dans les couches supérieures (application, présentation et session) du Modèle de référence OSI.
1v
ISOKEI 10745 : 1995 (F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
TECHNOLOGIES DE L’INFORMATION - INTERCONNEXION DE SYSTÈMES
OUVERTS (OSI) - MODÈLE DE SÉCURITÉ POUR LES COUCHES SUPÉRIEURES
1 Domaine d’application
11 . La présente Recommandation I Norme internationale definit un modèle d’architecture sur lequel est fondé:
a) le développement de services et de protocoles indépendants des applications, pour la sécurité dans les
couches supérieures OSI; et
b) l’utilisation de ces services et protocoles de manière à satisfaire aux conditions de s6curité d’une large
gamme d’applications afin que les élements ASE spécifiques à l’application contiennent le minimum de
services de sécurité.
12 . La présente Recommandation I Norme internationale spécifie en particulier:
les aspects de sécurité de la communication dans les couches supérieures OSI;
a>
la prise en charge, dan s les couches supérieures, des services de sécurité définis dans l’architecture de
W
sécurité OS1 et dans les Cadres de sec urité pour les systèmes ouverts;
c) l’insertion des services et mécanismes de sécurité et leurs relations dans les couches supérieures,
conformément à la Rec. X.800 du CCITT I ISO 7498-2 et à la Rec. UIT-T X.207 I ISOKEI 9545;
d) les interactions entre couches supérieures ainsi que les interactions entre couches supérieures et couches
inférieures lors de la fourniture et de l’utilisation des services de securité;
les conditions de gestion des informations de sécurite dans les couches supérieures.
e)
13 . En ce qui concerne le contrôle d’accès, le domaine d’application de la présente Recommandation I Norme
internationale comprend les services et mécanismes permettant de contrôler l’accés aux ressources OS1 et aux ressources
accessibles par l’intermediaire de I’OSI.
14 . La présente Recommandation I Norme internationale ne couvre pas:
a) la définition de services OS1 ni la spécification de protocoles OSI;
la spécification de techniques et de mécanismes de sécurité, leur fonctionnement ou leur utilisation dans
b)
des protocoles;
les aspects de la sécurité non relatifs aux communications OSI.
C)
15 La présente Recommandation I Norme internationale ne constitue ni une spécification de mise en œuvre de
systèmes, ni une base d’évaluation de la conformité.
NOTE - Le domaine d’application de la présente Recommandation I Norme internationale s’étend a la s&urit6 des
applications en mode sans connexion et à celle des applications réparties (applications en mode asynchrone, applications chaînées et
applications agissant pour d’autres applications).
Références normatives
Les Recommandations et les Normes internationales suivantes contiennent des dispositions qui, par suite de la référence
qui y est faite, constituent des dispositions valables pour la présente Recommandation I Norme internationale. Au
moment de la publication, les éditions indiquées étaient en vigueur. Toute Recommandation ou Norme internationale est
sujette à révision et les parties prenantes aux accords fondés sur la présente Recommandation I Norme internationale sont
Rec. UIT-T X.803 (1994 F) 1
ISO/CEIlO745:1995(F)
invitées à rechercher la possibilité d’appliquer les éditions les plus récentes des Recommandations et Normes
internationales indiquées ci-après. Les membres de la CE1 et de I’ISO possèdent le registre des Normes internationales en l
vigueur. Le Bureau de la normalisation des télécommunications de I’UIT-T tient à jour une liste des Recommandations
UIT-T en vigueur.
21 . Recommandations I Normes internationales identiques
-
Recommandation UIT-T X.207 (1993) 1 ISOKEI 95451994, Technologies de I?nformation -
Interconnexion de systèmes ouverts - Structure de la couche application.
-
Recommandation UIT-T X.81 11) (1993) 1 ISOKEI 10181-2.1), Technologies de Z’information - Inter-
connexion de systèmes ouverts - Cadres de sécurité pour systèmes ouverts - Cadre d’authentification.
-
Recommandation UIT-T X.8121) (1993) 1 ISOKEI 10181-3.1), Technologies de Z’information - Inter-
connexion de systèmes ouverts - Cadres de sécurité pour systèmes ouverts - Cadre de contrôle d’accès.
22 Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
.
-
Recommandation X.200 du CCITT (1988), Modèle de référence pour l’interconnexion des systèmes
ouverts pour les applications du CCITT’.
ISO 7498: 1984Kor. 1: 1988, Systèmes de traitement de l’information - Interconnexion de systèmes
ouverts L Modèle de référence de base.
-
Recommandation X.216 du CCITT (1988), Définition du service de présentation de I’OSI (Interconnexion
des systèmes ouverts) pour les applications du CCITT.
ISO 8822:1988, Systèmes de traitement de l’information - Interconnexion de systèmes ouverts - Définition
du service de présentation en mode connexion.
-
Recommandation X.217 du CCITT (1988), Définition du service de contrôle d’association pour
l’interconnexion des systèmes ouverts pour les applications du CCITT.
ISO 8649: 1988, Systèmes de traitement de l’information - Interconnexion de systèmes ouverts - Définition
du service pour l’élément de service de contrôle d’association.
-
Recommandation X.700 du CCITT (1992), Cadre de gestion pour Z’interconnexion des systèmes ouverts
pour les applications du CCITT.
ISOICEI 7498-4:1989, Systèmes de traitement de l’information - Interconnexion de systèmes ouverts -
Modèle de référence de base. Partie 4: Cadre général de gestion.
-
Recommandation X.800 du CCITT (1991), Architecture de sécurité pour Z’interconnexion en systèmes
ouverts d’applications du CCITT.
ISO 7498-2: 1989, Systèmes de traitement de l’information - Interconnexion de systèmes ouverts - Modèle
de référence de base - Partie 2: Architecture de sécurité.
3 Définitions
Les termes suivants, définis dans la Rec. X.200 du CCITT I ISO 7498, sont utilisés:
31 .
syntaxe abstraite;
a)
b) entité d’application;
c) processus d’application;
d) invocation de processus d’application;
informations de contrôle de protocole d’application;
e)
unite de données de protocole d’application;
g) environnement de système local;
h) fonction (N);
*) Actuellement à l’état de projet.
2 Rec. UIT-T X.803 (1994 F)
ISOKEI 10745 : 1995 (F)
relais (IV);
j) système ouvert;
k) contexte de présentation;
1) entité de présentation;
m) système ouvert réel;
n) gestion-système;
syntaxe de transfert.
0)
32 . Les termes suivants définis dans la Rec. X.800 du CCITT I ISO 7498-2 sont utilisés:
contrôle d’accès;
a)
b) authentification;
confidentialité;
Cl
d) integrite des données;
authentification de l’origine des données;
e)
déchiffrement;
f)
chiffrement;
Ii9
clé;
h)
non-répudiation;
.
notarisation;
J)
authentification de l’entité homologue;
k)
vérification de sécurité;
1)
base d’informations sur la gestion de la sécurité;
m)
poli tique de sécurité;
n)
protection sélective des champs;
0)
signature;
P)
confidentialité des flux de trafic;
9)
fonctionnalité de confiance.
33 . Les termes suivants définis dans la Rec. X.700 du CCITT I ISOKEI 7498-4 sont utilisés:
informations de gestion;
a>
b) gestion OSI.
34 . Les termes suivants définis dans la Rec. UIT-T X.207 I ISOKEI 9545 sont utilisés:
association d’applications;
a>
b) contexte d’application;
c) invocation d’entité d’application (AEI);
d) élément de service d’application (ASE);
e) type d’elément ASE;
f) objet de service d’application (ASO);
g) association d’objets ASO;
h) contexte d’objet ASO;
invocation d’objet ASO;
.
type d’objet ASO;
J)
\
k) fonction de contrôle (CF).
35 . Le terme suivant défini dans la Rec. X.216 du CCITT I ISO 8822 est utilise:
-
valeur de données de présentation.
Rec. UIT-T X.803 (1994 F)
ISO/CEI 10745 : 1995 (F)
36 . Les termes suivants définis dans la Rec. UIT-T X.81 1 I ISOKEI 10181-2 sont utilisés:
a) échange pour authentification;
informations d’authentification pour déclaration;
b)
déclarant;
informations d’authentification pour echange;
authentification d’entité;
e)
entité principale,
f)
information d’authentification pour vérification;
h) verificateur.
37 . Les termes suivants définis dans la Rec. UIT-T X.8 12 I ISOKEI 10181-3 sont utilisés:
certificat de contrôle d’accès;
a)
informations de contrôle d’accès.
b)
38 . Pour les besoins de la présente Recommandation I Norme internationale, les définitions suivantes s’appliquent:
état de sécurité par association: Etat de sécurité lié à une association de sécurité.
contexte de protection de la présentation: Contexte de présentation associant une syntaxe de protection du transfert à
une syntaxe abstraite.
syntaxe de protection du transfert: Syntaxe de transfert fondée sur des processus de codage/décodage qui font appel à
une transformation pour la sécurité.
sceau: Valeur de contrôle cryptographique supportant l’intégrité mais n’offrant pas de protection contre une falsification
de la part du destinataire (c’est-à-dire, ne supportant pas la non-répudiation).
association de sécurité: Relation entre deux ou plus de deux entités pour lesquelles il existe des attributs (règles et
informations d’état) régissant la fourniture des services de sécurité qui intéressent les entités en question.
fonction de communication de sécurité: Fonction supportant le transfert, entre sy stemes ouverts, d’i .nformations liées a
la sécurité.
domaine de sécurité: Combinaison d’un ensemble d’éléments, d’une politique de sécurité, d’une autorité chargée de la
sécurité et d’un ensemble d’activités relatives à la sécurité dont l’ensemble d’éléments est régi par la politique de sécurité,
sous la responsabilité de l’autorité sur la sécurité, pour les activités spécifiées.
échange pour la sécurité: Transfert ou séquence de transferts d’informations de contrôle de protocole d’application entre
systèmes ouverts, faisant partie intégrante d’un ou de plusieurs mécanismes de sécurité.
.t d’information distinct logiquement et correspondant à un transfert unique
item d’échange pour la sécurité: Elémen
(d’une séquence de transferts) dans le cadre d .‘un échange pour la sécurité.
fonction d’échange pour la sécurité: Fonction de communication de sécurité, situee dans la couche application, qui
permet d’assurer la transmission d’informations relatives à la sécurité entre entites d’application invoquées.
règles d’interaction sécurisées: Aspects communs des règles qui régissent les interactions entre les domaines de
sécurité.
conservées dans un système ouvert et nécessaires a la fourniture des services de
état de sécurité: Informations d’état
sécurité.
fonction de sécurité (de) système: Capacité d’un système ouvert a exécuter un traitement lié a la sécurité.
objet de sécurité (de) système: Objet représentant un ensemble de fonctions liées a la sécurité de système.
transformation pour la sécurité: Ensemble de fonctions (fonctions de séçurite de système et fonctions de
communication de sécurité) qui agissent en combinaison sur les éléments de données d’usager pour en assurer la
protection dans des conditions spécifiques pendant la communication ou le stockage.
NOTEZ - La spécification des fonctions et objets de sécurité-système ne fait pas partie intégrante des définitions de service
de couche OS1 ou des spécifications de protocole OSI.
4 Rec. UIT-T X.803 (1994 F)
ISOKEI 10745 : 1995 (F)
4 Abréviations
Pour les besoins de la présente Recommandation I Norme internationale, les abreviations suivantes s’appliquent:
ACSE Elément de service de contrôle d’association (association control service element)
AE Entité d’application (application-entity)
AEI Invocation d’entité d’application (application-entity-invocation)
ASE Elément de service d’applications (application-service-element)
ASN. 1 Notation de syntaxe abstraite numéro un (abstract syntax notation one)
AS0 Objet de service d’application (application-service-abject)
CF Fonction de contrôle (control function)
FTAM Transfert, accès et gestion de fichiers yile transfer, access and management)
os1 Interconnexion des systèmes ouverts (open systems interconnection)
PDV Valeur de données de présentation (presentation data value)
PE Entité de présentation (presentation-entity)
PEI Invocation d’entité de présentation (presentation-entity-invocation)
SE1 Item d’échange pour la sécurite (security exchange item)
Objet de sécurité de système (system security abject)
SS0
5 Concepts
Le présent Modèle de sécurité décrit la fourniture des services de sécurité qui permettent de contrer les menaces relatives
aux couches supérieures OSI, dont certains exemples sont présentés dans 1’Annexe A de la Rec. X.800 du CCITT I
ISO 7498-2. Ce modèle englobe la protection des informations qui passent par des systèmes de relais d’application.
51 0 Politique de sécurité
Pour que deux ou plus de deux systèmes ouverts réels puissent communiquer en toute sécurité, ils doivent être régis par
les politiques de sécurité en vigueur dans leurs domaines de sécurité respectifs, ainsi que par une politique d’interaction
sécurisée, si la communication est établie entre différents domaines de sécurité. Une politique d’interaction sécurisée
couvre les aspects des politiques de sécurité qui sont communs à différentes domaines de sécurite et détermine les
conditions dans lesquelles la communication peut être établie entre ces domaines.
Les dispositions d’une politique d’interaction sécurisée peuvent être décrites par un ensemble de règles qui régissent,
entre autres, la sélection des contextes d’objet AS0 (y compris celle des contextes d’application) à utiliser dans des cas
précis de communication.
52 . Associations de sécurité
Une association de sécurité est une relation entre deux ou plus de deux entités pour lesquelles il existe des attributs
(règles et informations d’états) régissant la fourniture des services de sécurité qui intéressent les entités en question. Une
association de securité implique l’existence d’une politique d’interaction sécurisée et le maintien d’un état de sécurité
cohérent dans chacun des deux systèmes.
Du point de vue des couches supérieures OSI, une association de sécurité est appliquée sur une association d’objets
ASO. En voici deux cas particuliers:
-
association de sécurité de type association d’applications - Association de sécurite entre deux systèmes,
supportant une communication en mode protégé par l’intermédiaire d’une association d’applications;
-
association de sécurité par relais - Association de sécurite entre deux systèmes, supportant une
communication en mode protégé par l’intermédiaire d’un relais d’application (par exemple, dans des
applications en mode asynchrone ou chaînées);
Rec. UIT-T X.803 (1994 F)
ISO/CEI 10745 : 1995 (F)
Il existe d’autres exemples de types d’associations de sécurité, à savoir:
-
association de securite entre deux sys ltèmes qui communiquent directement entre eux par 1 .‘intermédiaire
d’associatio ns d’applications multiples etfou par transmission de plusieurs unités de données en mode sans
connexion;
-
association de sécurité entre une entité in scrivant des i nformations en mode protégé dans une mémoire-
données (par exemple mémoire-fichier ou répertoire) et des entités li san t ces informations;
-
association de sécurité entre deux entites homologues de protocole de sécurité de couche inférieure.
dépendre du maintien d’une autre
Dans un processus d’application, une association de sécurite peut association de
sécurité avec un autre système, tel qu’un serveur d’authentification ou un autre type de tiers habilité.
53 l Etat de sécurité
Un état de sécurité est une information d’état détenue dans un système ouvert réel et nécessaire à la fourniture de services
de sécurité OSI. L’existence d’une association de sécurité entre processus d’application implique l’existence d’un état de
sécurité partagée.
Il peut être nécessaire que certaines informations relatives à l’état de sécurité soient disponibles pour un ou plusieurs
processus d’application avant les tentatives d’établissement des communications; elles peuvent être maintenues pendant
les communications et/ou conservées après la fin des communications. La nature exacte des informations d’état dépend
des mecanismes de sécurité et des applications.
On distingue deux catégories d’états de sécurité:
état de sécu rité de système - Information d .‘état relative à la sécurité établie et maintenue dans un système
a>
ouvert réel, indépendamment de l’existence d’activités de communication ou , de leur état;
b) état de sécurité d’association - Etat de sécurité relatif à une association de sécurite. Dans les couches
supérieures OSI, l’état de sécurité partagée régit les (propriétés de sécurité des) contextes d’objet AS0
utilisés entre les invocations d’objet ASD et/ou l’état initial de sécurite d’associations d’applications
nouvellement établies, dont voici deux cas particuliers:
-
l’association de sécurité est appliquée sur une association d’applications unique. L’état de sécurité est
appelé état de sécurité de type association d’applications. Il touche au contrôle de la sécurité des
communications pour l’association d’applications considérée.
-
l’association de sécurité est appliquée sur une association d’objets AS0 qui fait intervenir un transfert
d’informations entre deux systèmes d’usager par l’intermédiaire d’un système de relais d’application -
L’état de sécurité partagée se rapporte à la mise en œuvre de mécanismes de sécurité entre les deux
systèmes d’usagers, indépendamment des mécanismes de sécurité utilisés dans les différentes
associations d’applications établies avec un système de relais d’applications.
Exemples d’états de sécurité
informations d’état associées au chaînage cryptographique ou à la restauration de l’intégrité;
a)
jeu d’étiquettes de sécurité associées aux informations pouvant être échangées;
W
clé(s) ou identification(s) de clés à utiliser pour fournir des services de sécurité dans les couches
C)
supérieures. Cela peut comprendre des clés pour des autorités de certification habilitées et connues (voir
- Cadre d’authentification), ou encore des clés
la Rec. X.509 du CCITT I ISOKEI 9594-8: Annuaire
permettant les communications avec un centre de distribution de clés;
d) identités authentifiées antérieurement;
numéros d’ordre et variables de synchronisation cryptographique.
e)
L’état de sécurité peut être établi de diverses manières:
auquel cas les informations d’état résident dans
ci l’aide d’une fonction de gestion de sécurité, la base
a)
d’ ‘informations sur la gestion de la sécurité;
en tant qu’informations résiduelles provenant d’activités ou communication antérieures;
par des moyens extérieurs à I’OSI.
6 Rec. UIT-T X.803 (1994 F)
ISOKEI 10745 : 1995 (F)
54 l Exigences relatives à la couche application
Pour que des processus d’application puissent communiquer en toute sécurité, le contexte d’objet AS0 (ou le contexte
d’application) doit contenir les disposi tions appropriées relatives à la sécurité.
Une définition de contexte d’objet AS0 peut comprendre:
a) les types d’objets AS0 et/ou les types d’éléments ASE requis pour prendre en charge les protocoles de
sécurité;
des règles de négociation et de sélection des fonctions de sécurité relatives à la
couche application et à la
b)
couche présentation;
des règles de sélection de services de sécurité sous-jacents;
Cl
d) des règles d’application de services particuliers de sécurité à des catégories spéciales d’informations à
échanger;
des règles de réauthentification des identités concernées, pendant la durée de vie d’une association;
e)
f) des règles de modification de clés pendant la durée de vie d’une association d’objets AS0 (si des
mécanismes fondés sur les techniques cryptographiques sont utilisés);
g) des règles à suivre en cas de défaillance des communications ou de détection de violations de la sécurité.
NOTE - On peut définir un contexte d’objet AS0 par référence a la définition d’un type d’objet ASO.
Un contexte d’application est un cas particulier de contexte d’objet AS0 qui décrit le comportement de communication
autorisé de deux invocations d’objet AS0 impliquées dans une association d’applications. Les aspects relatifs à la
sécurité en 5.4.1 ci-dessus concernent les contextes d’application.
6 Architecture
61 l Modèle général
La fourniture de services de sécurité OS1 implique la création, l’échange et le traitement d’informations de sécurité
conformément aux procédures de mécanismes de sécurité spécifiques. On distingue les deux types de fonction suivants:
a) fonction de sécurité de système - Capacité d’un système à accomplir des opérations liées à la sécurité
telles que le chiffiement/déchiffrement, la signature numérique, ou bien la production ou le traitement
d’un jeton de sécurité ou d’un certificat transmis dans un échange pour authentification. La réalisation de
telles fonctions ne fait pas partie des services et protocoles de couche OSI:
b) fonction de communication de sécurité - Fonction prenant en charge le transfert d’informations relatives à
la sécurité entre syst&mes ouverts. Les fonctions de ce type sont mises en œuvre dans des entités
d’application ou des entités de présentation OSI. Voici des exemples de fonctions de communication de
sécurité:
fonctions d’échange pour la sécurité, telles que décrites au 6.3;
-
codage/décodage des éléments de protocole de la couche présentation conçus pour acheminer des
informations chiffrées ou des informations de signature numérique;
-
protocoles pour les communications avec un serveur de sécurité, par exemple service
d’authentification ou centre de distribution de clés.
La distinction entre les fonctions de sécurité de système et les fonctions de communication de sécurité a une double
importance. Le premier aspect est la distinction entre deux types de normes: en effet, les fonctions de sécurité-système
sont spécifiées dans des normes relatives aux mécanismes ou aux techniques de sécurité. Ces normes sont généralement
formulées en termes généraux et ne traitent pas nécessairement d’une couche ou d’un protocole de spécifkation
particulier. Les normes relatives aux fonctions de sécurité de système peuvent avoir un domaine d’application autre que
la sécurité des communications. En revanche, les fonctions de communication de sécurité font partie intégrante de
spécifications particuli&res relatives aux protocoles de communication (par exemple couches supérieures OSI) et ne sont
pas nécessairement liées à des mécanismes ou à des techniques de sécurité spécifiques.
Le deuxième aspect est la distinction entre la fonctionnalité de sécurité et la fonctionnalité de communication au stade de
la mise en œuvre. Généralement, un ensemble de fonctions de sécurité de système est mis en œuvre sous la forme d’un
module sécurisé (par exemple sous-système logiciel sécurisé ou module physique inviolable) susceptible d’être appliqué
dans différents types de communications ou dans d’autres environnements. En conséquence, la distinction entre les
fonctions de sécurité de système et les fonctions de communication de sécurité peut être un point de départ valable pour
la définition d’interfaces applicatives normalisées (par exemple interfaces de programme d’application de sécurité).
Rec. UIT-T X.803 (1994 F)
ISOKEI 10745 : 1995 (F)
A des fins d’architecture, il est nécessaire d’introduire le concept d’objet de sécurité de système (SSO). Un objet SS0 .
représente un ensemble de fonctions de sécurité de systèmes connexes.
Pour fournir le ou les services de sécurité désirés les objets SS0 peuvent interagir avec des fonctions de communication
de sécurité via une limite (interface) avec le service abstrait. Les objets SS0 produisent et traitent des information de
sécurité échangées a l’aide de protocoles OS1 dans les couches application et présentation. La structure logique de ces
informations peut être normalisée dans I’OSI, pour qu’elles puissent être représentées dans les échanges protocolaires
OSI.
Une invocation d’objet SS0 représente une instance d’exécution d’un objet SSO. Dans un modèle dynamique, une
invocation d’objet SS0 peut interagir avec une invocation d’entité OSI, par exemple avec une invocation d’entité
d’application.
Un objet SS0 peut:
- accepter des informations provenant des fonctions de communication de sécurité OS1 et leur en fournir,
ces fonctions pouvant envoyer et/ou recevoir des informations au nom de l’objet SSO;
- provoquer l’établissement d’une association d’applications avec un autre système ouvert, un serveur
d’authentification par exemple, et utiliser cette association d’applications pour fournir les fonctions de
sécurité de systeme de l’objet SSO;
-
établir une association de sécurité à utiliser ultérieurement lors de la fourniture d’un service de sécurité.
NOTE 1 - La définition de fonctions de sécurité. de système, d’objets SS0 ou de limites avec le service abstrait est en
dehors du domaine d’application du présent ModUe de sécurité.
NOTE 2 - Des objets SS0 peuvent être mis en œuvre à d’autres fins que la sécurité OSI. Toutefois, ces autres utilisations
sont en dehors du domaine d’application du présent Modèle de sécurité.
La Figure 1 représente un modèle de base des fonctions de sécurité associées aux couches application et présentation.
Dans ce modéle, les objets sont des entités d’application (AE), des entités de présentation (PE), des objets SS0 et des
services OS1 qui les prennent en charge (dans les couches 1 à 5 de l’OS1). Ces services OS1 fournissent l’infrastructure de
communication de base permettant l’échange d’informations de sécurité (et d’informations non liées à la sécurité).
Interface entre les Interface entre les
objets SS0 et COS1
objets SS0 et L’OS1
Objet de &curit& Entit6s de couche EntMs de couche Objet de &curit&
syst&ne (SSO) supkieure OS1 supkieure OSI syst&ne (SSO)
AE
I
I
-1-1111-11
4 I
I
PE
TE041 30-94/dOl
Fonctkns de Fonctk de
s&urité-syst&me communication
de securi%
Figure 1 - Fonctions de sécurité liées aux couches supérieures OS1
8 Rec. UIT-T X.803 (1994 F)
ISOKEI 10745 : 1995 (F)
Dans les couches supérieures, les entités de couche OS1 contribuent à la fourniture de services de sécurité de la maniere
suivante:
- dans la couche application, les entités d’application représentent les aspects de communication des
processus d’application et peuvent être structurées en éléments ASE, en objets AS0 et en fonctions de
contrôle (voir la Rec. X.207 du CCITT 1 ISOKEI 9545). Une entité d’application peut contenir des
éléments ASE et/ou des objets AS0 dédiés à la fourniture de fonctions de communication de sécurité. Des
éléments ASE etiou objets AS0 peuvent également permettre la protection des informations grâce aux
transformations de sécurité (voir 6.4) et/ou en demandant aux couches inférieures une qualité de service
appropriée;
- dans la couche présentation, c’est l’entité de présentation qui assure les fonctions de communication de
sécurité. Ces fonctions peuvent collaborer avec les fonctions de sécurité de système (chiffrement par
exemple) utilisées dans l’application d’une syntaxe abstraite sur une syntaxe de transfert (voir 6.4);
- dans la couche session, aucun service de sécurité n’est fourni. Cependant, 6.2.1 indique certains aspects du
fonctionnement de la couche session qui peuvent avoir un impact sur la sécurité dans un environnement
OSI.
Le modèle de base présenté ci-dessus facilite la définition générique des limites avec le service abstrait entre les
composants OS1 et les objets SSO; il permet également la fourniture de divers procédés d’habilitation (tels que les
spécifie, par exemple, la Rec. UIT-T X.81 1 I ISOKEI 10181-2).
NOTE 3 - Les interactions entre entités d’application et processus d’application, représentées à la Figure 1, sont traitées
au6.4etau8.1.
62 l Associations de sécurité
Dans les couches supérieures, une association de sécurité est appliquée sur une association d’objets ASO. Le présent
Modèle de sécurité ne donne aucune indication spécifique pour l’établissement ou la terminaison d’associations de
sécurité. En règle générale, ces associations peuvent être établieskerminées conjointement avec les processus normalisés
d’établissement d’association d’objets AS0 ou par d’autres moyens. Des considérations architecturales particulières
s’appliquent aux deux types particuliers d’associations de sécurité définis au 5.2.
6.2.1 Association de sécurité de type association d’applications
Une association de sécurité de type association d’applications est appliquée sur une association d’applications. Les
services de sécurité peuvent être assurés à l’aide:
a) de fonctions de communication de sécurité dans la couche application et de fonctions de sécurité de
système associées;
de fonctions de communication de sécurité dans la couche présentation et de fonctions de sécurité de
b)
système associées;
c) de services de sécurité fournis par les couches inférieures.
NOTE 1 - Comme l’indique la Rec. X.800 du CCITT I ISO 7498-2, aucun mécanisme de sécurité n’est fourni dans la
couche session. Cependant, lors de la conception des protocoles de sécurité des couches supérieures, il faut tenir compte de deux
aspects du fonctionnement de la couche session: le risque de non-remise des données (voir 8.2) qui découle de l’utilisation de services
de session, et la réutilisation en série de connexions de transport afin de prendre en charge plusieurs connexions de session (voir 8.3).
Dans certains cas, la fourniture d’un service de sécurité peut nécessiter une combinaison de fonctions de communication
de sécurité dans les couches application et présentation et de fonctions de sécurité de systeme associées.
Les services et les mécanismes de sécurité à utiliser dans le cadre d’une association d’applications sont définis par le
contexte d’application. Ces services de sécurité peuvent être fournis par l’utilisation de fonctions associées à un ou à
plusieurs éléments ASE et/ou d’objets ASO, séparément ou non.
Lors de l’établissement d’une association d’applications, il est nécessaire de tenir compte des exigences de sécurité
vantes ou des deux:
relatives à cette association, de l’une des deux manières sui
via l’utilisation de services de sécurité destinés à protéger l’établissement de l’association d’applications;
a)
via la sélection d’un contexte d’application comportant des services de sécurité appropriés.
b)
Les services fournis par l’élément ACSE servent à établir une association d’applications et à sélectionner le contexte
d’application approprié. Les règles du contexte d’application sélectionné peuvent comprendre des règles relatives à la
sécurité. Ces règles peuvent exiger que d’autres éléments ASE capables de fournir des services de sécurité (entre autres
services), fonctionnent conjointement avec l’élément ACSE pendant l’établissement de l’association.
NOTE 2 - Les fonctions de communication de sécurité dans la couche présentation et les fonctions de sécurité de système
associées peuvent constituer une partie de la procédure d’établissement d’association d’applications.
Rec. UIT-T X.803 (1994 F) 9
ISOKEI 10745 : 1995 (F)
L’état initial de sécurité d’association est déterminé par la procédure d’établissement d’association d’applications. Il peut .
dépendre de l’état de sécurité de système et/ou de l’état de sécurité d’association de toute association de sécurité établie.
Les règles du contexte d’application peuvent permettre ou exiger des échanges protocolaires entre éléments ASE pour
modifier cet état de sécurité d’association. De telles modifications peuvent survenir pendant les procédures d’initialisation
qui suivent l’établissement de l’association d’applications et en tant que partie intégrante du fonctionnement normal
d’invocations d’entité d’application coopérantes.
Pendant la durée de vie de l’association de sécurité, la modification de certains types d’informations d’état de sécurite
peut être autorisée (numéros de séquences pour intégrité par exemple); la modification d’autres types d’informations
d’état de sécurité peut être interdite (etiquettes de sécurité par exemple).
Les services fournis par l’élément ACSE sont utilises pour terminer une association d’applications. Les règles du contexte
d’application de l’association d’applications peuvent exiger que d’autres cléments ASE, capables de fournir des services
de sécurité (entre autres services), fonctionnent conjointement avec l’élément ACSE pendant la terminaison de
l’association d’applications.
6.2.2 Associations de sécurité par relais
Une association de sécurité par relais peut survenir dans une application repartie telle qu’une application en mode
asynchrone, ou une application chaînée. Une association de sécurité par relais peut s’etablir en même temps que des
associations de sécurité de type association d’applications, comme le montre la Figure 2.
Systbme B
(relais d’application) Systbme C
systhrne A
...<.. <..<
,.<. ,.<., . . . . . . _._.,
AEI AEI
AEI
PEI P+EI PEI
TlSO4140-94/dO2
4-b Association de sburit6 de type association d’applications
A.:.:
.<:.:.:.::.~_. . . . . . . . . . . . . . . . . . . . . . . . . . <. . . . . . . . . . . . ._.y::::.
.,.;
ce_ .:_ Association de s6curit6 par relais
SS0 Invocation d’objet de s&urit&systbme
Figure 2 - Relais d’application (scénario)
Les informations relayées en mode protegé sont des informations transmises entre les correspondants d’une association
de sécurité par relais (entre le système A et le système C sur la Figure 2). La protection est assurée à l’aide des fonctions
de sécurité-système contenues dans les objets SS0 21 et 22. Ces informations relayées en mode protégé sont encastrées
dans des valeurs PDV acheminées dans une association d’applications entre les systèmes A et B, d’une part, et dans les
valeurs PDV acheminées dans une association d’applications entre les systèmes B et C, d’autre part. Lorsque des
informations relayées en mode protégé sont acheminées dans une association d’applications, elles peuvent faire l’objet
d’une protection de sécurité supplémentaire, par exemple au moyen des fonctions de securite dans les objets SS0 xl
et x2, quand elles sont acheminées entre les systèmes A et B. C’est le cas notamment lorsqu’une valeur PDV, qui .
achemine des informations relayées en mode protégé, est elle-même encastrée dans une autre valeur PDV protégée au
titre d’une association de sécurité de type association d’applications.
10 Rec. UIT-T X.803 (1994 F)
ISOKEI 10745 : 1995 (F)
Il se peut que le système de relais d’application ne dispose pas des arguments (par exemple clés cryptographiques)
permettant à l’entité ou aux entités de présentation du système ouvert de décoderkoder les valeurs PDV qui acheminent
les informations relayées en mode protégé. Dans un système ouvert de ce type, les valeurs PDV codées peuvent être
conservées et transmises ultérieurement. La transmission ultérieure est alors limitée à un contexte de présentation
possédant la même syntaxe abstraite et la même syntaxe de transfert que le contexte dans lequel elles ont été reçues.
D’où la nécessite de conserver les informations identifiant la syntaxe abstraite et la syntaxe de transfert, avec le codage,
dans le système de relais.
La situation est similaire lorsque le système de relais possède les informations nécessaires au décodage des informations
relayées. Par exemple, il p
...
NORME
ISOICEI - -
INTERNATIONALE 10745
Première édition
1995-08-I 5
Technologies de l’information -
Interconnexion de systèmes ouverts
(OSI) - Modèle de sécurité pour les
couches supérieures
Information technolog y -
Open Systems Interconnection - Upper layers
security mode1
Numéro de référence
ISO/CEI 10745:1995(F)
ISO/CEI10745:1995(F)
Sommaire
Page
.................................................................................................................................... 1
Domaine d’application
Références normatives . 1
...................................................................... 2
2.1 Recommandations I Normes internationales identiques
Normes internationales équivalentes par leur contenu technique . . . . . . . 2
2.2 Paires de Recommandations
Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.............................................................................................................. 5
Abréviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
51 . Politique de scCurité
5.2 Associations de sécurite . 5
53 Etat de sécurité .
5:4 Exigences relatives a la couche application . 7
Architecture .
61 Modèle général . 7
612 Associations de sécurité . 9
.................................................................................................. 11
63 Fonctions d’échange pour la sécurite
......................................................................................................... 12
614 Transformations pour la sécurité
Services et mécanismes .
.................................................................................................................................. 14
71 Authentification
7:2 Contrôle d’accès .
.................................................................................................................................. 16
7.3 Non-répudiation
7.4 Intégrité . 17
7.5 Confidentialite .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Interactions entre couches
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
81 Interactions entre la couche application et la couche présentation
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
812 Interactions entre la couche présentation et la couche session
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
83 . Utilisation des services des couches inférieures
Annexe A - Relation avec la gestion OS1 .
.................................................................................. 20
A. 1 Gestion des services et mécanismes de sécurité
A.2 Objets, attributs et rapports d’événement pour la sécurité .
...................................................................................... 20
A.3 Fonctions spécifiques de gestion de sécurité
..............................................................................................
A.4 Autres aspects de la gestion de sécurite
Annexe B - Bibliographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
0 ISOKEI 1995
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publi-
cation ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun pro-
cédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord
écrit de l’éditeur.
ISOKEI Copyright Office l Case postale 56 l CH- 1211 Genève 20 l Suisse
Version française tirée en 1996
Imprimé en Suisse
@ ISOKEI ISOKEI 10745: 1995(F)
Avant-propos
LIS0 (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un système consacré à la
normalisation internationale considérée comme un tout. Les organismes nationaux
membres de I’ISO ou de la CE1 participent au développement de Normes
internationales par l’intermédiaire des comités techniques créés par l’organisation
concernée afin de s’occuper des différents domaines particuliers de l’activité
technique. Les comités techniques de I’ISO et de la CE1 collaborent dans des
d’intérêt commun.
domaines D’autres organisations internationales,
gouvernementales ou non gouvernementales, en liaison avec I’ISO et la CE1
participent également aux travaux.
Dans le domaine des technologies de l’information, 1’ISO et la CE1 ont créé un
comité technique mixte, l’ISO/CEI JTC 1. Les projets de Normes internationales
adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
approbation, avant leur acceptation comme Normes internationales. Les Normes
internationales sont approuvées conformément aux procédures qui requièrent
l’approbation de 75 % au moins des organismes nationaux votants.
La Norme internationale ISOKEI 10745 a été élaborée par le comité technique
mixte ISO/CEI JTC 1, Technologies de 1 ‘information, sous-comité SC 21,
Interconnexion des systèmes ouverts, gestion des données et traitement distribué
ouvert, en collaboration avec I’UIT-T. Le texte identique est publié en tant que
Recommandation UIT-T X.803.
Les annexes A et B de la présente Norme internationale sont données uniquement
à titre d’information
. . .
111 ’
ISOKEI 10745: 1995(F)
@ ISOKEI
Introduction
L’architecture de sécurite OS1 (Rec. X.800 du CCITT I ISO 7498-2) définit les éléments d’architecture relatifs à la
securite convenant à une application lorsqu’il faut assurer une protection de sécurité dans un environnement de systemes
ouverts.
La présente Recommandation I Norme internationale décrit la sélection, l’insertion et l’utilisati on des services et
mécanismes de sécurité dans les couches supérieures (application, présentation et session) du Modèle de référence OSI.
1v
ISOKEI 10745 : 1995 (F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
TECHNOLOGIES DE L’INFORMATION - INTERCONNEXION DE SYSTÈMES
OUVERTS (OSI) - MODÈLE DE SÉCURITÉ POUR LES COUCHES SUPÉRIEURES
1 Domaine d’application
11 . La présente Recommandation I Norme internationale definit un modèle d’architecture sur lequel est fondé:
a) le développement de services et de protocoles indépendants des applications, pour la sécurité dans les
couches supérieures OSI; et
b) l’utilisation de ces services et protocoles de manière à satisfaire aux conditions de s6curité d’une large
gamme d’applications afin que les élements ASE spécifiques à l’application contiennent le minimum de
services de sécurité.
12 . La présente Recommandation I Norme internationale spécifie en particulier:
les aspects de sécurité de la communication dans les couches supérieures OSI;
a>
la prise en charge, dan s les couches supérieures, des services de sécurité définis dans l’architecture de
W
sécurité OS1 et dans les Cadres de sec urité pour les systèmes ouverts;
c) l’insertion des services et mécanismes de sécurité et leurs relations dans les couches supérieures,
conformément à la Rec. X.800 du CCITT I ISO 7498-2 et à la Rec. UIT-T X.207 I ISOKEI 9545;
d) les interactions entre couches supérieures ainsi que les interactions entre couches supérieures et couches
inférieures lors de la fourniture et de l’utilisation des services de securité;
les conditions de gestion des informations de sécurite dans les couches supérieures.
e)
13 . En ce qui concerne le contrôle d’accès, le domaine d’application de la présente Recommandation I Norme
internationale comprend les services et mécanismes permettant de contrôler l’accés aux ressources OS1 et aux ressources
accessibles par l’intermediaire de I’OSI.
14 . La présente Recommandation I Norme internationale ne couvre pas:
a) la définition de services OS1 ni la spécification de protocoles OSI;
la spécification de techniques et de mécanismes de sécurité, leur fonctionnement ou leur utilisation dans
b)
des protocoles;
les aspects de la sécurité non relatifs aux communications OSI.
C)
15 La présente Recommandation I Norme internationale ne constitue ni une spécification de mise en œuvre de
systèmes, ni une base d’évaluation de la conformité.
NOTE - Le domaine d’application de la présente Recommandation I Norme internationale s’étend a la s&urit6 des
applications en mode sans connexion et à celle des applications réparties (applications en mode asynchrone, applications chaînées et
applications agissant pour d’autres applications).
Références normatives
Les Recommandations et les Normes internationales suivantes contiennent des dispositions qui, par suite de la référence
qui y est faite, constituent des dispositions valables pour la présente Recommandation I Norme internationale. Au
moment de la publication, les éditions indiquées étaient en vigueur. Toute Recommandation ou Norme internationale est
sujette à révision et les parties prenantes aux accords fondés sur la présente Recommandation I Norme internationale sont
Rec. UIT-T X.803 (1994 F) 1
ISO/CEIlO745:1995(F)
invitées à rechercher la possibilité d’appliquer les éditions les plus récentes des Recommandations et Normes
internationales indiquées ci-après. Les membres de la CE1 et de I’ISO possèdent le registre des Normes internationales en l
vigueur. Le Bureau de la normalisation des télécommunications de I’UIT-T tient à jour une liste des Recommandations
UIT-T en vigueur.
21 . Recommandations I Normes internationales identiques
-
Recommandation UIT-T X.207 (1993) 1 ISOKEI 95451994, Technologies de I?nformation -
Interconnexion de systèmes ouverts - Structure de la couche application.
-
Recommandation UIT-T X.81 11) (1993) 1 ISOKEI 10181-2.1), Technologies de Z’information - Inter-
connexion de systèmes ouverts - Cadres de sécurité pour systèmes ouverts - Cadre d’authentification.
-
Recommandation UIT-T X.8121) (1993) 1 ISOKEI 10181-3.1), Technologies de Z’information - Inter-
connexion de systèmes ouverts - Cadres de sécurité pour systèmes ouverts - Cadre de contrôle d’accès.
22 Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
.
-
Recommandation X.200 du CCITT (1988), Modèle de référence pour l’interconnexion des systèmes
ouverts pour les applications du CCITT’.
ISO 7498: 1984Kor. 1: 1988, Systèmes de traitement de l’information - Interconnexion de systèmes
ouverts L Modèle de référence de base.
-
Recommandation X.216 du CCITT (1988), Définition du service de présentation de I’OSI (Interconnexion
des systèmes ouverts) pour les applications du CCITT.
ISO 8822:1988, Systèmes de traitement de l’information - Interconnexion de systèmes ouverts - Définition
du service de présentation en mode connexion.
-
Recommandation X.217 du CCITT (1988), Définition du service de contrôle d’association pour
l’interconnexion des systèmes ouverts pour les applications du CCITT.
ISO 8649: 1988, Systèmes de traitement de l’information - Interconnexion de systèmes ouverts - Définition
du service pour l’élément de service de contrôle d’association.
-
Recommandation X.700 du CCITT (1992), Cadre de gestion pour Z’interconnexion des systèmes ouverts
pour les applications du CCITT.
ISOICEI 7498-4:1989, Systèmes de traitement de l’information - Interconnexion de systèmes ouverts -
Modèle de référence de base. Partie 4: Cadre général de gestion.
-
Recommandation X.800 du CCITT (1991), Architecture de sécurité pour Z’interconnexion en systèmes
ouverts d’applications du CCITT.
ISO 7498-2: 1989, Systèmes de traitement de l’information - Interconnexion de systèmes ouverts - Modèle
de référence de base - Partie 2: Architecture de sécurité.
3 Définitions
Les termes suivants, définis dans la Rec. X.200 du CCITT I ISO 7498, sont utilisés:
31 .
syntaxe abstraite;
a)
b) entité d’application;
c) processus d’application;
d) invocation de processus d’application;
informations de contrôle de protocole d’application;
e)
unite de données de protocole d’application;
g) environnement de système local;
h) fonction (N);
*) Actuellement à l’état de projet.
2 Rec. UIT-T X.803 (1994 F)
ISOKEI 10745 : 1995 (F)
relais (IV);
j) système ouvert;
k) contexte de présentation;
1) entité de présentation;
m) système ouvert réel;
n) gestion-système;
syntaxe de transfert.
0)
32 . Les termes suivants définis dans la Rec. X.800 du CCITT I ISO 7498-2 sont utilisés:
contrôle d’accès;
a)
b) authentification;
confidentialité;
Cl
d) integrite des données;
authentification de l’origine des données;
e)
déchiffrement;
f)
chiffrement;
Ii9
clé;
h)
non-répudiation;
.
notarisation;
J)
authentification de l’entité homologue;
k)
vérification de sécurité;
1)
base d’informations sur la gestion de la sécurité;
m)
poli tique de sécurité;
n)
protection sélective des champs;
0)
signature;
P)
confidentialité des flux de trafic;
9)
fonctionnalité de confiance.
33 . Les termes suivants définis dans la Rec. X.700 du CCITT I ISOKEI 7498-4 sont utilisés:
informations de gestion;
a>
b) gestion OSI.
34 . Les termes suivants définis dans la Rec. UIT-T X.207 I ISOKEI 9545 sont utilisés:
association d’applications;
a>
b) contexte d’application;
c) invocation d’entité d’application (AEI);
d) élément de service d’application (ASE);
e) type d’elément ASE;
f) objet de service d’application (ASO);
g) association d’objets ASO;
h) contexte d’objet ASO;
invocation d’objet ASO;
.
type d’objet ASO;
J)
\
k) fonction de contrôle (CF).
35 . Le terme suivant défini dans la Rec. X.216 du CCITT I ISO 8822 est utilise:
-
valeur de données de présentation.
Rec. UIT-T X.803 (1994 F)
ISO/CEI 10745 : 1995 (F)
36 . Les termes suivants définis dans la Rec. UIT-T X.81 1 I ISOKEI 10181-2 sont utilisés:
a) échange pour authentification;
informations d’authentification pour déclaration;
b)
déclarant;
informations d’authentification pour echange;
authentification d’entité;
e)
entité principale,
f)
information d’authentification pour vérification;
h) verificateur.
37 . Les termes suivants définis dans la Rec. UIT-T X.8 12 I ISOKEI 10181-3 sont utilisés:
certificat de contrôle d’accès;
a)
informations de contrôle d’accès.
b)
38 . Pour les besoins de la présente Recommandation I Norme internationale, les définitions suivantes s’appliquent:
état de sécurité par association: Etat de sécurité lié à une association de sécurité.
contexte de protection de la présentation: Contexte de présentation associant une syntaxe de protection du transfert à
une syntaxe abstraite.
syntaxe de protection du transfert: Syntaxe de transfert fondée sur des processus de codage/décodage qui font appel à
une transformation pour la sécurité.
sceau: Valeur de contrôle cryptographique supportant l’intégrité mais n’offrant pas de protection contre une falsification
de la part du destinataire (c’est-à-dire, ne supportant pas la non-répudiation).
association de sécurité: Relation entre deux ou plus de deux entités pour lesquelles il existe des attributs (règles et
informations d’état) régissant la fourniture des services de sécurité qui intéressent les entités en question.
fonction de communication de sécurité: Fonction supportant le transfert, entre sy stemes ouverts, d’i .nformations liées a
la sécurité.
domaine de sécurité: Combinaison d’un ensemble d’éléments, d’une politique de sécurité, d’une autorité chargée de la
sécurité et d’un ensemble d’activités relatives à la sécurité dont l’ensemble d’éléments est régi par la politique de sécurité,
sous la responsabilité de l’autorité sur la sécurité, pour les activités spécifiées.
échange pour la sécurité: Transfert ou séquence de transferts d’informations de contrôle de protocole d’application entre
systèmes ouverts, faisant partie intégrante d’un ou de plusieurs mécanismes de sécurité.
.t d’information distinct logiquement et correspondant à un transfert unique
item d’échange pour la sécurité: Elémen
(d’une séquence de transferts) dans le cadre d .‘un échange pour la sécurité.
fonction d’échange pour la sécurité: Fonction de communication de sécurité, situee dans la couche application, qui
permet d’assurer la transmission d’informations relatives à la sécurité entre entites d’application invoquées.
règles d’interaction sécurisées: Aspects communs des règles qui régissent les interactions entre les domaines de
sécurité.
conservées dans un système ouvert et nécessaires a la fourniture des services de
état de sécurité: Informations d’état
sécurité.
fonction de sécurité (de) système: Capacité d’un système ouvert a exécuter un traitement lié a la sécurité.
objet de sécurité (de) système: Objet représentant un ensemble de fonctions liées a la sécurité de système.
transformation pour la sécurité: Ensemble de fonctions (fonctions de séçurite de système et fonctions de
communication de sécurité) qui agissent en combinaison sur les éléments de données d’usager pour en assurer la
protection dans des conditions spécifiques pendant la communication ou le stockage.
NOTEZ - La spécification des fonctions et objets de sécurité-système ne fait pas partie intégrante des définitions de service
de couche OS1 ou des spécifications de protocole OSI.
4 Rec. UIT-T X.803 (1994 F)
ISOKEI 10745 : 1995 (F)
4 Abréviations
Pour les besoins de la présente Recommandation I Norme internationale, les abreviations suivantes s’appliquent:
ACSE Elément de service de contrôle d’association (association control service element)
AE Entité d’application (application-entity)
AEI Invocation d’entité d’application (application-entity-invocation)
ASE Elément de service d’applications (application-service-element)
ASN. 1 Notation de syntaxe abstraite numéro un (abstract syntax notation one)
AS0 Objet de service d’application (application-service-abject)
CF Fonction de contrôle (control function)
FTAM Transfert, accès et gestion de fichiers yile transfer, access and management)
os1 Interconnexion des systèmes ouverts (open systems interconnection)
PDV Valeur de données de présentation (presentation data value)
PE Entité de présentation (presentation-entity)
PEI Invocation d’entité de présentation (presentation-entity-invocation)
SE1 Item d’échange pour la sécurite (security exchange item)
Objet de sécurité de système (system security abject)
SS0
5 Concepts
Le présent Modèle de sécurité décrit la fourniture des services de sécurité qui permettent de contrer les menaces relatives
aux couches supérieures OSI, dont certains exemples sont présentés dans 1’Annexe A de la Rec. X.800 du CCITT I
ISO 7498-2. Ce modèle englobe la protection des informations qui passent par des systèmes de relais d’application.
51 0 Politique de sécurité
Pour que deux ou plus de deux systèmes ouverts réels puissent communiquer en toute sécurité, ils doivent être régis par
les politiques de sécurité en vigueur dans leurs domaines de sécurité respectifs, ainsi que par une politique d’interaction
sécurisée, si la communication est établie entre différents domaines de sécurité. Une politique d’interaction sécurisée
couvre les aspects des politiques de sécurité qui sont communs à différentes domaines de sécurite et détermine les
conditions dans lesquelles la communication peut être établie entre ces domaines.
Les dispositions d’une politique d’interaction sécurisée peuvent être décrites par un ensemble de règles qui régissent,
entre autres, la sélection des contextes d’objet AS0 (y compris celle des contextes d’application) à utiliser dans des cas
précis de communication.
52 . Associations de sécurité
Une association de sécurité est une relation entre deux ou plus de deux entités pour lesquelles il existe des attributs
(règles et informations d’états) régissant la fourniture des services de sécurité qui intéressent les entités en question. Une
association de securité implique l’existence d’une politique d’interaction sécurisée et le maintien d’un état de sécurité
cohérent dans chacun des deux systèmes.
Du point de vue des couches supérieures OSI, une association de sécurité est appliquée sur une association d’objets
ASO. En voici deux cas particuliers:
-
association de sécurité de type association d’applications - Association de sécurite entre deux systèmes,
supportant une communication en mode protégé par l’intermédiaire d’une association d’applications;
-
association de sécurité par relais - Association de sécurite entre deux systèmes, supportant une
communication en mode protégé par l’intermédiaire d’un relais d’application (par exemple, dans des
applications en mode asynchrone ou chaînées);
Rec. UIT-T X.803 (1994 F)
ISO/CEI 10745 : 1995 (F)
Il existe d’autres exemples de types d’associations de sécurité, à savoir:
-
association de securite entre deux sys ltèmes qui communiquent directement entre eux par 1 .‘intermédiaire
d’associatio ns d’applications multiples etfou par transmission de plusieurs unités de données en mode sans
connexion;
-
association de sécurité entre une entité in scrivant des i nformations en mode protégé dans une mémoire-
données (par exemple mémoire-fichier ou répertoire) et des entités li san t ces informations;
-
association de sécurité entre deux entites homologues de protocole de sécurité de couche inférieure.
dépendre du maintien d’une autre
Dans un processus d’application, une association de sécurite peut association de
sécurité avec un autre système, tel qu’un serveur d’authentification ou un autre type de tiers habilité.
53 l Etat de sécurité
Un état de sécurité est une information d’état détenue dans un système ouvert réel et nécessaire à la fourniture de services
de sécurité OSI. L’existence d’une association de sécurité entre processus d’application implique l’existence d’un état de
sécurité partagée.
Il peut être nécessaire que certaines informations relatives à l’état de sécurité soient disponibles pour un ou plusieurs
processus d’application avant les tentatives d’établissement des communications; elles peuvent être maintenues pendant
les communications et/ou conservées après la fin des communications. La nature exacte des informations d’état dépend
des mecanismes de sécurité et des applications.
On distingue deux catégories d’états de sécurité:
état de sécu rité de système - Information d .‘état relative à la sécurité établie et maintenue dans un système
a>
ouvert réel, indépendamment de l’existence d’activités de communication ou , de leur état;
b) état de sécurité d’association - Etat de sécurité relatif à une association de sécurite. Dans les couches
supérieures OSI, l’état de sécurité partagée régit les (propriétés de sécurité des) contextes d’objet AS0
utilisés entre les invocations d’objet ASD et/ou l’état initial de sécurite d’associations d’applications
nouvellement établies, dont voici deux cas particuliers:
-
l’association de sécurité est appliquée sur une association d’applications unique. L’état de sécurité est
appelé état de sécurité de type association d’applications. Il touche au contrôle de la sécurité des
communications pour l’association d’applications considérée.
-
l’association de sécurité est appliquée sur une association d’objets AS0 qui fait intervenir un transfert
d’informations entre deux systèmes d’usager par l’intermédiaire d’un système de relais d’application -
L’état de sécurité partagée se rapporte à la mise en œuvre de mécanismes de sécurité entre les deux
systèmes d’usagers, indépendamment des mécanismes de sécurité utilisés dans les différentes
associations d’applications établies avec un système de relais d’applications.
Exemples d’états de sécurité
informations d’état associées au chaînage cryptographique ou à la restauration de l’intégrité;
a)
jeu d’étiquettes de sécurité associées aux informations pouvant être échangées;
W
clé(s) ou identification(s) de clés à utiliser pour fournir des services de sécurité dans les couches
C)
supérieures. Cela peut comprendre des clés pour des autorités de certification habilitées et connues (voir
- Cadre d’authentification), ou encore des clés
la Rec. X.509 du CCITT I ISOKEI 9594-8: Annuaire
permettant les communications avec un centre de distribution de clés;
d) identités authentifiées antérieurement;
numéros d’ordre et variables de synchronisation cryptographique.
e)
L’état de sécurité peut être établi de diverses manières:
auquel cas les informations d’état résident dans
ci l’aide d’une fonction de gestion de sécurité, la base
a)
d’ ‘informations sur la gestion de la sécurité;
en tant qu’informations résiduelles provenant d’activités ou communication antérieures;
par des moyens extérieurs à I’OSI.
6 Rec. UIT-T X.803 (1994 F)
ISOKEI 10745 : 1995 (F)
54 l Exigences relatives à la couche application
Pour que des processus d’application puissent communiquer en toute sécurité, le contexte d’objet AS0 (ou le contexte
d’application) doit contenir les disposi tions appropriées relatives à la sécurité.
Une définition de contexte d’objet AS0 peut comprendre:
a) les types d’objets AS0 et/ou les types d’éléments ASE requis pour prendre en charge les protocoles de
sécurité;
des règles de négociation et de sélection des fonctions de sécurité relatives à la
couche application et à la
b)
couche présentation;
des règles de sélection de services de sécurité sous-jacents;
Cl
d) des règles d’application de services particuliers de sécurité à des catégories spéciales d’informations à
échanger;
des règles de réauthentification des identités concernées, pendant la durée de vie d’une association;
e)
f) des règles de modification de clés pendant la durée de vie d’une association d’objets AS0 (si des
mécanismes fondés sur les techniques cryptographiques sont utilisés);
g) des règles à suivre en cas de défaillance des communications ou de détection de violations de la sécurité.
NOTE - On peut définir un contexte d’objet AS0 par référence a la définition d’un type d’objet ASO.
Un contexte d’application est un cas particulier de contexte d’objet AS0 qui décrit le comportement de communication
autorisé de deux invocations d’objet AS0 impliquées dans une association d’applications. Les aspects relatifs à la
sécurité en 5.4.1 ci-dessus concernent les contextes d’application.
6 Architecture
61 l Modèle général
La fourniture de services de sécurité OS1 implique la création, l’échange et le traitement d’informations de sécurité
conformément aux procédures de mécanismes de sécurité spécifiques. On distingue les deux types de fonction suivants:
a) fonction de sécurité de système - Capacité d’un système à accomplir des opérations liées à la sécurité
telles que le chiffiement/déchiffrement, la signature numérique, ou bien la production ou le traitement
d’un jeton de sécurité ou d’un certificat transmis dans un échange pour authentification. La réalisation de
telles fonctions ne fait pas partie des services et protocoles de couche OSI:
b) fonction de communication de sécurité - Fonction prenant en charge le transfert d’informations relatives à
la sécurité entre syst&mes ouverts. Les fonctions de ce type sont mises en œuvre dans des entités
d’application ou des entités de présentation OSI. Voici des exemples de fonctions de communication de
sécurité:
fonctions d’échange pour la sécurité, telles que décrites au 6.3;
-
codage/décodage des éléments de protocole de la couche présentation conçus pour acheminer des
informations chiffrées ou des informations de signature numérique;
-
protocoles pour les communications avec un serveur de sécurité, par exemple service
d’authentification ou centre de distribution de clés.
La distinction entre les fonctions de sécurité de système et les fonctions de communication de sécurité a une double
importance. Le premier aspect est la distinction entre deux types de normes: en effet, les fonctions de sécurité-système
sont spécifiées dans des normes relatives aux mécanismes ou aux techniques de sécurité. Ces normes sont généralement
formulées en termes généraux et ne traitent pas nécessairement d’une couche ou d’un protocole de spécifkation
particulier. Les normes relatives aux fonctions de sécurité de système peuvent avoir un domaine d’application autre que
la sécurité des communications. En revanche, les fonctions de communication de sécurité font partie intégrante de
spécifications particuli&res relatives aux protocoles de communication (par exemple couches supérieures OSI) et ne sont
pas nécessairement liées à des mécanismes ou à des techniques de sécurité spécifiques.
Le deuxième aspect est la distinction entre la fonctionnalité de sécurité et la fonctionnalité de communication au stade de
la mise en œuvre. Généralement, un ensemble de fonctions de sécurité de système est mis en œuvre sous la forme d’un
module sécurisé (par exemple sous-système logiciel sécurisé ou module physique inviolable) susceptible d’être appliqué
dans différents types de communications ou dans d’autres environnements. En conséquence, la distinction entre les
fonctions de sécurité de système et les fonctions de communication de sécurité peut être un point de départ valable pour
la définition d’interfaces applicatives normalisées (par exemple interfaces de programme d’application de sécurité).
Rec. UIT-T X.803 (1994 F)
ISOKEI 10745 : 1995 (F)
A des fins d’architecture, il est nécessaire d’introduire le concept d’objet de sécurité de système (SSO). Un objet SS0 .
représente un ensemble de fonctions de sécurité de systèmes connexes.
Pour fournir le ou les services de sécurité désirés les objets SS0 peuvent interagir avec des fonctions de communication
de sécurité via une limite (interface) avec le service abstrait. Les objets SS0 produisent et traitent des information de
sécurité échangées a l’aide de protocoles OS1 dans les couches application et présentation. La structure logique de ces
informations peut être normalisée dans I’OSI, pour qu’elles puissent être représentées dans les échanges protocolaires
OSI.
Une invocation d’objet SS0 représente une instance d’exécution d’un objet SSO. Dans un modèle dynamique, une
invocation d’objet SS0 peut interagir avec une invocation d’entité OSI, par exemple avec une invocation d’entité
d’application.
Un objet SS0 peut:
- accepter des informations provenant des fonctions de communication de sécurité OS1 et leur en fournir,
ces fonctions pouvant envoyer et/ou recevoir des informations au nom de l’objet SSO;
- provoquer l’établissement d’une association d’applications avec un autre système ouvert, un serveur
d’authentification par exemple, et utiliser cette association d’applications pour fournir les fonctions de
sécurité de systeme de l’objet SSO;
-
établir une association de sécurité à utiliser ultérieurement lors de la fourniture d’un service de sécurité.
NOTE 1 - La définition de fonctions de sécurité. de système, d’objets SS0 ou de limites avec le service abstrait est en
dehors du domaine d’application du présent ModUe de sécurité.
NOTE 2 - Des objets SS0 peuvent être mis en œuvre à d’autres fins que la sécurité OSI. Toutefois, ces autres utilisations
sont en dehors du domaine d’application du présent Modèle de sécurité.
La Figure 1 représente un modèle de base des fonctions de sécurité associées aux couches application et présentation.
Dans ce modéle, les objets sont des entités d’application (AE), des entités de présentation (PE), des objets SS0 et des
services OS1 qui les prennent en charge (dans les couches 1 à 5 de l’OS1). Ces services OS1 fournissent l’infrastructure de
communication de base permettant l’échange d’informations de sécurité (et d’informations non liées à la sécurité).
Interface entre les Interface entre les
objets SS0 et COS1
objets SS0 et L’OS1
Objet de &curit& Entit6s de couche EntMs de couche Objet de &curit&
syst&ne (SSO) supkieure OS1 supkieure OSI syst&ne (SSO)
AE
I
I
-1-1111-11
4 I
I
PE
TE041 30-94/dOl
Fonctkns de Fonctk de
s&urité-syst&me communication
de securi%
Figure 1 - Fonctions de sécurité liées aux couches supérieures OS1
8 Rec. UIT-T X.803 (1994 F)
ISOKEI 10745 : 1995 (F)
Dans les couches supérieures, les entités de couche OS1 contribuent à la fourniture de services de sécurité de la maniere
suivante:
- dans la couche application, les entités d’application représentent les aspects de communication des
processus d’application et peuvent être structurées en éléments ASE, en objets AS0 et en fonctions de
contrôle (voir la Rec. X.207 du CCITT 1 ISOKEI 9545). Une entité d’application peut contenir des
éléments ASE et/ou des objets AS0 dédiés à la fourniture de fonctions de communication de sécurité. Des
éléments ASE etiou objets AS0 peuvent également permettre la protection des informations grâce aux
transformations de sécurité (voir 6.4) et/ou en demandant aux couches inférieures une qualité de service
appropriée;
- dans la couche présentation, c’est l’entité de présentation qui assure les fonctions de communication de
sécurité. Ces fonctions peuvent collaborer avec les fonctions de sécurité de système (chiffrement par
exemple) utilisées dans l’application d’une syntaxe abstraite sur une syntaxe de transfert (voir 6.4);
- dans la couche session, aucun service de sécurité n’est fourni. Cependant, 6.2.1 indique certains aspects du
fonctionnement de la couche session qui peuvent avoir un impact sur la sécurité dans un environnement
OSI.
Le modèle de base présenté ci-dessus facilite la définition générique des limites avec le service abstrait entre les
composants OS1 et les objets SSO; il permet également la fourniture de divers procédés d’habilitation (tels que les
spécifie, par exemple, la Rec. UIT-T X.81 1 I ISOKEI 10181-2).
NOTE 3 - Les interactions entre entités d’application et processus d’application, représentées à la Figure 1, sont traitées
au6.4etau8.1.
62 l Associations de sécurité
Dans les couches supérieures, une association de sécurité est appliquée sur une association d’objets ASO. Le présent
Modèle de sécurité ne donne aucune indication spécifique pour l’établissement ou la terminaison d’associations de
sécurité. En règle générale, ces associations peuvent être établieskerminées conjointement avec les processus normalisés
d’établissement d’association d’objets AS0 ou par d’autres moyens. Des considérations architecturales particulières
s’appliquent aux deux types particuliers d’associations de sécurité définis au 5.2.
6.2.1 Association de sécurité de type association d’applications
Une association de sécurité de type association d’applications est appliquée sur une association d’applications. Les
services de sécurité peuvent être assurés à l’aide:
a) de fonctions de communication de sécurité dans la couche application et de fonctions de sécurité de
système associées;
de fonctions de communication de sécurité dans la couche présentation et de fonctions de sécurité de
b)
système associées;
c) de services de sécurité fournis par les couches inférieures.
NOTE 1 - Comme l’indique la Rec. X.800 du CCITT I ISO 7498-2, aucun mécanisme de sécurité n’est fourni dans la
couche session. Cependant, lors de la conception des protocoles de sécurité des couches supérieures, il faut tenir compte de deux
aspects du fonctionnement de la couche session: le risque de non-remise des données (voir 8.2) qui découle de l’utilisation de services
de session, et la réutilisation en série de connexions de transport afin de prendre en charge plusieurs connexions de session (voir 8.3).
Dans certains cas, la fourniture d’un service de sécurité peut nécessiter une combinaison de fonctions de communication
de sécurité dans les couches application et présentation et de fonctions de sécurité de systeme associées.
Les services et les mécanismes de sécurité à utiliser dans le cadre d’une association d’applications sont définis par le
contexte d’application. Ces services de sécurité peuvent être fournis par l’utilisation de fonctions associées à un ou à
plusieurs éléments ASE et/ou d’objets ASO, séparément ou non.
Lors de l’établissement d’une association d’applications, il est nécessaire de tenir compte des exigences de sécurité
vantes ou des deux:
relatives à cette association, de l’une des deux manières sui
via l’utilisation de services de sécurité destinés à protéger l’établissement de l’association d’applications;
a)
via la sélection d’un contexte d’application comportant des services de sécurité appropriés.
b)
Les services fournis par l’élément ACSE servent à établir une association d’applications et à sélectionner le contexte
d’application approprié. Les règles du contexte d’application sélectionné peuvent comprendre des règles relatives à la
sécurité. Ces règles peuvent exiger que d’autres éléments ASE capables de fournir des services de sécurité (entre autres
services), fonctionnent conjointement avec l’élément ACSE pendant l’établissement de l’association.
NOTE 2 - Les fonctions de communication de sécurité dans la couche présentation et les fonctions de sécurité de système
associées peuvent constituer une partie de la procédure d’établissement d’association d’applications.
Rec. UIT-T X.803 (1994 F) 9
ISOKEI 10745 : 1995 (F)
L’état initial de sécurité d’association est déterminé par la procédure d’établissement d’association d’applications. Il peut .
dépendre de l’état de sécurité de système et/ou de l’état de sécurité d’association de toute association de sécurité établie.
Les règles du contexte d’application peuvent permettre ou exiger des échanges protocolaires entre éléments ASE pour
modifier cet état de sécurité d’association. De telles modifications peuvent survenir pendant les procédures d’initialisation
qui suivent l’établissement de l’association d’applications et en tant que partie intégrante du fonctionnement normal
d’invocations d’entité d’application coopérantes.
Pendant la durée de vie de l’association de sécurité, la modification de certains types d’informations d’état de sécurite
peut être autorisée (numéros de séquences pour intégrité par exemple); la modification d’autres types d’informations
d’état de sécurité peut être interdite (etiquettes de sécurité par exemple).
Les services fournis par l’élément ACSE sont utilises pour terminer une association d’applications. Les règles du contexte
d’application de l’association d’applications peuvent exiger que d’autres cléments ASE, capables de fournir des services
de sécurité (entre autres services), fonctionnent conjointement avec l’élément ACSE pendant la terminaison de
l’association d’applications.
6.2.2 Associations de sécurité par relais
Une association de sécurité par relais peut survenir dans une application repartie telle qu’une application en mode
asynchrone, ou une application chaînée. Une association de sécurité par relais peut s’etablir en même temps que des
associations de sécurité de type association d’applications, comme le montre la Figure 2.
Systbme B
(relais d’application) Systbme C
systhrne A
...<.. <..<
,.<. ,.<., . . . . . . _._.,
AEI AEI
AEI
PEI P+EI PEI
TlSO4140-94/dO2
4-b Association de sburit6 de type association d’applications
A.:.:
.<:.:.:.::.~_. . . . . . . . . . . . . . . . . . . . . . . . . . <. . . . . . . . . . . . ._.y::::.
.,.;
ce_ .:_ Association de s6curit6 par relais
SS0 Invocation d’objet de s&urit&systbme
Figure 2 - Relais d’application (scénario)
Les informations relayées en mode protegé sont des informations transmises entre les correspondants d’une association
de sécurité par relais (entre le système A et le système C sur la Figure 2). La protection est assurée à l’aide des fonctions
de sécurité-système contenues dans les objets SS0 21 et 22. Ces informations relayées en mode protégé sont encastrées
dans des valeurs PDV acheminées dans une association d’applications entre les systèmes A et B, d’une part, et dans les
valeurs PDV acheminées dans une association d’applications entre les systèmes B et C, d’autre part. Lorsque des
informations relayées en mode protégé sont acheminées dans une association d’applications, elles peuvent faire l’objet
d’une protection de sécurité supplémentaire, par exemple au moyen des fonctions de securite dans les objets SS0 xl
et x2, quand elles sont acheminées entre les systèmes A et B. C’est le cas notamment lorsqu’une valeur PDV, qui .
achemine des informations relayées en mode protégé, est elle-même encastrée dans une autre valeur PDV protégée au
titre d’une association de sécurité de type association d’applications.
10 Rec. UIT-T X.803 (1994 F)
ISOKEI 10745 : 1995 (F)
Il se peut que le système de relais d’application ne dispose pas des arguments (par exemple clés cryptographiques)
permettant à l’entité ou aux entités de présentation du système ouvert de décoderkoder les valeurs PDV qui acheminent
les informations relayées en mode protégé. Dans un système ouvert de ce type, les valeurs PDV codées peuvent être
conservées et transmises ultérieurement. La transmission ultérieure est alors limitée à un contexte de présentation
possédant la même syntaxe abstraite et la même syntaxe de transfert que le contexte dans lequel elles ont été reçues.
D’où la nécessite de conserver les informations identifiant la syntaxe abstraite et la syntaxe de transfert, avec le codage,
dans le système de relais.
La situation est similaire lorsque le système de relais possède les informations nécessaires au décodage des informations
relayées. Par exemple, il p
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...